Nem tudom sajnos.
Talán az Intel NIC kevésbé problémás, mint a Realtek.
Olvastam én is a 225-ös NIC hibáiról, nem tudom sajna hogy ezen a kártyán milyen revízió van.
Linux kernelben tudtommal már benne vannak a driverek.

Amíg ellátja a dolgát és elég a teljesítménye nálam addig marad. A cserére max az venne rá, ha fele fogyasztáson kapnék kétszeres teljesítményt gombokért.
Az jogos, hogy nehéz hozzáférni az RJ45-öthöz, ha kártyán van, de én nem nagyon húzogatom ki. Van benne egy 2 portos NIC, egy WAN, egy LAN. A LAN megy egy switchbe.

[ Szerkesztve ]

Hát, visszalépni nem szeretnék feltétlen sebességből (ha már vettem 2.5G switch-et meg NAS, meg AP-t. Csak ugye, akkor meg sokkal zsebbenyúlósabb a mutatvány. Ezért gondoltam, hogy ha már úgyis van egy SFF gép (amit amúgy is PVE-vel használok, szervernek), akkor abba egy 4 portos NIC és jó vagyok.

Erősségben teljesen elégedett vagyok a mostani J4125-tel is, nem igazán van ez se kipörgetve. Fontosabb inkább a fogyasztás/teljesítmény mutató, mellette a halk működés, mint a nyers erő.

[ Szerkesztve ]

A mostani gépben is i225-V van, én nem érzem amúgy problémásnak és elégedett vagyok vele, csak a fránya fw zavar... És nem is tudom, hogyan tudnám megnézni, hogy egyáltalán "telefonál-e" haza valamit is.

[ Szerkesztve ]

Hát, visszalépni nem szeretnék feltétlen sebességből (ha már vettem 2.5G switch-et meg NAS, meg AP-t.
Ez érthető. Van gigabitesnél nagyobb sebességű internet előfizetésed? Mert a 2.5 Gbps router ahhoz kell ugye. Multigigagbites LAN-hoz elég az említett switch.

Elsősorban a LAN része a fontos, netből csak kinézőben van 2Gbps, de az kérdéses még.

Viszont tegyük fel megveszek egy 2 portos 1GiB-es eszközt, ott hogy tudok elérni csak a switch segítségével 2.5GiB-et LAN-on?

Viszont, ha elég a firewall-nak 1GiB-es portok és switch-el megoldható, akkor van itthon az SFF-be való 4 portos NIC - itt megint csak kicsit sajnálnék ~100k-t rákölteni, ha amúgy itthon van eszköz, amivel meg tudnám oldani a dolgot.

Viszont tegyük fel megveszek egy 2 portos 1GiB-es eszközt, ott hogy tudok elérni csak a switch segítségével 2.5GiB-et LAN-on?
Úgy, hogy az összes 2.5 Gbps kliensedet a 2.5 Gbps switchre kötöd és azok már 2.5Gbps sebességgel kommunikálnak egymással. Ugyanezt tettem anno, mikor az akkori Mikrotik routerem csak 100 Mbps portokkal bírt, de a klienseim már gigabitesek voltak. Egy gigás switch segített.

[ Szerkesztve ]

Valamiért úgy rémlett, hogy a csomagok alapból mindenképpen átmennek a start_kliens -> switch -> router -> switch -> cél_kliens útvonalon. Ez unmanaged switch esetén is így van?

[ Szerkesztve ]

Igen, így van (ha ugyanazon az alhálózaton vannak).

[ Szerkesztve ]

Igen, így van.
A router elég ha csak gigabites, ad IP címet, stb.
A kommunikáció ezután már a switchen keresztül megy csak két kliens között, azonos alhálón.
Csak ezért nem kell 2,5Gbites NIC a routerbe.

OPNsense-t használok. A legutóbbi frissítés (23.1.6) óta a Crowdsec blokkol bizonyos LAN forgalmat, pl. a torrent gépem DNS szerver felé menő kéréseit (router IP:53 port).
A tűzfal live view-ja tele van erre vonatkozó blokkolás log-gal.
Ti nem futottatok bele ebbe?

Suricata volt egy darabig, de feleslegesnek tartom itthonra, másrészt ez is tele volt error-al, leállt, stb... OPNsense viszonylag friss telepítés, nincs is teleszemetelve...

Unbound statisztikára ki mit használ? Adguard kinézet már megfelelne, a zenarmort nem nagyon tudom megkedvelni.

Közben kiderült, hogy mi okozta a zavart. A Crowdsec blokklistába bekerült a torrent gépem IP címe Nem tudom, hogy miért, nem tudom hogyan, de miután töröltem, helyreállt a rend (a Crowdsec alias nem egészíthető ki kivételekkel).
Számomra megoldhatatlan feladat volt a Suricata szabályrendszer kezelése. A Zenarmort viszont szeretem. LAN és WG interfészen használom. Informatív, teszi a dolgát.

kicsit különböző architektúrában futtatom a crowdsecet és ott nem történhet ilyen. A szervergépemen a szolgáltatások logjait nézi a crowdsec agent konténer majd összeálít belőle egy privát IP feketelistát. Ezt a listát olvassa az opnsense-en egy WAN rule alias bejegyzése. így ami a listán van az blokkolva lesz. Ergo összeadódik a mások által fekete listára tett IP-k és a saját szolgáltatásaimon próbálkozó botok összessége. Meg persze van egy csomó standard hagyományos IP fekete lista ami be van rakva még aliasnak.

Nálam most először történt ilyen furcsaság. Nem tudom miért (nem érték hozzá).
Egyéb blokklistákat használok én is. Az iplists.firehol.org szerint elég nagy átfedés van az népszerűbb blokklisták között. Mert hogy egy-egy ismert blokklista része néhány nagyobb, gyűjtő blokklistának. Ezek mellett még a NextDNS védelmét használom.

fain, akkor az megoldódott.
Igen, a Suricata szabályok macerásak, egy szint után írja is, h már policy kell, mert sok a szabály. Ezekhez még jön az Unbound listák... ehh. Majd rájöttem, h nincs rá szükségem, ahogy geoIP blokkolásra sem, nem nekem való (nincs honlap vagy bármi nyilvános stuff, csak az IoT cuccok, de így rém egyszerű a szabály: amit nem kértem, az drop...)

Zenarmornál többször kellett az adatbázist resetelni, mert hibás lett. Utána egy darabig jó. De pár fület még így sem tudok használni, mert nem tölt be semmit, csak lefagy (opnsense nem, csak a zen gui). Adguard faék egyszerűsége és átláthatósága után az unbound report vagy a Zenarmor egy katyvasz kicsit.

freddirty: igen, sok a duplázás a listákban. Steven Black is összevont lista, elég alapos. NoTracking is jó, ez is összevont, deduplikált, optimalizált és a dead site-okat kiszedik. Steven Black-hez kellene ilyen, mert marha nagy lista, host-ba kompressed változatot raktam a laptopokra, mert fogta a gyenge vasat.

Multibit: a linkelt oldal is említi a spamhouse drop/edrop lisátát, nekem az a WAN oldalon a tűzfalban működik, Steven Black pedig az unbound-ban. SSH és GUI WAN oldalról letiltva (amúgy is mindent drop-ol onnan). NAS-nak olyan jól konfigoltam a tűzfalát (opnsense mögött van, de nah... köll), hogy nem frissített. Ki gondolta volna, h vannak frissítések, amik csak IPv6-al tölthetők?
Tetszik, amit az oldalukon írnak, kíváncsi lennék, h Steven Black-el mennyi az átfedés, lehetne-e azt is ezzel a szkriptjükkel ide mergelni. Azt azért szeretem, mert vannak kategóriák, jobban alkalmazható, nem csak malware/advert/stb. lista.

Majd rájöttem, h nincs rá szükségem
Az IP blokklisták nálam jó szolgálatot tesznek. A tűzfal log live view nézete egyértelműen mutatja, hogy aktívak. A WAN-ról amúgy is visszapattannak a próbálkozások, de az aktív torrentezés miatt van egy nyitott portom. Jól látszik, hogy sok a feketelistáról blokkolt IP (in/out irányban egyaránt). Igaz, így a state table size (egyidejű aktív session-ök) nálam mindig 3000-3500 körül van, de ez már moderált érték. Korábban ez 8-10 ezerre is felment
A Zenarmor és a NextDNS a DNS/alkalmazás szűréshez, valamint a reklámblokkoláshoz hasznos. A kifele irányú forgalmat is figyelni kell. Unbound DNS bloklistákat már nem használok.

[ Szerkesztve ]

IP blokkolás van, de nem GeoIP és nem Suricata.
Reklámokat Steven Black list is tartalmazza, meg a Zenarmor is nálam, ezek LAN oldalon vannak, WAN oldalon spamhouse, drop all és azért biztos, ami biztos alapon még SSH és HTTP is blokkoltam az OPNsense-hez.