Comments 67
Ох уж эти циски, телесины и тд, километры текста писать надо, трудно им нормальный GUI сделать?
лол, такие вещи не конфигурабельны из GUI.
Это потому что тебе изначально дали консоль и сказали «жри, блеать». А вообще, веб-морду для настройки ната захерачить можно, и даже без потери функционала. Да вот только нахер это не надо… Особенно, если представить количество ручек/перделок на странице :)
у вочгарда сделан гуй и там нат делается в 3 клика
понятия не имею что такое «вочгард» и иметь не желаю. нат бывает разный. без затейства вывести локалку в интернет и в cisco cli «три клика»:
ip access-list standart nat
permit ip 10.0.0.0 0.255.255.255
ip nat source list nat interface fa1/0
int fa1/0
ip nat outside
int fa1/1
ip nat inside
где nat — ацл с указанием локалки, fa1/0 — внешний интерфейс с ойпи в который натить, fa1/1 — внутренний интерфейс. как-то так, мог где-нибудь соврать, писал на память.
и не в цисках дело. у той же freebsd для этого же надо добавить семь строчек в rc.conf:
firewall_enable=«YES» #включить фаервол
firewall_type=«SIMPLE» #имя режима из дефолтового сценария
firewall_simple_iif=«em1» #внутренний интерфейс
firewall_simple_oif=«em0» #внешний интерфейс
firewall_simple_inet=«10.0.0.0/8» #внутренняя сеть
firewall_nat_enable=«YES» #включить нат
firewall_nat_interface=«em0» #использовать ойпи внешнего интерфейса для ната
еще проще при спользовании pf:
rc.conf:
pf_enable=«YES»
pf.conf:
extif=em0
intif=em1
intnet=10/8
nat on $extif inet from $intnet to any -> $extif
pass all
таке чего сложного? :) как мне кажется все просто и понятно, особенно для тех кто посещал уроки английского в школе.
а вот GUI сложности начинаются ровно в тот момент когда нужно отойти от «простого» сценария. например пробросить гору портов, сделать фильтр-базед пбр и так далее. лично был свидетелем как доблестный одминчег с упорством, достойным лучшего применения, добавлял правило за правилом в вебинтерфейсе делинка… потратив на это около получаса он исчерпал лимит правил. результат — эпик фейл: и времени вагон убил, и задачу не выполнил. а в ненавистном вами cli эти вещи решаются «тремя строчками с копипастой» :D
ip access-list standart nat
permit ip 10.0.0.0 0.255.255.255
ip nat source list nat interface fa1/0
int fa1/0
ip nat outside
int fa1/1
ip nat inside
где nat — ацл с указанием локалки, fa1/0 — внешний интерфейс с ойпи в который натить, fa1/1 — внутренний интерфейс. как-то так, мог где-нибудь соврать, писал на память.
и не в цисках дело. у той же freebsd для этого же надо добавить семь строчек в rc.conf:
firewall_enable=«YES» #включить фаервол
firewall_type=«SIMPLE» #имя режима из дефолтового сценария
firewall_simple_iif=«em1» #внутренний интерфейс
firewall_simple_oif=«em0» #внешний интерфейс
firewall_simple_inet=«10.0.0.0/8» #внутренняя сеть
firewall_nat_enable=«YES» #включить нат
firewall_nat_interface=«em0» #использовать ойпи внешнего интерфейса для ната
еще проще при спользовании pf:
rc.conf:
pf_enable=«YES»
pf.conf:
extif=em0
intif=em1
intnet=10/8
nat on $extif inet from $intnet to any -> $extif
pass all
таке чего сложного? :) как мне кажется все просто и понятно, особенно для тех кто посещал уроки английского в школе.
а вот GUI сложности начинаются ровно в тот момент когда нужно отойти от «простого» сценария. например пробросить гору портов, сделать фильтр-базед пбр и так далее. лично был свидетелем как доблестный одминчег с упорством, достойным лучшего применения, добавлял правило за правилом в вебинтерфейсе делинка… потратив на это около получаса он исчерпал лимит правил. результат — эпик фейл: и времени вагон убил, и задачу не выполнил. а в ненавистном вами cli эти вещи решаются «тремя строчками с копипастой» :D
UFO just landed and posted this here
нет, спасибо. очередное линукс-поделие мне не интересно. угадайте что общего у vyatta, mikrotik'а, ideco ics и т.п. с этим вашим fireware os? правильно, везде линукс в разной обертке, одинакого ущербный и унылый, и за бабло. :)
ненавижу зайчиков пользующих подобные решения. потому что эти зайчики как правило вообще не в курсе что хотят сделать. крайний раз одни товарищи купили себе ideco фаервол, который потом сами же и не смогли приготовить. не смотря на все эти красочные веб-интерфейсы и прочее. GUI снижает планку уровня вхождения, а вместе с этим снижается и уровень подготовки реципиента. нет, спасибо. с такими реципиентами невозможно работать. у них «GUI головного мозга» :D
с другой стороны, чем больше таких вот зайчиков, тем больше платят нормальным людям. так что продолжайте в том же духе :)
ps: вы наверно и windows server одмините кликаньем :D там же GUI Ж)))
ненавижу зайчиков пользующих подобные решения. потому что эти зайчики как правило вообще не в курсе что хотят сделать. крайний раз одни товарищи купили себе ideco фаервол, который потом сами же и не смогли приготовить. не смотря на все эти красочные веб-интерфейсы и прочее. GUI снижает планку уровня вхождения, а вместе с этим снижается и уровень подготовки реципиента. нет, спасибо. с такими реципиентами невозможно работать. у них «GUI головного мозга» :D
с другой стороны, чем больше таких вот зайчиков, тем больше платят нормальным людям. так что продолжайте в том же духе :)
ps: вы наверно и windows server одмините кликаньем :D там же GUI Ж)))
Да, всё что вы написали всё верно. Я тупой идиот и быдло.
а микротик-то тут каким боком? тут cli
некротик то в глаза видели? :) у него есть и вебморда, и гуи-тулза виндовая (http://wiki.mikrotik.com/wiki/Manual:Winbox) для конфигурирования. и наверно самый убогий кли в мире :)
У меня RouterBOARD 750G, вижу его ежедневно по несколько раз.
1) Веб-морда у него никакая, она там и не нужна.
2) Отличный виндовый гуй для быстрых операций.
3) Полноценный CLI
Так что Ваша неправда. CLI там обычно профессионалами и используется.
1) Веб-морда у него никакая, она там и не нужна.
2) Отличный виндовый гуй для быстрых операций.
3) Полноценный CLI
Так что Ваша неправда. CLI там обычно профессионалами и используется.
профессионалы не используют не(в|к)ротик. :P
регулярно ковыряете cli в soho-коробчонке дома/на_роботе? это не повод считать себя профессионалом или надеятся что все делают так же.
разобравшись в неплохой такой горке cli разных именитых и не очень вендорах, скажу честно, нет ни малейшего желания изучать еще один под которым скрывается пошлый линукс.
у каждого своя правда, да.
регулярно ковыряете cli в soho-коробчонке дома/на_роботе? это не повод считать себя профессионалом или надеятся что все делают так же.
разобравшись в неплохой такой горке cli разных именитых и не очень вендорах, скажу честно, нет ни малейшего желания изучать еще один под которым скрывается пошлый линукс.
у каждого своя правда, да.
Дается задача, железки выделяются под задачу. Дают денег внедряем.
Предлагаете в офис на 60пк покупать циски?
А может достаточно керио для цеха и вочгарда для офиса?
Бля, да я вообще тебя и автора не обвиняю нив чем, просто выражаю свое мнение.
Понадобится по задачам купить циску и настроить, купим и настроим.
Предлагаете в офис на 60пк покупать циски?
А может достаточно керио для цеха и вочгарда для офиса?
Бля, да я вообще тебя и автора не обвиняю нив чем, просто выражаю свое мнение.
Понадобится по задачам купить циску и настроить, купим и настроим.
верно, у циски своя ниша, даже спорить не о чем
эээ… вобще-то никто не говорил про офис из 60 компьютеров, да и речи про какой-то сценарий внедрения не шло вообще. речь была за cli vs gui. причем тут вообще какие-то циски и офисы? в своем примере про поднятие nat'а я не зря упомянул про freebsd, что какбэ намекаэ «не циской единой».
и уж не знаю кто в здравом уме пойдет покупать циско, да еще и новую, да еще и за GPL :) циско уже давно не торт везде кроме голоса, как по фичам, так и по цена/результат, особенно по цена/результат. есть такой миф «ЦИСКО ЭТО КРУТО», но мы тут не развенчивать мифы собирались. я не любитель cisco или какого еще вендора, я любитель комфортной и эффективной работы с оборудованием в этом вопросе. и в этом вопросе GUI никуда не уперлось, потому что сложных вещей на нем не сделать, а простые (как выше было показано) и в тексте выглядят просто.
>А может достаточно керио для цеха и вочгарда для офиса?
за керио надо бить по лицу ногами, его вечно непонятные безмозглые упыри-экономисты-дрочеры ссаного «ынтырпрайз» говна ставят, а потом ноют что ничего не работает. я считаю «не шаришь — не лезь» и пускай контора наймет того кто «шарит».
насчет вочгардов благо не в курсе и надеюсь и останусь не вкурсе.
по мне так на предложенные вами условия хватит и старого пня 200мгц с близжайшей свалки с цф флешкой и фряхой на борту. для любителей cisco можно понабрать б/у: цена cisco 3745 $390, цена коммутатора WS-C2950G-48 ~$220, итого $1050 за три свища и маршрутизатор вместе с доставкой и всеми делами. кстате, не думаю что выйдет дороже ваших вочгардов с управляемыми свищами делинк.
ps: тут про упырей, как и до про зайчиков, говорится не с целью вас обидеть и вообще не в ваш адрес. не нужно это принимать на свой счет. я же не знаю, может у вас все замечательно и четко работает на kerio и вы никому не поласкаете мозги. :)
и уж не знаю кто в здравом уме пойдет покупать циско, да еще и новую, да еще и за GPL :) циско уже давно не торт везде кроме голоса, как по фичам, так и по цена/результат, особенно по цена/результат. есть такой миф «ЦИСКО ЭТО КРУТО», но мы тут не развенчивать мифы собирались. я не любитель cisco или какого еще вендора, я любитель комфортной и эффективной работы с оборудованием в этом вопросе. и в этом вопросе GUI никуда не уперлось, потому что сложных вещей на нем не сделать, а простые (как выше было показано) и в тексте выглядят просто.
>А может достаточно керио для цеха и вочгарда для офиса?
за керио надо бить по лицу ногами, его вечно непонятные безмозглые упыри-экономисты-дрочеры ссаного «ынтырпрайз» говна ставят, а потом ноют что ничего не работает. я считаю «не шаришь — не лезь» и пускай контора наймет того кто «шарит».
насчет вочгардов благо не в курсе и надеюсь и останусь не вкурсе.
по мне так на предложенные вами условия хватит и старого пня 200мгц с близжайшей свалки с цф флешкой и фряхой на борту. для любителей cisco можно понабрать б/у: цена cisco 3745 $390, цена коммутатора WS-C2950G-48 ~$220, итого $1050 за три свища и маршрутизатор вместе с доставкой и всеми делами. кстате, не думаю что выйдет дороже ваших вочгардов с управляемыми свищами делинк.
ps: тут про упырей, как и до про зайчиков, говорится не с целью вас обидеть и вообще не в ваш адрес. не нужно это принимать на свой счет. я же не знаю, может у вас все замечательно и четко работает на kerio и вы никому не поласкаете мозги. :)
Kerio winroute купил и поставил 2.5 года назад, работает как часы, чем меня очень сильно радует. Трафика неучтенного нет, кто куда ходит видно — красота.
Никаких глюгов страшных замечено не был, обновлял регулярно.
Можно меня бить по лицу за то что работает, но я буду сопротивляться ))))
Ноют те, кто читать доки не умеет, о чем весь разговор тут.
Никаких глюгов страшных замечено не был, обновлял регулярно.
Можно меня бить по лицу за то что работает, но я буду сопротивляться ))))
Ноют те, кто читать доки не умеет, о чем весь разговор тут.
Лучше купить нормальное оборудование чем платить ежемесячно быдло админу который поставит какое нить убогое керио.
Дешевле выходит.
Решения же на основе линукса и бзди вполне себе вариант если у вас не слишком много объектов, и если интернет сервисы не особо критичные для бизнеса.
Что же касается поборников дороговизны циски и прочего оборудования.
То она весьма относительна.
По сравнению с затратами на строительство, одного рабочего места даже сотня баксов на порт коммутатора и станции это НЕДОРОГО.
Дешевле выходит.
Решения же на основе линукса и бзди вполне себе вариант если у вас не слишком много объектов, и если интернет сервисы не особо критичные для бизнеса.
Что же касается поборников дороговизны циски и прочего оборудования.
То она весьма относительна.
По сравнению с затратами на строительство, одного рабочего места даже сотня баксов на порт коммутатора и станции это НЕДОРОГО.
цена cisco 3745 $390 не подскажете где найти за такую цену? а то наш админ очень любит себе покупать всякие железки.
Почему не используется GUI, а CLI — ответ очень простой. CLI надежней.
да на самом деле — пусть был бы гуи. но для маршрутизатора должен быть единый интерфейс (в пределах одной железки) (когда куча разных — можно легко запутаться).
когда нужно просто сделать НАТ — можно и воспользоваться гуём если он адекватный.
а когда этот роутер — на самом деле не просто рядовой роутер, а ядро сети — тут начинаются проблемы.
не видел ни одного адекватного гуи в таких железках, хотя уверен, что такой можно сделать.
поэтому пока я выбираю консоль. да и копипаст решает и мышка, которая по идее призвана помогать, — только мешает.
когда нужно просто сделать НАТ — можно и воспользоваться гуём если он адекватный.
а когда этот роутер — на самом деле не просто рядовой роутер, а ядро сети — тут начинаются проблемы.
не видел ни одного адекватного гуи в таких железках, хотя уверен, что такой можно сделать.
поэтому пока я выбираю консоль. да и копипаст решает и мышка, которая по идее призвана помогать, — только мешает.
после веб-гуя на домашних (говно)роутерах хочется как раз нормальной консоли.
есть гуи… но не будем о грустном. Да и тут больше о функционировании, команд всего-ничего.
GUI давно имеется, вот только он даёт возможность базовой настройки. А если нужно тщательно выверить и подобрать необходимые параметры или получить доступ ко Всем опциям- тогда, да, добро пожаловать в старую добрую коммандную строку.
Интересно почитать
инструмент 21 века
Зато потом на обычных смертных мышевозов можешь сверху смотреть и плевать на них, ты крут, ты циску настраивал.
Извините за сарказм.
Извините за сарказм.
Да-да, поюзайте свой гуй из тьмутаракани с тормозным и теряющим пакеты GPRS соединением, и при этом имея в наличии только мобильник.
А SSH работает.
А SSH работает.
UFO just landed and posted this here
Статья как раз во время, спасибо.
PS А что все так набросились на командную строку? Отличный инструмент для тех, кто спокойно запоминает команды. Канешь для тех кто циски конфигурит копированием команд из ворда были бы рады гую, но надеюсь таких очень мало.
PS А что все так набросились на командную строку? Отличный инструмент для тех, кто спокойно запоминает команды. Канешь для тех кто циски конфигурит копированием команд из ворда были бы рады гую, но надеюсь таких очень мало.
лол :) таке не из ворда, а из нотпада. и копируются не комманды, а целые сценарии. ибо унылый ios изменения применяет на лету, возможности отката изменений нет. поэтому составляешь один сценарий для применения нужных изменений и другой сценарий для его отката, на коте пишешь релоад ин 10, и копипастишь, и молишься чтобы ничего не отломалось :) и да, наверно таких людей мало, толковых людей вообще мало, да. :(
и да, кто сказал что их, комманды, надо запоминать? есть же "?" который подскажет чо там дальше писать. в конце концов есть интернет, гугл и в частности для cisco есть cisco.com с горой документации и примеров. гораздо нужнее знание и понимание предмета того чего делаешь и чего хочешь, а без этого и знание «волшебных» комманд не поможет.
и да, кто сказал что их, комманды, надо запоминать? есть же "?" который подскажет чо там дальше писать. в конце концов есть интернет, гугл и в частности для cisco есть cisco.com с горой документации и примеров. гораздо нужнее знание и понимание предмета того чего делаешь и чего хочешь, а без этого и знание «волшебных» комманд не поможет.
при копипастинге из блокнота всегда есть шанс потерять соединение с железкой и, как следствие, часть команд не будут выполнены
чтобы избежать подобных граблей — грузите конфиг по тфтп, в этом случае кошка применит его целиком и сразу
ps в новых версиях иоса есть откат конфигурации, но он конечно не такой удобный как в том же джунипере =)
чтобы избежать подобных граблей — грузите конфиг по тфтп, в этом случае кошка применит его целиком и сразу
ps в новых версиях иоса есть откат конфигурации, но он конечно не такой удобный как в том же джунипере =)
пожалуйста.
Спасибо. А про полиси-NAT будет?
Неплохая статья. Хотя эта статья мне гораздо больше понравилась www.ebooki.moy.su/publ/4-1-0-1, когда разбирался — там как-то проще всё написано что-ли.
Хорошо бы увидеть в следующей части вопрос производительности, оптимизации и тп =)
Хорошо бы увидеть в следующей части вопрос производительности, оптимизации и тп =)
Спасибо за очень интересную статью!
Очень долго делал ненужное действие при обратной трансляции пока сам не понял, что это вовсе необязательно, а Вы — раз и сразу в статье про это указали:
С удовольствием почетал-бы про трансляцию с одного outside на другой outside
Очень долго делал ненужное действие при обратной трансляции пока сам не понял, что это вовсе необязательно, а Вы — раз и сразу в статье про это указали:
Для обратной трансляции не обязательно наличие метки inside на каком-либо интерфейсе. Все равно, если прямая трансляция существует, обратная трансляция сработает до маршрутизации.
С удовольствием почетал-бы про трансляцию с одного outside на другой outside
Если кошка не умеет аппаратный NAT — лучше его там не использовать. CPU съедает ещё как.
верно. Но вроде на современных роутерах падение производительности не критично (10-15%).
7206VRX-G2 — 600Mbit/sec НАТ включен — CPU-95%.
Натить можно на 76XX серии, ASR-ах, ну ещё на 65XX каталистах с NAT модулем.
Как не удивительно НАТ хорошо работает на обычных компах
Натить можно на 76XX серии, ASR-ах, ну ещё на 65XX каталистах с NAT модулем.
Как не удивительно НАТ хорошо работает на обычных компах
Sign up to leave a comment.
NAT на Cisco. Часть 1