[uanog] mikrotik enough firewall rules

[Stesin]

On Thu, 14 Feb 2019 at 12:14, Volodymyr Litovka <doka at xlit.one> wrote:

> Ну вот у меня вызывает вопросы именно ситуация: зачем ставить внешнюю
> пасочку на задачи, с которыми естественным образом справляется Микрот,

Ну вот вопрос - если приходится танцы с бубном и советоваться, то это
"справляется" или нет? Может по процессору-то он и справляется, а вот
по usability и maintainability так кажись шо не очень.

> и какова производительность Атома на задачах фильтрации, которые Микрот делать не умеет?

Атом х64 с 4 гигами рамы 1Gbps - без проблем. Оговорки:

1) я напрочь не помню какие там стояли Ethernet-чипы, видимо что-то
приличное оба
2) не встречал случая, когда требовалось бы задействовать более
1/3-1/2 функциональных возможностей opnsense единовременно

Он очень много всего умеет, все сразу как правило просто некуда (и
незачем) применить. И очень полированная штука. Highly recommended.
REST APIs и вебсервера им в частности прикрывать хорошо, TLS
Offloading умеет, HA умеет, много чего умеет. Но и просто юзеровскую
сетку прикрыть нормально - тоже Ок.
https://docs.opnsense.org/manual.html

Можно (и наверное и хорошо) первичную дубовую и незатейливую
фильтрацию сделать на микроте в простейшем ее варианте, а
интеллектуальное все уже делать на opnsense включенном микроту в зад.
К слову у меня ощущение, что ASA до opnsense несколько того... не
дотягивает, а с учетом цены так и подавно.

Естественно, this is my humble, biased, personal and highly subjective
opinion. С наилучшими, я