Názory k článku Porovnání firewallů pfSense a OPNsense
-
gregrthrth (neregistrovaný)
Skoda, ze premiestnenie menu nalavo neprinieslo nejaky uzitok vo forme pracovneho priestoru. Ono to menu akurat nie je hore zobrazene, ale lista pre menu tam stale zabera miesto. Skoda. Osobne (aj ked nemam cit pre GUI) by som search policko z prava hore premiestnil niekde blizsie k menu (napriklad dolava hore a pouzil ho ako filter na menu, ako to ma napriklad intelij idea) a tu hornu listu proste zrusil. Baner s menom produktu moze byt aj na pozadi stranky, alebo v paticke.
PS: Chybaju mi rozdiely a porovnanie projektov z pohladu funkcionalneho/vykonnostneho. Napriklad (po skusenosti s open media vault) by ma zaujimalo, ako sa zalohuje konfiguracia danych nastrojov a ako sa da spravit jej pripadna obnova v cistej instalacii.
-
Lukáš MalýZlatý podporovatelCo se porovnani vykkonu tyce, ocekavam ze bude velmi obdobny, oba projekty stavi na FreeBSD. Zalohovani probiha do XML souboru but jednoho pro cely system nebo dle kategorii (Aliasy, Rules, IPSec atd.)
Zde je odstavec pipisujici zalohovani:
https://www.root.cz/clanky/firewall-pfsense-sprava-certifikatu-uzivatelu-a-openvpn/ -
Lukáš MalýZlatý podporovatel
Ctenari rootu uvitaji clanek o https://www.untangle.com/, Napiste jej :-)
-
Rhinox (neregistrovaný)
To bude asi tim, ze Untangle je postaven na linuxu. A Turris taky primarne bezi na nakem upravenem linuxu...
Jestli je untangle konkurence pfsense, no ja nevim. Cetl sem nake srovnani a untangle nedopadl nijak dobre. Potiz je v tom, ze untangle ma vice veci v placenejch modulech (jeste vic nez pfsense). I to co je u jinejch firewallu k dispozici bezplatne, to ma untangle jen jako 14denni testovaci licenci. Treba v tomhle srovnani untangle vylozene nedoporucujou:
http://www.techradar.com/news/whats-the-best-linux-firewall-distro-of-2017Kdyz tak bych rad videl taky srovnani se Sophos UTM. To uz se alespon vzdalene podoba na Cisco ASA...
-
Lukáš MalýZlatý podporovatel
Blokovat jde ledasco. Technik je hned nekolik. Osobne jsem resil jen FB.
https://doc.pfsense.org/index.php/Blocking_websites
Kde se vyuziva ziskani vsech IP bloku FaceBook AS32934, nevyhodou je pripadna aktualizace listu, kdera se da resit generovanim seznamu nekde na serveru a nacitanim seznamu fb.txt jako URL Table.Jednou ze spinavosti je podstrceni falesnych DNS zaznamu, ale to se musi klientovi zakazat NAT aby neobhazel DNS resoilver na pfSense atd.
U vytvoření firewall pravidla je volba Advanced Options, ktera umi specifikovat Source OS, coz jsem zkousel a blokoval tak napr jen Win ping atd. Mnoho Advanced voleb jsem doposud ani nepouzil.
-
anonym (neregistrovaný)
HTTPS inspekce. V podstatě jednoduché. Veškerý https provoz ukončíš na firewallu, přes AD naistaluješ windows klientům certifikát, tedy jejich prohlížeče si nebudou stěžovat. A pak uděláš na firewallu v podstatě man-in-the-middle. Nebudou fungovat některé hodně specifické případy, např. přístup do banky přes osobní certifikát. V případě účetní se to obejde povolením jen pro ni, v případě ostatních nemají co chodit na osobní účet z pracovního prostředí. Pak tedy uvidíš dovnitř https a můžeš dělat inspekci na aplikační úrovni. V komerční sféře, kde na bezpečnosti opravdu velmi záleží, to bez problémů funguje.
-
hammer (neregistrovaný)
Pro rozpoznání aplikací a pak jejich příp. zablokování, monitorování nebo omezení pásma, není potřeba dělat https inspekci, firewall má aplikační databází signatur a aplikace rozpozná podle jejich "fingerprintů". To ale v článku zmíněný packet filtr firewall zřejmě neumožňuje, resp. autor článku se nevyjadřuje.
-
Filip JirsákStříbrný podporovatelV komerční sféře, kde na bezpečnosti opravdu velmi záleží, to bez problémů funguje.
Máte tam chybu – takhle to funguje jenom tam, kde na bezpečnosti vůbec nezáleží.AD naistaluješ windows klientům certifikát, tedy jejich prohlížeče si nebudou stěžovat
Takhle jednoduché to není, musíte se vypořádat třeba ještě s HPKP.A pak uděláš na firewallu v podstatě man-in-the-middle.
Proč to zjemňující „v podstatě“? To není žádné „v podstatě MitM“, to je regulérní MitM útok se vším všudy. -
j (neregistrovaný)
Tam kde na bezpecnosti zalezi je takovej postup naprosto neakceptovatelnej protoze bezpecnost naprosto zboura.
Jo a sem vazne zvedav, jak budes vysvetlovat, ze ty osobni udaje milionu zakazniku sem ve skucenosti poslal nekam uplne jinam, jednoduse proto, ze sem sice mel ulozenej certikat protistrany, ale byl mi podvrzenej jinej. Ono to totiz neni zdaleka jen o bankach vime?
-
anonym (neregistrovaný)
Údaje o milionů zákazníků bych neměl z principu mít uložené na workstation a už vůbec je nebudu takto posílat někam ven. Ve vlákně se bavíme o situaci, kdy potřebuji identifikovat služby typu Facebook a Skype, tyhle obvykle nejsou třeba někde, kde jsou databáze s milionem zákazníků.
-
snuff1987 (neregistrovaný)
U vytvoření firewall pravidla je volba Advanced Options, ktera umi specifikovat Source OS, coz jsem zkousel a blokoval tak napr jen Win ping
Pozdravujem,
vie mi niekto vysvetlit ako je firewall schopny blokovat ping pochadzajuci zo systemu windows? V hlavicke ICMP, predsa nie je ziadna informacia o zdrojovom systeme..
ČLÁNKY DO MAILU