-
IT café
Mára a ProHardver!/IT.News Fórum is nagylétszámú Linuxban jártas taggal büszkélkedhet. Nehéz szinteket felállítani egy olyan rendszer ismeretében, ami annyira sokrétű, hogy teljesen szinte lehetetlen megismerni minden egyes részét. Azt azonban mindenki tudja, hogy kezdő-e vagy sem. Elsősorban nekik szólnak az alábbiak, de érdemes mindenkinek elolvasnia, mint útjelző táblát.
Új hozzászólás Aktív témák
-
nagyúr
válasz sh4d0w #32549 üzenetére
Jó, egyelőre még nem magyar mit mondasz. Még kezdő vagyok tűzfal terén. Amúgy asztali gépről van szó. Esetleg ha tudnál valami írást linkelni róla, mit állitsak be, megköszönném!
"Ha egyedülállóval találkozunk, mindegy, mit mond, de biztos, hogy nem azért van egyedül, mert élvezi a magányt, hanem mert már megpróbált beilleszkedni a világba, de az emberek újra meg újra kiábrándítják."
-
-
-
-
Shyciii
veterán
válasz sh4d0w #32556 üzenetére
Ha jobban megnézed, akkor azaz iptables, az valójában iptables-nft és külön van legacy. Értem én, hogy fel kell tenni az nftables csomagot, de valójában már a Bullseye-ban felkészítették a kivonásra az iptables-t. Jelen állapot szerint a következő verzióban végleg ki is kapják. Amúgy meg nem a Debian-t venném alapnak technológia kérdésekben, mert mindig le van maradva, főleg ha a stable verziót nézzük (nézd csak meg a btrfs filerendszert. Máshol már az a default, míg a Debian a közelében sincsen).
Szal egy többszörösen régi, és már "elavultnak" tekinthető tűzfalat én nem ajánlanék senkinek, már a munkámból kifolyólag sem, és biztonság miatt sem. Főleg hogy nem csak hogy többre képes az nftables, de még csak nem is rémesen bonyolultabb, mint az iptables.[ Szerkesztve ]
-
válasz Shyciii #32559 üzenetére
Már akkor téma volt az nftables, amikor Debian 10-et raktam a 9-es után... Mi több, 2014 óta van kernel támogatása, mégsem mainstream.
Értem, hogy az iptables nem skálázódik jól, esetleg lehetnek vele performance problémák (a mai hw környezetben ez tényleg számít?), de hogy jön ide a biztonság?https://www.coreinfinity.tech
-
Shyciii
veterán
válasz sh4d0w #32560 üzenetére
Akkor másképp írom. A BTRFS is már régóta van, mégis "csak" most kezd szélesebb rétegben elfogadottá válni, a pipewire is van egy ideje, de csak most kezdett bizonyos distrokon default lenni. Ugyanez van az nftables-el is. El kellett érnie egy olyan "szintet", hogy azt mondják rá, hogy oké, stabil, gyors, biztos fogják fejleszteni sokáig, lehet ez a default most már.
Értem, hogy az iptables nem skálázódik jól, esetleg lehetnek vele performance problémák (a mai hw környezetben ez tényleg számít?), de hogy jön ide a biztonság?
Nah, ha ez egy komoly kérdés volt részedről, akkor teljesen felesleges ezt megválaszolnom, és így már értem, hogy miért tök mindegy neked egy tűzfal esetén, hogy egy elavult technológiájú iptables, vagy friss nftables. -
vicze
félisten
válasz sh4d0w #32560 üzenetére
Azért Debian nem éppen egy "cutting edge" distro, kb. az egyik legkonzervatívabb és legvisszamaradottabb. Nyilván megvan ennek is az előnye, de a jelenlegi frissítési tempó nagyon nem ez. (A májusi RHEL 9 újabb kernel verzión van, mint az augusztusi Bullseye.)
Sajnos van egy olyan következménye, hogy mivel sok minden épül Debianra, így minden mást is visszatart.
[ Szerkesztve ]
-
Nofene, csak nem (8 éve Debian a fő rendszerem)?
Egyébként meg, Debian alapon is lehet cutting edge-en lenni, csak akkor pont odavész az a stabilitás, amit a kitesztelt csomagok adnak.@Shyciii: komolyan kérdeztem, milyen security issue-k jönnek, ha iptables-t használsz? Ha most sem válaszolsz értelmesen, akkor úgy veszem, hogy Te sem tudod, csak megemlítetted, hátha valaki összecsinálja magát. Nekem megfelel bármilyen publikusan olvasható link (a paywallos nem ilyen), ha nem akarsz túl sokat gépelni.
https://www.coreinfinity.tech
-
Shyciii
veterán
válasz sh4d0w #32564 üzenetére
Debian cutting edgelése (Testing verzióra gondoltál ugyebár) nem csak stabilitás vész oda, hanem a biztonsági frissítések azonnali megkapása is, ugyanis nem egy időben kapja meg a Stable verzióval. Bár ezt nem említetted, de biztos tudod, ha már 8 éve Debian-t használsz ugyebár, és ha már konkrétumokat vársz...
Értem, hogy az iptables nem skálázódik jól, esetleg lehetnek vele performance problémák (a mai hw környezetben ez tényleg számít?), de hogy jön ide a biztonság?
Jössz a performance-al, ami mai hw környezetben nem számít. Jaj...Először is, ha csak nem rendelkezel Google féle szerverparkkal, akkor te, vbagy az általad üzemeltetett gép, nas, home szerver pillanatok alatt megfexik DOS, vagy DDOS alatt, de ha xmas tcp-vel floodolnak akkor is. Egyáltalán maga a feltételezés hogy egy tűzfal, vagy bármilyen biztonsági eszköznél nem számít a performance...ez nagyon az úristen kategória. Csak úgy közlöm, hogy igencsak baromira számít a performance mind szoftveres oldalon, mind hardveres oldalon. Ugyanis az sem mindegy, hogy milyen hálókártyád van, és ahhoz milyen drivert használsz.
Az meg hogy "hogy jön ide a biztonság" kérdésed egy tűzfalas beszélgetésnél, meg végképp vicc. Bocs, de pont ezért nem válaszoltam értelmesen, mert ez a dőlt betűs részed borzalmasan leírja, hogy mi a véleményed a biztonságról, és a hozzá kapcsolódó technológiáról, és működéséről. Amivel nem is lenne baj, csak akkor nem feltétlenül neked kellene diktálnod ebben a kérdésben, főleg nem egy haladó topicban. -
fatpingvin
őstag
-
f_sanyee
senior tag
válasz sh4d0w #32558 üzenetére
Red Hat, Fedora itt pl igy van.
RHEL8 óta van nftables btw.iptables vs nftables:
igazábol kár ezen vitázni, ha valaki megszokta és ragaszkodik a legacy toolokhoz, használjon iptables, nslookup, ifconfig, meg hasonló deprecated parancsokat amíg teheti, aki pedig inkább tanulna valami újat, annak ott az nftables... -
válasz Shyciii #32565 üzenetére
Oké, mivel szemmel láthatóan erőlteted, hogy magas lóról oszd az észt, hasonló stílusban válaszolok.
Szervert nem szoftveres tűzfallal védünk elsősorban, hanem hardveressel. Ha kell az otthoni szerver, tegyél elé rendes eszközt: Bitdefender, WatchGuard, Mikrotik, Netgear - és akkor nem probléma, hogy az iptables kicsit többet eszik a CPU-dból, mint az nftables.
Ez egy. Kettő: ha a te otthoni hálózatodat DOS/DDOS-olják, akkor nincs az a szoftveres tűzfal, amivel talpon maradsz - nftables-szel sem. Az xmas TCP floodot is illik felismernie egy korrekt hardveres eszköznek. Nem mellesleg az ISP-d is érdekelt abban, hogy megállítson egy ilyen támadást.
Egyáltalán maga a feltételezés hogy egy tűzfal, vagy bármilyen biztonsági eszköznél nem számít a performance...ez nagyon az úristen kategória.
Ad egy, olyan dolgokat tulajdonítasz nekem, amit nem mondtam. Ad kettő: otthoni környzetben lásd fentebb.
Bocs, de pont ezért nem válaszoltam értelmesen, mert ez a dőlt betűs részed borzalmasan leírja, hogy mi a véleményed a biztonságról, és a hozzá kapcsolódó technológiáról, és működéséről. Amivel nem is lenne baj, csak akkor nem feltétlenül neked kellene diktálnod ebben a kérdésben, főleg nem egy haladó topicban.
Maradjunk inkább annyiban, hogy azért nem válaszoltál értelmesen, mert fingod sincs erről, FUD-olsz. Azt meg végképp nem neked kell bizonyítanom, mi az én hozzáállásom a cyber security-hez. Vannak, akiknek a véleményére adok, de momentán te nem tartozol közéjük. Tanácsot kértek, adtam, de nem diktáltam senkinek sem - mindenki úgy védi meg magát, ahogy a szája ízének, vagy a rizikótűrő képességének megfelel.
Részemről itt ez befejezve, ha folytatni akarod, hozzál nekem egy friss CVE-t, 0day-t, vagy egy működő POC-ot arra, hogy az iptables nem biztonságos egy up-to-date Debian stable-ön.
https://www.coreinfinity.tech
-
ivana
Ármester
válasz sh4d0w #32569 üzenetére
Szervert nem szoftveres tűzfallal védünk elsősorban, hanem hardveressel. Ha kell az otthoni szerver, tegyél elé rendes eszközt: Bitdefender, WatchGuard, Mikrotik, Netgear - és akkor nem probléma, hogy az iptables kicsit többet eszik a CPU-dból, mint az nftables
Hülyeség, egy mai Linux bőven megállja a helyét közvetlen az interneten. Lassan a core network routerek 100%-a Linuxot futtat. Plusz a dedikált firewall eszközök is általában Linuxal mennek.
Különösebb baj amúgy nincs az iptables-el. Ami szerintem nagy hibája az a teljesen külön IPv4 és IPv6 stack. De mivel amúgy mindkettő netfilter module akár egyszerre is használhatod a kettőt.
-
inf3rno
nagyúr
Információbiztonságban általában úgy megy, hogy megveszik a hardvert, ami tud annyi sávszélességet, aztán kalap. Hogy azon belül hogyan van megoldva, azzal kevesen foglalkoznak. Hogy otthonra ki mit mókol össze magának, az megint más kérdés. Én pl. simán OPNsense vagy pfSense megoldást csinálnék, de a Linux sem annyira rossz.
Buliban hasznos! =]
-
bambano
titán
válasz Shyciii #32565 üzenetére
el tudod magyarázni nekem, hogy hogyan fektetsz meg egy otthoni nast úgy, hogy nincs előtte tűzfal, de nat mögött van (mint manapság gyakorlatilag minden otthoni gép)?
egyébként megnyugodhatsz, egy normális pcnek mindegy, hogy ip- vagy nftables, mindkettőt elviszi szokásos otthoni internet kapcsolatot feltételezve. sőt, azt is ki merem jelenteni, hogy hálókártyától, drivertől is mindentől függetlenül az otthoni pc elé állított (például) huawei vagy tplink dobozka sokkal hamarabb adja fel, mint a mögötte levő pc.
nyugodj meg, arra, hogy átlag béla beírja az ő három darab tűzfal szabályát a kernelbe, teljesen megfelelő az iptables is, mint ahogy az eredeti állítás volt.
azt javaslom figyelembe venni, hogy itt senki nem diktál. még te sem.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-
-
bambano
titán
válasz inf3rno #32574 üzenetére
a pc-ben nehézsúlyú processzor van, ahhoz képest viszonylag rendes buszokkal. a "hardveres" tűzfalakban vagy valami gagyi intel proci van (asa500-ban celeron, 100 megás depca kártyákkal anno, rotfl), vagy a mikrotikben mips, újabban arm architektúrájú proci(mago)k, és viszonylag kevés darab.
teljesen biztos vagyok benne, hogy egy pc tovább bírja, mint pl. egy mikrotik. A mikrotik korábbi csúcsgépében 72 magos tilera proci volt, ezt is leveri egy 16c32t amd pc. A mostani elérhető árú (fél milleren innen) mikrotikekben 4 magos 2GHz-es arm alapú proci van, a csúcsgépben 16 magos arm.
Nem, ez soha nem éri utol a pc-t. Akkor lehet vele teljesítményt elérni, ha a routerben valamiért van rendes switch is, és a switch chip elég okos, akkor jöhet az a szint, hogy egy mikrotik elkezd összemérhető eredményt elérni egy pc-vel. A komolyabb szolgáltatók (pl. netflix) most ott tartanak pc-vel, hogy 400-800 Gbps között tudnak https forgalmat egy pc-ből.
én egyébként szeretem a mikrotiket, de két hónapnyi kísérletezés után most egy efficient mag csinálja a hálózati kapcsolatomat.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
bambano
titán
válasz sh4d0w #32576 üzenetére
az l7 tűzfalak, szerintem, mind valamilyen applikáción keresztül szűrik a magasabb szintű forgalmat. Nagyon-nagyon alap szintű l7 szűrést lehet csinálni a kernellel is, de nem feltétlenül érdemes.
a mikrotikben szerintem nincs l7 szűrési lehetőség. azok egyébként viszonylag sztenderd arm magos, korábban mips magos cpu-kon futó nagyjából sztenderd linux kernelek.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-
bambano
titán
"L7 matcher collects the first 10 packets of a connection or the first 2KB of a connection and searches for the pattern in the collected data. If the pattern is not found in the collected data, the matcher stops inspecting further."
emlékeim szerint azt a kernel is tudja, hogy stringeket keres a csomagban.
de oké, legyen igazad, létezik szűrési lehetőség.
főleg, ha a "szűrési lehetőség" kifejezést elég tágan értelmezzük.[ Szerkesztve ]
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
bambano
titán
válasz inf3rno #32582 üzenetére
oké, amiben "purpose built" asic van, azt elfogadom hardveres tűzfalnak.
tudtommal a mikrotiknek nincs ilyenje. én mostanában ids/ips-t sem láttam tőlük. alapvetően wireles isp beszállítóként indultak és azóta lett switch meg router termékvonal is. kb. az a szint, mint a cisco linksyses termékcsaládja, vagy annál kicsit jobb.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-
Lenry
félisten
válasz fatpingvin #32586 üzenetére
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
sonar
addikt
válasz bambano #32584 üzenetére
Ebben csak az a vicces, hogy a mai komolyabb 10G, 40G, 100G switchekben már intel proci dübörög
Néztem is nagyot mikor egy 10G-s mellanoxot pár éve szétkaptunk és sima kommersz intel proci volt benne.De a poén, hogy autóiparban is egyre több az intel Atom-ra épült SOC.
A tudást mástól kapjuk, a siker a mi tehetségünk - Remember: Your life – Your choices!
-
ivana
Ármester
válasz inf3rno #32572 üzenetére
Információbiztonságban általában úgy megy, hogy megveszik a hardvert, ami tud annyi sávszélességet, aztán kalap. Kicsiben, ha több ezer node-ot kell deployolni akkor már elkezdenek inkább konfigurálni Otthonra egyet értek amúgy a BSD alapú megoldásokban.
(#32579) bambano Tudtommal mindenki DPDK-t használ ([link]) magas szintű szűrésre. Ehhez kell egy Linux kernel, meg valami jó brutál vas. Az ilyen arm, meg mips 1 gigára jó ha elég.
(#32583) vicze1 Ma már olyan brutál erősek az x86 procik, hogy nem igazán kell FPGA. Akár virtuális gépen elmegy ilyesmi, csak kell neki adni megfelelő hálózati kártyát. De régen is FPGA volt, ASIC-el nem szűrsz forgalmat
-
vicze
félisten
Linkeljem végig a Cisco, Dell, stb. saját chipjeit?
x64 csak az OS-t futtatja, esetleg nagyon kicsi részfeladatokat végez, de minden amit csak lehet offloadolva van dedikált HW-ra.
De egy pont felett már hálókártyára is kellhet FPGA."ASIC-el nem szűrsz forgalmat "
Aha...Elég sok éve pfSense-ezek és ha nincs Intel server kártya rendes HW offloaddal( vagy egyéb HW offload) a gépben, alap dolgokkal szenved. 20-30 user után használatlan.
-
vicze
félisten
válasz sh4d0w #32564 üzenetére
Mindenki nyilván azt és úgy használja ahogy akarja semmi közöm hozzá.
De személy szerint úgy érzem, hogy Debian igen nagy mértékben hozzájárul ahhoz, hogy Linux ne fejlődjön olyan mértékben ahogy kéne és nagyon sok új technológia nagyon-nagyon lassan adoptálódik a Debian extrém konzervatív hozzáállása miatt. És nem azt mondom, hogy egy Arch legyen YOLO módjára, de van ésszerű középút.
Már a legtöbb LTS distro is belátta, hogy értelmetlen visszatartani a kernelt, mert ahhoz vezet hogy újabb HW-n használatlan lesz. Még a legfrissebb Linux kernel is sok esetben lemaradásokkal küzd, az utóbbi 4-5évben.Amúgy akkor szerinted DDoS egy fűzfal esetében nem security probléma?
-
fatpingvin
őstag
kíváncsian várom a példákat. az ésszerű középút meglátásom szerint a Fedora és az OpenSUSE képében jelen van, érdekes módonm az előbbinek mintha lenne valami köze a RHEL-hez... ja hogy a Debiant szívesebben használják mert support nélkül is megy amire elindítod, az uborkát meg inkább hagyjuk is, az mindennek a megtestesülése amit irtani kéne a desktop Linuxból.
A tipikus munkafolyamat legjobb tesztszimulációja a tipikus munkafolyamat. A "napi anti-corporate hsz"-ok felelőse :)
-
A Debian ad egy stabil alapot, amit úgy alakítasz, ahogy tetszik. Linux Mint, Ubuntu pont ezt teszik (más tészta, hogy szarul). Ha haladóbb kell, RHEL, SLES, vagy ezek vmilyen deriváltja.
Amúgy akkor szerinted DDoS egy fűzfal esetében nem security probléma?
Ezt a fasságot honnan sikerült leszűrni?
https://www.coreinfinity.tech
-
inf3rno
nagyúr
Már milyen szempontból vicc? Létezik pl. olyan kernel, ami bizonyítottan csak hardver hibától dől be, mert nincs benne logikai hiba és nincs 1MB az egész. [link] Ha ez a fő szempont, akkor ehhez képest minden más vicc. Ha a használhatóság, támogatottság a fő szempont, akkor meg ez a kernel vicc.
[ Szerkesztve ]
Buliban hasznos! =]
-
vicze
félisten
"A Linux+DPDK az ami képes ilyen 100 gigágat is routolni/szűrni, sima x86-on."
Még minding nagyon nem. Nem a Linux végzi és nem az x64 végzi a routingot semmilyen formában olvass már utána kérlek.
Amúgy Intel oldaláról vannak külön networking Xeon SKU-k, amikbe integrálva van a QuickAssist gyorsító, esetleg az megállja a helyét önmagában.BSD szintekkel gyorsabb routing és fűzfalban, nem véletlen lett az használva tűzfalakban nagyon sokáig bare metal telepítésekben, amíg nem volt a CPU-kben olyan sok dedikált gyorsító. Még egyszer a lényeg a HW gyorsításon van nem azon, hogy milyen kernelt használsz, gyakorlatban nincs jelezősége ha HW gyorsított a hálózatkezelés.
Amúgy Netgate-től a nagyvállalati TSNR már egy tök sima Ubi alap, de tök lényegtelen mert az egész stack le van cserélve sajátra. -
ivana
Ármester
x64 nincs és sose volt. Mindenki csak x86 hívja szakmai körökben. A kiterjesztés neve x86-64.
Nem a Linux végzi és nem az x64 végzi a routingot semmilyen formában olvass már utána kérlek. De, ez a state of the art. Közvetlenül a network kártyából mennek ki a csomagok userspace-be, meg onnan vissza.
BSD szintekkel gyorsabb routing és fűzfalban, nem véletlen lett az használva tűzfalakban nagyon sokáig bare metal telepítésekben, amíg nem volt a CPU-kben olyan sok dedikált gyorsító. A BSD gyorsabb volt 15 éve, azóta sok minden történt.
[link] Itt vannak performance tesztek.
-
bambano
titán
válasz fatpingvin #32586 üzenetére
az összes első generációs ccr-ük tilera volt. a ccr1009-től a ccr1072-ig mind. nekem egy 9 magos van itthon, érződik, hogy nem "outputtal" gurigáztak, amikor összerakták azt a cpu-t.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
Új hozzászólás Aktív témák
- Eladó Steam kulcsok kedvező áron!
- Windows 10/11 Home/Pro , Office OEM/Retail kulcsok
- Windows 10 11 Pro Office 19 21 Pro Plus Retail kulcs 1 PC Mac AKCIÓ! LEGOLCSÓBB! Automatikus 0-24
- Játékkulcsok olcsón: Steam, Uplay, GoG, Origin, Xbox, PS stb.
- Eredeti Microsoft termékek - MEGA Akciók! Windows, Office Pro Plus, Project Pro, Visio Pro stb.
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen