https://www.opennet.dev/openforum/vsluhforumID3/123128.html Представлен новый выпуск дистрибутива для создания межсетевых экранов OPNsense 21.1, который является ответвлением от проекта pfSense, созданным с целью сформировать полностью открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. В отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются под лицензией BSD. Сборки подготовлены в форме LiveCD и системного образа для записи на Flash-накопители (421 МБ)...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54497<br> https://www.opennet.dev/openforum/vsluhforumID3/123128.html#36 Tue, 09 Feb 2021 11:46:54 GMT &gt; Ну да, конечно же! И ты утверждаешь что я ничего не понимаю в кошках, если это ты задаешь<br>&gt; такие вопросы "это маршрутизатор или роутер"?<br><br>я что-то не вижу ответа. И да, на всякий случай, это серия. switchfabric там в некоторых моделях. Где-то и по две. В некоторых нету, и места для них тоже.<br><br>&gt; Ох блин... а &lt;tab&gt; и ? уже отменили чтоль? :)<br><br>в каком месте tab и ? помогут тебе понять, что <br>nat (inside,outside) source static kms interface service ms-kms ms-kms<br>делает ровно обратное написанному, это не source nat вообще? И отдельно - расшифровать эти заклинания и что именно должно быть создано до этой команды заранее.<br><br>Причем знания как это работает на isrах тебе ни разу ничем не помогут, будь ты хоть каким мастером по их конфигурежу. Хотя "протокол" ты знаешь, на уровне терминологии (которая у циски отлична от общепринятой). Скорее помешают, ты будешь долго и безуспешно искать nat в интерфейсном конфиге.<br><br>Или где они тебе подскажут что после 8й версии в outside interface acl должно быть правило для https://www.opennet.dev/openforum/vsluhforumID3/123128.html#35 Tue, 09 Feb 2021 11:09:08 GMT &gt; Так надо считать быстро - у меня это получается автоматом.<br><br>распределите адреса 179.12.192.0 на семь приблизительно равных подсетей, выбрав две первые с минимальным количеством нулей в адресе.<br><br>Это типовое задание на экзаменах прошлых лет (за вычетом нерелевантной информации, но ничуть не утрировано - и именно нулей, это не опечатка) - последние пять я мало интересуюсь этой неведомой е-ниной, не знаю просто, до чего они еще дошли. По идее, с пропихиваемым без вазелина v6 все это знание стало ненужным, теперь надо зубрить специфические диапазоны адресов, а не масок. Про link-local точно будет задание. Причем в виде "угадай какой адрес из этих пяти к ним относится".<br><br>Самое смешное, что в реальной практике ccna никогда не столкнется с такими задачами и такими масками - ему скорее полезно помнить наизусть все представления /31-28 если работает в операторе или с операторами. Я обычно пользуюсь калькулятором, мне можно.<br><br>&gt; А вот это - факт. Но без CCNA в ИТ вообще допускать нельзя, это входная ступенька<br>&gt; https://www.opennet.dev/openforum/vsluhforumID3/123128.html#34 Tue, 09 Feb 2021 10:37:19 GMT &gt; Не научится, не дают на ccna exam времени считать в уме. Надо <br>&gt; сразу помнить, иначе, скорее всего, не хватит времени на более сложные <br>&gt; вопросы, где уже надо думать.<br><br>Так надо считать быстро - у меня это получается автоматом. Маску вижу (число едениц), на октеты разбивается автоматом, из двоичной в десятичную - перевожу не думая. Времени не занимает от слова совсем. :)<br><br>&gt; ccna - дешевый раб, которого посылают в дальние жопеня крутить гайки в <br>&gt; стойках. Ему некогда что-то там считать, наизусть должен помнить. Понимания при <br>&gt; этом не требуется, это следующая ступенька.<br><br>А вот это - факт. Но без CCNA в ИТ вообще допускать нельзя, это входная ступенька для принятия на работу в ДИТ. Не единственная, но необходимая.<br><br> https://www.opennet.dev/openforum/vsluhforumID3/123128.html#33 Tue, 09 Feb 2021 10:34:05 GMT &gt; я считаю что ты в цисках практически не шаришь.<br>&gt; А посадить тебя перед ASR9000 (интересно, это "коммутатор" или "маршрутизатор"?) с полностью пустым конфигом, и не давать пользоваться гуглем - ты его просто для захода извне не сможешь настроить,<br><br>Ну да, конечно же! И ты утверждаешь что я ничего не понимаю в кошках, если это ты задаешь такие вопросы "это маршрутизатор или роутер"? Или думаешь меня запутать, думая что я не понимаю отличия между L3 коммутацией и маршрутизацией? :)<br><br>&gt; Откуда ему знать, что он пишется задом-наперед? <br><br>Ох блин... а &lt;tab&gt; и ? уже отменили чтоль? :)<br><br>Даа... все твои вопросы только подтверждают мое утверждение - изучать надо не команды настройки, а настраиваемые протоколы... Тогда вопросов типа твоих - просто не возникает.<br> https://www.opennet.dev/openforum/vsluhforumID3/123128.html#32 Mon, 08 Feb 2021 18:59:54 GMT &gt;&gt; и чем ему зазубренные на память маски от /2 до /31 помогут не нести чушь?<br>&gt; Зазубренные - ничем. А вот если он их начится быстро считать в <br><br>Не научится, не дают на ccna exam времени считать в уме. Надо сразу помнить, иначе, скорее всего, не хватит времени на более сложные вопросы, где уже надо думать. <br><br>Таблицы этих масок на пять страниц в конце книжек со второго по пятое издание как бы намекают, для чего они там.<br><br>ccna - дешевый раб, которого посылают в дальние жопеня крутить гайки в стойках. Ему некогда что-то там считать, наизусть должен помнить. Понимания при этом не требуется, это следующая ступенька.<br><br> https://www.opennet.dev/openforum/vsluhforumID3/123128.html#31 Mon, 08 Feb 2021 18:56:38 GMT &gt; Ну скажем так - одно время коммерсы вообще забивали на документацию,<br><br>мифы и легенды опеннета, том хз какой.<br><br>&gt; Ты что считаетешь что коммутаторы и маршрутизаторы имеют разный язык?<br><br>я считаю что ты в цисках практически не шаришь.<br><br>&gt; Да он другой на уровне отличия pascal-modula-oberon, разница конечно есть, но если знаешь один<br>&gt; - знаешь их все.<br><br>на уровне приблизительно разобраться в простом чужом уже написанном и работающем коде - возможно.<br>А посадить тебя перед ASR9000 (интересно, это "коммутатор" или "маршрутизатор"?) с полностью пустым конфигом, и не давать пользоваться гуглем - ты его просто для захода извне не сможешь настроить, вероятнее всего, чтоб потом хотя бы из дома с гуглем под рукой остальное делать. Так и будешь сидеть-моргать.<br>И на 903 не сможешь даже к порту подключить влан - потому что никогда не слышал про evc<br><br>Точно так же, человек никогда не видевшей асы, или, еще смешнее - видевший 7-8, и посаженный за девятку с даже и непустым конфигом, но где негде подсмотреть образчик - https://www.opennet.dev/openforum/vsluhforumID3/123128.html#30 Mon, 08 Feb 2021 13:03:55 GMT 1. Ну скажем так - одно время коммерсы вообще забивали на документацию, а опенсоурсники - что-то писали.<br>2. Ты что считаетешь что коммутаторы и маршрутизаторы имеют разный язык? Про ХЕ - это просто развитие языка управления, следующая версия если хочешь. :) А так - они все настолько просты и схожи, что имхо не стоит того чтоб заморачиваться различиями. "Оригинальные" версии языков каталистов и пиксов - давай не будем поминать, ок?<br>3. Да он другой на уровне отличия pascal-modula-oberon, разница конечно есть, но если знаешь один - знаешь их все.<br>4. Мониторинг - ок. А вот то что фаерволами и прочими IDS/IPS без гуя управлять тяжело - факт. Но тут проблема немного в другом.<br><br>&gt; и чем ему зазубренные на память маски от /2 до /31 помогут не нести чушь?<br><br>Зазубренные - ничем. А вот если он их начится быстро считать в уме - другое дело, не будет путаться на ровном месте. :)<br> https://www.opennet.dev/openforum/vsluhforumID3/123128.html#29 Mon, 08 Feb 2021 12:23:55 GMT &gt; 1. Это было давно и неправда. На данный момент опенсоурсные продукты обычно <br><br>никогда не было. Ты просто опоздал родиться и не застал истеричных воплей л@...нувыпонели разработчиков в адрес автора lartc. Что он все неправильно и непонял, и пусть перепишет и им с поклоном подаст. <br><br>Разумеется, сами они ничего не написали вообще.<br><br>&gt; 2. Этот язык - стандарт де факт в управлении сетевыми устройствами.<br><br>какой, с-ка, из пяти?!<br><br>&gt; 3. Еще раз - других нормальных языков управления и конфигурирования сетевых устройств <br>&gt; просто нет. И быть не может.<br><br>мне почти нравился huawei. Правда, я ни разу не видел их фиревола - а он у них, меж тем, есть. И, кажется, ng. Не удивлюсь, если там совсем другой cli.<br><br>&gt; 4. Веб-морда - не нужна. Нормально написанный конфиг на нормальном языке - <br><br>вебморда для другого нужна. Там была пара очень интересных графиков. Снимать которые внешней мониторилкой будет немного сложно.<br>Отдельно расскажи как собрался управлять каким-нибудь ssm20 без вебморды. У него вообще-то тоже есть https://www.opennet.dev/openforum/vsluhforumID3/123128.html#28 Mon, 08 Feb 2021 12:16:39 GMT &gt; Вот интересно - опенсорс дозреет когда-нибуть до нормального фаервола конца 90х годов прошлого<br>&gt; века а-ля Cisco ASA? <br><br>поправил, не благодарите. К сожалению, он его уже перезрел - был у нас почти такой, в те самые поздние 90е, ipchains называлсо. Некоторых приятных мелочей не хватало, но в общем уже не особо страдали им пользуясь.<br><br>&gt; Идея - проста, незатейлива и вообще-то гениальна же...<br><br>расскажите, почему генитальная идея старательно калечит соединения по https на высокие порты? Причем каким-то образом ухитряясь в него влезть без каких либо явных и неявных указаний это делать.<br>(то есть помогает только полиси с _явным_ запретом вообще любых fixup'ов - а это непросто и неудобно, потому что глобальная политика у нас только одна, и она может быть уже чем-то занята)<br><br>Я видел эту проблему в 2007м, с версией хорошо если не 6, я видел эту проблему в 2016м с версией 9, я уверен что увижу ее если где-то украду и самую распоследнюю версию.<br><br>Ну и точно ли "нормальна" простыня правил без иерархии и с permit