Плюсы и минусы роутеров и ПеКа-роутеров

Посмотрел я на этот TinyShell - детский сад какой-то. Проще неткат заюзать, чем куда-то тащить это убожество.

Посмотрел я на этот TinyShell - детский сад какой-то.

А я и не смотрел. Какая нафиг разница, если оно работало.
Тут хомячкам просто надо объяснить, что их любимые Микротики - это полное решето.

Ну так-то на большинстве тех самых коробок стоит Linux.

Роутер это кирпич, в котором прошивка вместо ОС

[skip]

ПеКа-роутер или им подобный это компьютер/ноутбук, на который ставится человеческая ОСь и настраивается на раздачу интернетов, используется как сервер и файлопомойка

[skip]

Интересно знать ваше мнение.

Имхо, многое зависит от того, о какой сети идёт речь.

Если о домашней сети с динамическим ip'шником, то там провайдер уже всё защитил и закрыл все порты. И если ещё несколько лет назад в такой сети можно было повесить веб-сервер на нестандартный непривилегированный порт, чтоб он был виден из Глобальной сети, то сейчас провайдеры используют dpi, и такое не прокатывает. Так что домохозяйки надёжно защищены в ущерб тем, кто хотел бы на домашнем серваке установить веб или почтовый сервер.

Если речь идёт о домашней сети со статическим ip и открытыми провайдером привилегированными портами, либо о локальной сети не очень большого офиса (до нескольких десятков компов), то пека — лучший выбор. Он обновляется и гибко настраивается, на нём можно повесить антивирус, что, конечно, не защитит от вирусов на 100%, но снизит вероятность подхватить вирус по крайней мере из почтового сообщения или с заражённого сайта, независимо от того, отключает или нет юзер касперского на своём личном пека. Однако в этом случае лучше, чтоб такой маршрутизатор был только маршрутизатором (можно выделить на эти цели самый дохлый комп; в одной конторе примерно в середине 0-ых в качестве маршрутизатора использовался 386-й, после переезда 386-й выбросили и заменили на найденный где-то на складе 486-й; впрочем, от этого ничего не изменилось, внешняя сеть как работала нормально, так и продолжала работать). А остальные сервисы всё-таки надёжнее держать за nat'ом, что создаст ещё один эшелон защиты. Кроме того, если админ постоянно не дежурит возле шлюза и не проверяет, не повис ли он, то лучше купить комп подороже, с аппаратным watchdog'ом. Он сам будет перезагружаться при зависании.

Если же речь идёт об огромной конторе с огромным трафиком, то пека-шлюз может просто не потянуть (даже если это будет супер-пека). Тут нужен нормальный cisco со всеми защитами от производителя, а дополнительные уровни защиты, не предусмотренные cisco, при необходимости реализовывать внутри отделов, на которых стоят пека-роутеры, разделяющие локальную сеть на подсети.

Я думаю, как-то так.

да-да, всенепременно.

CCR1072 вундервафля их топовая, на PPPoE + шейпинге + нате загибается от 2000 сессий PPPoE и 2 гбит трафика. ну т.е. где-то по производительности как тазик на целероне :)

а уж как бгп на ихних вундервафлях работает - это обнять и плакать.

вся ихняя «оптимизированность» и «надежность» - маркетинговый булшит продаванов. сохо какахи уровня какого-то асуса.

и да, дыра (не, ДЫРА!!!) в ssh, благодаря которой элементарный брутфорс намертво убивал микротык (полностью вешал все, да), у них висела лет 5. совет саппорта - «не используйте ssh, используйте телнет».

~125вт+ при самой минимальной конфигурации)

Материнская плата, плюс селерон двуядерныый (загружаемый примерно на половину), плюс 4 гига памяти - 25-30 ватт с розетки. ПеКа, да. Проверено ваттметром физически. Это я тебе как фермер говорю ;)

тазик десяток гигабит нормально промолотит.

в конторах циски ставятся не потому. а потому что SLA с компенсацией простоя, и потому что админы для них - не уникальные гуру-мастеры, выпиливающие стабильную высоконагруженную систему (порой даже правя баги в ядре), а простые исполнители инструкций, где-то сродни сантехникам. и выбор проще - озвучил требования и получил железку, а не гадать по фоткам о надежности.

ну и аппаратное резервирование и куча портов в одной коробке, да.

Ищи на лоре по слову «зюзероутеры»

тазик десяток гигабит нормально промолотит.

Возможно.

Дома какой-то асус стоит, ибо тихо, экономично и места не занимает. В конторе ПК с фрей, ибо дешевле чем циска/джун, в случае аппаратного капца можно просто перекинуть винт на любой системник и любые сервисы навесить можно.

Когда я обновил на работе XP на 7, мне пришлось менять свич на роутер. Windows 7 не хочет работать с локальной сетью, если в ней нет шлюза интернета. «Неопознанная сеть», - и всё тут.

Теперь я понимаю, почему.

Теперь я понимаю, почему.

И почему?

Майкрософт сейчас любит шпионить, всякая там телеметрия.

К роутерам я отношу всё, что пытается быть «умным», в т.ч. управляемые свичи с фирмварью на борту, которые умеют что-то более чем просто аппаратно передавать пакеты по адресу.

Роутер это кирпич, в котором прошивка вместо ОС, в которой ничего толком нельзя подправить ручками, а если вы гик и ставите прошивку ZVER-RouterOS, то и так всё понятно что получаете в итоге: либо зонд от вендора, либо зонд от Васяна.

Такие роутеры как правило смотрят во внешку, а время идёт, находят новые дыры, а прошивка не обновляется т.к. вендор положил на неё болт, ведь надо продавать новые устройства и получается, что такой роутер «во внешку» сродни какой-нибудь Windows 9x которая ложится от большого пинг пакета. Не говоря о том, что вендор (читай, Васян) может вообще преднамеренно оставить бэкдор для себя (или товарища майора (или кто больше заплатит)).

Майкрософт сейчас любит шпионить, всякая там телеметрия.

Понял. А это нежелание 7(/8/10?) работать в локальной сети без Интернета проявляется только во время установки или и после успешной установки? И требуется роутер с выходом именно в Интернет или куда угодно? Дело в том, что я знаю организации, в которых работают под Windows и где нет выхода в Интернет (т. е. он есть, но с отдельных компов, подклчённых совсем к другой, не связанной с основной сетью, сети). Там какие-то хаки используют или всё штатно работает?

А у меня - сеть магазинов из 5 отделов. Во времена XP, у нас была локалка. Когда я всё перевёл на Windows 7, локалка работать не хотела, пока я не прописал шлюз. Шлюз на самом деле никуда не ведёт.

хочу любимый gentoo на mips роутер, я серьезно

както хотел пк роутер, посмотрел цены на сетевые карты, расхотел

Когда я всё перевёл на Windows 7, локалка работать не хотела, пока я не прописал шлюз. Шлюз на самом деле никуда не ведёт.

Понял. Спасибо за инфу. Значит, шлюз нужен, но куда он ведёт — неважно (естественно, в организациях, про которые я говорил, много отделов и, соответственно, подсетей со шлюзами).

Имхо, это больше похоже не на шпиономанию, а на микрософтовские кривые руки, которые непонятно, чего хотели, но в результате сделали ни себе (даже в плане телеметрии), ни людям. :-)

както хотел пк роутер, посмотрел цены на сетевые карты, расхотел

А что не так с ценами? Обычную дешёвую сетевуху можно купить за несколько сот рублей, а если хочется 10-гигабитную, то на я.маркете цены от 13 800 р., но я думаю, что и за скоростной cisco цена будет не меньше, а скорее больше.

и правда, сейчас более менее, может не так смотрел

может не так смотрел

Имхо, на я.маркете вообще стоит только приценяться, а потом искать выбранную модель в других местах, т. к. там обычно всё дороже (хотя могут быть и исключения).

значить для мну не все потеряно, вожет сбудется мечта идиота

лучше наверное с 1 портом, но PoE + свитч тож c PoE

и еще беспокоит, что свитч включится раньше роутера пк, и любитель поиграть в игры под виндо получит link-local и придется передергивать

лучше наверное с 1 портом, но PoE + свитч тож c PoE

Для шлюза нужны минимум 2 сетевухи.

и еще беспокоит, что свитч включится раньше роутера пк, и любитель поиграть в игры под виндо получит link-local и придется передергивать

Так то же самое по идее произойдёт, если и обычный роутер будет выключен. Но что мешает использовать статическую адресацию, если это так критично?

Прочитал всю тему, но так и не увидел ответа - какие преимущества у PC перед любым роутером с OpenWRT? Естественно, предполагая, что производительности железа достаточно для решения задач.

какие преимущества у PC перед любым роутером с OpenWRT?

На PC проще настроить дополнительные проверки. Антивирус, например, добавить. Зато топовый cisco роутер уже настроен. Антивирей там нет, но зато работает из коробки. Как-то так.

На PC проще настроить дополнительные проверки. Антивирус, например, добавить

Во-первых, совершенно неясно, зачем на роутере (!) антивирус???

Во-вторых, что мешает добавить антивирус на роутер с OpenWRT?

Про топовый роутер от Cisco вопросов нет - там совсем другое железо, способное держать нагрузки, которые и не снились PC. Речь пока идет о тех случаях, когда ни роутер, ни PC в возможности железа не упираются...

Во-первых, совершенно неясно, зачем на роутере (!) антивирус???

Ну, например, для защиты windows-сети. Правильнее, конечно, поставить антивирусы на все компы в сети, но ведь пользователи могут их отключить.

Во-вторых, что мешает добавить антивирус на роутер с OpenWRT?

Да ничего не мешает. Просто на встроенной системе это обычно сложнее, чем на пк. И места может не хватить. Да и антивирь может не запуститься на специализированном железе.

Просто на встроенной системе это обычно сложнее, чем на пк. И места может не хватить.

А что у тебя будет отлавливать антивирь, если сейчас https во все поля?

Я просто на роутерное железо ставлю человеческую ось. Мир мне там пересобирать не нужно, так как debian, остальное всё делает нормально. Запас железок есть, еще с тем рублём куплен, так что если что сдохнет легко восстановить. Зато работает 14/7 уже 6 лет без нареканий, только дохли диски, всегда некстати.

Ну, например, для защиты windows-сети.

Я просто не очень понимаю, что именно Вы собираетесь защищать. Роутер оперирует потоками трафика - Вы собираетесь вирусы прямо в потоке ловить, в режиме реального времени? Так для этого никаких ресурсов (разумных) не хватит. Не говоря уж о том, что вирусы могут проникать в сеть частями, в разных потоках (см. те же торренты).

Да и выше правильно заметили - значительная часть потоков на роутере зашифрована, как там ловить вирусы, непонятно...

Антивирус логично ставить на файловый или почтовый серверы, например, но не на роутер...

Да ничего не мешает.

Вот и я о том же :).

Просто на встроенной системе это обычно сложнее, чем на пк.

Ничуть не сложнее. Точно такие же команды пакетного менеджера (напомню, речь идет о роутерах с OpenWRT - фактически, полноценным дистрибутивом Linux), как и на PC. Остается только вопрос целесообразности (см. выше)...

Да и антивирь может не запуститься на специализированном железе.

Что мешает скомпилировать его под нужное железо?

А что у тебя будет отлавливать антивирь, если сейчас https во все поля?

Почту может отлавливать, ftp, http без s. Понятно, что антивирь на шлюзе — не панацея. Но какая-никакая доп. защита.

И потом, антивирь — это просто пример. Можно ещё какую-нибудь программу запихнуть. Например, программу, обновляющую iptables в процессе работы по чёрным/белым спискам, получаемым онлайн. Или ещё что-то.

SOHO роутеры часто содержат только один физический ethernet. К нему присобачен свитч с VLAN'ами. На ПК так тоже можно.

Почту может отлавливать

Может (может быть, если поток не зашифрован), но зачем, если гораздо логичнее делать это на почтовом сервере?

Но какая-никакая доп. защита.

IMHO, никакой толковой защиты не будет.

Можно ещё какую-нибудь программу запихнуть. Например, программу, обновляющую iptables в процессе работы по чёрным/белым спискам, получаемым онлайн. Или ещё что-то.

Еще раз повторю, речь идет о роутерах с полноценной OS, а не с закрытой прошивкой от производителя. Там нет никаких проблем с установкой любой POSIX-совместимой программы.

Вы собираетесь вирусы прямо в потоке ловить, в режиме реального времени? Так для этого никаких ресурсов (разумных) не хватит.

Это зависит от мощности железа, объёма трафика и настроек антивируса (с включённой/выключенной эвристикой, например, и т. д.)

вирусы могут проникать в сеть частями, в разных потоках (см. те же торренты).

Ну да, я уже говорил, что это не панацея. Хотя если кусок какого-то exe'шника не скачается, то и exe'шник не запустится. Т. е. даже в этом случае какая-то польза может быть.

Да и антивирь может не запуститься на специализированном железе.

Что мешает скомпилировать его под нужное железо?

Во-первых, надо компилировать, что уже доп. телодвижения. Во-вторых, теоретически может и не скомпилироваться. В-третьих, если код антивируса закрыт (а в большинстве антивирусов это так), то остаётся пользоваться только уже собранными сборками.

А так да. Роутер в конечном итоге — тот же компьютер, только специализированный. И вопрос сводится к тому, чем компьютер модели A лучше/хуже/не лучше и не хуже компьютера модели B. :-)

С точки зрения простоты и доступности софта более универсальные решения (такие, как ПК) обычно лучше. В чём-то другом лучше может оказаться специализированное решение.

Во-первых, надо компилировать, что уже доп. телодвижения.

Большинство более-менее популярных на данном железе программ уже скомпилированы и доступны из соответствующих репозиториев.

Во-вторых, теоретически может и не скомпилироваться.

А вот это вряд ли - такие баги обычно сразу отлавливаются. Не думаю, что в антивирусах есть железозависимый код...

В-третьих, если код антивируса закрыт (а в большинстве антивирусов это так), то остаётся пользоваться только уже собранными сборками.

IMHO, очень наивно пытаться защищать свою инфраструктуру проприетарными средствами. Потенциальная опасность от таких антивирусов превышает пользу...

И вопрос сводится к тому, чем компьютер модели A лучше/хуже/не лучше и не хуже компьютера модели B. :-)

Вот именно эту мысль я и пытаюсь донести :).

Фактически, вопрос стоит исключительно в выборе адекватного железа, достаточного для выполнения поставленных задач. Потому что на уровне софта все везде примерно одинаково...

В-третьих, если код антивируса закрыт (а в большинстве антивирусов это так), то остаётся пользоваться только уже собранными сборками.

IMHO, очень наивно пытаться защищать свою инфраструктуру проприетарными средствами. Потенциальная опасность от таких антивирусов превышает пользу...

Я уже давно не слежу за антивирусами и их рейтингами, но когда-то (может и до сих пор так, а может и нет) в большинстве тестов впереди был Касперский. Из бесплатных для личного использования неплохие места занимали Аваст и Авира, соревнуясь между собой. ДрВеб в рейтингах обычно был намного ниже их, но тоже оставался популярным. Все эти антивирусы закрытые. А из открытых я знаю только Кламав, который во всех рейтингах занимал стабильно нижние места и которым никто (включая фанатов опенсорса) на моей памяти не предлагал пользоваться всерьёз.

Конечно, было бы хорошо, если бы кламав ловил вирусы хотя бы так же, как середнячки в этих антивирусных рейтингах. Но мы имеем то, что имеем.

А из открытых я знаю только Кламав, который во всех рейтингах занимал стабильно нижние места и которым никто (включая фанатов опенсорса) на моей памяти не предлагал пользоваться всерьёз.

Я тоже неспециалист в антивирусах, но ClamAV использую уже лет 15 на файловых и почтовых серверах. С вирусными эпидемиями не сталкивался, следовательно, со своей задачей антивирус справляется.

Впрочем, у меня довольно продвинутый круг пользователей (научные сотрудники), так что, возможно, и без антивируса было бы нормально...

SOHO роутеры часто содержат только один физический ethernet. К нему присобачен свитч с VLAN'ами. На ПК так тоже можно.

Действительно можно. Никогда такое в голову не приходило.