МХ
Поправился, просто сейчас микрот кручу, извините.
Size: a a a
2020 October 30
DS
Я разгребал уже столько этих самодельных шлюзов на iptables, с самописными rc-скриптами, в которых черт ногу сломит, что уже тошнит. Проксмоксовские правила выглядят не сильно лучше.
Вы их видели хоть в глаза, проксмоксовкие правила?
МХ
Да, видел. Такую же балабайку я лет 5 назад делал скриптами самописными в rc-шник или iptables-save. Получается так себе. Веб-морда спасёт на некоторое время, но с ростом количества нодов это превратится в интересный квест
МХ
Еще раз - я не против, штука прикольная для небольших инстансов. Но при росте надо будет резко перестраиваться на что-то вменяемое. И к этому надо быть готовым.
МХ
Макросы еще в правилах блин... Такое себе.
DS
Все харе
МХ
Ну и так, вопрос про правила. Оно хорошо работает при миграции между хостами?
DS
Ну и так, вопрос про правила. Оно хорошо работает при миграции между хостами?
Это второй абзац в Вики, сразу видно человека который говорит, потом читает)
While all configuration is stored on the cluster file system, the iptables-based firewall service runs on each cluster node, and thus provides full isolation between virtual machines. The distributed nature of this system also provides much higher bandwidth than a central firewall solution.
МХ
Это второй абзац в Вики, сразу видно человека который говорит, потом читает)
While all configuration is stored on the cluster file system, the iptables-based firewall service runs on each cluster node, and thus provides full isolation between virtual machines. The distributed nature of this system also provides much higher bandwidth than a central firewall solution.
В Вики написано как на заборе. А там дрова лежат. Про цеф тоже написано, что всё из коробки. И даже на правду походит. Пока реально не столкнешься с проблемами.
DS
Все зависит от умения читать..
МХ
Ясненько. Ну да, прокс же у нас без ошибок и багов. С фанатами спорить бесполезно.
МХ
Да и собсна не спорил я. Просто делился опытом и мыслями.
DS
В случае использования софторовго фаерволе - это дополнительная точка отказа, причем единая, очередная уязвимость в routeros и бери билет
МХ
А что по уязвимости прокса? А, да, он же идеален...
МХ
Сорян. Ладно, разговор бесполезен. Я ушел и слился.
DS
Да и собсна не спорил я. Просто делился опытом и мыслями.
Я ж написал выше https://t.me/ru_proxmox/91112
Работу надо с планирования начинать, если будет расти, не будет, и тд, все методы хороши, можно сразу ideco ставить на вырост
Работу надо с планирования начинать, если будет расти, не будет, и тд, все методы хороши, можно сразу ideco ставить на вырост
DS
Я тоже упорно плевался изучая lvm-thin но сейчас доволен, потому перечитал Вики и узнал про фаервол в проксе, и про сурикату, которая так же интегрируется в прокс
DS
А что по уязвимости прокса? А, да, он же идеален...
Незнаю, он у меня закрыт полностью 🌚
МХ
Ideco на вырост триггерит ))) lvm-thin простой и хороший, пока кластера нет. Суриката в проксе-как и файрволл. Сильное нинужно. Понятное дело, что прокс это просто дистрибутив, который можно крутить как хочешь. Но стоит ли? Если для себя - почему нет. Если для компаний - не надо так. Потом другие люди будут ненавидеть Вас, если наткнутся.
МХ
Можно вообще поставить микрот, и в нем виртуалка крутить. Но зачем?