Да пожалуйста. Я ничем не упарываюсь, но зато знаю чем упарываетесь вы — пингвинячим д-м. :) Забористая штука… Но зато я знаю чем вы кончите, если не получите базовых, которые позволят вам двигаться дальше, а не сидеть в жестком вендор-локе — на линаксе. Я с годик назад парочку таких увольнял — в 90-х мужики были неплохими спецами, но… они застряли в 90-х. Потом попали в госконтору, потом госконтору поделили, скинули весь в балласт в приватизируемую часть… Ну и нас пригласили — чтоб удержать все это хозяйство на плаву, до продажи… И слегка поразогнать балласт :)
Запомнились два товарища, оба 50+. Оба — прекрасные специалисты… были… в 90-х. Но получением базовых знаний — не озаботились. Так что покладистый дорабатывает до пенсии кладовщиком, хоть и на складе ИТ, а гоношистый, типа тебя — вылетел по статье.
Это и твоя судьба линаксоид. Хотя ты мне разумеется сейчас не веришь. Но вспомнишь об этом посте, когда время придет. :)
Это ты обратись к Juniper — им таки удалось сделать из фряхи нечто пристойное… Правда ценник там совсем конский, по сравнению с ними кошечки очень недорогие…
Правда есть одно но — если линакс или бсдя используется в какой-то приличной сетевой железке, то наблюдается смешной момент — от их сетевой подсистемы не остается и камня на камне, фактически она реализуется с нуля, а линакс или фряха фактически используются как простейший бутлоадер и набор дров. :)
Снобизм — это у вас, у линаксоидов. Выучили десяток трудно запоминающихся команд, изучили потроха малораспространенной и невостребованной системы с хреновой, а посему — кране запутаной и нелогичной архитектурой — и думаете что вы разбираетесь в ИТ. Вы заблуждаетесь.
Не вы ли писали, что cisco — это сеть, как они сделают, так и будет стандартом. И пофиг на RFC.
Я тут в соседнем посте показал кто пишет RFC — Cisco, Juniper, Lucent… И прочие серьезные производители сетевого оборудования. А не линаксоиды.
Так что по факту для тебя Cisco это и есть RFC. :)
А если купит по ошибке, и за циской линуксы работать не будут, циске задолбают техподдерку и она впилит костыли для поддержки линуксов, бу-га-га.
Нет, это вы напишете патчик, чтоб соотвествовать стандартам, определеными Cisco. Прецеденты уже были. :)
Посмотрите, где вы пишете. Тут вопрос про закрытие WiFi-камер. Сколько нужно сертифицированных инженеров циски, чтобы обезопасить одну WiFi-камеру?
В грамотно сконфигурированной сети эти уязвимости — не работают. :) И остаются чистой теорией.
Полная… в рамках убогого понимания протоколов линаксоидами… До сих пор не забуду спор с одним «kernel hackers», который утверждал что «размер пакета TCP/IP (sic!!!) не может превышать 1500 байт» И эти люди реализуют сетевую подсистему линакса… Верно и полно… Ну да, конечно же!
Ребята, вы — анукеи. Продвинутые, но все равно анукеи. И чтоб вам стать инженерами — вам надо долго и нудно учиться. И начинать с азов, типа того что такое маршрутизация и зачем она нужна. И самое главное — забыть все что вы усвоили «о сетях» из линакса как страшный сон. Изучать сети по линаксу, это все равно что начать изучать программирование с бейсика.
То есть из за уязвимости одного малозначительного и малораспостраненого вендора ( google://mikrotik site:https://tools.ietf.org — аж 26 упоминаний) вы делаете общий вывод «NAT не является средством защиты сети»?
И после этого эти люди говорят о том что у меня — жесткий вендор лок… Ну да, конечно же! :)
Первична — сеть и соответственно — процессы, происходящие в сети. Без их понимания — конкретную железку корректно настроить не получится. Именно потому что она существует не сама по себе, а как часть сети.
Когда попытаетесь управлять хотя бы небольшой сетью, хотя бы — с несколькими десятками маршрутизаторов — поймете о чем я.
А блин… Последняя попытка объяснить — вы в корне неправильно думаете для сетевого инженера. :) Вы рассматриваете что происходит в отдельном устройстве, а это — абсолютно не важно. Надо думать о том что происходит в масштабах сети. Вот когда научитесь думать в масштабах сети — тогда поймете о чем вам говорит сетевой инженер. :)
вы что подразумеваете — не на устройстве отключить, а во всей сети глобально?
Прекратите принимать анонсы сетей — и это будет равнозначно отключению роутинга. По крайней мере это устройство перестанет видеть что в сети существует какой-то роутинг. :)
Посмотрите кто пишет RFC… Это будет внезапно, ога. :)
google://cisco site:https://tools.ietf.org дает примерно 26 000 вхождений.
google://lucent site:https://tools.ietf.org дает примерно 22 500 вхождений.
google://juniper site:https://tools.ietf.org дает примерно 29 400 вхождений.
google://linux site:https://tools.ietf.org дает примерно 3 670 вхождений.
google://microsoft site:https://tools.ietf.org дает примерно 8 090 вхождений.
Это все что надо знать о значимости линакса в области стандартизации интеренетов. :)
Понятно. Видим мир сквозь того как это реализовано в одной ОС с распространенностью ~ 1%
Придется начать с определения…
Маршрутизация (англ. Routing) — процесс определения маршрута следования информации в сетях связи.
В сетях, а не в устройстве!!! По определению!
Более того, я раскрою вам небольшой секрет — передачей пакетов между интерфейсами во всех сетевых устройствах, всех вендоров — это отдельный, коммутационный процесс, forwarding или switching (для L3 Switch).
От этого и танцуйте — от сети, а не от того что происходит внутри устройства. Когда научите так мыслить — можете начинать изучать сетевые протоколы.
Роутинг — передача пакета между интерфейсами устройства без изменения пакета (в отличие от NAT) по определённым правилам, которые могут задаваться либо маршутами, либо ещё как-то.
facepalm.jpg
А ведь я так и знал. :) Даже не знаю и с чего начать, но кратко — ваше определение роутинга в корне не верно. Чтоб это понять ответьте на простой вопрос — что делают все протоголы роутинга, не важно какой — RIP. OSPF, BGP. Какое их назначение? :)
Внезапно, вы вообще в курсе что такое роутинг? Собственно железка может исполнять роль роутера и при этом — не использовать роутинг для маршрутизации пакетов между своими интерфейсами.
Не совсем. Для начала осознай что это средство защиты сети, а не хоста. Теперь представь себе что единственный вариант прохождения пакетов между интерфейсами устройства защиты сети — через NAT, остальные — отключены. И теперь забуть про трансляцию приватных адресов в реальные, не важно — реальные в реальные тоже транслируются. :)
Начинаешь осознавать как это работает? :)
facepalm.jpg
Смешались в кучу кони, люди…
Ты и коммутаторы, и фаерволы, и какие-то сохо-железки, тот же микротык… Опять же Cisco ASA я привожу только как пример девайса для защиты сети, реализация которого основывается на NAT, не более того. В пику глупым утверждением что NAT не обеспечивает защиты — только фаервол. Вот вам — обеспечивает. И получше чем iptables — классический пример негодной реализации фаервола имхо. :)
Все бредовые утверждения «NAT не обеспечивает защиты» основаны на одном-единственном недоразумении — автоматическое создание трансляций. Ну да, наверно это механизм можно как-то надурить — автоматы они глупые. Но пока что все примеры такого обдуривания основаны на весьма специфических условиях, достижимых в лаборатории, но не встречающихся в реальной жизни.
И самое главное — отключите этот механизм, нигде не сказано что он — неотъемлемая часть NAT, и получите прекрасный, очень малоресурсуемкий и надежный механизм защиты сети — NAT. :)
Что в линаксе не получается? Ну так это проблема реализации в одной ОС, занимающей ~1% рынка — то же мне проблема. :)
То есть — вы не являетесь сетевым инженером и не понимаете как строить IP-сети. :) Так рекомендую — послушайте тех, кто разбирается в IP-сетях. :)
Одно прошу, не рассказывайте таки вне сообщества кошководов про NAT, который можно без фаервола.
Вы так ничего и не услышали. А все потому что вы не понимаете что такое NAT и смотрите на него с позиций, основанных на знании убогой и кастрированной реализации оного в линаксе.
Кратко — NAT для ограничения доступа сети надежней фаервола. Потому что если отключить фаервол (например в результате атаки) — сеть станет полностью открытой и доступной, если отключить NAT — сеть станет полностью недоступной. :) Кроме того что он более надежен — он требует меньше ресурсов, а следовательно — в разы устойчив к атакам типа DDoS.
Хотя и это не совсем корректно — современный фаервол это NAT :)
А фильтрация… ну классическая — по протоколу/порту, в современных фаерволах не применяется — это функции возлагаются на трансляцию, как менее ресурсоемкую и более надежную. Фильтрация осуществляется только на основе данных DPI, но это уже ближе к IDS/IPS чем к классическим фаерволам. :) Хотя опять же — классические фаерволы (в понимании линаксоида) в местах где нужна серьезная защита давно не используются, ибо устаревшая, ресурсоемкая и ненадежная технология.
Учитывая контекст в частности и распространенность линуксов вообще
~2/3 активного сетевого оборудования интернета — произведено Cisco. Так что вопрос о распространенности можно считать закрытым — есть IP-сети в понимании Cisco и прочие неверные представления об IP-сетях. :)
Немного оффтопика
Cisco удалось создать уникальную систему сертификации и обучения. Оно не учит работе с оборудованием Cisco — оно учит работе с IP-сетями. Это такой вендор-лок, который им удалось вывести на принципиально иной уровень — ты либо работаешь с сетью так, как считает правильным Cisco, либо… ты не можешь работать с сетью. И абсолютно неважно твое мнение — есть сетевой инженер с сертификатом Cisco и других сетевых инженеров — просто нет. Даже если ты не работаешь с оборудованием Cisco — ты обязан иметь сертификацию Cisco, чтоб тебя называли сетевым инженером. :)
Мне вот кажется, что это в cisco (если конечно верить вашим словам о том, как это там устроено) совершенно зря вместе наворотили то, что наворачивать вместе не надо было.
Может я криво объяснил… но в Cisco это сделано изящно, эффективно и безопасно. В отличие от ужаса под названием netfilter/iptables. Лучше чем слушать мои объяснения, которые я пытаюсь впихнуть в жалкие объемы поста — почитайте доки и запустите образ от ASA в каком-нибуть QEMU — потыкайте в него пальцем. В конце-концов GNS вам в помощь. :)
Запомнились два товарища, оба 50+. Оба — прекрасные специалисты… были… в 90-х. Но получением базовых знаний — не озаботились. Так что покладистый дорабатывает до пенсии кладовщиком, хоть и на складе ИТ, а гоношистый, типа тебя — вылетел по статье.
Это и твоя судьба линаксоид. Хотя ты мне разумеется сейчас не веришь. Но вспомнишь об этом посте, когда время придет. :)
Правда есть одно но — если линакс или бсдя используется в какой-то приличной сетевой железке, то наблюдается смешной момент — от их сетевой подсистемы не остается и камня на камне, фактически она реализуется с нуля, а линакс или фряха фактически используются как простейший бутлоадер и набор дров. :)
Я тут в соседнем посте показал кто пишет RFC — Cisco, Juniper, Lucent… И прочие серьезные производители сетевого оборудования. А не линаксоиды.
Так что по факту для тебя Cisco это и есть RFC. :)
Нет, это вы напишете патчик, чтоб соотвествовать стандартам, определеными Cisco. Прецеденты уже были. :)
В грамотно сконфигурированной сети эти уязвимости — не работают. :) И остаются чистой теорией.
Полная… в рамках убогого понимания протоколов линаксоидами… До сих пор не забуду спор с одним «kernel hackers», который утверждал что «размер пакета TCP/IP (sic!!!) не может превышать 1500 байт» И эти люди реализуют сетевую подсистему линакса… Верно и полно… Ну да, конечно же!
Ребята, вы — анукеи. Продвинутые, но все равно анукеи. И чтоб вам стать инженерами — вам надо долго и нудно учиться. И начинать с азов, типа того что такое маршрутизация и зачем она нужна. И самое главное — забыть все что вы усвоили «о сетях» из линакса как страшный сон. Изучать сети по линаксу, это все равно что начать изучать программирование с бейсика.
Логические. Из-за неверной/неполной реализации протоколов.
И после этого эти люди говорят о том что у меня — жесткий вендор лок… Ну да, конечно же! :)
Когда попытаетесь управлять хотя бы небольшой сетью, хотя бы — с несколькими десятками маршрутизаторов — поймете о чем я.
Прекратите принимать анонсы сетей — и это будет равнозначно отключению роутинга. По крайней мере это устройство перестанет видеть что в сети существует какой-то роутинг. :)
Посмотрите кто пишет RFC… Это будет внезапно, ога. :)
google://cisco site:https://tools.ietf.org дает примерно 26 000 вхождений.
google://lucent site:https://tools.ietf.org дает примерно 22 500 вхождений.
google://juniper site:https://tools.ietf.org дает примерно 29 400 вхождений.
google://linux site:https://tools.ietf.org дает примерно 3 670 вхождений.
google://microsoft site:https://tools.ietf.org дает примерно 8 090 вхождений.
Это все что надо знать о значимости линакса в области стандартизации интеренетов. :)
Придется начать с определения…
В сетях, а не в устройстве!!! По определению!
Более того, я раскрою вам небольшой секрет — передачей пакетов между интерфейсами во всех сетевых устройствах, всех вендоров — это отдельный, коммутационный процесс, forwarding или switching (для L3 Switch).
От этого и танцуйте — от сети, а не от того что происходит внутри устройства. Когда научите так мыслить — можете начинать изучать сетевые протоколы.
facepalm.jpg
А ведь я так и знал. :) Даже не знаю и с чего начать, но кратко — ваше определение роутинга в корне не верно. Чтоб это понять ответьте на простой вопрос — что делают все протоголы роутинга, не важно какой — RIP. OSPF, BGP. Какое их назначение? :)
Начинаешь осознавать как это работает? :)
Смешались в кучу кони, люди…
Ты и коммутаторы, и фаерволы, и какие-то сохо-железки, тот же микротык…
Опять же Cisco ASA я привожу только как пример девайса для защиты сети, реализация которого основывается на NAT, не более того. В пику глупым утверждением что NAT не обеспечивает защиты — только фаервол. Вот вам — обеспечивает. И получше чем iptables — классический пример негодной реализации фаервола имхо. :)
Все бредовые утверждения «NAT не обеспечивает защиты» основаны на одном-единственном недоразумении — автоматическое создание трансляций. Ну да, наверно это механизм можно как-то надурить — автоматы они глупые. Но пока что все примеры такого обдуривания основаны на весьма специфических условиях, достижимых в лаборатории, но не встречающихся в реальной жизни.
И самое главное — отключите этот механизм, нигде не сказано что он — неотъемлемая часть NAT, и получите прекрасный, очень малоресурсуемкий и надежный механизм защиты сети — NAT. :)
Что в линаксе не получается? Ну так это проблема реализации в одной ОС, занимающей ~1% рынка — то же мне проблема. :)
Бред линаксоида. Нет трансляции — нет пакета. То есть по умолчанию, если запрещено автоматическое создание трансляций, NAT блокирует абсолютно все. :)
То есть — вы не являетесь сетевым инженером и не понимаете как строить IP-сети. :) Так рекомендую — послушайте тех, кто разбирается в IP-сетях. :)
Вы так ничего и не услышали. А все потому что вы не понимаете что такое NAT и смотрите на него с позиций, основанных на знании убогой и кастрированной реализации оного в линаксе.
Кратко — NAT для ограничения доступа сети надежней фаервола. Потому что если отключить фаервол (например в результате атаки) — сеть станет полностью открытой и доступной, если отключить NAT — сеть станет полностью недоступной. :) Кроме того что он более надежен — он требует меньше ресурсов, а следовательно — в разы устойчив к атакам типа DDoS.
Хотя и это не совсем корректно — современный фаервол это NAT :)
А фильтрация… ну классическая — по протоколу/порту, в современных фаерволах не применяется — это функции возлагаются на трансляцию, как менее ресурсоемкую и более надежную. Фильтрация осуществляется только на основе данных DPI, но это уже ближе к IDS/IPS чем к классическим фаерволам. :) Хотя опять же — классические фаерволы (в понимании линаксоида) в местах где нужна серьезная защита давно не используются, ибо устаревшая, ресурсоемкая и ненадежная технология.
~2/3 активного сетевого оборудования интернета — произведено Cisco. Так что вопрос о распространенности можно считать закрытым — есть IP-сети в понимании Cisco и прочие неверные представления об IP-сетях. :)
Может я криво объяснил… но в Cisco это сделано изящно, эффективно и безопасно. В отличие от ужаса под названием netfilter/iptables. Лучше чем слушать мои объяснения, которые я пытаюсь впихнуть в жалкие объемы поста — почитайте доки и запустите образ от ASA в каком-нибуть QEMU — потыкайте в него пальцем. В конце-концов GNS вам в помощь. :)