Re: [uanog] mikrotik enough firewall rules

Карточки - строго Intel, при чём те, которые имеют несколько очередей. Потому как в один поток оно точно не прожуётся. Такой конфиг не прожуёт всё, что связано с conntrack (NAT, stateful firewall). Ну и огромные таблицы iptables тоже. Можно выкрутиться с помощью ipset, если критично. 14.02.19 17:24, Stesin пише:

On Thu, 14 Feb 2019 at 12:14, Volodymyr Litovka wrote:

...

Ну вот у меня вызывает вопросы именно ситуация: зачем ставить внешнюю пасочку на задачи, с которыми естественным образом справляется Микрот,

Ну вот вопрос - если приходится танцы с бубном и советоваться, то это "справляется" или нет? Может по процессору-то он и справляется, а вот по usability и maintainability так кажись шо не очень.

...

и какова производительность Атома на задачах фильтрации, которые Микрот делать не умеет?

Атом х64 с 4 гигами рамы 1Gbps - без проблем. Оговорки:

1) я напрочь не помню какие там стояли Ethernet-чипы, видимо что-то приличное оба 2) не встречал случая, когда требовалось бы задействовать более 1/3-1/2 функциональных возможностей opnsense единовременно

Он очень много всего умеет, все сразу как правило просто некуда (и незачем) применить. И очень полированная штука. Highly recommended. REST APIs и вебсервера им в частности прикрывать хорошо, TLS Offloading умеет, HA умеет, много чего умеет. Но и просто юзеровскую сетку прикрыть нормально - тоже Ок. https://docs.opnsense.org/manual.html

Можно (и наверное и хорошо) первичную дубовую и незатейливую фильтрацию сделать на микроте в простейшем ее варианте, а интеллектуальное все уже делать на opnsense включенном микроту в зад. К слову у меня ощущение, что ASA до opnsense несколько того... не дотягивает, а с учетом цены так и подавно.

Естественно, this is my humble, biased, personal and highly subjective opinion. С наилучшими, я _______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog