в общем у знакомых сгорел dfl-210, поставил заместо него 260e (ценник ужас, 27 т.р новый, но вдруг через авито купил у себя в "деревне" за 10)
ну и решил поставить 2.6, т.к. ранее работал только с 2.4, а тут бац - v10!
пока смотрю поверхностно, скачал руководство по клавистеру
в общем https мы уже контентим - ура! (правда это и в 2.6 уже есть, но для меня внове ...)
фаиловер конфа с двумя провайдерами настроилась стандартно
настроил l2tp (v2) over IPSEC, в настройках ipsec не дало поставить галку динамического маршрута, ругается, в итоге галки маршрутизации не стоят вообще (и статическая тоже), а маршрут устанавливается динамически нормально
подключался с win7 - ipsec sa свалилось в AES, ike осталось 3des , мож там еще маленько попилить и можно будет сертифицировать у нас?
при подключении с удаленки не отваливается https (на 2.27 переставал пинговаться wan_ip)

появился новый функционал контроля контента и новая подписка - Application control
указывается прямо в правиле, приложений, извиняюсь - х.... гора, есть поиск, работают и по типу трафика, и по конкретным сайтам, в зависимости от категории
32 директории по назначению, и в каждой до нескольких десятков приложений, есть правда и по 1-2
можно в поиске просто набрать - vk, odnoklassniki
какое преимущество и в чем отличие от alg?
ну так-то понятно, что в другом месте указывается, можно не только сайты ограничить но и вырезать конкретный трафик из правила, разделов больше
но тезисов для покупки надо бы еще подкинуть:)
сколько стоит подписка пока не выяснил (wcf у прошлом годе брал за 8700, щас 19400!)

в настройках сервисов появилось поле protokol, т.е. кроме порта, tcp/udp и ALG, можно выбрать тип - http, pop и т.п.
в ALG появилась галка: "Force SafeSearch on Google™, Bing™ and Yahoo!™ search engines"

в настройках интерфейсов появилась доп вкладка "virtual routing" - можно назначать таблицу марш.
в релизе написано - появился Link Aggregation для различных интерфейсов (т.е. можно агрегировать wan и dmz, или lan и wan, не знаю зачем это)

в тулсах появилось Packet Capture, можно сниферить!
результат скачивается в виде .cap файлов, чем смотреть пока не понял, скачал пару сниферов, не распознают

в общем прошивка не сертифицирована, подписку новую (Application control) у нас не купить, что грустно, потому как с точки зрения возможностей контроля трафика это практически другой аппарат (32 категории в wcf супротив 1000 приложений в Application control)
год назад подписка wcf казалась крутой штукой, а щас по сравнению с нонешними возможностями, wcf - колымага с педальным приводом

вот например праметры по которым можно фильтровать http
прописал в user_agent "chrome" и в инет можно будет ходить только с хрома или прописал в server "apache" и все будут ходить только на апачи:)

также например, можно для vk.com прописать логины, которым разрешено коннектится

Большинство браузеров позволяют задать в user agent всё что угодно. Вообще, вся возня с фильтрацией Интернета становится всё менее рентабельной. Усилий много, а в результате упорный пользователь все равно попадает куда хочет через прокси или VPN. Или идет на другой сайт, который по недосмотру не закрыли, где смотрит ту же порнуху . Практика показывает, что эффект от фильтрации Интернета для айтишников сугубо отрицательный. Плюс от экономии трафика, становится все более незаметным при безлимите и современных скоростях, а забота о том, чтобы "люди работали" -- это вообще не функция ИТ. Зато можно легко получить на орехи, если, например, нельзя будет просмотреть какой-либо важный ролик или руководство вдруг решит использовать соцсети для рекламы. Если уж нужно фильтровать, то должен быть подписан документ, с приложением списка того, что должно быть закрыто, и порядка внесения изменений в этот список, а также предусмотрены соответствующие людские ресурсы "дежурных по файрволлу", однако такого на практике я ни разу не встречал.

да, есть такая точка зрения, и в ней есть своя "сермяжная правда", по этому поводу можно долго спорить (у меня например при открытии соц. сетей трафик вырастает в 2-4 раза)
только wcf и тем более App control как раз и направлены на то чтобы не закрывать отдельные сайты, а ковырять по категориям и внутри трафика
то что это все капец подорожало, это да:(

"protocol" конечно же:)
описания этой галки в клавистер гуиде нет (всех остальных настроек этого окна есть), видать новый функционал
вопрос: означает ли это поле, что например при указании протокола "http", нельзя будет по 80-порту пустить тим-вьивер например?

Очень хороший и актуальный вопрос.
Только отвечать на него, думаю, придется нам самим, экспериментальным путем.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

ну да, попробуем:)
просто у меня с этой прошивкой железка на удаленке, на себе нее стал эксперементировать, не совсем удобно проверять
думал мож кто попробовал уже

щас ipsec поднял с di-804, все стандартно

народ так вопрос то . стоит переходить с 2.40 на 10 ку !?
или потерпеть ?!
вроде отзывы положительные , даже очень .....

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

А чё спрашивать? Просто возьми, да поставь. Откатится то - минутное дело.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Я накатил - полет нормальный.
Даже SSLVPN не отъехал ни капли.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

у меня на 2.4 wcf подписка, не слетит, как думаете?

А всё таки можно ли прикрутить к 10.21.02.01 ALG для HTTPS трафика? Для 80 порта работает, а для 443 не работает.

Создайте отдельную тему с этим вопросом

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...