Transparentny FW z FreeBSD

[Dan Lukes]

On 7.3.2018 19:20, Vilem Kebrt wrote:
> v rámci zpracování jedou jednotlivé checky paralelně

> každý thread kontroluje jemu příslušnou část. 

No, a to je prave to, co budes na FreeBSD s existujicimi nastroji 
dosahovat jen tezko. Tohler bysis musel napsat ...

A nevim o tom, ze by to nekdo nabizel jako open source.

> Zde si dle mého názoru můžeš urychlit rozhodovací procesy skrze binary match tables

'tables' v IPFW jsou implementovany jako b-strom (tim se 'table' 
vyznamne lisi od seznamu IP adres oddelenych carkami).

> Jako další příklad si můžeš vzít hloupyho mikrotika

No prave - na ty jsem pri tomhle hodne myslel ;-)

Jsou typickym zastupcem zarizeni, ktere 'wirespeed' casto nezvlada.

Zminena RB600 mela tri gigabitove fullduplexni porty, ale pokud vim, tak 
plny tok ze dvou portu do tretiho tedy 1Gbps (prakticky priklad dve 
stanice + uplink) to uswitchovat nedokazalo ani nahodou. Jako 
border-router asi prijatelny (a tak jsi to taky pouzival), ale jako 
gigabitovy intra-switch nic moc.

Myslim totiz na Wokna v domene pri prihlasovani nebo odhlasovani 
uzivatele (kdyz se synchronizuje uzivatelsky profil). U toho je "rozdil, 
ktery citite" jestli mas pul gigabitu, nebo jen petinu.

Proto mi nedela problem mit neco "zpomalujiciho" jako border-router, ale 
na switch mi to nezni lakave. A bojim se, ze FreeBSD bude v naznacene 
roli vykazovat prave tuhle neprijemnou "Mikrotikovost".


> On 7.3.2018 21:05, Jozef Drahovsky wrote:
> Existuje firma, ktora ma verejne C, vlastne AS,vlastny reverzny DNS 
> a viac krat optiku od roznych providrovza drahe peniaze, kde verejne 
> bezi vselico mozne.
> 
> Okrem toho ma viacero pracovisk kde je tiez sirokopasmovy pristup, ale 
> len jednu verejnu IP a aj to nie vsade fixnu, navyse bez 
> moznostinastavenia reverzneho DNS.
> Pritom rozdiel mat a nemat moznost nastavit reverzu domenu podla seba je 
> 400% mesacnej ceny.
> 
> Kazde z tychto pracovisk chce mat u seba okrem obvykleho PAT pristupu 
> pre bezne pocitace, aj niekolko verejnych serverov bez NAT z dovodu 
> specifickeho vyvoja a experimentalnej prevadzky.


Me takovehle zadani vede na samostatne LAN s privatnimi IP v 
jednotlivych lokalitach, ty vzajemne routovane (propojene nejakou formou 
VPN) a smerem ven prekladane.

Konkretni verejne adresy, ktere jsou k dispozici jen v HQ, se podle 
potreby 1:1 mapuji na adresy vnitrni, kde uz do "spravne pobocky" 
doputuji po te vnitrni routovane siti.

Tohle vsechno je relativne "normalni topologie" a zvladne ji "bezne" 
nabusene FreeBSD (samozrejme zalezi take na celkovych datovych tocich).

Divam se na to velice pragmaticky (a jeho koreny sahaji do doby, kdy 
jsem se staral o sit jedne financni instituce s radou pobocek po 
republice).

Obcas se proste neco podela - bud' "samo", nebo v souvislosti s udrzbou 
(upgrade, rekonfigurace - a ono se tenhle ukonum donekonecna vyhybat 
nelze).

Specialni konfigurace site jsou sice velice efekt(iv)ni, ale kdyz se pak 
takova sit zhrouti a nefunguje, tak se daleko hur analyzuje pricina 
jakoz i naleza reseni. Mj. se clovek nema s kym poradit, protoze malokdo 
neco podobneho provozuje; dale - jakmile zavisis na vlastnostech 
systemu, ktere malokdo pouziva, prudce vzrusta riziko, ze nemusi 
fungovat dle ocekavani (a obzvlaste, nikoliv vsak vylucne, po jakemkoliv 
upgrade).

Oproti tomu "drevacka" konfigurace obvykle neni az tak elegantni, obcas 
ma nejaka "by design" omezeni kterym se je nutne nejak prizpusobit (coz 
ale vetsinou jde) - proti tomu ale stoji vyznamne nizsi riziko 
"podivnych zavad" (mj. proto, ze pouzivas prevazne ty funkce systemu, 
ktere pouziva kde kdo). A kdyz uz se nejaky problem objevi, daleko snaz 
se analyzuje i odstranuji (pripadne hleda se nejaky workaround).

Zdrojem potizi muze byt i konkretni stanice, kde se rozsype sitovy stack 
nebo s HW zavadou karty - o kreativite uzivatelu pri instalaci ruzneho 
software nemluve. A ty mluvis dokonce o vyvojovych a experimetalnich 
serverech. Takovy problem daleko spis zlikviduje "jen" zasazenou LAN, a 
jen mene pravdepodobne celou korporatni sit.

Urcite bych se snazil vyhnout rozsahle (geograficky i poctem stanic) LAN.

Celkove, to co popisujes bych (ja) zacal zvazovat teprve pote co bych 
vyloucil vsechna "normalnejsi" reseni.

Pripoustim, ze muj odpor nejspis dost souvisi s tim, ze skoda 
souvisejici s nefunkcni vnitrofiremni komunikaci se uz tehdy blizila 
dost stovkam tisic za pulden vypadku. Pokud jsi ve vyrazne jine hladine, 
pak te "velmi specialni topologie site" samozrejme nemusi strasit 
zdaleka tak jako me ...

Jen sdilim zkusenosti. Vyber si z toho co je ti mile ;-)


Dan