Вышел (http://www.vyatta.org/forum/viewtopic.php?t=8062) релиз специализированного Linux-дистрибутива для создания маршрутизаторов и межсетевых экранов - Vyatta 6.4 (http://http://www.vyatta.org), основанного на кодовой базе Debian, но при этом содержащего в себе ряд оригинальных разработок. Компания Vyatta разрабатывает данный дистрибутив для своих аппаратных платформ, но поддерживает возможность его использования и на обычных компьютерах. Управление может производиться через Web-интерфейс или из командной строки в стиле Juniper. Имеются модули для создания VPN, организации кеширования трафика, фильтрации трафика на основе анализа содержимого IP-пакетов, ограничения доступа посредством специальных правил и URL фильтров. Загрузочный iso-образ (http://www.vyatta.com/downloads/vc6.4/vyatta-livecd_VC6.4-20...) дистрибутива занимает 206 Мб.
Среди добавленных в новой версии улучшений:
- Улучшение механизмов обновления дистрибутива для физических серверов и виртуальных окружений. Для обновления отныне достаточно выполнить одну команду "upgrade system image", которая загрузит и установит все необходимые обновления;
- В драйвер VMXNET3 добавлена поддержка нескольких очередей, что позволило достигнуть увеличения производительности на многоядерных системах при работе под управлением VMWare vSphere 5;- Упрощённая система настройки межсетевого экрана с отслеживанием состояний соединений (stateful firewall);
- Расширение средств отслеживания состояния соединений: расширенные средства управления подсистемой conntrack, возможность удаления отдельных соединений, ведение лога создания и удаления соединений, глобальные и отдельные таймауты с привязкой к адресам источника и назначения;
- Улучшение средств синхронизации соединений, которые позволяют организовать отказоустойчивую обработку протоколов, требующих отслеживания соединений, например, FTP, SIP и H.323;
- Улучшение транслятора адресов: упрощение настройки, разделение NAT на две подветки “source” и “destination”;- Улучшение CLI-интерфейса: поддержка сокращённых команд вида 'sho ip ro' ('show ip route') или 'se int e eth0 fire in na allow' (
'set interfaces ethernet eth0 firewall in name allow'), поддержка автодополнения путей;
- Улучшение интуитивной структуры команд;
- Новые команды для мониторинга и отладки;
- Прекращение поддержки подсистемы IPS (предотвращение вторжений), так как она негативно влияет на производительность системы и испытывает проблемы с обновлением.
URL: http://www.vyatta.org/forum/viewtopic.php?t=8062
Новость: http://www.opennet.me/opennews/art.shtml?num=33784
Вроде как возможность управления через веб-интерфейс убрана в бесплатной версии? Поправьте, если я ошибаюсь.
чем это лучше чем любой дистрибутив + quagga?
> чем это лучше чем любой дистрибутив + quagga?Может наличием NAT, proxy, а также веб-интерфейс из каропки?
> чем это лучше чем любой дистрибутив + quagga?Да, казалось бы, чем циска например лучше собранного шлюза на коленке из хлама. Никакой разницы я не вижу.
Объемом допиливания, тестирования и обслуживания
Люди объясните мне.1. Что за шлюзы?
2. Зачем их создавать?
> Люди объясните мне.
> 1. Что за шлюзы?Сетевой шлюз (англ. gateway) — аппаратный маршрутизатор или программное обеспечение для сопряжения компьютерных сетей, использующих разные протоколы (например, локальной и глобальной).
https://ru.wikipedia.org/wiki/%D0%A1%D0%...
А есть ли какие либо проекты для чтобы быстро поднять проксю с авторизацией из лдапа , контролем и статистикрй и прочими плюшеами..
ClearOS, Zentyal, PFSense (хотя в последнем насчет LDAP-не уверен)
Первые два смотрел. Нет авторищации из внешнего лдапа.. только внутренний, а он нафиг не нужен
Можно же синхронизирваться со внешним лдапом, не? Если юзеры меняются не каждый день, то сойдет.
> ClearOS, Zentyal, PFSense (хотя в последнем насчет LDAP-не уверен)В вдогонку.. кроме первых двух смотрел еще zeroshell, Artica.. последний самом то но иниерфейс адовый
В последнем ЛДАП внешний был (если не сломали - то есть и по сей день).
Но понятие "встраиваемый" в линуксе немного атрофировано.
Архив "встройки" как мой винчестер 10лет назад.
А самое интересное, что в то время уже был линуксовый "сетевой шлюз", и успешно работавший
и при этом целиком помещался в одну дискету.Если говорить о встраиваемых решениях то надо рассматривать дистры размер которых не превышает единиц-десятков Мб.
Все остальное - кастрированый писюк с временем запуска в пару минут.
Так что на сегодня я знаю только 3 дистра с похожими параметрами:
ФриСко
пфсенс
моновол.
Все остальное - поднастроенные десктопные линуксы с вэбмордами.
еще RouterOS от Mikrotik
> еще RouterOS от MikrotikНу да, забыл. Но с другой стороны у нее от перечисленных есть существенное отличие.
За нее денех готят.
которая тоже кастрированный дебиан, и от вятты отличается исключительно наличием пары их собственных велосипедов, не более
следуя этому сомнительному определению, pfsense тоже не встраиваемый, т.к. оно тоже уже давно "кастрированный писюк".
> следуя этому сомнительному определению, pfsense тоже не встраиваемый, т.к. оно тоже уже
> давно "кастрированный писюк".Как пфсенс перешел из разряда онли-РАМ дистра к дисковому - я перестал в него заглядівать.
Но на сколько мне известно - до сих пор существует версия, которая целиком живет в ОЗУ.
И размером она не сильно больше старого дистра. Если не ошибаюсь порядка 20-30метров.А вот моновол до сих пор не изменил своим принцыпам. И до сих пор образ имеет размер от 7 до 11метров (в зависимости от версии ядра).
Да такая же она. Только для эмбеддовки подходит слабо, ибо дров меньше.Что понимается под "живут в ОЗУ"? Ридонли ФС и запись только конфигов? Zeroshell/OpenWRT/vyatta и многие другие именно это и делают, например. Не знаю кто вам сказал что Zentyal или ClearOS это встраиваемые роутер-дистры, это многофункциональные комбайны для домашнего/офисного _сервера_ (на который ложится все, включая и примитивный файрволлинг/роутинг).
Касаемо размера - там где место ограничено, все уже давно упихано. А девайсы покрупнее сохо-мыльниц обычно комплектуются CF на хотя бы пару гигов (микротик, вятта етц), и убиваться ради экономии нет смысла.
Ридонли немножко не то. Рид - он и в африке РИД....
Те которые "живут" в ОЗУ они РИдаются только на этапе загрузки.
Все остальное время обращения к носителю дистра отсутствует. (как БИОС).А уже как оно реализовано - это вопрос десятый, то ли рамдиск толи просто запуск прикладух без сохранения каких либо данных на диск - это уже дело реализации.
Ну если и Склерос и Зентял пробовал, то могу еще посоветовать Alt Linux 6: в их Альтераторе, по-моему, есть как раз возможность авторизации из ЛДАПА, контролем и статистикой. В общем, можно попробовать.
Стоит отметить, что компания Ubiquiti на базе Vyatta разрабатывает свою ОС для роутеров EdgeOS, первые роутеры на базе двухядерных процессоров появятся уже скоро.
>на базе двухядерных процессоровЗачем им такая "мощь под капотом"?
>>на базе двухядерных процессоров
> Зачем им такая "мощь под капотом"?Для нагруженных сетей и разруливания правил. Вы еще Континент не видели, там вообще Ксеоны: http://www.securitycode.ru/products/continent/models/
на NAT уходит вполне так дофига процессоров у среднего провайдера на 10к юзеровжаль, но пока не вижу ФВ удобнее ipfw
Лол, это еще что, микротик анонсировал не так давно роутер-вундервафлю о 32 ядрах. Не знаю на какую ЦА они рассчитывают, но факт.
Очевидно же: Великий Китайский Фаерволл и прочие инструменты для тотального огораживания.
Правительства всех стран одобряют.
так смысл в чем, для крупных применений (включая и GFW) нужны циски и прочие аппаратные решения, а не сверхдешевый сохо-софтроутер, мутировавший в переростка о 32 головах. Микротики в своей области хороши, а кто этим будет пользоваться - неясно.
multicast не поддерживается?
Смотря что вы понимаете под. PIM, IGMP proxy и т.д. есть из коробки
Джентльмены, подскажите есть ли в Vyatta pppoe сервер?
> Джентльмены, подскажите есть ли в Vyatta pppoe сервер?ДжеМпельменов много, а мест - мало.
С другой стороны - можешь и сам ридми почитать, вместо того чтобы тут спрашивать тех, кто сий дистр в глаза не видел и даже не скачивал...
пожалуй апну тему.. но слегка офтоп..
можно ли на одном физическом линке поднять больше одного pppoe соединения?
просто я так еще не изворачивался
вдогонку: провайдер один