Автор |
Сообщение |
Arkan Гуру |
|
Зависит от того на сколько вы пароноик
смотря какой модем
допустим в модеме acorp уже изначально встроен неплохой фаер - от тех же самых DDOS очень даже не плохо спасает, существуют модемы в которых вообще фаервола как такового нету - все снаружи напрямки лезет вовнутрь
OpenBSD вот что вам нужно (настроить сервачек на RAID обыкновенное зеркало, проксю, и фильтрацию пакетов *по заголовкам* и заставить фаервол фильтровать не только по IPно и по MAC (вот только фиг его знает как такое делать) - все пароноики эту ось пользуют и очень довольны - но уж больно она сложновата поэтому предпочитаю FreeBSD
А простая железка за 1500- 3000 рублей поможет только от любителей полазеть по расшаренным ресурсам ну еще пары фитч |
|
|
|
|
TROLL_ Эксперт |
|
Arkan
вобщем дело такЖ
проксю решил на ХР, все остальное :почта и сайт на debian4. вроде все устраивает.
мож модель скажешь какую лучше использовать для этой конфигурации.
сейчас zyxel 660 ru, но у него один ентерфейс |
|
|
|
|
weer Гуру Предупреждений : 2
|
|
Arkan писал(а): |
Эт наверное пров по имени СС |
нет, не СС.
Arkan писал(а): |
У меня на работе два главных сервака есть для шлюза прокси сайта почты ну еще пара сервисов, один упал и очень хорошо 1 из 3 винтов кони кинул (простоял 1.5 года и к нему практически не притрагивались
второму 2.5 года и все пока работает
все на базе десктопов
для шлюза и какойнить прокси можно вполне нормально пользовать простые серваки дешевле и удобнее для самого админа в настройке |
Arkan писал(а): |
все на базе десктопов |
угу. все просто, если не учитывать время простоя
Arkan писал(а): |
А если еще почитать про то как эти циски изза своей популярности хакаются |
это пожалуйста в раздел юмора.
циски хакаются не из-за популярности, а из за отсутсвия мозга у админов.
ГЫ. только не надо говорить, что у 100% всех кто доступ к девайсу имеет dev\hands <> null
Arkan писал(а): |
Покупайте какойнить D-Link и ставьте совместно с серваком для фильтрации и разруливания трафика и будет вам счастье |
а вот это я поддержу. лучший вариант.
Arkan писал(а): |
допустим в модеме acorp уже изначально встроен неплохой фаер - от тех же самых DDOS очень даже не плохо спасает, существуют модемы в которых вообще фаервола как такового нету - все снаружи напрямки лезет вовнутрь |
Arkan писал(а): |
сидели выбирали эту циску - остановились на цене в 260 т |
ну тут сложно чего либо сказать. либо одно - либо другое
среднее дано только в мультиках.
TROLL_
TROLL_ писал(а): |
проксю решил на ХР, все остальное :почта и сайт на debian4. вроде все устраивает. |
а есть какая то проблема все перечисленное на одном линухе работать заставить? тут уже в другую сторону надо смореть - чем
проще система, тем ниже вероятность отказа.
TROLL_ писал(а): |
мож модель скажешь какую лучше использовать для этой конфигурации.
сейчас zyxel 660 ru, но у него один ентерфейс |
ГЫ.
ХЫ.
АЙ
TROLL_
я тебе зла не желаю, и обидеть не хочу.
пожалуйста разберись что такое DMZ. может в процессе разбора текущий вопрос вообще не актуален станет? |
|
|
|
|
TROLL_ Эксперт |
|
weer
да знаю я что такое DMZ. вопрос в том что там один интерфес, я ж вроде написал. вот и вопрос или модем с файром (предположим с 4 ЛАН), или файр отдельно купить и сцепить с модемом.
а на одном линухе проблема есть. нет возможности найти нармальну прогу для полсчета трафика и отрубания пользоватьелей |
|
|
|
|
Arkan Гуру |
|
TROLL_ писал(а): |
weer
нет возможности найти нармальну прогу для полсчета трафика и отрубания пользоватьелей |
Вот с этой бойдой сам маюсь уже давно и остановился на неттамсе - софтина конечно не для средних умов но наиболее продвинутая |
|
|
|
|
TROLL_ Эксперт |
|
Arkan
тут ты прав. прога канечна замутная.
у меня стоит 2 сразу. ligtsquid и sams. но ето фиговина хуже чем виндовые аналоги.
нашел тут модемчик интересный.
DSL-2540U
Тип: ADSL2/ADSL 2+
Размещение: Внешний
Ресурсы: Собственные
Минимальные требования: Pentium
Встроенный маршрутизатор: Есть
Встроенный межсетевой экран (FireWall): Есть
Интерфейс Ethernet 10/100 Base-T: 4 порта
Интерфейс USB: Нет
Интерфейс V.35/X.21: Нет
Интерфейс WiFi: Нет
Поддержка протокола DHCP: Да
Удаленное администрирование: Поддерживает
Флэш-память: Есть
Интерфейсы устройства
1 порт ADSL с разъемом RJ-11
4 порта LAN 10/100BASE-TX Fast Ethernet RJ-45 с автоматическим определением полярности MDI/MDIX
Стандарты ADSL
ADSL: Full-rate ANSI T1.413 Issue 2, ITU-T G.992.1 (G.dmt) Annex A, ITU-T G.992.2 (G.lite) Annex A, ITU-T G.994.1 (G.hs)
ADSL2: ITU-T G.992.3 (G.dmt.bis) Annex A/L/M, ITU-T G.992.4 (G.lite.bis) Annex A
ADSL2+: ITU-T G.992.5 Annex A/L/M
Протоколы ATM/PPP
Мультипротокольная инкапсуляции через AAL5
Bridged and routed Ethernet encapsulation
Инкапсуляция LLC (управление логическим соединением) и мультиплексирование на основе виртуального канала (VC-based multiplexing)
ATM Forum UNI3.1/4.0 PVC
ATM Adaptation Layer Type 5 (AAL5)
ITU-T I.610 OAM F4/F5 loopback
ATM QoS (Формирование трафика)
PPP over ATM
PPP over Ethernet
Сетевые протоколы и функции
Статическая IP-маршрутизация
RIP
NAT
Виртуальный сервер и переадресация портов
DHCP-сервер/клиент/relay
DNS relay, DDNS
IGMP proxy
SNTP
Межсетевой экран/Управление доступом
Межсетевой экран NAT
Фильтрация MAC-адресов
Фильтрация пакетов (IP/ICMP/TCP/UDP)
Stateful Packet Inspection (SPI)
Предотвращение DoS атак
Система обнаружения вторжений и регистрация
DMZ
VPN
Multiple IPSec/PPTP/L2TP pass-through
QoS
Приоритезация/классификация трафика на основе:
Физического порта
Очереди приоритетов 802.1p
Дополнительного порта
Протокола, определяемого пользователем (TCP/UDP/ICMP и т.д.)
3 очереди приоритетов PVC
PVC/VLAN port mapping
IGMP v.2 snooping
Настройка/Управление
Мастер быстрой установки
Web-интерфейс
Загрузка программного обеспечения через Web-интерфейс/TFTP, настройка загрузки/пересылки
UPnP
SNMP v1, v2c, built-in MIB-I, MIB-II agent
Совместим с TR-069 (опционально)
Питание
Источник питания: через внешний адаптер питания переменного тока 15 В /0.7A или постоянного тока 12 В/1A
Переключатель питания ON/OFF
Поддержка Dying Gasp
Кнопка Reset для возврата к заводским установкам по умолчанию |
|
|
|
|
weer Гуру Предупреждений : 2
|
|
TROLL_ писал(а): |
weer
да знаю я что такое DMZ. вопрос в том что там один интерфес, я ж вроде написал. вот и вопрос или модем с файром (предположим с 4 ЛАН), или файр отдельно купить и сцепить с модемом. |
а что мешает после модема поставить "железный" или программный маршрутизатор?
я так понмаю с деньгами все таки напряг, так что лучший вариант десктоп + 3 сетевухи
TROLL_ писал(а): |
а на одном линухе проблема есть. нет возможности найти нармальну прогу для полсчета трафика и отрубания пользоватьелей |
http://www.opennet.ru/prog/sml/47.shtml - обосраться и не жить
ну и конечно же бессмертный ipcad
http://sourceforge.net/projects/ipcad/ - но к нему скриптины еще надо нарыть для снятия счетчиков. зато проверено на все 100! |
|
|
|
|
TROLL_ Эксперт |
|
дак яж вроде и писал что мож маршрутизатор поставить...
с 3 сетевыми никак. изначальное условие - веб-сервер подключен всегда, прокси-нет.
какой лучше маршрутизатор по твоему мнению? |
|
|
|
|
Arkan Гуру |
|
А что типа модем не сможет работать как маршрутизатор - портфорвардинг есть практически в любом модеме |
|
|
|
|
TROLL_ Эксперт |
|
Arkan
может и причем легко. так что этот модем и буду брать.
у него и DMZ есть и еще какаято байда. + возможность настройки файра вроде ничего.
weer
и еще все те программы либо платные, либо просто считают, либо очень сложны в настройки, остальное мягко говоря фигня. |
|
|
|
|
Arkan Гуру |
|
TROLL_ писал(а): |
остальное мягко говоря фигня. |
+5
Но всеравно в любом случае надо будет поднастроить фаер на серваках |
|
|
|
|
weer Гуру Предупреждений : 2
|
|
TROLL_ писал(а): |
либо очень сложны в настройки |
|
|
|
|
|
TROLL_ Эксперт |
|
weer
по сравнению с виновозными имеется виду. зачем себе жизнь-то усложнять? |
|
|
|
|
weer Гуру Предупреждений : 2
|
|
TROLL_
тут уже кто как знает и кто как делает.
я лично сторонник принципа "сделал и забыл".
если мне надо будет считать трафик с машины - решу через ipcad
если мне надо будет считать трафик с пользователя в AD, то тут вариант один - ISA + надстройки. |
|
|
|
|
TROLL_ Эксперт |
|
weer
ну уж про один вариант ты загнул конечно.
прога хоть и ничего, да ни единственная для этого дела, систему тормозит жуть как, учитывая что ЭТО ЛИШЬ ПРОКСИ |
|
|
|
|
weer Гуру Предупреждений : 2
|
|
TROLL_ писал(а): |
прога хоть и ничего, да ни единственная для этого дела, систему тормозит жуть как, учитывая что ЭТО ЛИШЬ ПРОКСИ |
я так понял ты про ISA.....
иса это не прокси. к этому продукту вообще сложно применить стандартные термины. короче это ISA
ну а про то что это единственный нормально фунциклирующий вариант для AD - тут можешь не спорить.
задача для примера:
попробуй организуй работу скайпа в полноценном режиме p2p (не пассив и не http/ssl) для определенного юзера из AD, который может
а) сидеть на разных машинах
б) сидеть на них одновременно
в) говорить одновременно с нескольких машин.
г) с одной конкретной машины ему говорить по скайпу нельзя (в том числе используя пассив и http/ssl - очень важный момент)
д) на части машин серые динамические айпишники.
е) на части машин реальный айпишники. статические.
а потом поробуй посчитать входящий/исходящий трафик который скушал этот болтливый юзер именно на скайпе, а не на http.
даю гарантию - эту задачу нельзя решить никакой биллинговой системой, никакими kerio. или еще там чем. |
|
|
|
|
TROLL_ Эксперт |
|
weer
ну это ты уж круто взял про все.
и на одной ему сидеть и на двух....десяти и с белыми и с серыми адресами. я понял это про возможности?
в реале наврядле пригодиться, ну или в единичных случаях, или в еденичных конторах |
|
|
|
|
weer Гуру Предупреждений : 2
|
|
TROLL_
ситуация не выдуманная самое обидное что этот самый юзер 2 дня в скайп потыкался и больше не пользуется. скотина
далеко ходить не будем. задача проще.
как заблокировать работу qip в конторе?
т.е. чтобы "нормальная" аська работала, а qip не мог подключиться к серверу.
я честно ничего доказывать не хочу. просто так на самом деле - ничего приличного нет из того что может хоть как то работать в конторе.
вариант по айпишникам считать (как биллинг) - корявый, статические айпишники - зло. IE запаришься настраивать да всякие другие заморочки есть, к примеру пользователь, который сегодня в одном офисе работают, а завтра в другом.
без поддержки AD есть только те клиенты которые просят имя/пароль вводить. если в конторе больше 100 сотрудников - они любую техподдержку с этими паролями задрочат. да и вообще это моральный климат разлагает - когда квота кончается они начинают свои пароли друг другу говорить чтобы почту проверить.
с поддержкой AD стабильно работающих клиентов не видел. а если и видел (в керио вроде - не помню), то они из AD могут работать только с объектами типа "пользователь" или "подразделение", т.е. просто не понимают что с системным учетным записиям тоже иногда доступ куда-нибудь нужен. |
|
|
|
|
Arkan Гуру |
|
Чет какоето слюнобрызгание и пуканье в лужу и попытки доказать что одно лучше другого
Вот если честно у меня все эти заморочки вышеизложенные разруливаются на линухе и никаких проблемм
А то что юзвери свои логины и пасы для интернета разглашают - то это проблеммы юзверей |
|
|
|
|
TROLL_ Эксперт |
|
Arkan
weer
да это не спор, а реклама
давайте прекратим |
|
|
|
|
|