RIZOMA
Компонент 05

Rizoma Router - Linux-native шлюз безопасности

Платформа роутера и firewall для Proxmox, mini-PC, homelab и малых офисных сетей. Она управляет WAN/LAN, nftables firewall и NAT, DHCP/DNS, WireGuard, обнаружением вторжений, Ad Shield, наблюдаемостью, rollback-aware применением конфигураций и слоем фактов, на котором позже будет учиться Baby NARI.

Запросить Router Pilot Обсудить архитектуру
Снимок роутера
Live edge
routerd
Daemon, dashboard, CLI
nftables
Firewall, NAT, счетчики
DNS/DHCP
dnsmasq, Unbound, policy
Факты
Повторяемые доказательства
01 $ routerctl health
02 wan = dhcp, pppoe, failover, probes
03 lan = profiles: admin, guest, iot, lab
04 security = nftables + suricata + dns shield
05 apply = validate -> plan -> rollback-aware
Архитектура

Плоскость управления роутером, где изменения Linux становятся аудируемыми операциями

Rizoma Router - это не панель, которая случайно вызывает shell из обработчиков. Действия UI и CLI проходят через API, валидацию, понятный apply plan, Linux-адаптеры с rollback, snapshots, audit, events и security envelopes.

01

Поверхность оператора

Dashboard и routerctl открывают одну модель роутера: interfaces, networks, DNS, firewall, VPN, routing, health, logs, terminal и recovery workflows.

02

Валидация конфигурации

Изменения проверяются по типизированным моделям до контакта с host: network profiles, management exposure, routing, DNS, VPN и firewall policy.

03

Apply plan

routerd компилирует изменения в шаги по доменам с риском, подтверждениями и rollback-данными перед вызовом Linux-адаптеров.

04

Наблюдение edge

Health, events, alerts, diagnostics, route state, conntrack, firewall analysis, DNS queries, IDS findings и integrity checks остаются видимыми.

05

Слой интеллекта

Security envelopes и world facts создают повторяемые доказательства, чтобы Baby NARI и MiCA позже могли рассуждать, не меняя host напрямую.

Сетевая поверхность

Edge-сервисы, которые ждут операторы, в одной защищенной модели

Продукт закрывает повседневную работу роутера и то, что обычно становится отдельными appliances: firewall, DNS policy, VPN, intrusion detection, observability, snapshots и recovery.

Interfaces

WAN, LAN, OPT и сегментация

  • Назначение интерфейсов для WAN, LAN, OPT, VLAN, bridges, bonds, VRFs и PPPoE.
  • Network profiles для admin, guest, IoT, servers, lab, quarantine и VPN boundaries.
  • Management networks задаются явно, а WAN management требует осознанного разрешения.
DNS и DHCP

Локальные имена и политика резолвера

  • DHCP leases, static assignments, device identities, local hosts и per-network options.
  • Интеграция dnsmasq и Unbound для local zones, DNSSEC, encrypted DNS и DNS64.
  • DNS Shield и Ad Shield дают политику и видимость без отдельного appliance.
Firewall

nftables firewall, NAT и profiles

  • Правила компилируются в nftables plans со счетчиками, диагностикой и route-aware анализом.
  • NAT, port forwards, NAT64/DNS64, WireGuard firewall profiles и segmentation controls.
  • Profiles описывают, кто куда может обращаться, а не только raw packet rules.
Routing

Policy, failover и flow visibility

  • Static routes, policy routes, WAN failover, load balancing и probe profiles.
  • Conntrack, route tables, state audits, flow export, SQM, DSCP и VRRP surfaces.
  • IPv6 и DHCPv6-PD являются частью модели, а не поздним дополнением.
Security

IDS, integrity и доказательства

  • Suricata-based intrusion detection, alert views, NSM data и hardened rule refresh.
  • Local network integrity tests ловят exposure, rogue services, DNS behavior и изменения path.
  • World facts и security envelopes сохраняют типизированные доказательства для будущей локальной защиты.
Operations

Snapshots, support и recovery

  • Config export, restore, snapshots, checksums, rollback confirmation и audit export.
  • Support bundles и diagnostics дают операторам факты до изменения production routing.
  • Updates остаются в зоне ответственности OS package manager для сертифицированных deployment paths.
Модель безопасности

Роутер не должен тихо ломаться от неправильной настройки

Изменения роутера могут изолировать площадку. Rizoma Router превращает изменения в видимые plans, ограничивает management exposure, хранит rollback context и записывает, кто что изменил.

Plan перед apply

Каждое значимое изменение сети проходит validation, compile, inspectable apply plan, acknowledgement, apply, confirm и rollback.

Локальная authority

Users, roles, sessions, TOTP MFA, scoped API tokens, trusted origins и write intent checks защищают management plane.

Scoped management

Management listeners привязаны к выбранным сетям, TLS и auth обязательны, WAN exposure включается только явно.

Policy terminal

Host terminal считается чувствительным доступом: policy-gated, audited и отделен от обычных UI-driven операций роутера.

Apply contract
Guarded
01 validate(config) -> diagnostics
02 compile(config) -> apply_plan
03 inspect(plan) -> risk + ack
04 apply(plan) -> adapters + snapshot
05 confirm|rollback -> audit + events
Развертывание

Создано для контролируемых Linux router deployments

Rizoma Router намеренно является OS-specific инфраструктурой, а не generic package для любой distribution. Текущий активный путь - RedOS, далее планируются другие сертифицированные Linux tracks.

RedOS

Главная цель

Активный packaging и live validation path сфокусированы на RedOS router deployments.

2 NIC

Топология для Proxmox

Подходит для virtual routers и малых appliances, где WAN и LAN проходят через контролируемый edge с двумя интерфейсами.

Bundle

Операционные доказательства

routerctl support bundles, health views, diagnostics, snapshots и audit export дают командам материал для review.

OS

Обновления через packages

Router updates выполняются через package manager операционной системы, как ожидается в сертифицированной инфраструктуре.

Сценарии

Где Router становится edge суверенной сети

Правильное развертывание там, где сетевой контроль, локальная видимость и операционная безопасность важнее branded appliance shell.

Homelab

Заменить lab router VM на контролируемый Linux edge

Запускайте WAN, LAN, guest, IoT и lab networks из Proxmox или mini-PC router, сохраняя diagnostics и rollback рядом.

Business Edge

Small office firewall, DNS, VPN и IDS

Дайте малому бизнесу один managed gateway для routing, DNS policy, segmentation, VPN access, intrusion visibility и support evidence.

Certified OS

Путь суверенного appliance

Используйте certified Linux packaging сейчас, а позже appliance image track для hardware deployments с повторяемым edge build.

Факты развертывания

Достаточно конкретно для архитектурного ревью

Router продается как инфраструктура. Эти условия покупатель или platform engineer должен видеть до глубокой технической сессии.

Runtime
routerd daemon, Svelte dashboard, routerctl CLI, API-backed config, snapshots, audit и support tooling.
Target OS
RedOS - текущая активная цель. ROSA, ALT и Astra planned как certified distribution paths.
Network stack
nftables, dnsmasq, Unbound, WireGuard, Suricata, TAYGA, dhcpcd, keepalived, softflowd и Linux routing primitives.
Apply safety
Validation, compiled plans, risk acknowledgement, rollback-aware adapters, confirm или rollback, snapshots и audit.
Management exposure
Management ограничен выбранными сетями с TLS и auth; WAN management требует explicit allow.
Intelligence path
Security envelopes и typed world facts сохраняют повторяемые доказательства для будущих diagnostics Baby NARI и MiCA.
Оценка Router

Оцените Rizoma Router как edge суверенной сети

Используйте его, когда нужен настоящий Linux router, а не dashboard demo: routing, DNS, firewall, VPN, evidence и rollback в одном appliance path.

Запросить Router Pilot Обсудить архитектуру