Я почти 2 месяца сижу на 11-ке, и жду выхода 10-ки 21H2 чтоб на нее перелезть, если там будут работать GUI приложения из-под WSL. 11-ка меня все еще бесит, хоть и привык к ней. Такое ощущение что я с андроида пересел на айфон - все урезанное и не такое многофункциональное как было...
Если бы было совсем плохо, я бы переустановил на 10-ку. А так, "достаточно плохо", поэтому если спросишь у меня, я однозначно скажу не переходить на 11-ку. Если в Win10 21H2 будут работать GUI приложения из WSL, я не задумываясь на нее перейду
Имхо. Я бы даже в вводной статье делал минимизации конструкций, чтоб новички изначально учились делать правильно. Так сказать воспитание с детства :)
Насчет сложности редактирования не согласен. Да, не так просто просто как сделать один delete, например, но все же считаю правильным стараться минимизировать количество правил.
Для удаления, например, 80-го придется сделать две команды:
ipfw delete 100 ipfw add 100 allow tcp from any to me 22, 443 in via em0 keep-state
Так это и есть фильтры трафика на 2-4 уровнях osi, а значит доменных имен нет. Это не L7 фильтры. Если сильно хочется, можно например закостылить что-то в стиле сценария который резолвит ip'ы по доменным именам, и динамически добавляет в нужные таблицы
$cmd 000100 allow tcp from any to me 80 in via $eif $ks $cmd 000110 allow tcp from any to me 443 in via $eif $ks $cmd 000120 allow tcp from any to me 22 in via $eif $ks
По хорошему заменяется одним
$cmd 000100 allow tcp from any to me 22, 80, 443 in via $eif $ks
ipfw мощная штука, на фряхе многие до сих пор строят програмные маршрутизаторы, включая интернет провайдеров.
Пример в статье очень банально простой, для совсем новичков. Но я с ним не согласен, я бы сразу всем объяснял что нужно правила оптимизаировать, заставлять пакеты проходить минимальный набор правил, только те правила котоые ему нужны, а не все скопом - афектит перформанс на сильно нагруженных системах. Для этого есть такие вещи как tablearg skipto, на основе которого разделяешь пакеты по in/out на каждом интерфейсе отдельно. Получаешь отдельные наборы правил на вход/выход пакетов каждого интерфейса отдельно, как на вендоровских железках. Если интересно, приведу пример с одного из своих маршрутизаторов :)
Ну и нужно не забывать о netgraph в freebsd, который, похоже, все так же остается самой сильной сетевой подсистемой которую люди изобрели. На нем можно сделать что угодно ;)
KEA DHCP. Один из примеров на моей практике. Гуйный файрволл удобный, но после чистого ipfw не понимаю как можно гуем полбзоваться для файрвола. Ну и конфигать квагу из cli намного понятнее и приятнее нежели из гуя.
Но это все привычки и вкуса. Хорошо что в гуе pfsense почти все предусмотрели
Ага, долгое время сидел на "вашем" pfsense и всем рекламировал, и в итоге перешел на чистую FreeBSD с IPFW) Причина - полный контроль и тюнинг всего что хочу, гибкость и отсутствие рамок в которых ты должен использовать специфичный гуй. Больше к нему не вернусь. Хотя дома у меня машрутизатор на opnsense :)
Ну вот если в 21H2 не будет гуй поддержки wsl, то скорее всего попробую x-server. Надеюсь с ним не будет много мороки подружить с wsl
Я почти 2 месяца сижу на 11-ке, и жду выхода 10-ки 21H2 чтоб на нее перелезть, если там будут работать GUI приложения из-под WSL. 11-ка меня все еще бесит, хоть и привык к ней. Такое ощущение что я с андроида пересел на айфон - все урезанное и не такое многофункциональное как было...
Если бы было совсем плохо, я бы переустановил на 10-ку. А так, "достаточно плохо", поэтому если спросишь у меня, я однозначно скажу не переходить на 11-ку. Если в Win10 21H2 будут работать GUI приложения из WSL, я не задумываясь на нее перейду
Ради запуска двух приложений менять винду на линух и в итоге получить больше мороки на голову? Нет, я не извращенец :)
Главное чтоб в wsl добавили поддержку gui приложений, из-за которого я перешел на инсайдер и получил случайно win11 которую хочется выкинуть и сжечь
Имхо. Я бы даже в вводной статье делал минимизации конструкций, чтоб новички изначально учились делать правильно. Так сказать воспитание с детства :)
Насчет сложности редактирования не согласен. Да, не так просто просто как сделать один delete, например, но все же считаю правильным стараться минимизировать количество правил.
Для удаления, например, 80-го придется сделать две команды:
ipfw delete 100ipfw add 100 allow tcp from any to me 22, 443 in via em0 keep-state
Так это и есть фильтры трафика на 2-4 уровнях osi, а значит доменных имен нет. Это не L7 фильтры. Если сильно хочется, можно например закостылить что-то в стиле сценария который резолвит ip'ы по доменным именам, и динамически добавляет в нужные таблицы
Три правила
$cmd 000100 allow tcp from any to me 80 in via $eif $ks$cmd 000110 allow tcp from any to me 443 in via $eif $ks
$cmd 000120 allow tcp from any to me 22 in via $eif $ks
По хорошему заменяется одним
$cmd 000100 allow tcp from any to me 22, 80, 443 in via $eif $ksipfw мощная штука, на фряхе многие до сих пор строят програмные маршрутизаторы, включая интернет провайдеров.
Пример в статье очень банально простой, для совсем новичков. Но я с ним не согласен, я бы сразу всем объяснял что нужно правила оптимизаировать, заставлять пакеты проходить минимальный набор правил, только те правила котоые ему нужны, а не все скопом - афектит перформанс на сильно нагруженных системах. Для этого есть такие вещи как tablearg skipto, на основе которого разделяешь пакеты по in/out на каждом интерфейсе отдельно. Получаешь отдельные наборы правил на вход/выход пакетов каждого интерфейса отдельно, как на вендоровских железках. Если интересно, приведу пример с одного из своих маршрутизаторов :)
Ну и нужно не забывать о netgraph в freebsd, который, похоже, все так же остается самой сильной сетевой подсистемой которую люди изобрели. На нем можно сделать что угодно ;)
KEA DHCP. Один из примеров на моей практике. Гуйный файрволл удобный, но после чистого ipfw не понимаю как можно гуем полбзоваться для файрвола. Ну и конфигать квагу из cli намного понятнее и приятнее нежели из гуя.
Но это все привычки и вкуса. Хорошо что в гуе pfsense почти все предусмотрели
Ага, долгое время сидел на "вашем" pfsense и всем рекламировал, и в итоге перешел на чистую FreeBSD с IPFW) Причина - полный контроль и тюнинг всего что хочу, гибкость и отсутствие рамок в которых ты должен использовать специфичный гуй. Больше к нему не вернусь. Хотя дома у меня машрутизатор на opnsense :)
На серверах - Debian
На десктопе - Windows + WSL
На программных маршрутизаторах - FreeBSD
Мой состоявшийся набор)