Neue Hardware und HA
-
@jegr said in Neue Hardware und HA:
@interessierter said in Neue Hardware und HA:
Listen zum blocken von Source mit der Bezahlliste von snort.org.
Und genau dafür ist es quark, denn dann machst du URL (Domains) oder IP blocking. Und das auf die teuerste Methode mit Snort auf Layer 7 statt das mit IP/DNS Blocking auf Layer3 durch den Paketfilter und den DNS Resolver billig erledigen zu lassen.
Ja aber im pfnblocker muss ich die Listen mit der Hand hinzufügen. Ja ich hab da einige, manche gehen dann nima zum runterladen ect. Da ist das über snort einfacher
Gehen soll damit Gigabit, aber das wird für den Moment wohl zu teuer sein
Gehen tut Gigabit mit vielem. Das ist nicht der Punkt, sondern ob bspw. encrypted Gigabit gehen muss. Oder ob Gigabit dann durch Snort muss. DANN wird es lustig, was HW angeht. Routed Gigabit mit ein paar Filterregeln stresst kaum eine Hardware aus.
Nein das muss es nicht. Ich werde auch nicht dauernd die Bandbreite brauchen. Aber über die Jahre hat man halt gesehen, das der Bedarf schnell rauf springt. Zuerst hatte ich 3 Mbit und 11GB Traffic, dann LTE und plötzlich 300GB wegen Netflix. Und das wird natürlich immer mehr werden, 4k ect
Ich weiß die Hardware ist nicht mehr die neuerste, aber EOL weil sie nicht mehr hergestellt wird oder wie? Sie ist 64 bit und es laufen noch immer Updates drauf, sehe das jetzt ehrlich gesagt nicht so heiß.
EOL verhängt der Hersteller und der sagt seit zig Jahren, dass das Ding tot ist. Weder SOC, noch CPU ist dafür noch vorhanden und damit weder Ersatzteile noch Ersatz fürs Board. Darum ist das Ding tot. Und es nutzt alte Realtek NICs für Netzwerk - was eh schon nicht toll ist. Klar kann man noch Hardware einsetzen die VOR 2013 hergestellt wurde - geht dann halt umso leichter kaputt (zumal die erste Gen APU eh extrem wärmeanfällig war) und man bekommt dann eben keinen Ersatz. Das ist auch genau das was mit den ganzen Leuten passiert, die irgendwelche uralten Sophos, Barracuda und sonstigen Boxen abgekauft haben für nen Appel und nen Ei - sie bekommen steinalte Hardware hingeworfen, die normalerweise recycled werden würde und zahlen dafür noch Geld. Freut sich jede Firma für Altmetall noch Geld zu bekommen statt für Entsorgung und Recycling zahlen zu müssen :D
Unter "kritischer" EOL verstehe ich normalerweise, dass es keine Updates mehr gibt. Wenn eine FW eine Updates mehr gibt, dann ist das für mich ein KO Kritierum. Wenn sie nicht mehr hergestellt wird, ja mei. Wenn das Teil jetzt kaputt ist, warte ich sowieso 2 Wochen wenn nicht mehr, bis eine neue kommt. Deswegen ja auch die Frage vom HA gewesen. Meine hatte noch nie was, und am Dachboden ists alles andere als kühl
Nur weil die Boxen dann 19" sind und nen hippes Display haben - ich verstehs nicht ;)
Weil ich halt 19 ZOLL Racks habe, und die auch dementsprechend nutzen will. Ein Kastl da (zb NAS) eines da macht das Rack schnell voll und nutzt den Platz nicht optimal. Zugegeben bei der kleinen pfsense ist das nicht so das Ding, ich wills halt wenn s geht ordentlich machen. Und ja, dann schauts hipp aus. Ich habe Freude damit, und es ist mein Geld.
Was ist den mit diesen ganzen "fremd" 3rd party appliance wie eine alte Juniper, wo dann pfsense drauf läuft?
und je nachdem WIE alt die Kisten sind läuft nichtmal pfSense neu drauf (weil noch 32bit) und dann schlagen die "Kollegen" im OPNsense Forum auf und werfen das drauf. Wundert man sich dann eben später, wenn man 2-3 VPN User und ein bisschen Traffic drauf bekommt, dass solches Altmetall dann gleich an der Belastungsgrenze hängt.
Und alles ist halt nicht https, mein Smarthome kann kein https
Bitte erläutere mir die Aussage doch. Ich würde das wirklich gerne wissen, denn ich behaupte frei raus dass das quatsch ist. Jedes Smartphone mit nem Browser kann HTTPS. Welches soll das verbieten? SSL macht der Browser oder die Application. Und jedes steinalte Android oder iPhone kann SSL.
Dann behauptest du frei raus falsch. Ich muss für den Smarthome Zugriff eine App nehmen. Deswegen, weil der Server wo sie sich hin verbindet eine zu schwache CPU für HTTPS hat. Ist so, ist auch dokumentiert. Es handelt sich um einen Loxone Miniserver Generation 1, denn der 2 kann es. Und ich will nicht um 700 EUR einen neuen Server kaufen, und dann den Elektriker (oder selber mit der Hand) die 230V Kabel umschließen. Selber können ja, aber weil der Kasten abgenommen ist nicht wollen
Was vielleicht eine Möglichkeit wäre ist, auf der pfsense einen Reverse von https auf http zu machen. Das habe ich so noch nie probiert. Keine Ahnung was die App für ein Cert beim G2 Server nimmt
My point stays:
Im Prinzip ist es eine Frage wieviel du bereit bist in ordentliche Lösungen und Hardware zu investieren, gerade in Hinblick auf mehrere Jahre Laufzeit der Geräte.
Wenns Gigabit mit ein paar Extras sein sollen, dann wird man nicht unter ner ordentlichen Box rauskommen. Also SG-5100 bzw. Scope7-1510/7907 wirds dann sein müssen, damit da in Zukunft auch ordentlich alles schnurren kann.
Cheers
Zwischen 200 und 500 EUR kann ich mir als Budget vorstellen. Mir ist bewusst, dass die originalen Appliance alle teurer sind. Das ist auch der Grund der Frage, was ihr in Richtung anderer Geräte die gut funktionieren empfehlen könnt. Wenns mit 19 Zoll in den Preisbereich (nachdem schaut es aus) gar nicht geht OK, dann ists halt wieder eine kleine
-
@jegr said in Neue Hardware und HA:
@viragomann said in Neue Hardware und HA:
Smarthome
Ah mein Fehler, danke. Hatte mich schon schwer gewundert, welches Smartphone der letzten 10 Jahre bitte kein HTTPS können soll. Aber selbst bei Smarthome bin ich der Ansicht, dass das meiste, das da herumexistiert eigentlich auch HTTPS können sollte, dann muss es schon übel proprietärer oder geschlossener Kram sein. Und dann hat @viragomann auch recht, das wäre allein schon ein Grund warum der Kram dann niemals das Licht der (Internet)Welt sehen sollte :)
Ah ja SmartHOME :)
Das hab ich aber selber überlesen. Das SmartPHONE kann es natürlich -
@jegr said in Neue Hardware und HA:
@thiasaef said in Neue Hardware und HA:
https://www.ipu-system.de/produkte/ipu660.html, ~ 400 EUR mit ordentlich Bums
Will ich gar nicht groß gegen argumentieren - gemessen an einer APU1 hat das Ding schon enorm viel mehr Bumms! Good call ;)
Halte ich zwar für keine ideale Wahl aber ist erstmal solide und kann man durchaus machen. Ich hatte da seinerzeits schon mit @micneu diskutiert drüber, warum ich die HW Zusammenstellung ggf. nicht ganz optimal finde, aber wir reden ja immer noch von einem StepUp von einer APU1, da ist eben per se schon jede Diskussion vorher beendetWas gefällt dir an der Zusammenstellung nicht?
-
Ja viele Netzwerkports, aber die Hardware sieht mir mehr nach eierlegender Wollmilchsau aus. Bisschen WLAN hier (was keiner braucht), bisschen Notebook Hardware da. Die CPUs klingen nett bis man auf dem Datasheet sieht, dass es alles 2+2er Kernträger sind. Also 2 Kerne + HT.
WLAN haben die Dinger nur, wenn man eine entsprechende PCIe Karte einbaut. HT kann man im UEFI einfach abschalten. Die Variante mit 6 NICs und Celeron CPU kostet, wenn man selber importiert, ca. 320 EUR (inkl. RAM, SSD und Rackmount Zubehör).
-
@thiasaef Also WLAN brauche ich gar nicht, dafür habe ich meine APs richtig im Haus verteilt. Darunter ist ein 24 Port Switch. Was ich brauche ist ausreichend CPU Memory, Speicher, damit ich mit pfsense keine Performance Probleme kriege. Und Luft nach oben für die nächsten Jahre.
Und auf jedenfall mehr als nur 3 Ports, neben WAN und LAN wird in Zukunft auch eine Richtfunkschüssel mit extra Netz eingebaut sein. Da möchte ich für zukünftige DInge zumindest noch irgendeinen Platz, selbst wenn es nur ein Port ist
-
@interessierter said in Neue Hardware und HA:
Ja aber im pfnblocker muss ich die Listen mit der Hand hinzufügen. Ja ich hab da einige, manche gehen dann nima zum runterladen ect. Da ist das über snort einfacher
Gehen soll damit Gigabit, aber das wird für den Moment wohl zu teuer sein
Das halte ich - sorry ist kein Affront gegen dich - aber für Unsinn. Snort bzw das Ruleset macht komplett NICHTS anderes, als genau das Gleiche wie dein Snort Set - es lädt stumpf irgendwelche IP Listen. Ob Listen weg gehen oder nicht, ändert nichts dran, ob die Listen die du ausgewählt hast weiter abgerufen werden können. Snort hat u.a. bspw. DShield drin. Das ist ne stumpfe IP Liste die pfB 1:1 auch kennt. Nur raucht Snort dafür 25-50% CPU für unnötiges rumgefiltere und der Paketfilter auf IP Ebene machts in ~5% wenns hochkommt. Was für Listen, welche, wieviele und wo liegt dann ganz beim Einzelnen.
Unter "kritischer" EOL verstehe ich normalerweise, dass es keine Updates mehr gibt. Wenn eine FW eine Updates mehr gibt, dann ist das für mich ein KO Kritierum. Wenn sie nicht mehr hergestellt wird, ja mei. Wenn das Teil jetzt kaputt ist, warte ich sowieso 2 Wochen wenn nicht mehr, bis eine neue kommt. Deswegen ja auch die Frage vom HA gewesen. Meine hatte noch nie was, und am Dachboden ists alles andere als kühl
Gibt es auch nicht. Die Plattform ist tot und bekommt weder Corebios und Firmware mäßig irgendwelche Updates weil es den SOC von AMD nicht mehr gibt. Ändert aber auch nichts daran, dass die HW eben ~10 Jahre alt ist. Egal wann gekauft.
Weil ich halt 19 ZOLL Racks habe, und die auch dementsprechend nutzen will. Ein Kastl da (zb NAS) eines da macht das Rack schnell voll und nutzt den Platz nicht optimal. Zugegeben bei der kleinen pfsense ist das nicht so das Ding, ich wills halt wenn s geht ordentlich machen. Und ja, dann schauts hipp aus. Ich habe Freude damit, und es ist mein Geld.
Mit Verständnisproblem war eher gemeint, warum sich Leute steinalte Boxen kaufen nur weil sie nett blinken und nen Display haben ;)
Es gibt wie hier ja schon gesagt mehr als genug aktuelle(re) Hardware die man auch ins Rack verdübeln kann und keine ex-Watchguard, Sophos oder sonstwas ist, die man kauft nur weil sie "nen kleinen Fuffi" gekostet hat und "mal toll war". :)Dann behauptest du frei raus falsch. Ich muss für den Smarthome Zugriff eine App nehmen. Deswegen, weil der Server wo sie sich hin verbindet eine zu schwache CPU für HTTPS hat. Ist so, ist auch dokumentiert. Es handelt sich um einen Loxone Miniserver Generation 1, denn der 2 kann es. Und ich will nicht um 700 EUR einen neuen Server kaufen, und dann den Elektriker (oder selber mit der Hand) die 230V Kabel umschließen. Selber können ja, aber weil der Kasten abgenommen ist nicht wollen
a) hatte ich mich wie gesagt verlesen und PHone gesehen - warum auch immer.
b) hab gerade mal aus Neugier geschaut, steht IMHO nichts im Datenblatt "warum" es kein HTTPS gibt. Da keine processing power etc. angegeben ist, würde ich fast behaupten, das hat nichts mit "kann nicht" zu tun, sondern mit typischer KNX Faulheit "brauch-ma-net". Leider ist erfahrungsgemäß bei vielen "Industrie 4.0", KNX oder anderen Automatisierungs-Herstellern die Digitalisierung eher angekommen mit "wird ne RJ45 Buchse drangelötet und ggf. noch nen HTTP Server draufgeklatscht". Ist gar nicht böse gemeint, aber das fehlt schlicht das KnowHow oder der Wille das ordentlich zu machen. Wofür Security etc. Da muss es dann erst scheppern.
Ne zentrale Steuereinheit wie sie es bewerben, die 500 Steine kostet sollte das haben. Immerhin: inzwischen haben sie es ja wohl hinbekommen, sowohl IPv6 als auch TLS einzubauen :) Sollte man eigentlich einklagen dürfen, dass sie das bei alten Anlagen kostenfrei tauschen ;) Aber sei es drum, denn:Was vielleicht eine Möglichkeit wäre ist, auf der pfsense einen Reverse von https auf http zu machen. Das habe ich so noch nie probiert. Keine Ahnung was die App für ein Cert beim G2 Server nimmt
Das würde problemlos gehen. Einfach mit dem Proxy reden (HAproxy regelt das) und im Backend dann HTTP sprechen. Ist kein Problem - damit bekommt man dann jeden (damals faulen) Hersteller abgesichert. :)
Zwischen 200 und 500 EUR kann ich mir als Budget vorstellen. Mir ist bewusst, dass die originalen Appliance alle teurer sind. Das ist auch der Grund der Frage, was ihr in Richtung anderer Geräte die gut funktionieren empfehlen könnt. Wenns mit 19 Zoll in den Preisbereich (nachdem schaut es aus) gar nicht geht OK, dann ists halt wieder eine kleine
Gibts schon aber muss man dann eben aussuchen was man +/- haben möchte.
Was gefällt dir an der Zusammenstellung nicht?
An den IPU Teilen? Wie gesagt rundweg nicht so schlecht, aber IMHO nicht primär als Netzwerk-Appliance konstruiert. Es sind low-power Laptop/U-Class CPUs - nicht schlecht aber nicht optimal - und einige Optionen sind nett, aber für den Zweck unnötig, also WiFi, LTE, Grafik. Braucht es theoretisch nicht auf einem Board, was primär Routing übernehmen soll.
Daher würde ich eher in Richtung Intel Atom C3xxx tendieren, denn da sind die SOCs und Boards schon auf den primären Zweck networking konstruiert. Console, Netzwerkports (RJ45 und ggf. SFP+) und das wars. Aber das meinte ich mit +/- rechnen, für den ein oder anderen ist es eben praktisch wenn die Kiste HDMI out hat oder er ggf. noch virtualisieren möchte. Für den anderen ist es unnötig. Ist einfach eine Auswahlfrage. :)
Da könnte man sich dann ggf. auch was von Supermicro schießen/selbst bauen, à la
https://www.supermicro.com/en/products/system/1U/5019/SYS-5019A-FTN4.cfm -
@jegr said in Neue Hardware und HA:
@interessierter said in Neue Hardware und HA:
Ja aber im pfnblocker muss ich die Listen mit der Hand hinzufügen. Ja ich hab da einige, manche gehen dann nima zum runterladen ect. Da ist das über snort einfacher
Gehen soll damit Gigabit, aber das wird für den Moment wohl zu teuer sein
Das halte ich - sorry ist kein Affront gegen dich - aber für Unsinn. Snort bzw das Ruleset macht komplett NICHTS anderes, als genau das Gleiche wie dein Snort Set - es lädt stumpf irgendwelche IP Listen. Ob Listen weg gehen oder nicht, ändert nichts dran, ob die Listen die du ausgewählt hast weiter abgerufen werden können. Snort hat u.a. bspw. DShield drin. Das ist ne stumpfe IP Liste die pfB 1:1 auch kennt. Nur raucht Snort dafür 25-50% CPU für unnötiges rumgefiltere und der Paketfilter auf IP Ebene machts in ~5% wenns hochkommt. Was für Listen, welche, wieviele und wo liegt dann ganz beim Einzelnen.
Du das bestreite ich ja gar nicht. Aber pfblocker kann per default mal fast nichts, weil man die Listen mit IP und Domains hinterlegen muss. Von meinen Listen sind einige nicht mehr verfügbar, man muss sich immer wieder umschauen was "gerade angesagt ist". Beim Snort sind freie Listen mit einem Hakerl und die Bezal ebenfalls mit Login und Passwort drinnen und fertig. Ich hab nie behauptet, das die nichta uf "nur" IP und Domains machen. Aber die snort Listen sind für mich runder als ein paar, die ich halt gefunden und eingetragen hab.
Unter "kritischer" EOL verstehe ich normalerweise, dass es keine Updates mehr gibt. Wenn eine FW eine Updates mehr gibt, dann ist das für mich ein KO Kritierum. Wenn sie nicht mehr hergestellt wird, ja mei. Wenn das Teil jetzt kaputt ist, warte ich sowieso 2 Wochen wenn nicht mehr, bis eine neue kommt. Deswegen ja auch die Frage vom HA gewesen. Meine hatte noch nie was, und am Dachboden ists alles andere als kühl
Gibt es auch nicht. Die Plattform ist tot und bekommt weder Corebios und Firmware mäßig irgendwelche Updates weil es den SOC von AMD nicht mehr gibt. Ändert aber auch nichts daran, dass die HW eben ~10 Jahre alt ist. Egal wann gekauft.
Ja die jünste ist das nima, kein Ding. Ich habe halt nur auf Software Updates von der pfsense geachtet. Ich hatte mal einen Thread heir offen, weil ich wegen Specture gefragt hatte. Da hat es dann leave it alone geheißen. Aber ist ja kein Thema zum EOL, ich will eh was neues haben.
Weil ich halt 19 ZOLL Racks habe, und die auch dementsprechend nutzen will. Ein Kastl da (zb NAS) eines da macht das Rack schnell voll und nutzt den Platz nicht optimal. Zugegeben bei der kleinen pfsense ist das nicht so das Ding, ich wills halt wenn s geht ordentlich machen. Und ja, dann schauts hipp aus. Ich habe Freude damit, und es ist mein Geld.
Mit Verständnisproblem war eher gemeint, warum sich Leute steinalte Boxen kaufen nur weil sie nett blinken und nen Display haben ;)
Es gibt wie hier ja schon gesagt mehr als genug aktuelle(re) Hardware die man auch ins Rack verdübeln kann und keine ex-Watchguard, Sophos oder sonstwas ist, die man kauft nur weil sie "nen kleinen Fuffi" gekostet hat und "mal toll war". :)Ich dachte ich komm hier billiger davon. Wenn es wieder Stein alt ist bringts nix. Das ist nicht mein Ansinnen
Dann behauptest du frei raus falsch. Ich muss für den Smarthome Zugriff eine App nehmen. Deswegen, weil der Server wo sie sich hin verbindet eine zu schwache CPU für HTTPS hat. Ist so, ist auch dokumentiert. Es handelt sich um einen Loxone Miniserver Generation 1, denn der 2 kann es. Und ich will nicht um 700 EUR einen neuen Server kaufen, und dann den Elektriker (oder selber mit der Hand) die 230V Kabel umschließen. Selber können ja, aber weil der Kasten abgenommen ist nicht wollen
a) hatte ich mich wie gesagt verlesen und PHone gesehen - warum auch immer.
Ja kein Thema. Ich hab die Nachricht erst danach geschrieben, ich hab SmartPHONE auch überlesen. Kein Dingb) hab gerade mal aus Neugier geschaut, steht IMHO nichts im Datenblatt "warum" es kein HTTPS gibt. Da keine processing power etc. angegeben ist, würde ich fast behaupten, das hat nichts mit "kann nicht" zu tun, sondern mit typischer KNX Faulheit "brauch-ma-net". Leider ist erfahrungsgemäß bei vielen "Industrie 4.0", KNX oder anderen Automatisierungs-Herstellern die Digitalisierung eher angekommen mit "wird ne RJ45 Buchse drangelötet und ggf. noch nen HTTP Server draufgeklatscht". Ist gar nicht böse gemeint, aber das fehlt schlicht das KnowHow oder der Wille das ordentlich zu machen. Wofür Security etc. Da muss es dann erst scheppern.
Sehe ich genauso wie du, speziell bei IOT. Unernehmen wie Miele, die nun auch Smart sein müssen. Der Miniserver G1 ist 10 Jahre alt seit Einführung. Loxone supported ALLE Hardware nach wie vor mit Software Updates. Ein EOL gibt es bis heute nicht.
Ne zentrale Steuereinheit wie sie es bewerben, die 500 Steine kostet sollte das haben. Immerhin: inzwischen haben sie es ja wohl hinbekommen, sowohl IPv6 als auch TLS einzubauen :) Sollte man eigentlich einklagen dürfen, dass sie das bei alten Anlagen kostenfrei tauschen ;) Aber sei es drum, denn:
Der Miniserver läuft mit 24V. Laut dem Hersteller ist die Aussage, das die CPU zu schwach ist.SW Updates gibt es jedenfalls bis heute für diesen Server. Ich schätze sie hätten es schon nachgeliefert, wenn es nur eine SW Modifikation wäre. Loxone ist kein KNX, es basiert auf Siemens SBS, das Loxone Protokoll selbst ist Eigenentwicklung. Jedenfalls können aber viele andere Dinge integriert werden
Was vielleicht eine Möglichkeit wäre ist, auf der pfsense einen Reverse von https auf http zu machen. Das habe ich so noch nie probiert. Keine Ahnung was die App für ein Cert beim G2 Server nimmt
Das würde problemlos gehen. Einfach mit dem Proxy reden (HAproxy regelt das) und im Backend dann HTTP sprechen. Ist kein Problem - damit bekommt man dann jeden (damals faulen) Hersteller abgesichert. :)
Ich werde es mal probieren, ist die Frage ob das so geht. Ich kann der App schon sagen, das sie https machen soll. Was die in der App zum Cert aber eingebaut haben, weiss ich nicht. Immerhin kann jeder das Cloud DNS oder direkt mit der App auf den DNS Namen zeigen, ohne was extra zu konfigieren. Ich befürchte so einfach wirds ned sein
Zwischen 200 und 500 EUR kann ich mir als Budget vorstellen. Mir ist bewusst, dass die originalen Appliance alle teurer sind. Das ist auch der Grund der Frage, was ihr in Richtung anderer Geräte die gut funktionieren empfehlen könnt. Wenns mit 19 Zoll in den Preisbereich (nachdem schaut es aus) gar nicht geht OK, dann ists halt wieder eine kleine
Gibts schon aber muss man dann eben aussuchen was man +/- haben möchte.
Was gefällt dir an der Zusammenstellung nicht?
An den IPU Teilen? Wie gesagt rundweg nicht so schlecht, aber IMHO nicht primär als Netzwerk-Appliance konstruiert. Es sind low-power Laptop/U-Class CPUs - nicht schlecht aber nicht optimal - und einige Optionen sind nett, aber für den Zweck unnötig, also WiFi, LTE, Grafik. Braucht es theoretisch nicht auf einem Board, was primär Routing übernehmen soll.
Daher würde ich eher in Richtung Intel Atom C3xxx tendieren, denn da sind die SOCs und Boards schon auf den primären Zweck networking konstruiert. Console, Netzwerkports (RJ45 und ggf. SFP+) und das wars. Aber das meinte ich mit +/- rechnen, für den ein oder anderen ist es eben praktisch wenn die Kiste HDMI out hat oder er ggf. noch virtualisieren möchte. Für den anderen ist es unnötig. Ist einfach eine Auswahlfrage. :)
Da könnte man sich dann ggf. auch was von Supermicro schießen/selbst bauen, à la
https://www.supermicro.com/en/products/system/1U/5019/SYS-5019A-FTN4.cfmja sieht nett aus, muss aber noch unters Budget von 500 EUR
-
@jegr said in Neue Hardware und HA:
Leider ist erfahrungsgemäß bei vielen "Industrie 4.0", KNX oder anderen Automatisierungs-Herstellern die Digitalisierung eher angekommen mit "wird ne RJ45 Buchse drangelötet und ggf. noch nen HTTP Server draufgeklatscht". Ist gar nicht böse gemeint, aber das fehlt schlicht das KnowHow oder der Wille das ordentlich zu machen. Wofür Security etc. Da muss es dann erst scheppern.
Aber mit Gerichtsurteilen, und ich hoffe sehr, dass es bald solche gibt. Eher tun die nicht mehr als unbedingt nötig für die Sicherheit.
-
@interessierter said in Neue Hardware und HA:
Du das bestreite ich ja gar nicht. Aber pfblocker kann per default mal fast nichts, weil man die Listen mit IP und Domains hinterlegen muss. Von meinen Listen sind einige nicht mehr verfügbar, man muss sich immer wieder umschauen was "gerade angesagt ist". Beim Snort sind freie Listen mit einem Hakerl und die Bezal ebenfalls mit Login und Passwort drinnen und fertig. Ich hab nie behauptet, das die nichta uf "nur" IP und Domains machen. Aber die snort Listen sind für mich runder als ein paar, die ich halt gefunden und eingetragen hab.
Unter "kritischer" EOL verstehe ich normalerweise, dass es keine Updates mehr gibt. Wenn eine FW eine Updates mehr gibt, dann ist das für mich ein KO Kritierum. Wenn sie nicht mehr hergestellt wird, ja mei. Wenn das Teil jetzt kaputt ist, warte ich sowieso 2 Wochen wenn nicht mehr, bis eine neue kommt. Deswegen ja auch die Frage vom HA gewesen. Meine hatte noch nie was, und am Dachboden ists alles andere als kühl
Welchen pfB nimmst du denn? Ich installiere bei Kunden ständig Setups damit - aber da nimmt man auch pfBlockerNG-Devel weil 2 Jahre neuer als der letzte Kram. DER hat auch viele(!) Listen mit drin und die sind gut gefüllt. Zudem Firehol1-3 dazu und fertig.
-
@jegr said in Neue Hardware und HA:
@interessierter said in Neue Hardware und HA:
Du das bestreite ich ja gar nicht. Aber pfblocker kann per default mal fast nichts, weil man die Listen mit IP und Domains hinterlegen muss. Von meinen Listen sind einige nicht mehr verfügbar, man muss sich immer wieder umschauen was "gerade angesagt ist". Beim Snort sind freie Listen mit einem Hakerl und die Bezal ebenfalls mit Login und Passwort drinnen und fertig. Ich hab nie behauptet, das die nichta uf "nur" IP und Domains machen. Aber die snort Listen sind für mich runder als ein paar, die ich halt gefunden und eingetragen hab.
Unter "kritischer" EOL verstehe ich normalerweise, dass es keine Updates mehr gibt. Wenn eine FW eine Updates mehr gibt, dann ist das für mich ein KO Kritierum. Wenn sie nicht mehr hergestellt wird, ja mei. Wenn das Teil jetzt kaputt ist, warte ich sowieso 2 Wochen wenn nicht mehr, bis eine neue kommt. Deswegen ja auch die Frage vom HA gewesen. Meine hatte noch nie was, und am Dachboden ists alles andere als kühl
Welchen pfB nimmst du denn? Ich installiere bei Kunden ständig Setups damit - aber da nimmt man auch pfBlockerNG-Devel weil 2 Jahre neuer als der letzte Kram. DER hat auch viele(!) Listen mit drin und die sind gut gefüllt. Zudem Firehol1-3 dazu und fertig.
Jetzt wird vermutlich gleich der nächste Shitstorm auf mich einregnen, es ist die 2.1.4_26
Ich habe im Package Manager vor langer Zeit gesehen, das es ein komplett neues Packet gibt, aber nie ersetzt -
@interessierter Nö, Unwissenheit ist ja nicht direkt eine Verfehlung :) Dann aber wie gesagt dringende Aufforderung den Haken zu setzen für speichern der Config bei Deinstallation (damit noch alles da ist) und dann weg mit dem alten und pfBNG-devel drauf.
Und ja ich mag devel auch nicht im Namen, ich habe Anthony aber schon mehrfach gesagt, er möge bitte endlich nen Cut machen und pfbDevel 3 als neuen Stable pushen und dann mit devel weitermachen, aber er findet irgendwie kein Ende.
-
@jegr said in Neue Hardware und HA:
Und ja ich mag devel auch nicht im Namen
Ja, das ist nicht weit von devil entfernt, und das klingt nach Ärger.
Ich halte aus dem Grund auch noch an der "stable" fest, obwohl fast alle hier von devel sprechen.Die beiden Versionen parallel zu pflegen, dürfte doch um eingies mehr Aufwand bedeuten?
-
@viragomann Das ist ja der Punkt: die stable wird so gut wie nicht mehr gepflegt, weshalb die Listen - wenn überhaupt vorhanden - inzwischen alt sind. Außerdem werden einige nicht mehr sauber abgerufen, weil er dafür später entsprechend andere Methoden eingebaut hat etc. etc.
Im Prinzip: -devel ist aktuell release candidate für neue Stable. Und die setze ich zähneknirschend auch bei Kunden ein weil die alte stable so vertaubt ist, dass vieles einfach nicht sauber läuft.
-
Ja, dass Listen nicht mehr geladen werden können, ist mir schon vor längerer Zeit aufgefallen.
@jegr said in Neue Hardware und HA:
Und die setze ich zähneknirschend auch bei Kunden
Kunden, die auch selbst ans Geräte gehen, wollen dafür vermutlich auch mal eine Erklärung von dir.
-
War auch lange bei der Stabel und bin dann wegen Jens auf die dev umgestiegen.
Da gibts den Python Mode und der frisst so viel weniger Ressourcen bei großen Listen.Ja klar kannst du mit deinem Golf 2 weiter fahren, aber kannst auch auf den 8ter umsteigen, kosten dich beide nix. Nur letzter hat halt Navi, Klima, Sitzheizung, Servo usw.
Laufen tun beide. -
@interessierter said in Neue Hardware und HA:
Daher würde ich eher in Richtung Intel Atom C3xxx tendieren, denn da sind die SOCs und Boards schon auf den primären Zweck networking konstruiert. Console, Netzwerkports (RJ45 und ggf. SFP+) und das wars. Aber das meinte ich mit +/- rechnen, für den ein oder anderen ist es eben praktisch wenn die Kiste HDMI out hat oder er ggf. noch virtualisieren möchte. Für den anderen ist es unnötig. Ist einfach eine Auswahlfrage. :)
Da könnte man sich dann ggf. auch was von Supermicro schießen/selbst bauen, à la
https://www.supermicro.com/en/products/system/1U/5019/SYS-5019A-FTN4.cfmja sieht nett aus, muss aber noch unters Budget von 500 EUR
Muss das der 8Core sein, reicht der 4 Core nicht?
Dazu das passige Gehäuse, paar Taler für RAM, SSD und die Kühlung, fettisch.
Bist je nach Konfiguration unter 600 Taler.Genau das werkelt seit gut 1,5 Jahren bei uns im Rack, bis jetzt zufriedenstellend.
-
@mike69 said in Neue Hardware und HA:
Muss das der 8Core sein, reicht der 4 Core nicht?
Und was schreib ich?
Daher würde ich eher in Richtung Intel Atom C3xxx tendieren
...
Ist einfach eine Auswahlfrage. :)
...
Da könnte man sich dann ggf. auch was von Supermicro schießen/selbst bauen, à la (also sowas wie)Lese-Skills setze ich eben schon irgendwie voraus, Mike!
-
@jegr said in Neue Hardware und HA:
Lese-Skills setze ich eben schon irgendwie voraus, Mike!
Um die Uhrzeit?
Ja, überlesen... erstmal nen
-
@mike69 said in Neue Hardware und HA:
@interessierter said in Neue Hardware und HA:
Daher würde ich eher in Richtung Intel Atom C3xxx tendieren, denn da sind die SOCs und Boards schon auf den primären Zweck networking konstruiert. Console, Netzwerkports (RJ45 und ggf. SFP+) und das wars. Aber das meinte ich mit +/- rechnen, für den ein oder anderen ist es eben praktisch wenn die Kiste HDMI out hat oder er ggf. noch virtualisieren möchte. Für den anderen ist es unnötig. Ist einfach eine Auswahlfrage. :)
Da könnte man sich dann ggf. auch was von Supermicro schießen/selbst bauen, à la
https://www.supermicro.com/en/products/system/1U/5019/SYS-5019A-FTN4.cfmja sieht nett aus, muss aber noch unters Budget von 500 EUR
Muss das der 8Core sein, reicht der 4 Core nicht?
Dazu das passige Gehäuse, paar Taler für RAM, SSD und die Kühlung, fettisch.
Bist je nach Konfiguration unter 600 Taler.Genau das werkelt seit gut 1,5 Jahren bei uns im Rack, bis jetzt zufriedenstellend.
Selbst bauen will ich keine. Sonst Verschläge für eine unter 500 EUR 19 Zoll?
-
@interessierter said in Neue Hardware und HA:
Selbst bauen will ich keine. Sonst Verschläge für eine unter 500 EUR 19 Zoll?
Wird schwer...