abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 18:55 | Nová verze

Byla vydána nová stabilní verze 1.9 (1.9.818.44) webového prohlížeče Vivaldi (Wikipedie). Z novinek vývojáři zdůrazňují podporu nového vyhledávače Ecosia. Ten z příjmů z reklam podporuje výsadbu stromů po celém světě (YouTube). Nově lze přeskupovat ikonky rozšíření nebo řadit poznámky. Nejnovější Vivaldi je postaveno na Chromiu 58.0.3029.82.

Ladislav Hagara | Komentářů: 3
včera 17:00 | Nová verze

Byla vydána verze 3.7.0 svobodného systému pro správu obsahu (CMS) Joomla!. V oznámení o vydání (YouTube) se píše o 700 vylepšeních. Opraveno bylo také 8 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 0
včera 08:22 | Komunita

Grsecurity (Wikipedie) je sada bezpečnostních patchů pro linuxové jádro (porovnání se SELinuxem, AppArmorem a KSPP). Od září 2015 nejsou stabilní verze těchto patchů volně k dispozici. Dle včerejšího oznámení (FAQ) nejsou s okamžitou platností volně k dispozici už ani jejich testovací verze.

Ladislav Hagara | Komentářů: 32
26.4. 23:33 | Komunita

OpenBSD 6.1 vyšlo již 11. dubna. Po dvou týdnech byla vydána i oficiální píseň. Její název je Winter of 95 a k dispozici je ve formátech MP3 a OGG.

Ladislav Hagara | Komentářů: 0
26.4. 18:55 | Nová verze

Byla vydána verze 2017.1 linuxové distribuce navržené pro digitální forenzní analýzu a penetrační testování Kali Linux. S vydáním verze 2016.1 se Kali Linux stal průběžně aktualizovanou distribucí. Aktualizovat jej lze pomocí příkazů "apt update; apt dist-upgrade; reboot".

Ladislav Hagara | Komentářů: 0
26.4. 18:22 | Nová verze

Po téměř pěti letech od vydání verze 2.00 byla vydána nová stabilní verze 2.02 systémového zavaděče GNU GRUB (GRand Unified Bootloader). Přehled novinek v souboru NEWS.

Ladislav Hagara | Komentářů: 15
26.4. 17:55 | Komunita

Vývojáři Debianu oznámili, že od 1. listopadu letošního roku nebudou jejich archivy dostupné pomocí protokolu FTP. Již v lednu oznámil ukončení podpory FTP kernel.org (The Linux Kernel Archives).

Ladislav Hagara | Komentářů: 23
26.4. 17:00 | Bezpečnostní upozornění

V oblíbeném webmailu postaveném na PHP SquirrelMail (Wikipedie) byla nalezena bezpečnostní chyba CVE-2017-7692, jež může být útočníkem zneužita ke spuštění libovolných příkazů a kompletnímu ovládnutí dotčeného serveru. Zranitelnost se týká pouze instancí, kde je pro transport používán Sendmail.

Ladislav Hagara | Komentářů: 3
26.4. 13:11 | Zajímavý článek

Soudní dvůr Evropské unie rozhodl (tisková zpráva) ve věci C-527/15: Prodej multimediálního přehrávače, který umožňuje zdarma a jednoduše zhlédnout na televizní obrazovce filmy protiprávně zpřístupněné na internetu, může představovat porušení autorského práva.

Ladislav Hagara | Komentářů: 32
25.4. 13:33 | Pozvánky

Byly stanoveny termíny konferencí LinuxDays 2017 a OpenAlt 2017. Letošní LinuxDays proběhne o víkendu 7. a 8. října v Praze v Dejvicích v prostorách FIT ČVUT. Letošní OpenAlt proběhne o víkendu 4. a 5. listopadu na FIT VUT v Brně.

Ladislav Hagara | Komentářů: 0
Chystáte se pořídit CPU AMD Ryzen?
 (4%)
 (35%)
 (1%)
 (6%)
 (45%)
 (9%)
Celkem 327 hlasů
 Komentářů: 50, poslední včera 04:06
    Rozcestník

    Dotaz: OpenBSD firewall VPN hardware

    13.8.2013 16:48 mipam007
    OpenBSD firewall VPN hardware
    Přečteno: 2319×
    Zdravím!

    vybírám hardware pro VPN firewall, který bude obsluhovat 5 uživatelů, přičemž počet uživatelů by se neměl do jednoho až dvou let přehoupnout přes 10 uživatelů. Hledám nějaké non-vendor-lock řešení.

    Hlavními parametry,
    1) nízká spotřeba
    2) 2x 1Gbps ethernet
    3) OpenBSD podporované

    Našel jsem např. tyto hotové krabice:

    http://www.calyptix.com/portfolio/ae1200/
    http://www.applianceshop.eu/index.php/firewalls/opnwall/desktop-editions/opnwall-m0n0wall-appliance.html
    http://soekris.com/products/net4501-1.html

    Jsou to zahraniční e-shopy, rád bych to pořídil z ČR. Nemusí to být hotové řešení, možné poskládat.

    Např. http://www.lan-shop.cz/supermicro-mbd-x9sbaa-f-o-x9sbaa-f-159032 nevypadá špatně, ale
    a) je to OpenBSD podporované?
    b) je to dostatečně výkonné?
    c) fakt drahé!

    Potřeboval bych se nějak odrazit. Nemáte někdo tipy jak to řešíte?


    Řešení dotazu:


    Odpovědi

    13.8.2013 22:44 NN
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
    2xGbps je pro 10 lidi fakt podminka.. co nejaky routerboard, alix etc.
    14.8.2013 09:06 iji | skóre: 29
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
    14.8.2013 10:12 mipam007
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
    Toto vypadá úplně suprově. Díky moc za tip!

    Nemáte někdo zkušenost s tím, že byste tam rvali právě OpenBSD?
    Řešení 1× (mipam007 (tazatel))
    14.8.2013 10:17 iji | skóre: 29
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
    Osobne ne, nicmene dle tohoto vlakna OpenBSD funuje. Ubiquiti si nedela hlavu s tim, jaky OS na jejich hardware bezi a nehaze zbytecne klacky pod nohy (EdgeOS je konec koncu upraveny Debian).
    14.8.2013 10:38 mipam007
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
    díky moc za rady!
    14.8.2013 10:53 mipam007
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
    jak na potvoru maji vypadek :)

    Connection closed by remote server

    You tried to access the address http://www.i4wifi.cz/, which is currently unavailable.
    14.8.2013 10:09 mipam007
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
    díky, na Alixy jsem koukal, ale nenašel jsem je právě nikde u nás.
    14.8.2013 10:12 iji | skóre: 29
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
    14.8.2013 10:22 mipam007
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
    hej začínám být vyhledávací lůzr :( díky moc chlapi!
    3.9.2013 11:06 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
    Alix ma pro VPN vyhodu v tom, ze ma (v Linuxu podporovany) hardwarovy akcelerator AES (ale jen 128bit klice), ma jen 100 Mbps rozhrani, ale tech 100 Mbps v pohode uroutuje.

    EdgeRouter ma udajne taky hw akceleraci AES, ale asi zatim neni podporovana. Ma (podporovanou s dodavanym jadrem) hardwarovou akceleraci routovani, s kterou uroutuje ten 1 Gbps, pokud ale chces firewall, tak ji musis vypnout a normalne uroutuje cca 600 Mbps.

    Jinak pro vykonne VPN by byla dobra nejaka deska s Via C3, tamni akcelerace AES je vyborna, ale nevim, zda delaji nejake s 2x gigabit ethernetem (a jsou drazsi).
    14.8.2013 10:00 kolaCZek
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
    Juniper..? :-D
    14.8.2013 10:12 mipam007
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
    mno, tolik peněz nemám :) a navíc, tam je pod kapotou FreeBSD a né OpenBSD :)
    14.8.2013 13:19 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware

    Pro OpenBSD by člověk musel sehnat jednoprocesor, protože ta hromada hnoje nic jiného nepodporuje. V případě SMP totiž používá Giant Lock. O dostatečném výkonu tedy nemá smysl uvažovat — s OpenBSD bude každý současný hardware nevyužitý. Kromě toho je OpenBSD známé nedostatečným zabezpečením, které se do 21. století příliš nehodí.

    Ač otázka takovou variantu nepřipouští, :-) když už to musí být něco z rodiny *BSD, já osobně bych volil FreeBSD (a vybíral hardware podle něj, což dává nesrovnatelně víc možností). FreeBSD je systém o mnoho řádů vhodnější pro každý účel, který prý má údajně splnit OpenBSD. (A pak toho umí ještě spoustu navíc.)

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    14.8.2013 15:45 mipam007
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware

    Odkazy (včetně toho populistického) znám, i přes to děkuji za doporučení a odpověď. Velmi jsem ocenil, jak zde lidi rychle reagují, a hlavně k věci.

    OpenBSD projekt produkuje spoustu kvalitního kódu: OpenSSH, OpenBGPD, OpenNTPD, OpenCVS, OpenSMTPD, OpenIKED, který má své využití, alespoň pro značnou, a poučenou část světa. Proto mně stojí za to, se mu věnovat a vybudovat na OpenBSD infrastrukturu ... i když podle některých osvícenců, již nepatří do tohoto světa :)

    Zvláště pak, možnost stavět infrastrukturu, na základě opravdu svobodného softwaru, pod licencí BSD, je pro mně cennou zkušeností.

    14.8.2013 19:40 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware

    Jaká škoda, že v té naší naší hektické době máme takový nedostatek vhodných (jednoprocesorových) strojů pro OpenBSD... Lepšího hardware je pro OpenBSD poněkud škoda.

    Projekt OpenBSD v širším slova smyslu jistě přinesl spoustu dobrého kódu. S tím souhlasím. Ovšem nic to nemění na faktu, že operační systém OpenBSD stojí za houby. Budovat síťovou infrastrukturu na něčem, čemu ani neběží routing a firewall vícevláknově, či na něčem, co se nezmůže na RBAC, mi opravdu připadá jako z jiného světa. :-)

    Musím ale souhlasit v jedné věci: OpenBSD pro mě bylo vždy zdrojem nesmírně cenných zkušeností. Člověk tam vidí, jak až moc špatný může být operační systém, a o to víc si pak váží jiných open-source projektů, které dělají věci dobře. (A které, pravda, s oblibou používají například to OpenSSH. Jen neusnuly v éře jednoprocesorů a všemocného roota.)

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    14.8.2013 21:27 mipam007
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware

    Člověk, který zcela záměrně mlží, tvrdí něco, co není zcela pravdou, je populistou a demagogem. Popřípadě je ještě možnost, že je to úplný ignorant. Přečtěte si proto o podpoře SMP v OpenBSD - né všechny HW platformy jsou podporovány - to asi žádným OS - ale OpenBSD rozhodně patří mezi ty, co SMP podporujou.

    Pokaždé, když šáhnu na nástroj z dílny OpenBSD, je za a) plně zdokmunetovaný v manuálových stránkách, včetně všech parametrů, a za b) funguje. Pomocí příkazu IFCONFIG(8) nastavím veškerou síť, včetně té bezdrátové. Nemusím používat ani ifconfig, ani ip, ani iw{cosik}, stačí mi jen ifconfig. Je možné virtualizovat routovací tabulku/rdomains - a nemusím kupovat JunOS nabo iOS.

    Instalace operačního systému je za za 10 minut hotová, včetně webového serveru, přes bgpd, až po ospfd, ftpd, spamd, nebo X serveru pokud si jej člověk mezerníčkem při instalaci ráčí zakliknout. Upgrade na novou verzi s mergem konfiguračních souborů je i se stažením z FTP za 20 min. hotov. Bez jediných chyb.

    RBAC? Co SYSTRACE(1)? Co si myslíte o AUTHPF(8)? OpenBSD přináší dobrý a kvalitní kód, žádné prasácké komentáře uvnitř kernelu, žádné hnusy z lenosti nebo z nedbalosti nebo proto, že se nestíhá.

    NetBSD frčí na 49 HW platformách. Microsoft má pod palcem všecky hry a největší softwarové giganty jako je SAP, BMC, Oracle se svým Hyperionem a já nevím co eště. Vypovídá to o kvalitě? Myslím, že ne.

    30.8.2013 02:27 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware

    OpenBSD má v kernelu Giant Lock. Tečka. Jistě běží na SMP systémech. Ano, procesy, které jsou zrovna náhodou v user mode, tam poběží na více procesorech paralelně. Nicméně Giant Lock tam prostě je. Takže OpenBSD nemá podporu pro SMP, která by jakkoliv byť jen vzdáleně odpovídala dnešním standardům.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    3.9.2013 10:59 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
    Je možné virtualizovat routovací tabulku/rdomains - a nemusím kupovat JunOS nabo iOS.

    BTW, tohle Linux umi odedavna (a ma to podstatne pruznejsi nez OpenBSD).
    16.8.2013 22:54 tukan
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
    To je zase matení lidi co o problematice vůbec nic netuší. Uvedený dokument o SMP je na platformu SGI(ostatní platformy dokument nebere v úvahu), což si troufnu odhadnout příliš lidí zde diskutujících nemá.

    Zabezpečení je celek a ten odkaz zase pouze uvádí věci z jednoho úhlu a technologie. Věci se dají dělat jinak a i fungují. Je velmi úsměvné tvrdit o OpenBSD, že je nedostatečně zabezpečeno. Ověřování kódu je u tohoto projektu velmi striktní a proto se některé vymoženosti dostávají do -current trochu později. Kdyby se takhle pečlivě vyvíjelo jidne, tak by bylo mnohem bezpečněji na poli OS.
    17.8.2013 20:37 mipam007
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
    Jen bych doplnil, že "bezpečnostní" technologie jako je SELinux, RBAC, podporované NSA, mně dost zneklidňují.
    28.8.2013 16:48 tukan
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
    Ještě mě napadlo, že bych měl citovat pro release 5.2 - (November 1, 2012) "in this release is the replacement of the user-level uthreads by kernel-level rthreads, allowing multithreaded programs to utilize multiple CPUs/cores."

    Takže doporučuji více číst a méně psát na fóra.
    28.8.2013 18:13 mipam007
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
    mám pocit, že Andrej (a další příznivci jednoho jediného OS), už stejně neslyší... fičí totiž ve svém rychlíku zvaném Linux.

    30.8.2013 02:21 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware

    Nevím, kdo je tady příznivcem jednoho jediného OS... Z těch asi čtyř, které znám podrobněji (a ano, Linux je jedním z nich), ani jeden nemá Giant Lock. No, vlastně s OpenBSD jsem se taky kdysi musel podrobněji seznámit, ale to by jeden zvracel.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    30.8.2013 02:19 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware

    A já doporučuji přečíst si (několikrát), co je to Giant Lock a teprve poté psát jakékoliv příspěvky na toto téma.

    OpenBSD samozřejmě podporuje a využívá SMP, dokud procesy běží v user-space. (A nikde jsem ani půlkou slova netvrdil opak.) Na druhé straně má ovšem Giant Lock, tj. v podstatě nemá vícevláknový kernel. Tedy cokoliv, co intenzivně využívá systémová volání (například síť, že ano...), prostě není škálovatelné. Takže od určitého throughputu a počtu síťových karet (velmi malého) se prostě OpenBSD nehodí ani jako router.

    Že OpenBSD před releasem 5.2 nepodporovalo ani běh vícevláknového programu na více procesorech (tj. SMP fungovalo jen na úrovni celých procesů) a že se jejich kernel z těchto sraček vyhrabal až v roce 2012, to jsem nevěděl. Fujtajbl! :-D Něco až tak špatného bych vůbec nečekal. Vždy jsem měl za to, že alespoň user space na OpenBSD běží na více procesorech, dokud nepotřebuje nějaký syscall.

    Ať je to jakkoliv, změna v 5.2 nesouvisí s Giant Lockem v kernelu. V user-space se využívá SMP, ale většina syscallů (a možná nejen syscallů) prostě zamkne celý kernel.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    2.9.2013 17:56 tukan
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
    Máte pravdu, že jsem se poněkud odchýlil od tématu a udal jsem vícevláknové rozšíření místo k tématu Giant Lock a OpenBSD.

    Nic no nemění na faktu, že odkaz na dokument, který jste tu dával je OpenBSD/sgi (k tomu jste se nějak zapoměl vyjádřit). Jak jsem již psal OpenBSD klade důraz na kvalitu kódu a proto se změny implementují pomaleji.

    Abychom věc uvedli na pravou míru. Linuxový vývojáři odstraňoval BKL roky a myslím, že to dotáhli v na konci roku 2011 nebo na začátku 2012 (lze určitě jednoduše dohledat). Do té doby byl linux zajisté naprosto nepoužitelný .)

    Windows, na ty přece nemůžeme zapomenout .), odstraňují BKL až ve windows 7 (ty vycházejí na konci roku 2009).

    Nejlépe je na tom asi FreeBSD, které v průběhu roku 2006 odstraňuje s velké části BKL. (jestli si dobře pamatuji bylo to FreeBSD 5).

    Proč to tady rozepisuji tak podrobně? Z Vašeho černobílého vnímání světa by vyplývalo, že systémy co neodstraní BKL jsou nepoužitelné. To samozřejmně není pravda - jsem celkem jist, že ještě spousty serverů mají systémy s BKL. Pouze, jak správně píšete není škálovatelné pokud systémové volání obsadí procesor. Spousty volání je přeci i nesystémových a ty již škálovatelné jsou.

    Snažil jsem se dohledat BKL na OpenBSD pro všechny platformy a není to vůbec jednoduché - nenašel jsem rozumný link. Jedinou informaci co jsem v současnosti našel je, že OpenBSD 5.1 mělo ještě BKL a na odstranění BKL se postupně pracuje.

    Každopáně zpět k zadání celého tohoto vlákna: " vybírám hardware pro VPN firewall, který bude obsluhovat 5 uživatelů, přičemž počet uživatelů by se neměl do jednoho až dvou let přehoupnout přes 10 uživatelů. Hledám nějaké non-vendor-lock řešení. "

    Opravdu se domníváte, že VPN firewall pro 5-10 uživatelů způsobí naprosté zahlcení rozumně nadimenzovaného systému požadavky díky BKL? Domnívám se, že nikoliv.
    3.9.2013 10:06 ES
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
    Jaky bude pres tu VPN charakter provozu?

    Takova pekna konfigurace na par (i vic) pobocek a jednu centralu kde jsou vsechny systemy:

    Pobocky ALIX.2D13 http://wifi.aspa.cz/alix-2d13-lx800-256-mb-3-lan-1-minipci-usb-rtc-battery-z100246/

    IPSEC (aes-128-cbc) pres akceleraci v GEODE jede 30-35M

    Centrala http://www.supermicro.com/products/system/1u/5017/sys-5017c-lf.cfm

    a to zvladne plnou rychlost sitovek.
    6.9.2013 14:22 mipam007
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
    Nejde o nic velkého. Jeden Windows server/5 RDP uživatelů. Na serveru bude spuštěn účetní program. Chcu zkusit OpenIKED - nemám doposud zkušenost, ale mám zatím dost času.
    9.9.2013 15:34 ES
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
    OpenIKED jsem zatim neskousel takze s nim skusenosti nemam. Na mobilni uzivatele (vetsinou OSX iOS) pouzivam npppd a L2TP/ipsec. RDP taky nepouzivam takze nevim "kolik to zere" ale pocitam ze vic jak 1Mbit na uzivatele to nebude a na to odkazovany ALIX staci v pohode, nebo to supermikro delaji i slabsi. Obecne servrovy HW nema problem a jede jak ma. Desktopovy dela problemy na UEFI, grafikach a pod.
    9.9.2013 17:45 mipam007
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
    Díky moc za informace.

    Já zatím bojuju z OpenLDAP a FreeRadiusem, který bude dostupný na jiném PC. Docela jsem se zasekal s TLS/SSL právě na LDAPu. Jestli máte nějakou radu na co si dát pozor s npppd(8) a L2TP (pokud mi nevyjde OpenIKED), budu moc rád.
    3.9.2013 11:55 tukan
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
    Neuvedl jsem žádné citace, tak to napravuji: "Firstly, despite the recent development for support of multiple processors in the OpenBSD kernel, it still largely operates as if were running on a single processor system. On a SMP system only one processor is able to be running the kernel at any point in time, a semantic which is enforced by a Big Giant Lock. There are portions of the kernel which are not protected by the Big Giant Lock, but they are not relevant to this discussion. The network stack and therefore pfsync still run under the Big Giant Lock."

    Pro více doporučuji čtení: http://undeadly.org/cgi?action=article&sid=20090222155558 (již docela fousatý příspěvek, takže předpokládám, značný posun v před)
    9.9.2013 23:47 mipam007
    Rozbalit Rozbalit vše Re: OpenBSD firewall VPN hardware
    výborné počtení... na téma kampromisů, řekl bych né jen ve světě počítačů.

    marc.info/?l=openbsd-misc&m=135275891129568&w=2

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.