Helló MindekiNet.
Egy proxy-t szeretnék beállítani, futna rajta Squid, ntop + egyéb nyalánkság, és egy pár(~5db) gépet natolna a külvilág felé, mindenki másnak ott a Squid.
Csak éppen nem t'om eldönteni, hogy Debian vs. FreeBSD legyen az alap. Iptables vagy IPFilter + IPNat a nyerő. Szerintem egyik sem jobb a másiknál :-)
Viszont Debiant és Iptablest biztosan többen használnak az országban, mint FreeBSD-t. Munkahelyen is az Iptables kimagasló ismeretét várják el.
Esetleg ha van valakinek valamilyen értelmes gondolata, ami új megvilágításba helyezi a dolgokat. kérem osza meg velem.
- 1406 megtekintés
Hozzászólások
Alapvetően ez szerintem azon múlik, hogy melyiket ismered jobban, melyikben vagy rutinos.
Viszont ha munkahely szerzése is cél lehet a jövőben, tanuld meg a kevésbé ismertet is.
- A hozzászóláshoz be kell jelentkezni
Mindkettőt ismerem, persze nem vagyok bitprofi. Pont ezért is van a dilemám. Ti melyiket használjátok?
- A hozzászóláshoz be kell jelentkezni
Ha mindkettőt ismered akkor nemértem ezt a "dilemma" dolgot a FreeBSD egyértelműen kicsit gyorsabb és ha előreláthatólag nem fogsz olyan progit használni ami nem megy BSD-n akkor egyértelmű a FreeBSD nem ?
- A hozzászóláshoz be kell jelentkezni
Gyakorlatilag mindegy szerintem.
Debian: nagyobb userbázis, gyorsabban tisztul a kód, persze sokkal gyakrabban kell frissíteni, azonban a frissítés az esetek 99,6%-ban gyors és fájdalommentes (láttunk már hibás frissítéseket régebben).
FreeBSD: Kevesebb gond van vele frissítés szempontjából. Kérdés, hogy a kód minősége, vagy a felhasználói tábor mérete ezt mennyire befolyásolja, főleg, ha ugyanazok az alkalmazások futnak raja, pl squid. (Flamelőknek: nem minősítem a kódot, nem gondolom, hogy elégséges a tudásom hozzá).
Esetleg ha BSD lenne a nyerő, akkor gondolnék esetleg az OpenBSD-re is, mert szerintem pont ez az a terület, ahol számításba kellene venni, mivel egy raklap olyan technikát használ a kódban, ami a még fel nem fedezett bugok jó része ellen is véd.
Részemről Debian párti vagyok, mivel azzal dolgozom leggyakrabban és az esik leginkább kézre, de építettem már másból is tűzfalat/proxy szervert.
Azt tudom, hogy tanulás céljából egyik BSD sem jó, mert olyan kevés gond van velük, hogy simán elfelejtesz mindent, mire újra hozzájuk kell nyúlni... :)
- A hozzászóláshoz be kell jelentkezni
"Azt tudom, hogy tanulás céljából egyik BSD sem jó, mert olyan kevés gond van velük, hogy simán elfelejtesz mindent, mire újra hozzájuk kell nyúlni... :)" egy tűzfalban nem pont az a jó, hogy kevés gond adódik vele? Ha BSD akkor bináris frissítés, egy friss forráskód esetleg tartalmazhat bugokat.
Szívni nagyokat meg mindkettővel lehet.
Valószínüleg fej vagy írás lesz a dolog vége...
- A hozzászóláshoz be kell jelentkezni
Szevasztok
Elnézést hogy beleszólok, de én egy tűzfal/proxy készítésnél nem ilyen szempontok szerint döntenék, hogy kódfrissesség, meg bináris frissítés, meg nem kell hozzányúlni, meg stb...
- Én a következő szempontokat nézném meg elsősorban:
- Vannak -e szolgáltatások belül, amiket védeni kell:
( web, ftp, mail, stb ).
Melyik rendszerrel tudod jobban megoldani a DMZ védelmét. ( Ha van egyáltalán DMZ ).
Netfilter szabályok, vagy synproxy state, stb...
Melyikkel vannak jó tapasztalataid? - A belső hálón mennyien vannak, akarod -e szabályozni, tiltani a kifele menő forgalmat alkalmazásszinten.
( layer7, stb. ).
Érdemes azt megnézni, kellenek -e ezek a szolgáltatások.
Igaz, elérhető ipfw -ben is ilyenfajta program, de Linux -on jobban támogatott, több lehetőséged van.
( l7filter, ipp2p ).
Pf -ben nem tudok ilyen dolgokról.
Ez szempont lehet, ha választasz.
Akarsz -e netfilter kiegészítéseket használni?
( CHAOS, portscan, TARPIT stb... ).
Melyikhez értesz jobban, melyik telepíthető könnyebben, stb... - Van -e olyan szolgáltatás belül, aminek kell -e a HA.
( Kell -e carp, ucarp esetleg).
Melyiket használtad, melyiket tartod jobbnak, pl:
CARP+pfsync, vagy ucarp+conntrack-tools. - Forgalomkorlátozás lesz -e?
Melyik fekszik jobban?
netfilter tc -vel, vagy pf ALTQ, stb... - Távoli elérés lesz -e a belső hálózat gépeihez.
( sftp, vpn, pptp, stb ).
Ha csak egy kis iroda 8-10 géppel, akkor is mást tennék, mint pl. egy iskolában, ahol van 70 gép, stb...
>>...akkor bináris frissítés, egy friss forráskód esetleg tartalmazhat bugokat.
Ha olyan hibát találnak, akkor ígyis-úgyis frissítened, javítanod kell, tökmindegy melyik rendszert választod.
Szóval én ezek alapján választanék.
Persze, nem vagyok szakértő, ez csak szigorúan magánvélemény.
Szevasztok
- A hozzászóláshoz be kell jelentkezni
Persze, nem vagyok szakértő, ez csak szigorúan magánvélemény.
Ennek ellenére nagyon szépen összeszedted! :) Minél többet tud valaki, annál biztosabb benne, hogy nem ért hozzá eléggé... :)
Szerintem, ha ezek a kérdések felmerülhetnek, akkor már nem lenne min hezitálni. Ha bármely kérdéskör magasabb prioritással rendelkezik, akkor az a megoldás nyer, ami azon a téren többet tud, vagy jelentősen egyszerűbben megvalósítható.
- A hozzászóláshoz be kell jelentkezni
Nos durván 150 gép csücsül a hálón. DMZ egyenlőre nincs, vpn viszont lesz. Forgalomkorlátozás szintén nincs. Kösz a szempontokat.
- A hozzászóláshoz be kell jelentkezni