Ilya
Его можно использовать для dmz
Eugene
и зачем? ради инспекта аса-шного?
Ilya
А потом уже сверху выпускать по внешним
Eugene
слажна чот..
Ilya
Подменяя при этом дестинейшн
Eugene
почему сеткой... вроде ван-ту-ван имелось ввиду
Ilya
А, тогда не понятно зачем
Pavel
Ван ту ван, да
Ilya
Не понимаю такие приколы, чот сложно
Pavel
У меня ощущение, что там опенстэк внутре. А у него по-дефолту именно такая логика с этими его флоатинг ип
Pavel
Ты так говоришь, потому что у аристы нет ната
Volodymyr
и асу поставил ?
Oleg
согласен,если былибы все нормальные уже давнобы следали дуалстек для ipv6+ipv4 и просто в один день отключили бы ipv4 и все былобы гуд
Pavel
У аристы? Нат?
Eugene
как в дэцэ без нат-а то
Pavel
Hf-что?
Pavel
Ааа
Pavel
Это да
Pavel
И дипиай
Pavel
И чтоб наносекунды
Pavel
И при этом через интернет
Volodymyr
я вот когда смотрел далеко думал - что все ваши асы и срх и ваще стейтфулл фаеры - говно какое
Volodymyr
теперь я посмотрел внутри
Volodymyr
и точно знаю - говно
Volodymyr
)
Pavel
Арбор с Аристой на таких клиентах только и живут
Volodymyr
придумали себе хуйню и дрочат ее
Oleg
так что всем даю установку получить ipv6 сделать с аплинками dual cстек и потом с польщователями сделать dualstec
Pavel
Volodymyr
так вот то и оно
Volodymyr
раньше я подозревал
Volodymyr
теперь знаю
Volodymyr
да-да
Ilya
сори перепутал 5510 ))
Я просто к тому, что много очень зависит. А если говорить про сп, то это сервисы разные с разными политиками, разрешениями, услугами и т.п..
Это значит, что нужно много контекстов (per vrf/per group), значит железка должна быть большая. У нас в инет ходит (в энте) в среднем 2.5г, сейчас прибавилось ещё, надо посмотреть. Ну так вот, 5585-х с 120 контекстами размазанными примерно по 50/50 по FO развалилась и не смогла подняться по загрузке ЦП.
Pavel
Ошибка в твоих рассуждениях в том, что по твой версии им нужен один костыль. А их у них значительно больше
Volodymyr
просто мне кажется ,я один из трех, у кого 100 пар полиси ваще на фаерах есть
Volodymyr
ибо если бы их было много
Volodymyr
они бы жуниперу не позволили такой cli иметь ))
Volodymyr
у меня стойкое ощущение
Volodymyr
что большинство делают пермит и збс
Volodymyr
ну может вот эту /24 - вот туда еще не пустим
Volodymyr
а эти бля idp - же цирк ебанный
Volodymyr
просто какая-то галочка
Oleg
Я просто к тому, что много очень зависит. А если говорить про сп, то это сервисы разные с разными политиками, разрешениями, услугами и т.п..
Это значит, что нужно много контекстов (per vrf/per group), значит железка должна быть большая. У нас в инет ходит (в энте) в среднем 2.5г, сейчас прибавилось ещё, надо посмотреть. Ну так вот, 5585-х с 120 контекстами размазанными примерно по 50/50 по FO развалилась и не смогла подняться по загрузке ЦП.
согласен даже более чем,ну и 50 контекстов где каждый рулит свойм вланом\портом напряжно - с тобой согласен более чем
Volodymyr
да-да
Volodymyr
все эти sox
Volodymyr
хуекс
Volodymyr
это чисто бумажная работа
Volodymyr
она с реальным миром вообще не имеет ничего общего
Volodymyr
тупо ничего
Volodymyr
вот сием, вот интегратор на сием
Volodymyr
вот вам фаерволл
Volodymyr
во вам там идс
Volodymyr
вот аудиты
Uncel
(((сигнатуры)))
Volodymyr
да-да, сислог месседж ту ларж
Volodymyr
на это наши полномочия все
Volodymyr
может у меня конечно аэспи головного мозга
Ivan
ну ips с антивирусами помои конечно пздц, никогда не понимал, но про то что политик нет эт вы загнули конечно)
Volodymyr
но то, что я раньше просто шутил - сейчас серьезно так думаю
Volodymyr
вот ща так, да
Pavel
просто мне кажется ,я один из трех, у кого 100 пар полиси ваще на фаерах есть
Да ни фига. Здесь вот во фр. много где делают так. Все закрыто, хочешь что-то, чтоб тебе открыли, пришешь заявку с валидацией у начальника, мол открыть такой-то порт. Админ на файрволе тупо, не задумываясь, добавляет правила. В итоге их может быть хоть десять тысяч. Да не то что не SRX, на, блять, фортинете
Volodymyr
десятки тыщ строк полиси
Ivan
у меня было такое на джуне, аудировать очень просто - никак)
Volodymyr
да-да, чейнж реквесты
Volodymyr
апрувы
Volodymyr
ага-ага
Pavel
Иногда трафик проходит через несколько файрволов
Ilya
Это нормально
Ilya
Порт открыл, в документ записал
Pavel
Задача файрвольного админа — уметь понять, через какие
Ivan
Да ни фига. Здесь вот во фр. много где делают так. Все закрыто, хочешь что-то, чтоб тебе открыли, пришешь заявку с валидацией у начальника, мол открыть такой-то порт. Админ на файрволе тупо, не задумываясь, добавляет правила. В итоге их может быть хоть десять тысяч. Да не то что не SRX, на, блять, фортинете
ну и норм, аппрувнули - в скрипт забил оно деплоится)
Ilya
Не то что випнеты
Pavel
На фортике в старых версиях по крайней мере (там они в какой-то момент ее кардинально переписали) при тысячах правил вебка тормозит что аж песдетс
Volodymyr
Задача файрвольного админа — уметь понять, через какие
А там еще два ната. Два фаера и кластер балансеров
Ivan
Задача файрвольного админа — уметь понять, через какие
ну обычно админ то знает, и знает куда писать и автоматизировать это, еще на этапе дизайна планируется удобство управления если не мазохисты
Ivan
++