Új hozzászólás Aktív témák
-
haddent
addikt
válasz eladohardver #241 üzenetére
Hogy őszinte legyek eszembe se jutott A baremetal linux diy router/tűzfalamon megcsináltam anno, ezen ki se próbáltam pedig már vagy 1 éve használom. De most, hogy felhoztad idegesít, hogy nincs megcsinálva, holnap átnézem
#243 Véreshurka Az IDS csak jelez, így az problémát biztosan nem okoz. Mondjuk ebből adódóan hasznot sem hoz, hacsak nem figyeled és reagálsz manuálisan azonnal. Ennek otthonra szerintem végképp nincs létjogosultsága. Melóban mi használunk, de ott van egy teljes eseménykezelő / it sec csoport, aki riasztásokat kezel / reagál. Az IPS nyilván kétélű fegyver. Olyan szinten én sem foglalkoztam eddig vele, hogy saját szabályokat írjak vagy hasonlók, viszont azt elmondhatom, hogy suricata / et / snort ingyenesen elérhető összes szabálya legszigorúbb módon, nagy erőforással rá van engedve kivéve a P2P szabályokat (torrentet azonnal úgy lelövi, hogy csak nézel) és eddig nem találkoztam fals-pozitívval, vagy nem tűnt fel. Szerintem, ha erőforás van hozzá érdemes egy próbát tenni. Ha esetleg nagyon lekorlátoz lehet generikusan állítani, hogy mennyire pattogjon, ugorjon minden szarra. Ha úgy sem, max kikapcsolod. Otthon ugye nem szolgáltatsz, nincs belőle baj sehogy, szerintem
Multibit tökéletesen működik Digi PPPoE -vel és virtuális adapterrel is. Igaz, csak KVM -mel van tapasztalatom, de a többi virtualizációt max viccnek hívnám nem virtualizációnak egyébként is Ettől függetlenül a hatékonyság érdekében valóban érdemes konkrét fizikai interfészt kiosztani neki
-
haddent
addikt
válasz eladohardver #241 üzenetére
Na hát ez baromi egyszerű volt pfSense esetén Digivel. LAN interfészen IPV6 -ot állítsd Track interfészre, kicsit lejjebb a tracked interface legyen a WAN interfész, majd Services DHCPv6 bekapcsolod a LAN -ra, prefix delegation size 64 Digi esetén, megadsz 1-2 dns szervert, pl a cloudflare (1.1.1.1 ip4 esetén): 2606:4700:4700::1111 aztán save, reconnect wan -on és kész
-
haddent
addikt
válasz Mr Bond 007 #247 üzenetére
hyperv, vmware meg társai.. van belőlük elég tapasztalat melóban, botrányosak, de legalább k** drágák
-
haddent
addikt
válasz Véreshurka #260 üzenetére
Kétlem, hogy a pfSense -nek kéne swap 2020 -ban ilyen hardverekkel.. Nekem 2GB ramnál 0% a swap usage. A ram olyan 35% -on áll masszív le/feltöltögetés mellett is
-
haddent
addikt
válasz eladohardver #263 üzenetére
Ezt a megoldást jól kezeli? Volt már olyan, hogy linux esetén csak "jajj véletlen kivettem alólad a swap mountot" megoldást nem kedvelte
-
haddent
addikt
válasz eladohardver #265 üzenetére
Hát így hirtelen passz.. nem igazán foglalkozom vele, nekem nem kezdi el illetve hát nem is bánt az ott senkit. FreeBSD fórumok esetleg, kétlem, hogy pfSense specifikus megoldást találsz könnyebben
-
haddent
addikt
válasz eladohardver #270 üzenetére
Hacktheboxoztam elég sokat régebben, meg tervben van ill. security analystként dolgozom, de ennek ellenére azért nem hívnám magam (még?) etikus hackernek. Az IPS a betonbiztostól azért messze van, inkább a mennyiségre megy rá (szerintem), mint a kis finomságokra. A Wordpresset nagyon elterjedt, így ha követed a CVE -ket és azonnal frissítesz, amint van hozzá fix, akkor nagy gond nem lehet, szerintem
-
haddent
addikt
Igen, emerging threat. Lustaságból, nincs kedvem szemezgetni, elbírja így is
Egy i7 3770 + 12GB ram "szervergépem" van, ezen fut KVM virtualizálva a pfsense és egy docker hoszt "gép". Előbbi 4 virtuálcpu magot kap 2GB rammal és nagyon ritkán, minimálisan korlátozza a digi gigabitet -
haddent
addikt
Ez a kérdés vagy nagyon komplex vagy nagyon egyszerű Ennek oka, hogy attól függ, milyen szemmel nézed? A családod valószínűleg ránéz, jó oké, ugyanazt csinálja, van tőle net, tök jó, kit érdekel? Szakértői / érdeklődő / hobbista szemmel viszont köze nincs a két megközelítésnek egymáshoz.
Egy SOHO router az van azt kész, oszt netet, szór wifit ezek az újak tudnak már 1-2 vicces extra dolgot amit jobb esetben a SoC meg a ramjuk el is bír-ogat úgy ahogy aztán viszlát.
Egy pfSense (de talán okosabb lenne úgy fogalmazni, hogy "épített" dolog utalva pl. a bejegyzés első/előző részére) meg annyit úgy és annyira jól fog csinálni, ahogy akarod és meg tudod oldani, nincs határ. Jelenleg hálózatos/szerveres/itsecurityanalyst keverékként dolgozom és őszintén merem állítani, hogy tudja azt amit a több tíz sőt százmilliós Palo Alto, FortiGate, Stormshield vagy mondj akármit, sőt, néha jobban. Ha épp valamit nem tud, akkor megoldod máshogy, mert ahogy helyesen írtad is, egy BSD. UNIX -on pedig mit nem lehet megoldani? Azt, amihez (még) kevés a tudásod, nincs lehetetlenÉn azt gondolom, hogy otthonra, kiscégnek de akár nagy cégnek is, ahol nem az van, hogy a pénz kit érdekel csak ki lehessen tenni a plecsnit, hogy EZ VÉD MINKET közben meg egy elavult szar, ott teljesen racionális választás egy hasonló (nem kötelezően és egyértelműen pfSense de hasonló) megoldás okosan összerakva. Otthonra pedig érdeklődő vagy szakértő embereknek szerintem verhetetlen.
Én eleve semmiben nem vagyok a híva a "mindent egyben nagyon tud" eszközöknek, tehát nálam egy hálózat onnan indul, hogy van egy tűzfal, egy managed switch és van(nak) acces point(ok). Az más kérdés, hogy csóróságból ez(ek) nálam is használt TP LINK Archer C5-C7 és társai, mert pl AP -nek marha jók és olcsók, szerintem.
Ha most akarsz nulláról nekilátni és nem tudsz kukázni valami értelmes fogyasztású és erejű PC -t, hanem venni kéne, akkor is ki lehet jönni 50 -ből. Ilyen Ivy Bridge -től felfele induló Dell Optiplexek már vannak 20 körül, 1 éve is voltak, egy kis ram, egy kis ssd, egy 4x intel gigabit dedikált NIC és még mindig hol jársz? 30-40? Régi router beáll AP -nek, maradék 10-20-30 -ból akár most akár később veszel AP -ket, ízlés és pénztárcától függően. El lehet menni akár Ubiquit irányba is, verhetetlenek ár/érték és tudásban is, AP -ben is.
..mindez akkor, ha érdekel, szereted, fogsz vele törődni. Ez egy PC lesz bárhogyan is, nem fogja azt feltétlen tudni, hogy kiveszed a dobozból, bedugod és 10 évig rá se nézel. Tudja és tudhatja ezt is, csak akkor az előnyei eltörpülnek a hátrányai viszont nem
-
haddent
addikt
válasz Véreshurka #319 üzenetére
Tudnak/tak már olyan WRT -t csinálni, hogy a hardveres NAT megmarad? Mert még azzal is kérdéses, hogy milyen csomagmérettel hajtja ki a gigát, anélkül meg kár is nekifutni
Tibro5 mert enterprise level. Nem csak ráírják a dobozra, mint a tplink asus stb bárki, hogy 1500Mbit/s WiFi aztán 100M -es NIC van benne Stabil, jó, VyOS/Vyatta alapú és kifejezetten olcsó. Rossz mezőnyben nézed az árakat, nézz mellé Cisco meg hasonló dolgokat. És akkor ott még csak a Cisco SOHO -t nézed, aminek csak a logója Cisco a bele valami olcsó gagyi szar
[ Szerkesztve ]
-
haddent
addikt
válasz Véreshurka #333 üzenetére
Természetesen, főleg ismerkedni, nem is érdemes egyből valami komolyabbal. A fogyasztással kicsit vitába szállnék. Én párszor számolgattam már, amíg te, otthon, 1-2 szervert üzemeltetsz néhány tíz vagy száz Wattról van szó 24/7, addig ez éves szinten ezrek vagy 1 vagy max 2 tízezresben mérhető és ugye baromira meg sem érzed, mintha egyszer veszel valamit és látsz egy -120 ezres zárolást hirtelen
Multibit na meg a NIC is sokat számít. Mindent meg lehet CPU -ból oldani, de azért amit lehet azt dedikáltan illik. Pl. nem az összes, de 1-2 Suricata szabályt ráengednél egy akár high-end Asusra, ő ott főne meg szerintem, hogy készhagyábééknköszhelo
-
haddent
addikt
Természetesen. Eleve pl. a virtio támogatás, hw checksum offload, tcp segmentation offload, large receive offload.. ezek csak amiket most hirtelen a pfSense grafikus felületéről kiolvastam, biztos van ezer másik amibe nem ástam bele magam. X86 esetén azért ez annyira nem a cpu terhelés elvételéről szól, inkább latency -ben gondolom, hogy lehet különbség.
Nyilván minél közelebb áll / konkrét enterprise chipset, annál több ilyet támogat -
haddent
addikt
Egyetértek elméletben, gyakorlatban nekem (hangsúlyozom személyes vélemény és tapasztalat, nem vagyunk egyformák) soha nem ment a leülök meghallgatom / végignézem / tanulok téma, halálra unom, lassú, érdektelen. Én problémamegoldási szempontból szeretek mindent tanulni, azaz "adott egy probléma, hogyan oldjuk meg, ehhez milyen technológiák állnak rendelkezésre amiket hogyan tudunk használni" 5 perces google keresés majd bele a közepébe és közben stackoverflow stb, bármi ami kell. Én speciel pont így tanultam ki a hálózatosdit, végzettségem (elte programtervező inf.) alapján van némi (tényleg némi, 1 tárgy, 1 félév) közöm hozzá, de baromi elméleti, távlati és elavúlt volt, épp a klasszikus oktatási modellek miatt.
Az is +1, hogy bármilyen nem "bedugom használom dejó van wifim" 1bites (nem sértés, én se vagyok történész meg hentes sem) felhasználónak elég rossz választás egy kommersz, sexy shiny asus tplink bármi dobozka menő csillogós kartonból[ Szerkesztve ]
-
haddent
addikt
Ez kicsit kétoldalú penge, mert mennyire alapoktól kezdenéd pl. a "hálózatok" témát? Layer 1 / hardver? Ha igen, akkor annak némi "kötelező" minimális történelmét, felépítését is? Nem olyan szinten, hogy te tudd a következő szabványt architektúrálisan leírni, de, hogy irodalmi nyelven "legyen fingod róla"? De ha így, innen elkezded, akkor nyilván ugyanezt minimális elméleti szinten el kell végezned magával a számítógépekkel is, mert arra épül. És a végén ott lyukadunk ki, hogy éveket ülsz papír felett, ahol absztrakt görög betűkkel matematikai nyelven halmazelmélettel és logikával írsz programot, papíron Persze, ez így a szép és kicsit sem bánom, de konkrétan egy profi, ebben dolgozó "hálózatos szakember" sem feltétlen tudja ezt így. Komoly elhivatottság kell ahhoz, hogy ehhez kedved és motivációd legyen végigcsinálni. Ha meg kicsit belekóstolsz előtte a "váó, ezzel így ezt meg tudom csinálni" -ba és utána / mellete / közben érdekességképp utánanézel, hogy "az tök jó, de mi van e mögött, mitől működik?" akkor lehet, hogy fenntartod az érdeklődésed és nem hónapokkal / évekkel később kell összekötni, hogy ahaaaa az ennek volt az előfeltétele és így ez az.
Nyilván más szakmákban nincs megfelelő kompetenciám, de szerintem ez globálisan is elmondható, de az informatikában egész biztosan, vagyis akkor inkább úgy fogalmazok, hogy biztos vannak hozzám hasonló beállítottságúak, akik így sokkal jobban élvezik és könnyebben és nem utolsó sorban 1000x gyorsabban tanulnak ilyen módon.
Azt nem tudom objektíven megítélni, hogy ebben mennyire játszik szerepet egy alapvető világra nyitottság, érdeklődés meg tényleg nagyon alap, de mégis valamelyest dolgokat átlátó előzetes ismeret.A másik véglet persze az, amikor pl. ismerősöm külföldön ment egyetemre, lényegében ugyanerre a szakra. Na ők nem papíron írtak programot csúnya hieroglifákkal, hanem 1. héten "csoportmunka: írjunk egy játékot". Na az lóf*#@ tejszínnel. Kattintgatsz meg húzogatsz mindent össze, mint egy hülye, csak fogalmad nincs róla, hogy ez mitől miért és hogy működik
-
haddent
addikt
Hát akkor igazán nem tartok tőled vissza egy kis csemegét, kezdd a ciklussal Ez akkor jó, ha hibátlanul tudod fejből, de nem azért, mert bemagoltad a random görög betűk sorrendjét, hanem mert érted mit írsz Kedvencem volt mindig is ez a "első ránézésre kissé bonyolult.... na de lássuk be, hogy triviális!"
Az annyira fizikai rész az már "mocskosfúúúúj" nem elméleti
[ Szerkesztve ]
-
haddent
addikt
válasz Véreshurka #350 üzenetére
Szia
ennek a problémának és hasonlóak megoldására tudnám javasolni egy rendes central logging szerver kialakítását. Kibana (ELK) vagy Graylog, én utóbbit javaslom. Erre van is egy megoldásom, csináltam egy repot gyorsan: https://gitlab.com/markv9401/pfsense-w-graylog
-
haddent
addikt
válasz Véreshurka #353 üzenetére
1. Ha egyedi portokról van szó és látni szeretnél ilyesmit, hogy 1234 helyett azt írja, hogy "Véreshurka_srv" akkor igen, szerintem, bár ebbe én nem mentem bele, nem szeretem az aliasokat
2. - 3. Azt hiszem abban a content packban opn és pf is benne van -
haddent
addikt
Természetesen, a pfSense valóban csak egy BSD + egy jó gyűjtemény pl Suricata stb.
Hogy jobb-e, azt nem tudom. Én előtte évekig ezt csináltam, csak nem BSD hanem Linux -szal meg iptables -sel. Jó azt is tudni és átlátni, de napi szinten, akár csak otthoni mértékben is de nagyobb rendszert fentartani, hát úgy annyira nem már Az is kérdés, hogy mennyire nulláról indulsz? Láttál-e már tűzfalat meg úgy az egész internet architektet átlátod-e alapszinten. Ha nem akkor még a gui is sok leszelsőre, nem egy bsd nesze. Szóval ezek alapján te döntesz, mi való nekedR̲e̲m̲ ez új.. látatlanban sajnos nem is tudnék semmit mondani rá. Ha nem sikerül és számodra elfogadható VPN -en keresztül szívesen megnézem, több szem többet lát
-
haddent
addikt
Mindkettő IPS detection tool. Mélyebben nem tudom mi a különbség, de a Suricata (a pfsense -es is) tudja és használja is a snort ruleokat is
Véreshurka szerintem nem virtualizációs probléma, egyszerűen nameserver gond. A pfSense -ben a DHCP server kiküldi a nameservert? (Services ->DHCP server, lap közepe DNS Servers, legyen kitöltve) Választhatod azt, hogy kiküldöd a külső pl 1.1.1.1 vagy 8.8.8.8, vagy küldheted saját magát, a pfSense -t, de akkor a pfSense -nek legyen megadva egy upstream a generalban és legyen engedélyezve a dns forwarding is (az is services)
[ Szerkesztve ]
-
haddent
addikt
válasz Véreshurka #372 üzenetére
Arra gondoltam, igen. Hát őő, fogalmam sincs, hogy hogy megy? Gondolom amint a forwardingot engedélyezted automatikusan kitölti a DHCP server saját magával, ha üresen hagyod, ez a legerősebb tippem. Vagy valamelyik IP protokoll alapján és/vagy önkényesen az oprendszerek alapból a DHCP servert szolongatják DNS -ként, ha külön másként nem kapják utasításba, hogy őszinte legyek erről fogalmam sincs, de biztosa kettő közül valamelyik, csodák nincsenek Épp a "csodák" elkerülése végett szeretem explicit kifejezni mit akarok, ezért nálam a DHCP server megfelelő sorai ki vannak töltve
R̲e̲m̲ elméletileg lehetséges, persze, csak nem tudom mi lenne a gyakorlati haszna? Lehet, hogy 127.0.0.1 küld ki a DHCP mint DNS resolver.. Neked is ugyanezt tudnám javasolni, amit lehet azt explicit módon definiálni, hogy ilyenek ne történjenek Linuxon vagy látom, ott a legegyszerűbb a
cat /etc/resolv.conf
-
haddent
addikt
válasz Véreshurka #385 üzenetére
Azt gyanítom, hogy ez a box itthon, cégektől levedlett múlttal az eladó kezében vált pfSense box-szá, tehát így nem kínai backdoor, szerintem De persze, ilyen dolgokat (is) mindig jó, ha te magad friss, saját isoból rakod fel
-
haddent
addikt
Hát erre ennyit tudok frappánsan, röviden: https://stallman.org/intel.html
Meg ahogy Qui-Gon Jinn mondta, mindig van egy nagyobb hal -
haddent
addikt
Minden gond nélkül megoldható, nálam is így van
De van némi előfeltétele, valahogy el kell tudd szeparálni a hálózatokat. VLAN tökéletes megoldás, de ehhez a pfSense -t futtató gép NIC -jének tudnia kell a VLAN tagginget.
Ha ez megvan, akkor vagy managelhető switch kell (amin tud portokra VLAN -t natívban kirendezni), vagy nem managelhető, de olyan amin a VLANok sértetlenül átmennek ettől függetlenül. Ekkor viszont a WiFi AP -nak kell tudnia a VLAN tagginget. Tehát vagy switch szinten választod szét és a switch portok külön-külön VLAN -ok, de natívban, vagy a "buta" switchre ráküldesz egy trunk -ölt cuccot, natívban a sima hálózattal és egy VLAN -ban a VPN cuccod és a WiFi AP -d szemezi ki magának a megadott VLAN -t.
Vagy bónusz megoldás ahogy nálam van, hogy a switch és a wifi ap is kezeli, ezért egészen a wifi ap is trunk portot kap és van egy rendes itthoni wifi hálózat meg egy "dirty" vpn hálózat is wifiből -
haddent
addikt
Az tökéletesen hangzik, akkor pfSense -en megcsinálod a vlanokat a pfSense -en a lan portra (ekkor alapból a lan porton a natív vlan a sima lan és taggelve küldi a többit), így switchen minden port lan lesz, kivéve amit átállígatsz majd a vlan felvétele után, hogy natívan a vpn legyen, oda dugod a wifi ap és elvileg kész és megy
Na meg ha már managelt switch akkor unalmadban megcsinálhatod ami nálam szintén megy, hogy LACP / LAGG -vel van felkötve a pfSense -re, azaz 2x1GBit -en Sajnos 1 stream továbbra is csak 1Gbit/s tud, viszont pl lan és vpn már nem fog egymás gigájból lopni, nem mintha az kevés lenne, de miért ne[ Szerkesztve ]
-
haddent
addikt
Abszolut semmi. Azt tudom (és igen, van elfogultság a hangomban, de megalapozottan. nem fanboyság, oda húzok ami jó nekem, ennyi ), hogy a kvm/qemu -nál többet fog enni bármelyik másik virtualizáció. Alapvetően manapság már nem kellene, hogy egyik virtualizációtól is számottevően sokkal sokkal több erőforrást egyen bármi. Amire figyelj, hogy hardveres hálókártya támogatás megmaradjon, különben nem fair összehasonlítás.
Én egyébként azt hiszem 1-2GB rammal meg 1 cpu -val használtam virtualizálva is, vpn is ment meg minden egyéb hibátlanul. Egyedül az IPS szabályok aktiválásával vált szükségessé 3 magra emelni, 4 már nem kellettMásik kérdésedről szintén fogalmam sincs sajnos. KVM -nél biztosan átadhatsz bármit is natívan, konkrétan odáig lemenve, hogy 1-1 teljes pci lane -t odadobhatsz amit bootkor a host OS leválaszt, ellök magától és fogalma sincs róla, azon felül, hogy a guest tudja hol keresse. Nem látom akadályát és elég vicces lenne, ha a nagy fizetős menő esxi meg társai ezt ne tudnák, szerintem.
-
haddent
addikt
Szerintem semmivel nem bonyolultabb, sőt. Melóban mi hyperv + esxi használunk, hát előbbi egy ideggörcsrángás a 26 felugrós windowsos ablakos guis hányással, amit nem lehet konfigurálni, mert majd ő jobban tudja bezony, utóbbi meg ugyanez csak megspékelve webes elavult felülettel. A kvm, ahogy én használom, legalább őszintén cli + vim
Egy rövid példa kedvcsinálónak saját logoutból, ha érdekel: https://logout.hu/cikk/diy_x86_gateway_v2/elokeszuletek.html
[ Szerkesztve ]
Új hozzászólás Aktív témák
- Magga: PLEX: multimédia az egész lakásban
- Azonnali VGA-s kérdések órája
- Windows 11
- Székesfehérvár és környéke adok-veszek-beszélgetek
- Facebook és Messenger
- Autós topik
- Mozilla Firefox
- HP notebook topic
- Azonnali informatikai kérdések órája
- A Gigabyte is visszaveszi alaplapjainak alapértelmezett tuningját
- További aktív témák...
- LG NanoCell 55NANO766QA Halvány píxel csík
- Philips 58PUS8545/12 1 ÉV GARANCIA Játék üzemmód
- Tyű-ha! HP EliteBook 850 G7 Fémházas Szuper Strapabíró Laptop 15,6" -65% i7-10610U 32/512 FHD HUN
- Bomba ár! HP EliteBook 840 G5 - i5-8G I 8GB I 128GB SSD I 14" FHD I HDMI I Cam I W10 I Gari!
- The Last of Us Part I Ps5