[uanog] mikrotik enough firewall rules

Max Tulyev maxtul at netassist.kiev.ua
Fri Feb 15 13:02:04 EET 2019 

Карточки - строго Intel, при чём те, которые имеют несколько очередей. 
Потому как в один поток оно точно не прожуётся.

Такой конфиг не прожуёт всё, что связано с conntrack (NAT, stateful 
firewall). Ну и огромные таблицы iptables тоже. Можно выкрутиться с 
помощью ipset, если критично.

14.02.19 17:24, Stesin пише:
> On Thu, 14 Feb 2019 at 12:14, Volodymyr Litovka <doka at xlit.one> wrote:
> 
>> Ну вот у меня вызывает вопросы именно ситуация: зачем ставить внешнюю
>> пасочку на задачи, с которыми естественным образом справляется Микрот,
> 
> Ну вот вопрос - если приходится танцы с бубном и советоваться, то это
> "справляется" или нет? Может по процессору-то он и справляется, а вот
> по usability и maintainability так кажись шо не очень.
> 
>> и какова производительность Атома на задачах фильтрации, которые Микрот делать не умеет?
> 
> Атом х64 с 4 гигами рамы 1Gbps - без проблем. Оговорки:
> 
> 1) я напрочь не помню какие там стояли Ethernet-чипы, видимо что-то
> приличное оба
> 2) не встречал случая, когда требовалось бы задействовать более
> 1/3-1/2 функциональных возможностей opnsense единовременно
> 
> Он очень много всего умеет, все сразу как правило просто некуда (и
> незачем) применить. И очень полированная штука. Highly recommended.
> REST APIs и вебсервера им в частности прикрывать хорошо, TLS
> Offloading умеет, HA умеет, много чего умеет. Но и просто юзеровскую
> сетку прикрыть нормально - тоже Ок.
> https://docs.opnsense.org/manual.html
> 
> Можно (и наверное и хорошо) первичную дубовую и незатейливую
> фильтрацию сделать на микроте в простейшем ее варианте, а
> интеллектуальное все уже делать на opnsense включенном микроту в зад.
> К слову у меня ощущение, что ASA до opnsense несколько того... не
> дотягивает, а с учетом цены так и подавно.
> 
> Естественно, this is my humble, biased, personal and highly subjective
> opinion. С наилучшими, я
> _______________________________________________
> uanog mailing list
> uanog at uanog.kiev.ua
> https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>

More information about the uanog mailing list