LINUX vs CISCO

[qligowski]

Tak z ciekawosci , jaki jest 'down side' uzywania linuxa w sredniej firmia zamiast CISCO oprocz oczywistego supportu z CISCO i 'darmowosci' linuxa ?

U mnie w firmie uzywane sa oba, ale mamy pare brzegowych firewalli z postawionym Linuxem i wg mnie uzytecznoscia i konfiguralnoscia bija na glowe CISCO.

Serwer Dell z 10gigabtiowymi interfejsami ,postawiona Quagga do BGP i OSPF i netfillerem do l3 ,l4 firewall oraz tc do QoS . Elastycznosc i uptime jest lepszy od CISCO no i hardware nieporywnalnie lepszy. Dodatkowo potrafi robic rzeczy ktorych asa nie potrafi (np NAT bazujacy na source address ) czy chociazby natywny tcpdump . Jeden serwer ma uptime juz chybaz z 7 lat i zdazyly juz pasc 3 Cisco za jego kadencji...
Teoretycznie brak ruchomych czesci i zamknieta infrastruktura dedykowanego firewalla powinna wziac gore ale w praktyce okazuje sie chyba inaczej ?

[Kyniu]

Rozumiem, że po prostu szukasz zaczepki i chcesz wszcząć flame war. Up-time linuxa 7 lat i bezpieczeństwo? Ile w tym czasie znaleziono poważnych błędów?

[qligowski]

nie zaczepki ,po prostu ciekawosc , bo latwiej mi sie pracuje na linuxie niz na ios

[mhuba]

Dodatkowo potrafi robic rzeczy ktorych asa nie potrafi (np NAT bazujacy na source address ) ..

Tak z ciekawości jak taki NAT wygląda?
Dłubię trochę w ASAch ale nie trafilem jeszcze na NAT ktorego nie da sie zrobić.

Pzdr
mHuba

[lbromirs]

Serwer Dell z 10gigabtiowymi interfejsami ,postawiona Quagga do BGP i OSPF i netfillerem do l3 ,l4 firewall oraz tc do QoS .

Quagga się niestety nie skaluje dobrze - jest jednowątkowa i ma problemy z blokowaniem przy BGP. Ale dla małej skali pewnie nawet nie zauważysz problemu. Dla większych rozwiązań, w szczególności jeśli pojawi się BGP Route Reflector - sugeruje BIRDa.

Elastycznosc i uptime jest lepszy od CISCO no i hardware nieporywnalnie lepszy.

Elastyczność to oczywiście siła Linuxa, co do hardware - to jakiś żart, tak?

Dodatkowo potrafi robic rzeczy ktorych asa nie potrafi (np NAT bazujacy na source address ) czy chociazby natywny tcpdump .

Szokujące, ale jednak chybione. ASA potrafi robić NAT bazując na adresie źródłowym. Nie ma 'natywnego' tcpdumpa ale zapisuje dumpy ruchu do formatu pcap. Hm... no tak. Nie ma też natywnego grepa (choć można grepować), awka, seda, lsofa, mkfs, fdiska, basha, vima, sendmaila i jakże istotnego polecenia quota. Zdecydowanie, jak na firewall sieciowy, rozwiązanie do....dupy? :)

Jeden serwer ma uptime juz chybaz z 7 lat i zdazyly juz pasc 3 Cisco za jego kadencji...

Pogratulować. Statystyki zwykle jednak są odwrotne. Raczej historie opowiada się o legendarnych uptime'ach sprzętu Cisco niż serwerach, chociażby właśnie z powodu raczej konkretnego zastosowania danego pudełka vs jego 'elastyczności'. Terminal Server czy router 1Gbit/s może pożyć 5-8 lat, serwer zwykle żyje 3-4 i leci po amortyzacji do kosza, bo nowszy jest zarówno szybszy jak i dużo bardziej efektywniejszy. Nie mówiąc już o np. zużyciu energii.

Teoretycznie brak ruchomych czesci i zamknieta infrastruktura dedykowanego firewalla powinna wziac gore ale w praktyce okazuje sie chyba inaczej ?

Flame wars odsyłamy na najbliższe drzewo, z możliwie dużą prędkością i uśmiechem na ustach. Proponuje skupić się na konkretnych uwagach merytorycznych - wtedy zawsze chętnie wysłuchamy i porozmawiamy.

[qligowski]

Co do ASA ,przewertowalem caly internet i z tego to wiem nie da sie zrobic takiej reguly:
mam LAN z serwerami po jednej stronie i zewnetrzynm interface z wieloma IP w tej samej sieci (odpowiednik aliasow z linuxa). Chce przekierowac port z hosta z publicznym ip xxx do mojego serwera w lanie na port 80. Czyli jeden IP moglbym uzyc wiele razy w zaleznosci od publicznego IP. W ASA jedynie moglbym przekierowac na inny wewnetrzny port a cche ten sam .Chyba ze sie myle to pokazcie jak

W netfilterze robie po prostu taka regule
iptables -A PREROUTING -p tcp -s 8.8.8.8 -d 4.4.4.4 --dport 80 --to-destination 192.168.1.1 -j ACCEPT


Oczywiscie nie chcialem tematem wywolac zadnej fanboyskiej wojny ,tylko chcialem posluchac dosiwadczonych kolegow

[geminiuss]

Bo security zaczyna sie od L4

[zet69]

Co do ASA ,przewertowalem caly internet i z tego to wiem nie da sie zrobic takiej reguly:
mam LAN z serwerami po jednej stronie i zewnetrzynm interface z wieloma IP w tej samej sieci (odpowiednik aliasow z linuxa). Chce przekierowac port z hosta z publicznym ip xxx do mojego serwera w lanie na port 80. Czyli jeden IP moglbym uzyc wiele razy w zaleznosci od publicznego IP. W ASA jedynie moglbym przekierowac na inny wewnetrzny port a cche ten sam .Chyba ze sie myle to pokazcie jak

W netfilterze robie po prostu taka regule
iptables -A PREROUTING -p tcp -s 8.8.8.8 -d 4.4.4.4 --dport 80 --to-destination 192.168.1.1 -j ACCEPT


Oczywiscie nie chcialem tematem wywolac zadnej fanboyskiej wojny ,tylko chcialem posluchac dosiwadczonych kolegow

nat (outside,inside) source static 8.8.8.8 8.8.8.8 destination static 4.4.4.4 192.168.1.1 service TCP80 TCP80

[mikrobi]

iptables -A PREROUTING -p tcp -s 8.8.8.8 -d 4.4.4.4 --dport 80 --to-destination 192.168.1.1 -j ACCEPT


Oczywiscie nie chcialem tematem wywolac zadnej fanboyskiej wojny ,tylko chcialem posluchac dosiwadczonych kolegow

Doświadczeni koledzy powiedzą Ci, że takie rozumienie funkcji firewalla było dobre 10 lat temu, znakomite 15 lat temu, a rewolucyjne 20 lat temu.