размышления про мини-файрволлы

[iskatel]

..Cisco - очень дорогая компания, продает очень недешевые железки. Но.. вот есть младший файрволл asa 5505. 400$ с ограниченной лицензией, за 500 уже на 50 маков внутри или анлим, 3 интерфейса, внутри 500мгц АМД Geode (+ отдельный проц для vpn) , 64flash + 256 памяти расширяемые. мини-свитч, те. 8 портов.
Навороченная (я про 8.0.х) прошивка, разве что нет ни аккаунтинга, ни логгирования трафика, и qos с закосом под ios - для нарезки полос офисным потребителям не очень удобно.Отдельный проц для vpn .
Мини-роутеры с дрянными прошивками, с кислыми потугами вливания туда свежей крови OpenWrt - совсем не сахар. Это я молчу про их мизерную память и дохлые процы.
А теперь найдите мне в продаже мини-комп для мини-сервера , чтобы туда Линукс поставить, и чтобы оно жрало не как РС-сервер, а как мини-железка, и на столе стояло иль на стенку повесить. Фиг, не найдете. И не надо в ееерс тыкать - там 1 эзернет, в теории можно поставить перед ним маленький свитч на 5 интерфейсов с вланами (надежность под вопросом - слетел конфиг и все идет нафиг), но гм, все равно фиговое решение.
зы. Я вообще двумя руками за Unix файрволлы как сверхгибкие и позволяющие что угодно сделать, их и ставлю.

Comments

[kot-begemot.livejournal.com]

Cisco для бедных (т.е. за человекообразные деньги) - это Linksys.
Компания та же, железо то же, софт тот же, только называется по-другому.

[iskatel.livejournal.com]

Ты видимо, совсем не в теме.
>>Компания та же,
Ну разве что потому, что Linksys куплен Циской.

>> железо то же,
полный гон. Другое там железо, полностью другое. (Обрати внимание, что я сравнивал. Может какой-нить Aironet и похож.)

>> софт тот же
Абсолютно разный софт.

Linksys хорош, особенно его аналоовые voip железки. Но.. сравнивать его с pix-asa более чем некорректно.

[blacklion.livejournal.com]

А теперь найдите мне в продаже мини-комп для мини-сервера , чтобы туда Линукс поставить, и чтобы оно жрало не как РС-сервер, а как мини-железка, и на столе стояло иль на стенку повесить.
soekris 5501 в стандартном для него корпусе + их же 4-х портовая плата — всего 8 портов будет как раз. Ну да, всё вместе — те же 400 баксов, но памяти там 512, флэш там любой компакт-флэш и при желании в тот же корпус встаёт ноутбучный винт.

[blacklion.livejournal.com]

http://www.soekris.com/net5501.htm
http://www.soekris.com/lan16x1.htm

Засада одна — оно всё будет 100-мегабитным :(

[deka.livejournal.com]

Интересно. А здесь что-нибудь подобное продаётся?

[blacklion.livejournal.com]

Плохо и медленно и по европейским ценам.

[iskatel.livejournal.com]

>>Плохо и медленно и по европейским ценам.

и без гарантии скорее всего.
Нафиг.

[deka.livejournal.com]

А где? ;) "По европейским" -- это со стопроцентной наценкой поди?

[blacklion.livejournal.com]

http://www.toxahost.ru/openbsd.html
https://kd85.com/soekris.html

[iskatel.livejournal.com]

Гм. Штука в том, что для файрволла этого более чем достаточно (хотя, к примеру, для 10Мбит Ipsec может не хватить, а как там работает их vpn карта - черт знает).
Для Ip-pbx 500 Мгц.. Ну, по минимуму хватит. Если не перекодировать много, если конференций не плодить (для ~десятка участников хватит).
(кое-что вспомнив)
не, 10Мбит Ipsec должен переварить без проблем.

[blacklion.livejournal.com]

Как работает их vpn-карта — легко почитать, так как они не скрывают, на каком чипе оно сделано.

[iskatel.livejournal.com]

Гм. Судя по http://www.bsdforen.de/showthread.php?t=7987&pp=15&page=2
10 Мбит (20Мбит в чистом openssl тесте) aes128 потянет даже 4801 с 266мгц national/geode/ sc1100.

[blacklion.livejournal.com]

Одно плохо — полноценный PBX не сделать, Дигиумовскую карту туда не впихнуть, питания не хватит.

[blacklion.livejournal.com]

Покажи дешёвый шлюз 1xFXO, 2xFXS…

[iskatel.livejournal.com]

диджиум идет на. Спасибо, я уже имел дело с Крониксом, это была одна из первых инсталляций с их картой в качестве обработчика Е1 для *. В общем, плохая это идея, картами такие вещи делать. Лучше отдельные медиа-шлюзы.
Благо они нынче не столь уж и дорогие.
------
разве что там, где хотят 1-4 Е1 и совсем по дешевке. Но - будьте готовы к немалому траху.

[iskatel.livejournal.com]

>>те же 400 баксов
это плата+коробка+БП ? и самим собирать ?
+ заказывать черт-те откуда. + доставка. Неоправданно дорого.

[blacklion.livejournal.com]

Плата + коробка будут собраны, сетевушку вставишь сам, цены ты видишь. БП стоит $20/20&Euro;, но можно купить подходящий дешевле в любом магазине электроники (компонентов, а не бытовой техники) — там простые требования 12 вольт, 1 ампер.

В Питер возит один человек по европейским ценам с бесплатной доставкой под заказ…

[iskatel.livejournal.com]

Гм, 200-250евро без доставки. 4 eth в общем как-бы достаточно..
Вот сделают китаезы на их Geode MIPS-овом скоро то же самое, но по другой цене.

[blacklion.livejournal.com]

Geode MIPS-овом скоро то же самое, но по другой цене.
MIPS нах. Кривеет платформы в смысле тулчайна и дистрибутивов линукса я не видел.

[iskatel.livejournal.com]

Гм. Раньше был Дебиан.
как минимум - http://www.debian.org/ports/mips/
"Debian GNU/Linux 4.0 (etch) supports the following machines:
SGI Indy with R4x00 and R5000 CPUs, and Indigo2 with R4400 CPU (IP22).
SGI O2 with R5000 CPU (IP32).
Broadcom BCM91250A (SWARM) evaluation board (big and little-endian).
Broadcom BCM91480B (BigSur) evaluation board (big and little-endian).
Cobalt Qube and RaQ.
Digital DECstations."

не знаю, как там с китайскими процами.. но в Китае на них ставят линуксы, + теперь там эмуляция х86.

[blacklion.livejournal.com]

Ну, ксли оно теперь работает out of box — хорошо. Я в своё время имел море секса по сборке софта для Agenda VR3 (это был такой линукс-PDA на NEC VR41xx, т.е. на MIPS). Тулчайн был фактически только бинарный доступен (т.е. на FreeBSD сделать хост, например, — фиг), потому что найти нужную версию egcs (!) и приложить к ней полсотни патчей в нужной последовательности было практически нереально.

[iskatel.livejournal.com]

ну, если сказано - линукс, то нечего обижаться, что нельзя поставить bsd.

[blacklion.livejournal.com]

Я не собирался ставить FreeBSD! Я всего лишь хотел кросс-компилятор собираемый, а не в виде кучи бинарного говна сливаемого в /opt без вариантов.

Ещё раз: я хотел собрать кросс-компилятор (тулчейн, на деле) с host=freebsd-i386 и target=mipsel-linux. И это была нерешаемая задача. При этом с target=(arm|m86k|win32|msp430) у меня таких проблем в те годы не вызывало. Как и сборка ядра линукса под некоторые из этих платформ на FreeBSD. Это решалось просто. А вот mipsel-linux сопротивлялся до последненго, начиная с кривых патчей на компилятор и кончая проблемами сосборкой ядра.

К тому же, именно по этому мне не интересен MIPS — иначе я бы давно купил Asus W500GL какой-нибудь с его OpenWRT. Именно потому что я хочу FreeBSD :)

[iskatel.livejournal.com]

>> иначе я бы давно купил Asus W500GL какой-нибудь с его OpenWRT.

Слабый проц, мало памяти, глючноватая платформа. и это.. OpenWRT - обрезанный линукс. Не все там соберешь и поставишь.