Új hozzászólás Aktív témák
-
haddent
addikt
Minden gond nélkül megoldható, nálam is így van
De van némi előfeltétele, valahogy el kell tudd szeparálni a hálózatokat. VLAN tökéletes megoldás, de ehhez a pfSense -t futtató gép NIC -jének tudnia kell a VLAN tagginget.
Ha ez megvan, akkor vagy managelhető switch kell (amin tud portokra VLAN -t natívban kirendezni), vagy nem managelhető, de olyan amin a VLANok sértetlenül átmennek ettől függetlenül. Ekkor viszont a WiFi AP -nak kell tudnia a VLAN tagginget. Tehát vagy switch szinten választod szét és a switch portok külön-külön VLAN -ok, de natívban, vagy a "buta" switchre ráküldesz egy trunk -ölt cuccot, natívban a sima hálózattal és egy VLAN -ban a VPN cuccod és a WiFi AP -d szemezi ki magának a megadott VLAN -t.
Vagy bónusz megoldás ahogy nálam van, hogy a switch és a wifi ap is kezeli, ezért egészen a wifi ap is trunk portot kap és van egy rendes itthoni wifi hálózat meg egy "dirty" vpn hálózat is wifiből
-
#399
R̲e̲m̲
senior tag
Véreshurka
#395
R̲e̲m̲
senior tag
válasz
Véreshurka
#395
üzenetére
Ha jól értelmezem, akkor a dns resolver okozta, hogy a 127.0.0.1 volt a DNS szerverem.
ha úgy van, ahogy gondolom, akkor engedélyezett dns resolver-el a pfsense a root dns-ektől kérdezi le a címhez az ip-t aztán cache-eli...Egy újabb kérdésem lenne:
Megoldható-e, hogy az itthoni hálózat egyik fele a pfsense-ben beállított vpn-t használja, a másik fele meg vpn nélkül menjen a netre? Gondolok arra, hogy az egyik vlan és a hozzá beosztott portok a switch-en vpn mögött vannak, a másik vlan meg a vpn "mellett" megy ki a netre?
Illetve ha a switch egyik portjára dugok egy wireless ap-t, akkor a portnak megfelelő vlan-ba kerülnek?
ha baromság, mondjátok nyugodtan.[ Szerkesztve ]
-
#397
Patice
nagyúr
Véreshurka
#385
Patice
nagyúr
válasz
Véreshurka
#385
üzenetére
Mindenki nyugodjon le a p***ba, újratelepítettem magam friss letöltésből és újrakonfigoltam az alapokat. (Még szerencse, hogy nem jutottam tovább.)
Asszony így is már várta mikor leszek kész, mert NAS-ról megy az esti sorozat.. -
#395
Véreshurka
senior tag
R̲e̲m̲
#393
-
#394
Véreshurka
senior tag
haddent
#391
Véreshurka
senior tag
& inf3rno meg akit esetleg érdekel
Az Intel Management Engine-el tisztában vagyok. Pont múlt hónapban vettem fel a kapcsolatot újra a 3mdeb csapattal és érdeklődtem tőlük úgy nagy vonalakban a Coreboot-ról és, hogy esetleg az általuk is forgalmazott Protectli gépeken az IME ki van-e pucolva annyira amennyire lehetséges és ha nincs, akkor hallottak-e a me_cleaner-ről. Viszont válaszukban írták, hogy nincs kipucolva az IME a Protectli-ken, de elgondolkodnak róla, hogy teszteljék és esetlegesen a későbbiekben ezzel a lehetőséggel is bővítsék a kínálatukat. És ez szerintem nem csak a Protectli gépeket érintené hanem a mellette is forgalmazott PCEngine APU-kat is amik már most is ugyanúgy Coreboot+SeaBIOS-al is kérhetőek. Azért is van nagy bizodalmam a lengyel srácokban, mert nagyban hozzájárulnak - amennyire meg tudom ítélni - a Coreboot fejlesztéséhez. Úgyhogy lehet, hogy nem csak régi HW-ekre lehet majd megbízhatóan pfSense-t, vagy bármi tűzfal programot rakni, hanem egy kicsit modernebb gépekre is. Én már nagyon várom... Remélem jövőre már a boltokba is kerül
-
#393
R̲e̲m̲
senior tag
Véreshurka
#379
R̲e̲m̲
senior tag
válasz
Véreshurka
#379
üzenetére
Köszönöm mégegyszer, ez megoldotta a problémát
-
inf3rno
nagyúr
Ja hát ez is része a dolognak, de bármit veszel, mindegyikben lesz jó eséllyel backdoor, hogy a gyártó ország titkosszolgálata könnyebben hozzáférjen. Nekünk ez addig nem számít, amíg valami hacker csoport nem találja meg és kezdi el kihasználni pl botnet építésre.
[ Szerkesztve ]
-
#390
inf3rno
nagyúr
Véreshurka
#388
inf3rno
nagyúr
válasz
Véreshurka
#388
üzenetére
Azt nem mondom, hogy semmire nem mész vele, mert legatterolod, ami rajta van az általad látott részen. Viszont pl az USA-ban olyan vírusokat ír a CIA, hogy felteszi magát a firmware-be, és az SSD-n is lefoglal magának egy tárhelyet úgy, hogy nem is látod. Ugyanúgy működik maga az SSD, tudod partícionálni, stb, de az ő cuccuk által lefoglalt hely, vagy hogy azon mi van, az egyáltalán nem látszik normál felhasználóknak, mintha nem is lenne. A kínaiak, oroszok, stb. valszeg ugyanúgy képesek erre. A te szempontodból nincs jelentősége, mert akik erre képesek, azok már komoly szinten tolják, és nem fogod tudni megvédeni magad tőlük, bármit csinálsz. Valszeg nem vagy annyira fontos, hogy célpont legyél, úgyhogy amíg nem jön el a skynet, addig nincs jelentősége, inkább csak megemlítettem, mint érdekességet. Esetleg nézd meg ezt, ha érdekel, hogy mire képesek: [link]
[ Szerkesztve ]
-
#389
Véreshurka
senior tag
haddent
#386
Véreshurka
senior tag
Igen! Mostanában sok linux ISO-val próbálkozom virtuális gépként és mindig csak akkor telepítek, illetve hagyom meg az ISO-t ha nem csak a SHAxxx, vagy MDA értékeket tudom ellenőrizni, de ha az aláírásokat is a megfelelő GPG kulcsokkal. Sajnos a pfSense ISO-hoz még csak SHA256-os ellenőrzést találtam, ha jól néztem körbe a dokumentációjukban sajnos GPG kulccsal aláírt ISO még nincs a repertoárjukban.
[ Szerkesztve ]
-
#388
Véreshurka
senior tag
inf3rno
#387
Véreshurka
senior tag
Világos! Ezzel mélyebben még nem foglalkoztam, de majd beleásom magam! Kössz, hogy rávilágítottál! Akkor ezek szerint ezzel a paranccsal:
hdparm --user-master u --security-erase-enhanced PasSWorD /dev/sdXsem megyek semmire - feltételezve, hogy az előfeltételeknek már eleget tettem, mint mondjuk a Password létrehozása és ellenőriztem, hogy az adott SSD "not frozen"?[ Szerkesztve ]
-
#387
inf3rno
nagyúr
Véreshurka
#385
inf3rno
nagyúr
válasz
Véreshurka
#385
üzenetére
SSD-nél a firmware-be is beteszik a vírust, nem érsz semmit a dd-vel.
(vagy hát teljes körű védelmet nem ad)[ Szerkesztve ]
-
#386
haddent
addikt
Véreshurka
#385
haddent
addikt
válasz
Véreshurka
#385
üzenetére
Azt gyanítom, hogy ez a box itthon, cégektől levedlett múlttal az eladó kezében vált pfSense box-szá, tehát így nem kínai backdoor, szerintem
De persze, ilyen dolgokat (is) mindig jó, ha te magad friss, saját isoból rakod fel -
#385
Véreshurka
senior tag
Patice
#382
Véreshurka
senior tag
Nevezzetek alusapkás, paranoid, chemtrail hívőnek, de mielőtt belevágtam a pfsense-be sok helyen olvastam - ok, főleg kínai minipc-kre előre telepített verzióval kapcsolatban -, hogy nem célszerű előre telepített alapokról építkezni, főleg egy tűzfalnál és én ezzel csak egyet tudok érteni.. Bár kicsi a valószínűsége bármilyen hátsó ajtónak, de az ördög sosem alszik... Én még az SSD-t is gyalulnám első használatkor mondjuk egy live linux alól dd paranccsal és /dev/urandom-al, vagy a kényesebbek kedvéért valamilyen az SSD-t jobban kímélő módszerrel. Szerintem érdemes elgondolkodni rajta, és még legalább tapasztalatot is lehet szerezni közben.
-
#382
Patice
nagyúr
Véreshurka
#380
Patice
nagyúr
válasz
Véreshurka
#380
üzenetére
Az eladó a legfrissebbet rakta fel rá, amit én kezdtem el konfigolni a nulláról.
-
-
inf3rno
nagyúr
Gondolom van egy default DNS szerver a kódjában, és ha nincs megadva semmi, akkor ahhoz csatlakozik. Ezt mondjuk nem tartom jó dolognak, mert könnyen elfelejthet foglalkozni vele az ember, de ez van, ha mindent a segge alá raknak.
szerk:
Nem találok ezzel kapcsolatban semmit a pfsense kódjában. Ha jön is valahonnan egy alapbeállítás, akkor elképzelhető, hogy a FreeBSD-ből jön.[ Szerkesztve ]
-
#374
haddent
addikt
Véreshurka
#372
haddent
addikt
válasz
Véreshurka
#372
üzenetére
Arra gondoltam, igen. Hát őő, fogalmam sincs, hogy hogy megy? Gondolom amint a forwardingot engedélyezted automatikusan kitölti a DHCP server saját magával, ha üresen hagyod, ez a legerősebb tippem. Vagy valamelyik IP protokoll alapján és/vagy önkényesen az oprendszerek alapból a DHCP servert szolongatják DNS -ként, ha külön másként nem kapják utasításba, hogy őszinte legyek erről fogalmam sincs, de biztosa kettő közül valamelyik, csodák nincsenek
Épp a "csodák" elkerülése végett szeretem explicit kifejezni mit akarok, ezért nálam a DHCP server megfelelő sorai ki vannak töltveR̲e̲m̲ elméletileg lehetséges, persze, csak nem tudom mi lenne a gyakorlati haszna? Lehet, hogy 127.0.0.1 küld ki a DHCP mint DNS resolver.. Neked is ugyanezt tudnám javasolni, amit lehet azt explicit módon definiálni, hogy ilyenek ne történjenek
Linuxon vagy látom, ott a legegyszerűbb a cat /etc/resolv.conf -
R̲e̲m̲
senior tag
-
#372
Véreshurka
senior tag
haddent
#369
Véreshurka
senior tag
DHCP-n nincs DNS beállítva, illetve a forwarder service sincs engedélyezve, csak a resolver. Most úgy sikerült működésre bírnom, hogy a Services --> DNS resolver menüben a DNS Query Forwarding-ot engedélyeztem, így már van névfeloldás. Esetleg erre gondoltál a forwarding-nál, vagy magára a DNS Forwarder menüre? Ehhez viszont lenne egy kérdésem. Megnéztem pár video-t amiben pfsense-t telepítenek, és sehol nem engedélyezik a DNS Query Forwarding-ot és így is működik a névfeloldás, illetve én sem emlékszem, hogy bármikor be kapcsoltam volna ezt, vagy adtam volna a DHCP szerveren belül bármikor DNS szerver címet, mégis mindig ment a névfeloldás. Ez így akkor most hogyan működik? Pl. ebben a videóban [(link)] sincs semmi extra állítva, csak az elején a gui alapján az a pár dolog ami van, mégis rögtön utána be tudott tölteni egy weboldalt.
-
Dißnäëß
nagyúr
válasz
Multibit
#370
üzenetére
Először a Snort-ot vesézi, multi threading-et említve.
Aztán jön a Suricata és tadaaaam:
"Multi-Threaded - Snort runs with a single thread meaning it can only use one CPU(core) at a time.Régen a SNORT valóban sokáig volt single thread-es a Suricata-val szemben. De ma ?
Szóval: pontosabb cikket legközelebb, kedves blogoló. -
haddent
addikt
Mindkettő IPS detection tool. Mélyebben nem tudom mi a különbség, de a Suricata (a pfsense -es is) tudja és használja is a snort ruleokat is
Véreshurka szerintem nem virtualizációs probléma, egyszerűen nameserver gond. A pfSense -ben a DHCP server kiküldi a nameservert? (Services ->DHCP server, lap közepe DNS Servers, legyen kitöltve) Választhatod azt, hogy kiküldöd a külső pl 1.1.1.1 vagy 8.8.8.8, vagy küldheted saját magát, a pfSense -t, de akkor a pfSense -nek legyen megadva egy upstream a generalban és legyen engedélyezve a dns forwarding is (az is services)
[ Szerkesztve ]
-
inf3rno
nagyúr
Úgy nagyjából világos az internet meg a tűzfal működése. Azt hiszem ki kéne próbálnom, hogy mit ad a pfsense, aztán utána megnézni, hogy mi az, amit ebből nem használok. Ha túl sok minden van, amit nem használok, vagy olyan dolgok kellenének, amit pfsense-el nem tudok megoldani, akkor van értelme elgondolkodni az OpenBSD-n vagy FreeBSD-n.
-
#365
Véreshurka
senior tag
Véreshurka
senior tag
Egy kis segítséget kérnék én is. Próbálok egy külön hálózatot létrehozni virtuális környezetben (Virtualbox / KVM), de nem igazán sikerül a dolog. A pfsense-re kötött vendég op. rendszereken nem működik a névfeloldás. Magán a virtuális pfsense-en tudom pingelni a goolge.com-ot, vagy bármit amit szeretnék, de ha ezt egy olyan op. rendszerről teszem ami a virtuális pfsense-hez kapcsolódik és onnan kapja az IP címét akkor ezt a hibaüzenetet kapom:
ping: google.com: Temporary failure in name resolution.Még amit próbáltam:
- pfsense shell alól aping google.comműködik
- pfsense shell alól aznslookup google.comezzel jön vissza:Server: 192.168.122.1 --> ez a KVM alap hálózatának a gateway címe
Address: 192.168.122.1#53
Non-authorative answer
... (itt behozza az infokat)
- pfsense shell aznslookup google.com 127.0.0.1ezzel jön vissza:Server: 127.0.0.1
Address: 127.0.0.1#53
** Server can't fiond google.com: SERVFAILpfSense WAN címe: 192.168.122.95 --> ezt a címet kapja a KVM alap hálózatától
pfSense LAN hálózat: 192.168.1.1/24
pfSense LAN címe: 192.168.1.1
kapcsolódó op. rendszer IP címe: 192.168.1.100 --> még DHCP-n kapja a címétHa megváltoztatom a pfsense-re kapcsolódó op. rendszer resolve.conf fájlában a nameserver-t 192.168.1.1-ről 192.168.122.1-re akkor működik újra a névfeloldás. A System --> General Setup alatt már ezek kombinációit remélhetőleg mind végigvettem: DNS szerver, DNS Server Override, Disable DNS Forwarder de még mindig nem sikerült megoldani a gondot. Egyébként ugyanez a gondom Virtualbox alatt is. Néztem egy youtube videót erről, ott csak annyit csinált emberünk, hogy adott a pfsense-nek egy + NIC-et amit Internal Network-ként allított be, elnevezte a hálózatot (pfsense), telepítette a pfsense-t, a virtuális op. rendszer beállításaiban a hálózati beállításnál a NIC-et a már létrehozott (pfsense) internal network-re állította, telepítette az op. rendszert, a gui segítségével bekonfigolta a pfsense-t, majd már működött is a névfeloldás. Én viszont el nem tudom képzelni, hogy mi lehet a gondom. Elég új nekem a virtualizáció, és mivel látom, hogy itt azért használják jó páran a pfsense-t virtuálisan is, gondoltam tudnátok segíteni.
Előre is köszönöm a válaszokat!
-
haddent
addikt
Természetesen, a pfSense valóban csak egy BSD + egy jó gyűjtemény pl Suricata stb.
Hogy jobb-e, azt nem tudom. Én előtte évekig ezt csináltam, csak nem BSD hanem Linux -szal meg iptables -sel. Jó azt is tudni és átlátni, de napi szinten, akár csak otthoni mértékben is de nagyobb rendszert fentartani, hát úgy annyira nem már Az is kérdés, hogy mennyire nulláról indulsz? Láttál-e már tűzfalat meg úgy az egész internet architektet átlátod-e alapszinten. Ha nem akkor még a gui is sok leszelsőre, nem egy bsd nesze. Szóval ezek alapján te döntesz, mi való neked R̲e̲m̲ ez új.. látatlanban sajnos nem is tudnék semmit mondani rá. Ha nem sikerül és számodra elfogadható VPN -en keresztül szívesen megnézem, több szem többet lát
-
#363
Véreshurka
senior tag
R̲e̲m̲
#362
-
#362
R̲e̲m̲
senior tag
Véreshurka
#360
R̲e̲m̲
senior tag
válasz
Véreshurka
#360
üzenetére
Most, hogy mondtad, restartoltam, de still magenta..
Ennek a redirect dolognak utánaolvasok, köszönöm. -
inf3rno
nagyúr
Én azt olvasom több helyen is, hogy a pfsense-nek nincs valami hatalmas előnye egy OpenBSD-vel szemben. Annyi, hogy CLI helyett GUI van, de az is limitált. Esetleg tudtok még különbséget mondani, ami miatt megéri? Nekem lehet inkább OpenBSD lesz, mert az alapoktól szeretném megérteni az egészet, hogy hogyan működik, és állítólag arra jobb nulláról indulni.
-
#360
Véreshurka
senior tag
R̲e̲m̲
#359
Véreshurka
senior tag
Újra is indítottad a routert? Hátha... Egy gyors keresés után pedig a legtöbb helyen ezt tanácsolják.
Amíg nem jön valaki aki tudna érdemben is válaszolni, addig ezt akár áttanulmányozhatod: Redirecting Client DNS Requests. Mintha ilyesmire lenne kitalálva.
-
#359
R̲e̲m̲
senior tag
Véreshurka
#358
R̲e̲m̲
senior tag
válasz
Véreshurka
#358
üzenetére
kivettem az override pipát... épp ez a gondom
-
#355
Véreshurka
senior tag
haddent
#354
Véreshurka
senior tag
1. Ok, lehet hagyom akkor az egyedi portokat. De gondolom ha bármikor meggondolnám magam akkor csak szerkesztem a fájlt.
2. Csak a description tartalmazza a pfsense szót:
"description": "Analyse OPNSense Logs and maybe pfsense too". De ahogy lesz időm majd rámegyek és meglátom mi lesz belőleJelentkezem még...
-
#354
haddent
addikt
Véreshurka
#353
haddent
addikt
válasz
Véreshurka
#353
üzenetére
1. Ha egyedi portokról van szó és látni szeretnél ilyesmit, hogy 1234 helyett azt írja, hogy "Véreshurka_srv" akkor igen, szerintem, bár ebbe én nem mentem bele, nem szeretem az aliasokat
2. - 3. Azt hiszem abban a content packban opn és pf is benne van -
#353
Véreshurka
senior tag
Véreshurka
senior tag
Nos, fut a Graylog, kapja a logokat a pfSense-től. Mielőtt nagyon beszaladnék abba a bizonyos erdőbe:
1. Ha vannak olyan portjaim amik egyediek azokat fel kell vennem külön a service-names-port-numbers.csv -ben? Vagy ezt nem piszkálnom?
2. A graysense-contentpack.json fájlban az opnsense szavakat simán átírhatom pfsense-re?,
3. Tudom, hogy az opnsense egy pfsense fork, de vajon mindent ugyanolyan logika mentén logolnak mint pfsense-ben? Tehát betölthetem majd nyugodtan a contentpack-ot? -
#352
Véreshurka
senior tag
haddent
#351
Véreshurka
senior tag
Graylog-hoz és Cerebro-hoz egyszer már volt szerencsém amikor Grafana-ban akartam logot megjeleníttetni, de sajnos nem jártam sikerrel. Odáig már eljutottam, hogy a Graylog megkapta a pfSense-től a logokat, de a nyers logokat már nem tudtam szétválogatni, úgy meg azért még elég erősnek éreztem, hogy bármit kezdjek vele, így azt a projektet egyelőre jegeltem és a VM-et is töröltem, de ennek fényében nekiállok akkor majd még egyszer valamikor a közeljövőben. Amennyiben kérdés lenne (és tuti lesz
, pl. mit kezdjek a linkelt repo-val ) jöhetek velük? Illetve nem gondolkodtál-e esetleg egy logout-os íráson, hogy mindenki okulhasson belőle? És köszönet a munkáért! -
#351
haddent
addikt
Véreshurka
#350
haddent
addikt
válasz
Véreshurka
#350
üzenetére
Szia
ennek a problémának és hasonlóak megoldására tudnám javasolni egy rendes central logging szerver kialakítását. Kibana (ELK) vagy Graylog, én utóbbit javaslom. Erre van is egy megoldásom, csináltam egy repot gyorsan: https://gitlab.com/markv9401/pfsense-w-graylog
-
#350
Véreshurka
senior tag
Véreshurka
senior tag
Sziasztok!
Kérdés: van-e arra bevált gyakorlat, hogy egy kommunikációs portot meghatározzak ha az nincs megnyitva a tűzfalon?
Mire is gondolok: csak azokon a portokon tudok kommunikálni amik ugye meg vannak nyitva a tűzfalon, erre létre van hozva egy port alias, és szabályként fel van véve a tűzfalon. Most például elég sok linux ISO-t töltöttem le és nem csak azon tracker-ek portszámát kellett felvennem az alias-on, hanem mivel ellenőrizni is szeretem a letöltött ISO-kat (sha256, gpg) így néhányszor belefutottam abba, hogy pgp kulcsszerverek-hez is kellett kérést intéznem és az elején nem igazán akart létrejönni a kapcsolat. Persze jó pár fórum átolvasásával meglett a portszám ami kellett, de gondolom célszerűbb lenne ezt a pfsense-es logokból kiolvasni. Ezzel csak az a bajom, hogy ugyan megvan az alap "block IPv4" szabályom a WAN interface-en és logolom is azt, de olyan sok log gyűlik össze már akár csak egy adott percre is, hogy nem fogom tudni melyik lenne az amire figyelnem kellene. Tulajdonképpen ennek a szűrési lehetősége felől érdeklődnék, hogy ki hogyan oldja meg ezt.
Előre is köszönöm!
-
#348
Véreshurka
senior tag
-
inf3rno
nagyúr
Szerintetek az AES-NI mennyire fontos? Nekem úgy tűnik, hogy nincs értelme emiatt a +30% miatt megkötni a kezem processzor választás terén: [link] főleg, hogy egyre többen használnak ChaCha20-at (nem csak WireGuard-ra, hanem TLS-re is [link]), ami elvileg külön hardveres gyorsítás nélkül is tud hasonló sebességet.
[ Szerkesztve ]
-
haddent
addikt
Hát akkor igazán nem tartok tőled vissza egy kis csemegét, kezdd a ciklussal
Ez akkor jó, ha hibátlanul tudod fejből, de nem azért, mert bemagoltad a random görög betűk sorrendjét, hanem mert érted mit írsz ![;]](//cdn.rios.hu/dl/s/v1.gif)
Kedvencem volt mindig is ez a "első ránézésre kissé bonyolult.... na de lássuk be, hogy triviális!"
Az annyira fizikai rész az már "mocskosfúúúúj" nem elméleti
[ Szerkesztve ]
-
inf3rno
nagyúr
Nyilván olyan szintről, ami releváns a napi munkád során. Minimálisan a hardverbe is bele lehet folyni, ha van valami ráhatása. Ha csak a routereket nézzük, akkor a memória, processzor magok, órajel, szünetmentes tápegység is elég sokat számítanak, és ezekről azért jó lenne beszélni legalább néhány mondatban.
Összességében az egyetemi képzés átfogó tudást ad arról, hogy milyen eszközök vannak, és abból hogyan tudsz választani. A gyakorlatinál meg sokszor eléggé utána kell nyomozni, hogy találj valami eszközt, ami jó a problémádra, és akkor sem biztos, hogy optimális, amit találtál, mert nem ismersz túl sok eszközt. Nyilván idővel ez változik, ahogy nő a repertoárod, és sok év alatt el lehet jutni az egyetemi szintre így is.
Én csináltam amúgy mindkettőt, van egy biomérnökim egyetemről, a programozást pedig magamtól tanultam, inkább gyakorlati, mint elméleti úton, úgyhogy elég jól össze tudom hasonlítani a kettőt. A hieroglifák azóta is hiányoznak, mert nem visz rá a lélek, hogy megtanuljam, pedig vannak tök jó tudományos cikkek algoritmusokról, amiket jó lenne megérteni.
Ja amúgy ha nagyon elvetemült vagy, akkor nem a matekos halmazelméleti résznél kötsz ki végül, hanem a kvantummechanikánál, mert a számítógépek fizikai jelenségeket használnak fel számolásra.[ Szerkesztve ]
-
haddent
addikt
Ez kicsit kétoldalú penge, mert mennyire alapoktól kezdenéd pl. a "hálózatok" témát? Layer 1 / hardver? Ha igen, akkor annak némi "kötelező" minimális történelmét, felépítését is? Nem olyan szinten, hogy te tudd a következő szabványt architektúrálisan leírni, de, hogy irodalmi nyelven "legyen fingod róla"? De ha így, innen elkezded, akkor nyilván ugyanezt minimális elméleti szinten el kell végezned magával a számítógépekkel is, mert arra épül. És a végén ott lyukadunk ki, hogy éveket ülsz papír felett, ahol absztrakt görög betűkkel matematikai nyelven halmazelmélettel és logikával írsz programot, papíron
Persze, ez így a szép és kicsit sem bánom, de konkrétan egy profi, ebben dolgozó "hálózatos szakember" sem feltétlen tudja ezt így. Komoly elhivatottság kell ahhoz, hogy ehhez kedved és motivációd legyen végigcsinálni. Ha meg kicsit belekóstolsz előtte a "váó, ezzel így ezt meg tudom csinálni" -ba és utána / mellete / közben érdekességképp utánanézel, hogy "az tök jó, de mi van e mögött, mitől működik?" akkor lehet, hogy fenntartod az érdeklődésed és nem hónapokkal / évekkel később kell összekötni, hogy ahaaaa az ennek volt az előfeltétele és így ez az.
Nyilván más szakmákban nincs megfelelő kompetenciám, de szerintem ez globálisan is elmondható, de az informatikában egész biztosan, vagyis akkor inkább úgy fogalmazok, hogy biztos vannak hozzám hasonló beállítottságúak, akik így sokkal jobban élvezik és könnyebben és nem utolsó sorban 1000x gyorsabban tanulnak ilyen módon.
Azt nem tudom objektíven megítélni, hogy ebben mennyire játszik szerepet egy alapvető világra nyitottság, érdeklődés meg tényleg nagyon alap, de mégis valamelyest dolgokat átlátó előzetes ismeret.A másik véglet persze az, amikor pl. ismerősöm külföldön ment egyetemre, lényegében ugyanerre a szakra. Na ők nem papíron írtak programot csúnya hieroglifákkal, hanem 1. héten "csoportmunka: írjunk egy játékot". Na az lóf*#@ tejszínnel. Kattintgatsz meg húzogatsz mindent össze, mint egy hülye, csak fogalmad nincs róla, hogy ez mitől miért és hogy működik
-
inf3rno
nagyúr
Nem annyira jó így tanulni, mert nem tudod, hogy mit nem tudsz. Az iskolában rákényszerítenek az elsőre. Magamtól meg én is a másodikat használom legtöbbször, és kimarad egy csomó alap. Szerintem jobb könyvet választani az adott témára legalább addig, amíg az alapokkal tisztába kerül az ember.
[ Szerkesztve ]
-
haddent
addikt
Egyetértek elméletben, gyakorlatban nekem (hangsúlyozom személyes vélemény és tapasztalat, nem vagyunk egyformák) soha nem ment a leülök meghallgatom / végignézem / tanulok téma, halálra unom, lassú, érdektelen. Én problémamegoldási szempontból szeretek mindent tanulni, azaz "adott egy probléma, hogyan oldjuk meg, ehhez milyen technológiák állnak rendelkezésre amiket hogyan tudunk használni" 5 perces google keresés majd bele a közepébe és közben stackoverflow stb, bármi ami kell. Én speciel pont így tanultam ki a hálózatosdit, végzettségem (elte programtervező inf.) alapján van némi (tényleg némi, 1 tárgy, 1 félév) közöm hozzá, de baromi elméleti, távlati és elavúlt volt, épp a klasszikus oktatási modellek miatt.
Az is +1, hogy bármilyen nem "bedugom használom dejó van wifim" 1bites (nem sértés, én se vagyok történész meg hentes sem) felhasználónak elég rossz választás egy kommersz, sexy shiny asus tplink bármi dobozka menő csillogós kartonból[ Szerkesztve ]
-
#340
rekop
senior tag
Véreshurka
#333
rekop
senior tag
válasz
Véreshurka
#333
üzenetére
Az én véleményem, hogy aki ismerkedni akar a hálózatokkal, annak mindenképpen az alapoknál kell kezdenie. Attól hogy megvesz valaki egy konszumer routert, rátesz egy custom fw-t, majd különböző leírások/videók alapján beállít valamit, még nem fogja érteni a működését. Sőt ahhoz hogy az alapokat megtanulja, vennie sem kell semmit. Vannak a neten elérhető ingyenes tananyagok(a topikom összefoglalójában van link is hozzá, kezdésnek kiváló szerintem), ha valaki komolyabban gondolja annak az alábbi képzést ajánlanám tizenpár euróért. Ez mellé egy Packet Tracer és/vagy GNS3, és lehet is tanulni, gyakorolni, és nem kell venni semmilyen hardvert.
Ha meg venni kellene valami all-in-one eszközt mert kicsi a keret, én akkor sem az említett Asus-t venném, hanem például egy Mikrotik hap ac2-t.[ Szerkesztve ]
-
haddent
addikt
Természetesen. Eleve pl. a virtio támogatás, hw checksum offload, tcp segmentation offload, large receive offload.. ezek csak amiket most hirtelen a pfSense grafikus felületéről kiolvastam, biztos van ezer másik amibe nem ástam bele magam. X86 esetén azért ez annyira nem a cpu terhelés elvételéről szól, inkább latency -ben gondolom, hogy lehet különbség.
Nyilván minél közelebb áll / konkrét enterprise chipset, annál több ilyet támogat -
#337
haddent
addikt
Véreshurka
#333
haddent
addikt
válasz
Véreshurka
#333
üzenetére
Természetesen, főleg ismerkedni, nem is érdemes egyből valami komolyabbal. A fogyasztással kicsit vitába szállnék. Én párszor számolgattam már, amíg te, otthon, 1-2 szervert üzemeltetsz néhány tíz vagy száz Wattról van szó 24/7, addig ez éves szinten ezrek vagy 1 vagy max 2 tízezresben mérhető és ugye baromira meg sem érzed, mintha egyszer veszel valamit és látsz egy -120 ezres zárolást hirtelen
Multibit na meg a NIC is sokat számít. Mindent meg lehet CPU -ból oldani, de azért amit lehet azt dedikáltan illik. Pl. nem az összes, de 1-2 Suricata szabályt ráengednél egy akár high-end Asusra, ő ott főne meg szerintem, hogy készhagyábééknköszhelo
-
Multibit
nagyúr
Ehhez még hozzátartozik, hogy a hw NAT bizonyos alkalmazások mellet nem működik (pl. QoS). Ebben az esetben csak a CPU nyers ereje számít, húzós használatkor 100%-on pörög a processzor. Ha kellően erős az adott modellbe épített SoC, akkor elérhető ilyenkor is a "gigás" sebesség, de ritka az ilyen home router és sokba kerül. Annyiba, amennyiért inkább építeni érdemes. -
#334
Patice
nagyúr
Véreshurka
#333
Patice
nagyúr
válasz
Véreshurka
#333
üzenetére
Asus routereken a hardveres NAT gyorsítás, csak a gyári vagy az arra épülő Merlin FW-rel megy. Más alternatívával nem, mivel ez zárt kódú fejlesztés, nem adták közkézre.
-
#333
Véreshurka
senior tag
haddent
#329
Véreshurka
senior tag
Sajnos ezt hirtelen nem tudom de most, hogy említed, valóban mintha olvastam már volna erről, hogy nincs hardveres NAT. Át kéne futni ehhez az Asus Routerek topikot, hogy volt-e erről szó, mert ott sokan használják a 65P-t gigabit-es nettel és openWRT-vel. Azt viszont tartom, hogy ha minden kell olcsón (router + AP egybe + jó konfigurálhatóság) akkor nem egy rossz vétel a 65P ismerkedni a hálózatozással, persze ha csak nincs egy felesleges gép otthon amire mehet a pfsense
Mert 25-ért olyan fogyasztással, mint az Asus nem sok minden van. Akár a hiányosságaival együtt. -
dudi
senior tag
sziasztok,
ismerkedem a pfsense-szel és próbálom beállítani az IPv6-t úgy, hogy a telekom hgw-jét nem tudom (nem is próbáltam) bridge-be állítani. Eddig openwrt-vel egy egyszerű IPv6 relay megoldtotta az ügyet, de ugye ezt a pfsense nem támogatja.
Valakinek van tapasztalata IPv6 beállításról, ha a FW az ISP eszköze után van kötve? Ha jól látom, így nem tudok prefix delegation-t beállítani a pfsense-n, lévén a hgw a router.
Vagy felejtsem el az egészet?köszi,
Gábor -
inf3rno
nagyúr
Jó, beraktam a TC-t és a CB-t is AP-nek, az Ubee meg lett a modem és router kikapcsolt wifivel. Egyelőre itt tartok, villognak, hogy nincs rájuk dugva koax, de nem érdekel, erre most rohadtul nem akarok költeni. A következőben majd csinálok egy külön router gépet, amibe teszek SFP+-t is, hogy legyen vezetéken 10 gigabit a szerver és az asztali gépem között. Arra jó is lesz a pfsense, csak egyelőre nem tudom, hogy hardveresen mi kell ekkora sebességhez. Majd még utána olvasok.
-
inf3rno
nagyúr
Régi routert nem tudom hogyan lehetne betenni AP-nek. Az UPC-s modem és router egyben, abból maximum modem lesz. Van egy olyanom még, amit aprón vettem, szintén router + modem TC7200, de modemként valamiért nem tudott működni. Nem derült ki, hogy mi a kínja, viszont helyi hálózatot tudtam vele csinálni. Azzal esetleg tudnék kísérletezni, hogy AP-t csinálok belőle, de fogalmam sincs, hogy ez egyáltalán lehetséges e.WAN nincs rajta, csak koax kábelnek van input meg 4 LAN port. Hagyományos régi PC-t nem vennék rá használtat, mert sokat fogyaszt 24/7. A másik gondom a szünetmentes. Gondolom egy sohosnál nem annyira lehet érdekes, ha elmegy az áram, egy ilyen mini pc-nél meg esetleg károsodhat tőle a gép, plusz az ébresztést sem tudom, hogy meg lehet e oldani, ha visszajön, mert aksiról mindig van, amíg teljesen le nem merül. Nem hiszem, hogy megoldható, hogy két gépet kössek a szünetmentes USB-jére, hogy mindkettő leálljon, ha lemerül az aksi, a szervernek pedig mindenképp kell ez a feature...
[ Szerkesztve ]
-
#329
haddent
addikt
Véreshurka
#319
haddent
addikt
válasz
Véreshurka
#319
üzenetére
Tudnak/tak már olyan WRT -t csinálni, hogy a hardveres NAT megmarad? Mert még azzal is kérdéses, hogy milyen csomagmérettel hajtja ki a gigát, anélkül meg kár is nekifutni
Tibro5 mert enterprise level. Nem csak ráírják a dobozra, mint a tplink asus stb bárki, hogy 1500Mbit/s WiFi aztán 100M -es NIC van benne
Stabil, jó, VyOS/Vyatta alapú és kifejezetten olcsó. Rossz mezőnyben nézed az árakat, nézz mellé Cisco meg hasonló dolgokat. És akkor ott még csak a Cisco SOHO -t nézed, aminek csak a logója Cisco a bele valami olcsó gagyi szar[ Szerkesztve ]
-
haddent
addikt
Ez a kérdés vagy nagyon komplex vagy nagyon egyszerű
Ennek oka, hogy attól függ, milyen szemmel nézed? A családod valószínűleg ránéz, jó oké, ugyanazt csinálja, van tőle net, tök jó, kit érdekel? Szakértői / érdeklődő / hobbista szemmel viszont köze nincs a két megközelítésnek egymáshoz.
Egy SOHO router az van azt kész, oszt netet, szór wifit ezek az újak tudnak már 1-2 vicces extra dolgot amit jobb esetben a SoC meg a ramjuk el is bír-ogat úgy ahogy aztán viszlát.
Egy pfSense (de talán okosabb lenne úgy fogalmazni, hogy "épített" dolog utalva pl. a bejegyzés első/előző részére) meg annyit úgy és annyira jól fog csinálni, ahogy akarod és meg tudod oldani, nincs határ. Jelenleg hálózatos/szerveres/itsecurityanalyst keverékként dolgozom és őszintén merem állítani, hogy tudja azt amit a több tíz sőt százmilliós Palo Alto, FortiGate, Stormshield vagy mondj akármit, sőt, néha jobban. Ha épp valamit nem tud, akkor megoldod máshogy, mert ahogy helyesen írtad is, egy BSD. UNIX -on pedig mit nem lehet megoldani? Azt, amihez (még) kevés a tudásod, nincs lehetetlen
Én azt gondolom, hogy otthonra, kiscégnek de akár nagy cégnek is, ahol nem az van, hogy a pénz kit érdekel csak ki lehessen tenni a plecsnit, hogy EZ VÉD MINKET közben meg egy elavult szar, ott teljesen racionális választás egy hasonló (nem kötelezően és egyértelműen pfSense de hasonló) megoldás okosan összerakva. Otthonra pedig érdeklődő vagy szakértő embereknek szerintem verhetetlen.
Én eleve semmiben nem vagyok a híva a "mindent egyben nagyon tud" eszközöknek, tehát nálam egy hálózat onnan indul, hogy van egy tűzfal, egy managed switch és van(nak) acces point(ok). Az más kérdés, hogy csóróságból ez(ek) nálam is használt TP LINK Archer C5-C7 és társai, mert pl AP -nek marha jók és olcsók, szerintem.
Ha most akarsz nulláról nekilátni és nem tudsz kukázni valami értelmes fogyasztású és erejű PC -t, hanem venni kéne, akkor is ki lehet jönni 50 -ből. Ilyen Ivy Bridge -től felfele induló Dell Optiplexek már vannak 20 körül, 1 éve is voltak, egy kis ram, egy kis ssd, egy 4x intel gigabit dedikált NIC és még mindig hol jársz? 30-40? Régi router beáll AP -nek, maradék 10-20-30 -ból akár most akár később veszel AP -ket, ízlés és pénztárcától függően. El lehet menni akár Ubiquit irányba is, verhetetlenek ár/érték és tudásban is, AP -ben is.
..mindez akkor, ha érdekel, szereted, fogsz vele törődni. Ez egy PC lesz bárhogyan is, nem fogja azt feltétlen tudni, hogy kiveszed a dobozból, bedugod és 10 évig rá se nézel. Tudja és tudhatja ezt is, csak akkor az előnyei eltörpülnek a hátrányai viszont nem
-
#325
Multibit
nagyúr
Véreshurka
#307
Multibit
nagyúr
válasz
Véreshurka
#307
üzenetére
Megnéztem az öreg iPadet (2014-ben vettem). Az iPadOS 14.1-ben már a privát MAC cím az alapértelmezett. Egy kapcsolóval visszaállíthatod a "gyári"-t, ami után szükséges egy újracsatlakozás.
[ Szerkesztve ]
-
Multibit
nagyúr
Csak azért akadtam fenn a dedikált szón, mert - szerintem - éppen egy mini PC-ből lehet dedikált routert csinálni. Attól dedikált, hogy kizárólag router feladatokat lát el. Amúgy nem csak "barkácsolni" lehet ilyet, több gyártó konyhakészen adja ezeket. Más kérdés, hogy a potenciális vásárlók többsége nem igazán akar dedikált routert, mert drága, nem mindig barátságos a beállítása, kell hozzá vásárolni még ezt azt. Éppen ezért én a "wifi-router"-t egy nem létező állatfajnak tartom
A router nem wifi-zik! Az a wireless access point dolga -
#323
inf3rno
nagyúr
Véreshurka
#319
inf3rno
nagyúr
válasz
Véreshurka
#319
üzenetére
Akkor úgy lesz, köszi! Néztem közben a leírását, és megfelel az igényeimnek. Még molyolok a témával pár órát, aztán berendelem.
-
Egon
nagyúr
Nem tudom mit néztél, de a legolcsóbb Lite AP is 866-ot tud 5 GHz-en (a 450 egyébként is tipikusan 2.4 GHz-es érték), a Pro tud 1300-at.
Az ára nagyjából Mikrotik szinten van: ezek nem otthoni hanem kisvállalati használatra vannak tervezve, ennek megfelelő stabilitással és terméktámogatással (össze lehet hasonlítani, hogy random Asus routerrel (ha már úgyis az a sláger itt) szemben, milyen gyakran és meddig jönnek frissítések rá...).
Nekem az tetszik benne, hogy egyben menedzselhető egy teljes termékvonal (Unifi): így a router, switch és AP is). -
inf3rno
nagyúr
válasz
Multibit
#315
üzenetére
Jó bocs, nincs meg a szaknyelvem hozzá. A sohot se tudom, hogy egy átlag router annak számít e, mert ilyen mikrotiket meg ilyesmiket dob csak a kereső rá, ami már egy fokkal magasabb kategória, mint a minden egybe asus, tplink és társaik. Itt úgy értettem a dedikáltat, hogy maga a gép erre készült, nem pedig egy általános mini pc-be szórunk be egy wifi kártyát, aztán elnevezzük wifi routernek. Nem tudom, hogy a kártyák és az ilyen routerek chipjei között mi a különbség, de gondolom egy routerbe valami komolyabb minőséget tesznek, mert egyszerre több géppel kell kapcsolatot tartania, szemben a hálókártyával, aminek normál esetben csak a routerrel.
-
#319
Véreshurka
senior tag
inf3rno
#313
Véreshurka
senior tag
-
#318
Multibit
nagyúr
Véreshurka
#317
Multibit
nagyúr
válasz
Véreshurka
#317
üzenetére
A seamless roaming és a mesh nem szinonimái egymásnak. Az Unifi AP-k mesh nélkül is képesek seamless roamingra
Ezt a mesht sikeresen nyomják a köztudatba a markecingesek. -
#317
Véreshurka
senior tag
Tibro5
#314
Véreshurka
senior tag
Amikkel eddig összefutottam ezzel kapcsolatban:
- 10-ből 9-en azt állítják, hogy iszonyat stabilak,
- több klienst is beton stabilan kiszolgál, és itt nem az otthoni 20+ eszközre gondolok, hanem akár több 100-ra, persze több AP között elosztva őket,
- ugye nem mindegy melyik modellt nézted, pl. az UAP HD-t 1733 Mbps-el reklámozzák
- seamless roaming-ot is tud (mesh) ha több AP van a hálózaton.Hirtelen ennyi. Ha az USG-ket nem is, de az AP-jukat mindenki nagyon dícséri. Nálam "csak" egy switch van, de azon kívül, hogy meg kellett tanulni használni és meg is szenvedtem vele, egyelőre jól teszi dolgát 16/24 ráakasztott eszközzel.
Szerk.
Azt még elfelejtettem hozzátenni, hogy egyébként rohadt jó csicsás a kontroller felszíne, csak ne változtatnák állandóan a menüket.
[ Szerkesztve ]
-
-
#313
inf3rno
nagyúr
Véreshurka
#309
inf3rno
nagyúr
válasz
Véreshurka
#309
üzenetére
Nincs ezzel semmi gond, én is erre jutottam. Érzésre meg úgy tűnt, hogy azért van egy ilyen hátulütő a dedikált routerekhez képest, hogy wifiben nem lesz erős. Azért kár, hogy a Qotomhoz nincsenek tesztek, hogy mégis mennyi az annyi. Szívesen látnék egy összehasonlítást bármelyik AP-vel vagy wifi routerrel. Mindjárt beleolvasok az amazonos véleményekbe, hátha írja valaki meg utánanézek a wireless chipseteknek, amik a kártyákban és a routerekben vannak, hogy mennyire eltérőek. A szervert nem akarom most megbolygatni ilyen VM-ezéssel, mindenképp valami külön eszköz lesz. A routernél valami combosabbra gondoltam, de igazad lehet, hogy felesleges, és jobban járok egy AC65P-vel, mások is azt ajánlották a router topikban, csak hát én ennyire alapos vagyok.
-
#312
Véreshurka
senior tag
Multibit
#311
Véreshurka
senior tag
válasz
Multibit
#311
üzenetére
Már meg nem mondom, hogy hol olvastam róla, de pont emiatt nem is kértem a qotom-ot wifi-vel, pedig az eredeti célom az lett volna, hogy mindent a pfsense intéz. Így sem jártam rosszul, mert nagy megelégedéssel használom a ruckus AP-mat
, amit ha nem tudtam volna jó pénzért megvenni, valószínűleg most egy unifi AP lenne itthon. -
#311
Multibit
nagyúr
Véreshurka
#309
Multibit
nagyúr
válasz
Véreshurka
#309
üzenetére
Sajnos pfSense-ről én azt olvastam, hogy nem kezeli olyan faszányosan a wifi-t
Nem tudtam, hogy így van. Nem csak azért nem próbáltam, mert wifi-mentes a routerem , hanem mert annyira elégedett vagyok az Unifi AP-val (a kontrollere egy Synology NAS-on fut), hogy nem szándékozom váltani egyelőre. Az OPNsense viszont nagyon bejött. Kár, hogy a FreeBSD nem túlságosan PPPoE-barát. -
#310
Véreshurka
senior tag
Tibro5
#300
Véreshurka
senior tag
Köszi!
Ezt jó tudni. Az androidok nálam nagyon le vannak maradva: teló még 6-ossal megy (Oneplus One), tablet már hetessel (samsung régebbi típus) De lassan csere lesz legalább telefon terén, ott meg már tuti csak 10-essel szereltet fogok kapni, és jó felkészülni.Egyébként örülök, hogy válasz nélkül belevágtál és sikerült, legalább bővül a kis csapatunk, és remélhetőleg sok jóságot hallhatunk majd tőled is
-
#309
Véreshurka
senior tag
inf3rno
#289
Véreshurka
senior tag
Szerintem te most a legjobban azzal járnál, ha vennél egy Asus AC65P-t 25000 Ft környékén, és feltennél rá egy OpenWRT-t. Mind az Asus routereknek, mind az OpenWRT-nek van fóruma itt a PH-n. Persze nem elhajtani akarlak innen, de árban ezzel jönnél ki a legjobban és meglenne a wifi is. Sajnos pfSense-ről én azt olvastam, hogy nem kezeli olyan faszányosan a wifi-t, hiába tudná, illetve hiába van a kiszemelt gépben wifi lehetőség, mint a qotom-oknál lehet kérni. Aztán ha még mindig vágyat éreznél rá és már több befektetni való pénz is a rendelkezésedre áll akkor vissza is térhetnél a pfSense-hez, vagy ha nagyon hajt a kíváncsíság akkor meg dobd fel VM-ként a szerveredre és az OpenWRT-vel egyetemben tudnád tesztelni ezt is. Nekem is van egy asus ac65p-m, 20-ért vettem ismerkedni az openwrt-vel, illetve szemezgetek egy olcsóbb mikrotikkel is. Viszont ha vársz egy kicsit és összejönne egy qotom gép rendelésed, máris kinyílna a világ számodra ami a router os-eket illeti: untangle, sophos, pfsense, opnsense, vyos, stb... Illetve a későbbiekben az asus-t be tudod lőni majd AP-nak is.
-
#307
Véreshurka
senior tag
Multibit
#290
Véreshurka
senior tag
válasz
Multibit
#290
üzenetére
Otthon nekem is a telefonomon és tabletemen kívül a mobil eszközök dhcp-znek, de feleségem ios-es eszközei nem komálják valamiért ha a vpn-es vlan-on lógnak, így muszáj leszek majd azokat is statikus ip-vel ellátni és áthajtani a nem vpn-es gateway-en. Egyelőre még mivel öregek az ios-es eszközök (ipad2 + iphone se) még nincsenek frissítve, azt hiszem a 13-as rendszeren vannak, abban pedig még szerintem nincsen ilyen funkció. Köszi, ha megnézed 14.1-en!
-
inf3rno
nagyúr
Hát azt mondják aki igazán ért hozzá az FreeBSD-ről (esetleg OpenBSD-ről?) indul, aztán abban alkot valami jobbat, mint a pfsense. Most így közel nulláról én sem állnék neki, messze nem az én szintem. Egyedül annyiból érdekes, hogy a FreeBSD nem támogatja a rá épülő operációs rendszereket, tehát ha fórumban kérdek valami pfsense vagy GhostBSD specifikusat, akkor elhajtanak a francba, hogy az más OS. Nem tudom ezeknek milyen a supportja. A GhostBSD-t mindjárt kipróbálom egy laptopon kíváncsiságból.
[ Szerkesztve ]
-
inf3rno
nagyúr
Az a koncepció, hogy legalább az otthoni hálózaton csináljuk meg, amiket mond, ha már a cégesen nem feltétlen mi fogjuk. A csapat egy része jogász, akik valszeg sosem fognak egyébként routert állítgatni, én viszont jobban bele akarok folyni ebbe, mert inkább a technikai, mint a jogi oldalán akarok dolgozni. Nekem sem teljesen világos bizonyos dolgoknál, hogy miért javasolja, de elég komoly szakember, úgyhogy elhiszem neki. Ja az is szóba került, hogy nem elég loggolni, hanem elemezni is kell a logot lehetőleg közel real time.
-
-
Egon
nagyúr
Nem teljesen értem az oktatás koncepcióját, de mindegy. A saját kis otthoni SOHO routereken akar állítgatni, közben meg Enterprise rendszereket érintő dolgokról beszél.
Ha nem elérhető a DNS szerver, akkor a rendelkezésre állás sérül az IT biztonság szentháromságából (CIA), ami meg otthoni átlagjóskának a legkevésbé fáj (cégeknek nyilván másképp fájhat). A Google DNS szerverét beállítva (8.8.8.8), eléggé biztonságban érzem magam ezzel kapcsolatban (vannak már eszközök ddos ellen, kisebb szervezeteknél is mint a Google). Ha még beállítunk egy másodlagos DNS szervert, akkor meg végképp nem érzem ezt problémának (saját szerver eléggé overkill lenne erre a célra, ráadásul magánemberként nem is erre való).
Nem hallottam még TCP secure opcióról, nem is értem hogy milyen módon titkosítana. A helyi hálón, bármely környezetben (legyen az otthoni vagy céges), szerintem nem feltétlenül kell titkosítás az adatforgalomban (bár vannak ettől eltérő vélemények). A hálózatot magát kell védeni: a külső részt tűzfallal, belül megfelelő szeparációval (VLAN), a fizikai végpontokat port security-val, és persze megfelelő jogosultságmenedzsmenttel a kliensek vonatkozásában. Ha ez megvan, és esetleg mellé van csattintva még némi logelemzés és hálózati forgalom-elemzés is (persze viselkedés-alapú), akkor lehet próbálkozni. Szerintem.
. Nálam is ugye hasonló a helyzet, csak míg nálad a szolgáltatói DNS működik enélkül, addig nálam nincs névfeloldás. De még megpróbálom körbejárni a hibát, hátha.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Kedvencem volt mindig is ez a "első ránézésre kissé bonyolult.... na de lássuk be, hogy triviális!"
Új hozzászólás Aktív témák
- Cyberpunk 2077
- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
- Elektromos rásegítésű kerékpárok
- Xiaomi Watch 2 Pro - oké, Google, itt vagyunk mi is
- Soundbar, soundplate, hangprojektor
- NVIDIA GeForce RTX 5080 / 5090 (GB203 / 202)
- Gyúrósok ide!
- Xiaomi 13T és 13T Pro - nincs tétlenkedés
- Windows 11
- Ennyibe kerülhetnek Európában a Xiaomi Pad 7 tabletek
- További aktív témák...