forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Релиз дистрибутива для создания межсетевых экранов pfSense 2..., opennews (??), 13-Окт-17, (0) [смотреть все] +1

The best , DKG (?), 13:13 , 13-Окт-17, (9) +5
Вот блин, жаль, что x86 Прекращают Куда теперь девать мой древний аквариус, на , Аноним (-), 13:28 , 13-Окт-17, (11) +2 //

работает - не трогай, нонаним (?), 13:32 , 13-Окт-17, (12) +3
32-bit x86 hardware can continue to run pfSense software version 2 3 x, which wi, tonys (??), 13:41 , 13-Окт-17, (13) +1 //

а не сдохнет - пересобрать новое ведро или обновить порт шибко-нужного vpn а тож, пох (?), 14:26 , 13-Окт-17, (16) –4 //

Ты наконец-то прочитал инструкцию к своему роутеру Теперь спешишь со всеми поде, Аноним (-), 22:11 , 13-Окт-17, (34) +4

Ему просто зажали 35 баксов в час в его помойке, вот он и пытается с лохов сруби, Аноним (-), 01:44 , 20-Окт-17, (53) +2

Оpnsense же есть, Кир (?), 12:20 , 14-Окт-17, (45) +1
на x86 можно воткнуть openwrt, наненаним (?), 11:22 , 17-Окт-17, (50) –1

Отличный продукт К железу не требователен У меня работает уже 7 лет в корпорат, Аноним (17), 16:14 , 13-Окт-17, (17) //

Это - да Кстати в команде есть наши люди Это смотря что из пакетов ты захочеш, _ (??), 16:30 , 13-Окт-17, (22) –2

Вот это настораживает Работал нормально Сейчас как , Аноним (-), 16:42 , 13-Окт-17, (23)
Кто-нибудь может пояснить, почему эта штука по умолчанию меняет порт при исходящ, Тузя (ok), 18:07 , 13-Окт-17, (27) –5 //

https ru wikipedia org wiki NAT Там всё написано По умолчанию почти все дис, Алексей (??), 20:21 , 13-Окт-17, (31) –1
потому что эта штука не наттер, на замену сдохшего длинка-за-пиццот-рублей из , пох (?), 20:41 , 13-Окт-17, (32) –1 //

Как же тебя жалко Живёшь в гнилых мирках, где кругом одни утырки и со всем вс, Аноним (-), 23:10 , 13-Окт-17, (37) //

ну же, гость из параллельного мира единорогов, какающих бабочками - как у вас та, пох (?), 23:46 , 13-Окт-17, (38) +1

Такой недетский линукс , Аноним (-), 00:12 , 14-Окт-17, (40) –3
Просто прекрасно работает Есть несколько способов защититься от этого 1 Firewal, Тузя (ok), 02:36 , 14-Окт-17, (42) –1

не кормите троля хотя в отношении sip я с ним, отчасти, согласен и не только , Max (??), 10:31 , 14-Окт-17, (43)

Разработчики asterisk просто используют SIP не по назначению , Аноним (-), 17:11 , 14-Окт-17, (46) +1

ну есть много костыликов и подпорочек, ага А надежных способов - кроме дорогущи, пох (?), 11:30 , 14-Окт-17, (44) –2

Бегемоты и гиппопотамы Нет, не делает Сколько бы ты не пытался мне это рассказа, Тузя (ok), 18:06 , 15-Окт-17, (47) –3

Нет придумали Никакими заменами портов в NAT от спуфинга не защититься Враньё , Тузя (ok), 02:00 , 14-Окт-17, (41)
Не ругайте пианиста 8212 он играет, как умеет Они просто хотели автоматизаци, Anonymoustus (ok), 09:47 , 16-Окт-17, (48) –1 //

ну, в общем-то, кроме них никто и не захотел - ничего лучшего чем sip, мы так и , пох (?), 21:13 , 18-Окт-17, (52) –1

А мне больше старые версии сего продукта нравятся И выглядят лучше по-старинке, Alex (??), 21:34 , 13-Окт-17, (33) –1
Проапгрейдил на свою голову с 2 3 на 2 4 Тормоза жуткие включились, через полдн, Аноним (-), 16:16 , 16-Окт-17, (49) –1
Отличный продукт Применяю в конторе OpenVPN, IAX2 Защита от сбоев 2 провайдер, Аноним (-), 17:59 , 17-Окт-17, (51) –1 //

Какой ещё конторе Лицензию купить не забыли , Егор (??), 10:23 , 28-Ноя-17, (55) //

Какую еще лицензию дяд Он бесплатный, плату берут за тех поддержку , Анон1602 (?), 04:29 , 01-Фев-19, (56)

Сообщения [Сортировка по времени | RSS]

37. "Релиз дистрибутива для создания межсетевых экранов pfSense 2..." +/–

Сообщение от Аноним (-), 13-Окт-17, 23:10

Как же тебя жалко... Живёшь в гнилых мирках, где кругом одни утырки и со всем всё плохо.

Ответить | Правка | Наверх | Cообщить модератору

38. "Релиз дистрибутива для создания межсетевых экранов pfSense 2..." +1 +/–

Сообщение от пох (?), 13-Окт-17, 23:46

> Как же тебя жалко... Живёшь в гнилых мирках, где кругом одни утырки и со всем всё плохо.
ну же, гость из параллельного мира единорогов, какающих бабочками - как у вас там работает ip-телефония? (не "я вчера настроил по найденным в гугле инструкциям десятилетней давности, кстати, через час меня по таким же древним поломали, целый один астериск на три софтфона", а для взрослых - пара десятков пиров, десятки тыщ корпоративных клиентов с хз чем и за хз чем, при продолбе - в дырку утекают пара миллионов денег.)
С интересом послушаю историю вашей всеобщей любви и обожания тех прекрасных волшебников, кто все это придумал.
А то у нас тут такая любофф, что при детях и рассказать нельзя, волшебник с чемоданом инструментов для садо-мазо - какая-то очень недетская сказочка.

Ответить | Правка | Наверх | Cообщить модератору

40. "Релиз дистрибутива для создания межсетевых экранов pfSense 2..." –3 +/–

Сообщение от Аноним (-), 14-Окт-17, 00:12

Такой недетский линукс..

Ответить | Правка | Наверх | Cообщить модератору

42. "Релиз дистрибутива для создания межсетевых экранов pfSense 2..." –1 +/–

Сообщение от Тузя (ok), 14-Окт-17, 02:36

> как у вас там работает ip-телефония?
Просто прекрасно работает!
Есть несколько способов защититься от этого:
1. Firewall с ACL, если там 3 софтфона и аст.
2. Fail2ban, если клиенты тоже могут быть во внешке и процессорные ресурсы позволяют.
3. Бордерконтроллер, программный или аппаратный. Тут вариантов много. Кто-то покупает, кто-то собирает свою SBC на связке Kamailio+freeswitch. Кто-то делает всю фильтрацию на kamailio и диспетчером кидает на асты. Кто-то выносит оттуда медиа на отдельные сервера.
> А то у нас тут такая любофф, что при детях и рассказать нельзя, волшебник с чемоданом инструментов для садо-мазо - какая-то очень недетская сказочка.
Там всё сложно потому что сама задача сложна.
Представь себе ситуацию когда собралась видеоконференция из 5 человек, которые во время разговора пишут в чат и передают друг другу файлы. Всё это можно сделать на одном лишь sip, но можно и без него (webrtc). Причем в этой задаче у одного двойной нат, у второго симметричный нат (он пошел через релей) у третьего UPnP у четвертого внешний IPv6, но они с пятым сидят в одной локалке IPv4. Цель: p2p-соединение с минимальными задержками, динамической сменой кодеков при передаче медиа. Ну... как? Сможешь выдать решение которое лучше чем весь "sip-мирок"?

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

43. "Релиз дистрибутива для создания межсетевых экранов pfSense 2..." +/–

Сообщение от Max (??), 14-Окт-17, 10:31

не кормите троля!
хотя в отношении sip я с ним, отчасти, согласен... и не только я, ибо именно из за "особенностей" sip'а разработчики asterisk и придумали iax

Ответить | Правка | Наверх | Cообщить модератору

46. "Релиз дистрибутива для создания межсетевых экранов pfSense 2..." +1 +/–

Сообщение от Аноним (-), 14-Окт-17, 17:11

Разработчики asterisk просто используют SIP не по назначению.

Ответить | Правка | Наверх | Cообщить модератору

44. "Релиз дистрибутива для создания межсетевых экранов pfSense 2..." –2 +/–

Сообщение от пох (?), 14-Окт-17, 11:30

> Есть несколько способов защититься от этого:
ну есть много костыликов и подпорочек, ага. А надежных способов - кроме дорогущих ng-firewall'ов что-то не просматривается.
то что вы называете файрволом, а на самом деле является пакетным фильтром (какие еще "state" в udp, вы о чем?) не защитит от банального потока фейковых udp пакетов на ваш любимый 5060 - надо только подобрать ip, которому вы уже открыли ротик, жрать все что прилетит, дальше - от вмешательства в связь, до remote code exec (продукция телефонистов такая "надежная", аж слезы). Рандомизация портов делает эту и схожие (поскольку кроме единственного освоенного вами, есть еще мильен с тыщами udp-based протоколов) дырки более-менее прикрытыми, потому что идея подбирать одновременно и адреса и порты увеличивает требуемый поток в десятки тысяч раз, сильно усложняя задачку. Разумеется, это тоже костылик, и предназначено оно для нище...мелких клиентов, неспособных оплатить коммерческие решения (потому что открытых, увы, не будет)
При этом большая часть того мильена с тыщами написана уже в XXI веке, когда, наконец-то, догадались, что существуют наты и другие обстоятельства, и не надо совать внутрь протокола адреса endpoint'ов, а надо брать их либо из адреса в приходящем пакете, либо с внешнего источника. А в (распространенной) телефонии все переизобретают ftp, только еще и поверх connectionless-протоколов.
А потом - тут поломали, там таджик-телеком завелся, и речь не о наколеночных поделках на полтора абонента, а об операторах, у которых, в теории, должен быть и грамотный персонал, и хорошее железо.
> Там всё сложно потому что сама задача сложна.
потому что неверно поставлена. Вам на самом деле нужны вовсе не p2p и "минимальные задержки" - это уже решение, неправильно поставленной задачи. Вам нужны _приемлемые_ задержки - пока вы вообще можете их сохранить приемлемыми (разговор со штатами все равно не будет таким же как с соседней комнатой) и низкий уровень джиттера (я уж не говорю про потери, которых тоже только у розовых единорогов в сетях нет) - что вовсе необязательно достигается прямым соединением всех со всеми. Просто "тут так принято" и вряд ли изменится в ближайшие сто лет, после попадания скайпа в руки индусов.

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

47. "Релиз дистрибутива для создания межсетевых экранов pfSense 2..." –3 +/–

Сообщение от Тузя (ok), 15-Окт-17, 18:06

> то что вы называете файрволом, а на самом деле является пакетным фильтром...
Бегемоты и гиппопотамы.
> Рандомизация портов делает эту и схожие (поскольку кроме единственного освоенного вами, есть еще мильен с тыщами udp-based протоколов) дырки более-менее прикрытыми
Нет, не делает. Сколько бы ты не пытался мне это рассказать, сколько бы яда не выплюнул, никакой NAT и случайный выбор порта тут никому не поможет от спуфинга, тем более от спуфинга UDP. И телефония тут вообще не причём. Может приведешь доказательства, а то утырки из pfsence тоже не смогли их привести.
> Разумеется, это тоже костылик, и предназначено оно для нище...мелких клиентов, неспособных оплатить коммерческие решения (потому что открытых, увы, не будет)
Не надо врать. pfsence - дорогое решение по сравнению с тем же mikrotik и аналогичным линукс-решениям. Сам pfsence бесплатен, но толст и требователен к оборудованию.
> потому что неверно поставлена. Вам на самом деле нужны вовсе не p2p и "минимальные задержки"...
Она поставлена верно. Ты не можешь загнать всё медиа на сервер и гнать всё через него в общем случае, поэтому p2p. Любые серверные решения с релеями медиа делаются только с учётом географии и также могут являться частью p2p звонка. Чисто клиент-серверное решение при передаче медиа просто не бывает. Что касается демагогии насчёт минимальных и приемлемых, джитера, потерь и скайпа - это пустая болтовня и показатель твоей неграмотности. Если ты считаешь, что сможешь внятно описать свою идею чисто клиент-серверной телефонии, я с удовольствием почитаю тут твои идеи. Но что-то в нашей предыдущей переписке заставляет меня сомневаться в твоих возможностях. Не могу понять что.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	37. "Релиз дистрибутива для создания межсетевых экранов pfSense 2..."	+/–
	Сообщение от Аноним (-), 13-Окт-17, 23:10
	Как же тебя жалко... Живёшь в гнилых мирках, где кругом одни утырки и со всем всё плохо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "Релиз дистрибутива для создания межсетевых экранов pfSense 2..."	+1 +/–
	Сообщение от пох (?), 13-Окт-17, 23:46
	> Как же тебя жалко... Живёшь в гнилых мирках, где кругом одни утырки и со всем всё плохо. ну же, гость из параллельного мира единорогов, какающих бабочками - как у вас там работает ip-телефония? (не "я вчера настроил по найденным в гугле инструкциям десятилетней давности, кстати, через час меня по таким же древним поломали, целый один астериск на три софтфона", а для взрослых - пара десятков пиров, десятки тыщ корпоративных клиентов с хз чем и за хз чем, при продолбе - в дырку утекают пара миллионов денег.) С интересом послушаю историю вашей всеобщей любви и обожания тех прекрасных волшебников, кто все это придумал. А то у нас тут такая любофф, что при детях и рассказать нельзя, волшебник с чемоданом инструментов для садо-мазо - какая-то очень недетская сказочка.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Релиз дистрибутива для создания межсетевых экранов pfSense 2..."	–3 +/–
	Сообщение от Аноним (-), 14-Окт-17, 00:12
	Такой недетский линукс..
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Релиз дистрибутива для создания межсетевых экранов pfSense 2..."	–1 +/–
	Сообщение от Тузя (ok), 14-Окт-17, 02:36
	> как у вас там работает ip-телефония? Просто прекрасно работает! Есть несколько способов защититься от этого: 1. Firewall с ACL, если там 3 софтфона и аст. 2. Fail2ban, если клиенты тоже могут быть во внешке и процессорные ресурсы позволяют. 3. Бордерконтроллер, программный или аппаратный. Тут вариантов много. Кто-то покупает, кто-то собирает свою SBC на связке Kamailio+freeswitch. Кто-то делает всю фильтрацию на kamailio и диспетчером кидает на асты. Кто-то выносит оттуда медиа на отдельные сервера. > А то у нас тут такая любофф, что при детях и рассказать нельзя, волшебник с чемоданом инструментов для садо-мазо - какая-то очень недетская сказочка. Там всё сложно потому что сама задача сложна. Представь себе ситуацию когда собралась видеоконференция из 5 человек, которые во время разговора пишут в чат и передают друг другу файлы. Всё это можно сделать на одном лишь sip, но можно и без него (webrtc). Причем в этой задаче у одного двойной нат, у второго симметричный нат (он пошел через релей) у третьего UPnP у четвертого внешний IPv6, но они с пятым сидят в одной локалке IPv4. Цель: p2p-соединение с минимальными задержками, динамической сменой кодеков при передаче медиа. Ну... как? Сможешь выдать решение которое лучше чем весь "sip-мирок"?
	Ответить \| Правка \| К родителю #38 \| Наверх \| Cообщить модератору


	43. "Релиз дистрибутива для создания межсетевых экранов pfSense 2..."	+/–
	Сообщение от Max (??), 14-Окт-17, 10:31
	не кормите троля! хотя в отношении sip я с ним, отчасти, согласен... и не только я, ибо именно из за "особенностей" sip'а разработчики asterisk и придумали iax
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Релиз дистрибутива для создания межсетевых экранов pfSense 2..."	+1 +/–
	Сообщение от Аноним (-), 14-Окт-17, 17:11
	Разработчики asterisk просто используют SIP не по назначению.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "Релиз дистрибутива для создания межсетевых экранов pfSense 2..."	–2 +/–
	Сообщение от пох (?), 14-Окт-17, 11:30
	> Есть несколько способов защититься от этого: ну есть много костыликов и подпорочек, ага. А надежных способов - кроме дорогущих ng-firewall'ов что-то не просматривается. то что вы называете файрволом, а на самом деле является пакетным фильтром (какие еще "state" в udp, вы о чем?) не защитит от банального потока фейковых udp пакетов на ваш любимый 5060 - надо только подобрать ip, которому вы уже открыли ротик, жрать все что прилетит, дальше - от вмешательства в связь, до remote code exec (продукция телефонистов такая "надежная", аж слезы). Рандомизация портов делает эту и схожие (поскольку кроме единственного освоенного вами, есть еще мильен с тыщами udp-based протоколов) дырки более-менее прикрытыми, потому что идея подбирать одновременно и адреса и порты увеличивает требуемый поток в десятки тысяч раз, сильно усложняя задачку. Разумеется, это тоже костылик, и предназначено оно для нище...мелких клиентов, неспособных оплатить коммерческие решения (потому что открытых, увы, не будет) При этом большая часть того мильена с тыщами написана уже в XXI веке, когда, наконец-то, догадались, что существуют наты и другие обстоятельства, и не надо совать внутрь протокола адреса endpoint'ов, а надо брать их либо из адреса в приходящем пакете, либо с внешнего источника. А в (распространенной) телефонии все переизобретают ftp, только еще и поверх connectionless-протоколов. А потом - тут поломали, там таджик-телеком завелся, и речь не о наколеночных поделках на полтора абонента, а об операторах, у которых, в теории, должен быть и грамотный персонал, и хорошее железо. > Там всё сложно потому что сама задача сложна. потому что неверно поставлена. Вам на самом деле нужны вовсе не p2p и "минимальные задержки" - это уже решение, неправильно поставленной задачи. Вам нужны _приемлемые_ задержки - пока вы вообще можете их сохранить приемлемыми (разговор со штатами все равно не будет таким же как с соседней комнатой) и низкий уровень джиттера (я уж не говорю про потери, которых тоже только у розовых единорогов в сетях нет) - что вовсе необязательно достигается прямым соединением всех со всеми. Просто "тут так принято" и вряд ли изменится в ближайшие сто лет, после попадания скайпа в руки индусов.
	Ответить \| Правка \| К родителю #42 \| Наверх \| Cообщить модератору


	47. "Релиз дистрибутива для создания межсетевых экранов pfSense 2..."	–3 +/–
	Сообщение от Тузя (ok), 15-Окт-17, 18:06
	> то что вы называете файрволом, а на самом деле является пакетным фильтром... Бегемоты и гиппопотамы. > Рандомизация портов делает эту и схожие (поскольку кроме единственного освоенного вами, есть еще мильен с тыщами udp-based протоколов) дырки более-менее прикрытыми Нет, не делает. Сколько бы ты не пытался мне это рассказать, сколько бы яда не выплюнул, никакой NAT и случайный выбор порта тут никому не поможет от спуфинга, тем более от спуфинга UDP. И телефония тут вообще не причём. Может приведешь доказательства, а то утырки из pfsence тоже не смогли их привести. > Разумеется, это тоже костылик, и предназначено оно для нище...мелких клиентов, неспособных оплатить коммерческие решения (потому что открытых, увы, не будет) Не надо врать. pfsence - дорогое решение по сравнению с тем же mikrotik и аналогичным линукс-решениям. Сам pfsence бесплатен, но толст и требователен к оборудованию. > потому что неверно поставлена. Вам на самом деле нужны вовсе не p2p и "минимальные задержки"... Она поставлена верно. Ты не можешь загнать всё медиа на сервер и гнать всё через него в общем случае, поэтому p2p. Любые серверные решения с релеями медиа делаются только с учётом географии и также могут являться частью p2p звонка. Чисто клиент-серверное решение при передаче медиа просто не бывает. Что касается демагогии насчёт минимальных и приемлемых, джитера, потерь и скайпа - это пустая болтовня и показатель твоей неграмотности. Если ты считаешь, что сможешь внятно описать свою идею чисто клиент-серверной телефонии, я с удовольствием почитаю тут твои идеи. Но что-то в нашей предыдущей переписке заставляет меня сомневаться в твоих возможностях. Не могу понять что.
	Ответить \| Правка \| Наверх \| Cообщить модератору