Kateri router?

@SeMiNeSanja:

Tako zelo me moti, ker delaš takšno strašno paniko. Po nepotrebnem. Ne ozaveščaš uporabnikov, ampak jim v glavo kot enega Jezusa probaš zabijat svoje ideje.

Kaj jaz smatram kot spodnji prag sem že povedal. Pa še enkrat:
- ustrezna politika priključevanja naprav v omrežje
- redno updatani clienti
- FW in AV na clientih
- zaprt net za noter
- (glede na potrebe) zaprt net za ven

Prosim, če mi navedeš par vektorjev napada, ki bi se jih ob taki postavitvi v nekem manjšem omrežju moral tako bati, da ne bom mogel spati.

SeMiNeSanja je 23. jun 2015 ob 00:28 izjavil:

Kako boš pa sploh realno ocenil, če ti je neka rešitev zmanjšala možnost vdora za faktor dva?
Če si imel eno leto 100 vdorov, da jih boš imel naslednje leto samo 50? Kolikor jaz vem, je težnja, da ne boš imel nobenega in da boš storil vse, da ne bo prišlo niti do enega.
Tudi se varnostne rešitve ne prodajajo kot krema za sončenje s faktorjem 20, 30, 50...

E čaki, prej si pa še omenjal, kako ti navaden firewall nudi zaščito pod 10%, dobro skonfiguriran UTM pa tja do 80% (ali pa tudi skoraj malo manj kot 90).

Dober primer je bil v Srbiji v eni banki, ko si je en uslužbenec naštimal AP in se je cela okolica gor obesila :)

To, da uporabljajo javne IP naslove, ne pomeni, da karkoli spuščajo noter.

Seveda ne - imam tudi jaz IPv6 javne naslove na računalnikih, pa ne spuščam ničesar noter na IPv6.

'Izkušnja' se je nanašala na čase, ko je bil internet še malo bolj 'divji zahod', pa smo si tudi kdaj brez izrecnega dovoljenja upali naresti kakšen portscan nekoga, ki nam je bil 'suspekten' (ali nadležen)... Dejansko so bili ponavadi kar vsi porti odprti - pa se je lahko šlo tudi za kakšen znan inštitut.

Podobno izkušnjo sem ne tako zelo dolgo nazaj doživel v neki znani kulturni ustanovi, ki je kar nekaj časa imela stvari pošlihtane, na kar se je zamenjalo vodstvo in je prišel noter nekdo, ki je bil mnenja, da so oni 'preveč akademski' za kaj takega, zamenjali firewall (kot da na starem nebi mogli odpreti portov) in uveljavili politiko 'everything goes'. Good luck boys!

Mislil sem, da se (v celoti) zapre za ven, če je po tem potreba. Če imaš mene kot clienta, pač s tem, da po defaultu vse zapreš za ven, ne bo šlo skozi, ker:
- boš ti popizdil, ker te bom 24/7 nadlegoval, da mi odpiraš zadeve
- bom jaz popizdil, ker mi ne delajo zadeve in imam zaradi tega škodo

Ne boš verjel, ampak zadeva v praksi tudi približno ni tako tragična.
Je res delovno intenzivna, ampak že prvi dan se identificira 80% legitimnega prometa in spiše pravila zanj. V naslednjih dveh dneh prideš nekako do 98% pokritja legitimnega prmeta.
Do sem se uporablja 'neinvazivni pristop' - pretežno blokiraš samo tisto, kar različni varnostni servisi sami po sebi zablokirajo in tisto, kar se že iz aviona vidi, da je treba blokirati.

Ko imaš 98% prometa identificiranega, vso stvar preklopiš v način, da ven dovoljuješ izključno samo še tisti promet, ki si ga že identificiral kot legitimnega.

Tisti ostanek, se nekako 'odkrije' v naslednjih max. treh tednih in ne, ni 24/7 nadlegovanje, temveč kvečjemu en ali dva posamezna klica na dan, ko se najde še kakšna posamezna aplikacija, ki šteka. Poleg tega to ponavadi niso 'kritične' aplikacije. Ti klici po enem tednu usahnejo in moraš že ti klicati stranko, če je še kaj takega bilo, na kar bi bilo treba biti pozoren.

Slabost tega pristopa je vsekakor cena, če to izvaja zunanji izvajalec. Če to izvaja nekdo iz hiše, pa gre takointako 'v rok službe'.

Prednost na drugi strani pa je kasnejša možnost zaznavanja nenavadnega prometa.
Karkoli odstopa od legitimno dovoljenega prometa se blokira, s tem pa se tudi pojavi v dnevnih in tedenskih poročilih. Treba je samo še biti pozoren na analitiko, ki ti hitro pove, če se dogaja nekaj čudnega na omrežju in kam moraš obrniti svojo pozornost.
Precej truda na začetku, zato pa kasneje dolgoročno profitiraš. Seveda pa tudi rabiš nekaj izkušenj, da se lahko lotiš takšne 'zaprte' postavitve.

darkolord je 23. jun 2015 ob 14:20 izjavil:

PS. še vedno čakam odgovor na tole:

Prosim, če mi navedeš par vektorjev napada, ki bi se jih ob taki postavitvi v nekem manjšem omrežju moral tako bati, da ne bom mogel spati.

Ni potrebno, ker tiste 'mehanizme', ki si jih ti naštel (zaklep Windows firewall preko GP,...) v 99,9% manjših podjetjih ne boš našel.

Tudi v večini velikih podjetij te stvari nimajo tako poštimane, kot jih ti prikazuješ (tudi resno dvomim, da imaš TI tako pošlihtano pri sebi).

Eno je, kako bi se hipotetično dalo zaščito dvigniti na endpointu, kakšno stanje pa dejansko vlada v praksi. Mala podjetja za takšne fore ponavadi nimajo ne osebja, pogosto niti znanja. V velikih podjetjih pa se marsikdaj tudi škrtari pri nakupu orodij, ki bi to olajšala.

Tako na koncu dejansko nimaš druge, kot poskusiti loviti in prestreči nevšečnosti na vhodu v omrežje.
Sploh pa - kaj je narobe, če na dveh koncih loviš nevšečnosti? Menda si ne upaš trditi, da je pa tvoje 'zaklepanje endpointa' bulletproof?

darkolord je 23. jun 2015 ob 19:22 izjavil:

Tako na koncu dejansko nimaš druge, kot poskusiti loviti in prestreči nevšečnosti na vhodu v omrežje.

Če si prelen ali nesposoben, da bi na endpointih poštimal varnost, potem pač rečeš "jebiga", pustiš anarhično stanje in se greš ukvarjati z magičnimi UTM škatlami?

Če nevščenosti loviš na dveh koncih, ni seveda nič narobe. Narobe je, če začneš samo na enem (in to napačnem) koncu.

Welcome to the real world!

Ne vem, v katerem svetu ti upravljaš omrežje, pa če je res vse tako idealno poštimano, kot trdiš. Toda tudi v 'tvojem svetu' ti manjka mehanizem, ki te bo opozoril, da je prišlo do problema, predenj te nanj opozori uporanik sam (kar se ponavadi zgodi šele takrat, ko mu PC noče več delati).

Ti pač slepo zaupaš, da tvoja 'imunizacija' deluje proti vsemu, kar ni 0-day.
Jaz pa skušan dopovedati, da ravno 0-day zadeve pogosto lahko zaznaš, ko skušajo vzpostaviti povezavo proti internetu - če si firewall skonfiguriral na restriktiven način in spremljaš statistike dogajanja.

Drugače pa je tudi tvoj pristop odpove na celi črti, ko fašeš nekaj, kar izklopi Windows firewall (ki je itak bolj šala, kot kaj drugega) in antivirus. Polno enega garanja za prazen nič, če vse skupaj ni podprto še z whitelisting-om.

Definitivno je potrebna tudi endpoint zaščita, ampak samo nanjo zanašati se res ne velja, ker je ta prva, ki odpove.

Kaj pa ti pričakuješ od podjetij, ki nimajo lastnega 'računalničarja', pa ni ravno 'tuzemsko'. Namesti se AV in v žepu držijo fige, da se ne bo nič zgodilo.
Da se stvari vseeno 'dogajajo', vsi dobro vemo.
In nikar ne kvasi, da v takem okolju pravilno skonfigurirana požarna pregrada nič ne koristi, da je pristop na napačni strani. Ta podjetja preprosto nimajo nikogar, ki bi sploh lahko pristopil reševanju problema na endpoint strani.

Tudi tam, kjer imajo samo enega ali dva 'računalničarja' stva ni kaj dosti boljša - nimajo jih 'zaradi lepšega' in se ne praskajo po cele dneve po zadnjici, ampak imajo vsega drugega toliko za početi, da se niti slučajno nimajo časa ukvarjati še z vsakim endpointom posebej.

Kot 'napačna stran' tu lahko označiš samo tisto stran, ki prinaša manjši efekt ob enakem vloženem trudu in denarju. Zagotovo je 'napačna stran' požarna pregrada, če je permisivno skonfigurirana in ni sposobna zaznati nobene anomalije. Ampak mislim, da sva to že obdelala, da jaz govorim o restriktivno postavljeni požarni pregradi, ki se popolnoma drugače odziva.

Problem pa je, če A) nisi sposoben postaviti restriktivno konfiguracijo in B) se tega niti ne poskušaš lotiti, ker si prepričan, da bodo potem 24/7 deževali klici...in C) niti nimaš požarne pregrade, na kateri bi lahko postavil takšno restriktivno konfiguracijo, ampak imaš samo navaden router. UPS?

Lonsarg je 24. jun 2015 ob 11:09 izjavil:

Kater spodoben trojanec pa še nima nekega support http serverja zadaj. In tega z nobenim firewalom ne boš preprečil. Z statistiko http prometa boš MOGOČE naknadno napad opazil, ampak še to je bolj iskanje trave na travniku, dokler so količine poslanih podatkov majhne.

Najbrž misliš http klienta, ne serverja? Http sam še ni tako problematičen, pri https stvari postanejo zares problematične. Ali pa če uporablja port 80, ker ve, da je odprt, preko njega pa komunicira s kakšnim popolnoma drugim protokolom?

Router tu odpove na celi črti. Stare požarne pregrade ravno tako.

Pri sodobnih požarnih pregradah pa imaš kar veliko možnosti, da ravno take zadeve ujameš, še predenj naredijo kakšno resnejšo škodo. Seveda ne bo vsaka vedno enako učinkovita, saj uporabljajo signature, ki se lahko po kakovosti zelo razlikujejo med seboj.

Že ko pride http request do požarne pregrade, se preveri URL v spletnem filtru, če morda destinacija sodi med znane izvore malware-a ali botnet nadzorne strežnike. Če se gre za znanega trojanca, se bo zadeva že tu ustavila.

Če ta filter odpove, se pogleda sam request. Če ni po RFC-ju, ampak nek čisto drug protokol, ki se izdaja za http, zadeva pade (enako velja za response).

Ravno tako IPS spremlja potek seje in jo prekine, čim zazna vzorce dogajanja, ki ustrezajo njegovim signaturam. Poleg IPS lahko tu še v igro vskoči prepoznava aplikacij - da dovolimo takšne povezave samo določenim, prepoznanim aplikacijam.

Če je request za download .exe, ali podobne kritične datoteke (tudi zapakirane), prenos teh navadnim uporabnikom v osnovi prepoveš. Priviligiranim uporabnikom pa zadevo pošlješ skozi AV preverjanje.

Pri nekaterih požarnih pregradah se zadeva tukaj kombinira z različnimi 'reputacijskimi' storitvami, lahko tudi z napredno analizo datoteke v 'peskovniku', katere so namenjene odkrivanju 0-day škodljive kode.

Če vsa zadeva poteka preko https protokola brez dekripcije ne boš dosegel takšne globine analize prometa, če ga ne boš dekriptiral. Danes gre vse več na https - tudi malware, ker se ve, da ga marsikdo ne zna pregledovati, ali pa si ga ne upa vključiti, da nebi sprožil kakšno 'revolucijo' s strani nepoučenih uporabnikov.

Dekripcije https prometa vse bolj postaja nuja, pa če je to uporabnikom všeč ali ne. Praktično vsi proizvajalci sodobnih požarnih pregrad ponujajo možnost, da si pri tej dekripciji selektiven. Banke in podobne zaupanja vredne destinacije lahko uvrstiš na seznam destinacij, katerih promet ne dekriptiraš.
Ravno tako lahko npr. Youtube in Google daš na ta seznam, da razbremeniš procesor - saj se gre tudi tu za destinacije, kjer do določene mere zaupaš, da ne širijo malware-a.

V statistiki se kasneje niti ne gleda toliko statistiko http prometa, kot statistiko blokiranih povezav. Vsak računalnik ustvarja povezave, ki se sicer blokirajo, vendar same po sebi še niso nujno škodljive.
Če imaš zelo na testo postavljeno konfiguracijo, se predvsem fokusiraš na te blokirane povezave. Lahko so znak, da boš moral dodati neko dodatno pravilo za nek novi software, ki se je namestil v podjetju, lahko pa so tudi znak za alarm, da se na določenem računalniku nahaja nek malware.
Večina proizvajalcev ponuja nekakšen 'Security dashboard', kjer na enem ekranu lahko vidiš, kje prihaja do največjih odstopanj, skupaj z razlogi, zakaj so bile te povezave blokirane.
Če poleg blokirane destinacije piše, da je bila blokirana zato, ker se gre za znan botnet nadzorni center in se ta za isti izvor nonstop ponavlja, res ne rabiš biti nek poseben ekspert, da ti bo jasno, da bi bilo dobro tisti računalnik odklopiti od mreže in se lotiti 'deRATizacije'.

Vse skupaj gre seveda z roko v roki z ozaveščanjem uporabnikov. Če ti zastopijo v čem je problem in jim pojasniš, da ne dekriptiraš podatke, da bi gledal kaj si s kom dopisujejo na kakšnem forumu (jim po možnosti tudi pokažeš, da tega tudi če bi hotel, ne moreš videti), se kakšnega upora nebi smel bati. Seveda je zgodba popolnoma drugačna v okoljih, kjer je že tako omajano zaupanje med zaposlenimi in vodstvom podjetja. Če so uporabniki prepričani, da vse to zganjaš samo zato, da bi njih imel pod nadzorom, potem najbolje, da kar takoj potegneš vtikač in odklopiš internet. Tako podjetje bo verjetno takointako kmalu šlo k vragu, pa ne bo več rabilo interneta.

Načeloma bi kdo pomislil, da so takšne rešitve na voljo samo velikim podjetjem in finančno nekje v oblakih.
Pa ni čisto tako. Vsi ponudniki tovrstnih rešitev danes ponujajo tudi variante za mala podjetja. Cenovno seveda stvari niso v rangu routerja za 50€, ampak moraš le malo globlje poseči v žep. Toda tudi za najmanjša podjetja s 5 uporabniki se že dobi takšne rešitve v rangu okoli 500€. Seveda cene potem naraščajo z večjo zmogljivostjo rešitev.
Seveda pa ti ne bo nihče takšno rešitev (pravilno) skonfiguriral za eno pivo. Odvisno od vloženega truda lahko konfiguriranje celo preseže vrednost same nabave takšne rešitve za malo podjetje, saj se ne razlikuje kaj dosti od konfiguriranja za veliko podjetje s 100 in več uporabniki. Če ti to kdo individualno skonfigurira za manj kot 400€, to naredi bolj 'promocijsko' - ali pa ne izkoristi 3/4 možnosti, ki jih te rešitve ponujajo.

Imaš pa tudi ponudnike, ki takšne rešitve na široko ponujajo v sklopu neke varnostne storitve. Ti ponudniki potem ponavadi upravljajo takšne zadeve centralno, uporabljajo določene template, ki jih imajo pripravljene za določene tipe podjetij, kar seveda lahko celo zgodbo bistveno poenostavi, je posledično tudi ceneje. Pri nekaterih napravo niti ne rabiš kupiti, ampak jo najameš skupaj z njihovo storitvijo, ki jo potem plačuješ mesečno.

Če samo pogledaš, skozi kaj mora en http request na sodobni požarni pregradi in to primerjaš z ACL-om na routerju, bo tudi slepemu jasno, zakaj stalno poudarjam, da imamo enkrat opravka s KOMUNIKACIJSKIMI rešitvami, drugič pa z VARNOSTNIMI. Res da imajo določene lastnosti skupne, še veliko več pa je tega, po čemer se med seboj razlikujejo.

darkolord je 24. jun 2015 ob 13:29 izjavil:

Dekripcije https prometa vse bolj postaja nuja

Z dekripcijo https prometa hkrati seveda proizvajalcu naprave, upravljalcu naprave in nepridipravom, ki uspejo priti v to napravo, prepustiš še zadnji nivo zaščite, ki varuje tvojo zasebnost. Če je UTM kompromitiran, ima napadalec v rokah privatni ključ, ki mu zaupa cela tvoja organizacija.

Lahko našteješ primere, ko se je to DOKAZANO zgodilo?
(tu mislim na nepridiprave, ki bi vdrli v požarno pregrado)

Mislim da bi proizvajalec, ki bi bil na tem nivoju ranljiv, zelo hitro izpadel iz igre.

Upravljalec na drugi strani, pa ne potrebuje požarno pregrado, če ti hoče streči po zasebnosti. Če mu ne zaupaš, potem si izbriši default gateway v TCP nastavitvah, da ne boš prišel v skušnjavo, da bi upravljalec lahko karkoli 'zasebnega' o tebi izvedel.

Če grem na Geizhals.de in vnesem tvoje želje, boš moral še kakšnega stotaka primakniti zraven, če jih boš želel zadovoljiti.

Sploh USB 3 je precejšnja redkost med routerji in ga najdeš šele v novejših modelih, ki podpirajo tudi ac standard, kar seveda takoj dvigne ceno za eno kategorijo.

Poskusi sam. Pojdi na http://geizhals.de/?cat=wlanrout in si naklikaj svoje želje.

Tole, s tem da ne vem kako je z torrenti. Morda se da z DD-WRT.

https://www.mimovrste.com/usmerjevalnik...

Vse ostalo je več ali zanič.

Kaj menite o tem?

https://www.mimovrste.com/usmerjevalnik...

Kot sem študiral routerje v tem cenovnem razredu je kar ok, saj ima dual core procesor in 512 MB RAM (kot kak telefon), prav tako pa ima že tovarniško naložen ddrwrt. Rabim za zamenjavo linksysa 54GL in morda še NETGEARa WNR2000, ki sta povezana v wireless bridgu, tako da bi po hiši tale moral biti zadosti.

darkolord je 24. jun 2015 ob 15:52 izjavil:

Lahko našteješ primere, ko se je to DOKAZANO zgodilo?
(tu mislim na nepridiprave, ki bi vdrli v požarno pregrado)

Bom uporabil kar tvoje trditve:
- menda ne misliš, da je zadeva bulletproof?
- bi dal roko v ogenj?
- si pripravljen prevzeti odgovornost oz. se zagovarjati za to, da si nekemu tujemu podjetju slepo predal zasebne ključe za certifikate?
- itd

Ne vem, kaj želiš dokazovati. Da se vsa varnostna industrija moti? Da vsi inštituti, raziskovalci in varnostni strokovnjaki trapajo bullshit, ko govorijo o tem, da je treba pregledovati tudi https promet?

Govoriš o vdoru v firewall. Koliko takih primerov si zasledil (googlaj!), kjer se je šlo za uveljavljene proizvajalce in PRAVILNO konfigurirane, redno posodobljene rešitve?

Govorimo o hipotetični možnosti? Hipotetično lahko jutri tudi asteroid zadane zemljo. Najbolje, da kar zamenjamo vse firewall-e z routerji, bo vsaj tistih zadnjih nekaj ur tekel internet malo hitreje, mar ne?

Zato daš pač oboje in še kaj. Kakšen pameten Gateway (firewall+packet deep scan, filtriranje itd..), na server za maile še svojo aplikacijo, na Endpointe pa AV (centralno nadziran, da imaš pregled na updati) in , če ne drugega za usb ključke in podobno ter za vsak slučaj še lokalno FW. Če se naredi še MAC blokado (da ne more priklopiti svoje naprave), prijavo z certifikati (tudi preko VPN) in vse sharinge preko AD, bi moralo biti ok.

Manjše ko je podjetje, več anarhije vlada na endpointih.

To spet ni nujno res. Če je na začetku zadeva dobro postavljena, ni potrebno, da nekdo skozi zraven "pedalira". Ne glede na velikost.

pri varnosti v podjetju se ne gre za to, da boš nekaj tekmoval in dokazoval, da ti lahko karkoli bolje narediš na endpointu, kot kolega na požarni pregradi!
Če tega še nisi dojel, potem ne vem, kaj delaš v tem poslu (če sploh delaš v njemu).

Ne ena, ne druga plat ni stoodstotna, skupaj pa lahko stvari dvigneš na precej visok nivo - ampak ne da kvasiš, da druga stran takointako nič ni vredna, temveč da združiš informacije, ki jih lahko z obeh strani zbereš in temu ustrezno ukrepaš.

Čisto na začetku sem povedal, kaj me moti pri tvojih postih - to, da ljudi prepričuješ v nujnost nakupa UTMjev BREZ kakršnega koli ozira na dejansko stanje njihovega omrežja in njihovih zahtev!

Od kje ti ideja, da če ni UTMja spredaj, da je "vse odprto" ali "na stežaj odprto"?

a) nisem tega rekel (in sem tudi razložil, kaj to, kar sem rekel, pomeni)

b) s tem samo še enkrat poudariš, da ignoriraš vse ostalo. "Ne znaš voziti avta? Kupi nov avto z ABS, ESP, ASR, ..."

Če tako gladko ignoriraš varnost s strani endpointov, se moraš malo zamisliti nad tem, kar počneš.

Pojdi to razlagat v kerokoli banko

Banke samo ti omenjaš. Me zanima, koliko teh, ki tukaj sprašuje za usmerjevalnik z budgetom 100 eur, je iz bank.

Verjetno bi samo ti bankam predlagal isto rešitev kot podjetju s tremi zaposlenimi, ki preprodaja fitinge za vodovodne cevi.

Sem ti rekel, da se pojdi malo sprehoditi naokrog in pogledat po podjetjih, kako katastrofalno imajo poštimane stvari. Tu nakladaš o nekem hipotetičnem podjetju, kjer je endpoint optimalno poštimana 'trdnjava'.
Pojdi pogledat REALNOST!

Tukaj se pogovarjamo ravno s takšnimi, ki imajo čez tudi varnost endpointov. In ti so taki, ki jim je treba s prstom zažugati. Podjetje z nekaj zaposlenimi skoraj zagotovo nima zaposlenega ITjevca, ki se ukvarja izključno z mrežo, ostalo pa ni v njegovi domeni.

Kjer imam IT čez, je bilo katastrofalno stanje, ko sem prišel tja, ja. Pa veš kaj sem naredil potem? Uštimal sem jim zadeve. Groza in strah?!

Meje moje odgovornosti so pa dovolj dobro definirane, da lahko kar se tega tiče spim kot dojenček.

@Gapi - poudarek je v vprašanju, če je isti router, ki je idealen za domačo rabo tudi primeren za poslovno rabo v podjetju.

Jaz trdim, da navaden router pač ne sodi ne obrobje poslovne mreže.

Osnovna napaka je že v tem, da se uporablja isti topic za domače uporabnike in za poslovne, kot da bi se šlo za eno in isto stvar.

@Darklord - tebi pa priporočam, da se fokusiraš na endpointe, če si tako dober na njih in se ne ukvarjaš s firewall-i, ki definitivno niso področje, kjer bi bil 'doma'.

Če jaz tebi ne solim pameti, kako imajo biti endpointi za poštimani (čeprav se mi malenkostno tudi o tem sanja), potem prosim ne soli ti meni pamet o področju, s katerim se že skoraj 20 let ukvarjam. Bolj bi ti koristilo, če bi napel ušesa in vsaj poskusil razumeti, kar ti razlagam iz svojih dolgoletnih izkušenj. Morda bi se celo še kaj naučil.

@SeMiNeSanja, To kar ti par postov višje opisuješ žal niti slučajno ni samo 500EUR(tut samo 10kEUR ne!), da ne omenjam da potrebuje dežurnega dragega strokovnjaka, ki to upravlja. Skratka ni sploh predmet debate "kater router", ker ne obstaja tak "ruter". Tako zadevo dobiš sam kot komplet rešitev izven skopa naše razprave, ki vsebujejo domače uporabnike in male poslovne.

In ja mali poslovni kupujejo iste zadeve kot napredni domači uporabniki.

si ze dal v narekovaje :)

torej reces, da lazje pises firewall pravila z drazjim sistemom? in da imas za razlicne firme cist razlicna pravila? in da za par pravil(in to osnovnih) rabis 4ure?

hecen si :)

frontend, ja razumem, pac lazje klikas
lahko tudi klikas v mikrotiku
bo pac malo vec kot 4ure
pa tudi kaksen zaposlen v firmi(huh) bo z lepsim frontendom lazje doklikal ze tvoj postavljen sistem

tudi razumem, da ce imas ze problem prebrati mail pod linuxom in da gres zaradi tega rajsi v winse, da bos tudi z iptables imel probleme v consoli

opa, sva ze pri firewallu na 'routerju' :)
se da pisat(ali pa klikat) pravila tudi z listami :)
tudi komentarji se dajo uporabljat
mogoce komu tako ne bo problem z 100+ , celo v konzoli ne bo rabil....

Če gremo nazaj na routerje: jaz sem imel dolga leta net preko Amisa (ADSL) in modem/router/AP Thomson SpeedTouch 780i. Ker je vsake toliko zmrznil, sem nabavil Linksys WRT160NL, ki je bil sicer hitrejši, a je ob obremenitvi hitro zmrznil (par torrentov, kak youtube). Gor sem dal DD-WRT, a ni kaj doti pomagalo, tako da slutim na strojno napako. Router sem nato dal okolje, kjer se rabi samo casual AP in dela ok, jaz pa sem uporabljal Speedtoucha 780i, ki je z zadnjim updatom delal zalo stablino, le ob vklopljenih več torrentih je začel bremzat.

Pred kratkim sem preklopil na 30/2 kabelsko in ker modem nima NAT-a, so mi pustili še enega TP-LINK TL-WR740, ki je delal katastrofalno: slab domet (tak kot na 5+ let starem Speedtouchu z polomljeno anteno), slaba hitrost in vsakih par dni zmrznitev. Nič čudnega da jih je Leclerc prodajal po 11 eur.

Včeraj sem nabavil TP-LINK TL-WR1043NL (novejšo, črno verzijo) in zadeva zaenkrat dela odlično. Tudi ob polno obremenjenem Torrentu (5 DL z skupno skoraj polno zasedenim linkom) in youtubu na tablici je net še vedno odvisen. V spalnici, kjer sem imel prej 1-2 črtici, jih imam sad 4-5, testirano z Note 3 in iPADom. Tako da zaenkrat same pohvale, bom pa videl kako bo s časom.

Doma imam še SamKnows Whitebox, ki je v osnovi TPLINK WDR3600, tako da ga morda kdaj odklenem, a občutek imam (glede na teste), da je razen Dual Banda 1043 hitrejši.

@Cveto - meni se zdi povsem logično, da novejše naprave z zmogljivejšimi novimi procesorji lažje 'prebavijo' promet, ki jim ga naložiš.

To, kar pa naši providerji 'talajo' naokoli, pa je logično, da ne bo neka nevem kako kakovostna roba. Koliko denarja, toliko muzike. Ampak v bistvu naj se podarjenemu konju nebi gledalo na zobe? Za kakšen backup, če ti tvoj novi router iz kateregakoli razloga odpove, pa je še vedno uporaben, da ne ostaneš 'čisto na suhem'.

trnvpeti je 24. jun 2015 ob 21:54 izjavil:

SeMiNeSanja je 24. jun 2015 ob 21:50 izjavil:

Ko boš imel konfiguracijo s 100+ pravili se oglasi, pa bova kakšno rekla. Velja?

sva ze prej ugotovila, da tukaj ni problema
nisi nasel pravega :)

Torej hočeš reči, da ti je namen bil izključno provociranje in trollanje.

SeMiNeSanja je 24. jun 2015 ob 22:06 izjavil:

Torej hočeš reči, da ti je namen bil izključno provociranje in trollanje.

seveda ne
cisto lepo razlozil glede mikrotika, in prav nic nisem zavajal
in tudi ti si lepo razlozil UTM
sam se cen jim nisi povedal :)

btw, pretiravas pa na polno