Pull to refresh

Comments 67

Ох уж эти циски, телесины и тд, километры текста писать надо, трудно им нормальный GUI сделать?
лол, такие вещи не конфигурабельны из GUI.
Это потому что тебе изначально дали консоль и сказали «жри, блеать». А вообще, веб-морду для настройки ната захерачить можно, и даже без потери функционала. Да вот только нахер это не надо… Особенно, если представить количество ручек/перделок на странице :)
у вочгарда сделан гуй и там нат делается в 3 клика
понятия не имею что такое «вочгард» и иметь не желаю. нат бывает разный. без затейства вывести локалку в интернет и в cisco cli «три клика»:

ip access-list standart nat
permit ip 10.0.0.0 0.255.255.255
ip nat source list nat interface fa1/0
int fa1/0
ip nat outside
int fa1/1
ip nat inside

где nat — ацл с указанием локалки, fa1/0 — внешний интерфейс с ойпи в который натить, fa1/1 — внутренний интерфейс. как-то так, мог где-нибудь соврать, писал на память.

и не в цисках дело. у той же freebsd для этого же надо добавить семь строчек в rc.conf:

firewall_enable=«YES» #включить фаервол
firewall_type=«SIMPLE» #имя режима из дефолтового сценария
firewall_simple_iif=«em1» #внутренний интерфейс
firewall_simple_oif=«em0» #внешний интерфейс
firewall_simple_inet=«10.0.0.0/8» #внутренняя сеть
firewall_nat_enable=«YES» #включить нат
firewall_nat_interface=«em0» #использовать ойпи внешнего интерфейса для ната

еще проще при спользовании pf:

rc.conf:
pf_enable=«YES»

pf.conf:
extif=em0
intif=em1
intnet=10/8
nat on $extif inet from $intnet to any -> $extif
pass all

таке чего сложного? :) как мне кажется все просто и понятно, особенно для тех кто посещал уроки английского в школе.

а вот GUI сложности начинаются ровно в тот момент когда нужно отойти от «простого» сценария. например пробросить гору портов, сделать фильтр-базед пбр и так далее. лично был свидетелем как доблестный одминчег с упорством, достойным лучшего применения, добавлял правило за правилом в вебинтерфейсе делинка… потратив на это около получаса он исчерпал лимит правил. результат — эпик фейл: и времени вагон убил, и задачу не выполнил. а в ненавистном вами cli эти вещи решаются «тремя строчками с копипастой» :D
ну раз на то пошло :)
Ubuntu Linux
edit /etc/sysctl.conf #net.ipv4.ip_forward=1 >>> net.ipv4.ip_forward=1
iptables -t nat -A POSTROUTING -s $IPNET -j MASQUERADE
где $IPNET=10.0.0.0/24 наверное это всё нужно в /etc/rc.local перед exit 0
нет, спасибо. очередное линукс-поделие мне не интересно. угадайте что общего у vyatta, mikrotik'а, ideco ics и т.п. с этим вашим fireware os? правильно, везде линукс в разной обертке, одинакого ущербный и унылый, и за бабло. :)

ненавижу зайчиков пользующих подобные решения. потому что эти зайчики как правило вообще не в курсе что хотят сделать. крайний раз одни товарищи купили себе ideco фаервол, который потом сами же и не смогли приготовить. не смотря на все эти красочные веб-интерфейсы и прочее. GUI снижает планку уровня вхождения, а вместе с этим снижается и уровень подготовки реципиента. нет, спасибо. с такими реципиентами невозможно работать. у них «GUI головного мозга» :D

с другой стороны, чем больше таких вот зайчиков, тем больше платят нормальным людям. так что продолжайте в том же духе :)

ps: вы наверно и windows server одмините кликаньем :D там же GUI Ж)))
Да, всё что вы написали всё верно. Я тупой идиот и быдло.
ребята, давайте жить дружно и не переходить на личности
а микротик-то тут каким боком? тут cli
некротик то в глаза видели? :) у него есть и вебморда, и гуи-тулза виндовая (http://wiki.mikrotik.com/wiki/Manual:Winbox) для конфигурирования. и наверно самый убогий кли в мире :)
У меня RouterBOARD 750G, вижу его ежедневно по несколько раз.

1) Веб-морда у него никакая, она там и не нужна.
2) Отличный виндовый гуй для быстрых операций.
3) Полноценный CLI

Так что Ваша неправда. CLI там обычно профессионалами и используется.
профессионалы не используют не(в|к)ротик. :P

регулярно ковыряете cli в soho-коробчонке дома/на_роботе? это не повод считать себя профессионалом или надеятся что все делают так же.

разобравшись в неплохой такой горке cli разных именитых и не очень вендорах, скажу честно, нет ни малейшего желания изучать еще один под которым скрывается пошлый линукс.

у каждого своя правда, да.
Что-то не то Вам мерещится. Я-то как раз не профессионал.
Дается задача, железки выделяются под задачу. Дают денег внедряем.
Предлагаете в офис на 60пк покупать циски?
А может достаточно керио для цеха и вочгарда для офиса?
Бля, да я вообще тебя и автора не обвиняю нив чем, просто выражаю свое мнение.

Понадобится по задачам купить циску и настроить, купим и настроим.
верно, у циски своя ниша, даже спорить не о чем
эээ… вобще-то никто не говорил про офис из 60 компьютеров, да и речи про какой-то сценарий внедрения не шло вообще. речь была за cli vs gui. причем тут вообще какие-то циски и офисы? в своем примере про поднятие nat'а я не зря упомянул про freebsd, что какбэ намекаэ «не циской единой».

и уж не знаю кто в здравом уме пойдет покупать циско, да еще и новую, да еще и за GPL :) циско уже давно не торт везде кроме голоса, как по фичам, так и по цена/результат, особенно по цена/результат. есть такой миф «ЦИСКО ЭТО КРУТО», но мы тут не развенчивать мифы собирались. я не любитель cisco или какого еще вендора, я любитель комфортной и эффективной работы с оборудованием в этом вопросе. и в этом вопросе GUI никуда не уперлось, потому что сложных вещей на нем не сделать, а простые (как выше было показано) и в тексте выглядят просто.

>А может достаточно керио для цеха и вочгарда для офиса?

за керио надо бить по лицу ногами, его вечно непонятные безмозглые упыри-экономисты-дрочеры ссаного «ынтырпрайз» говна ставят, а потом ноют что ничего не работает. я считаю «не шаришь — не лезь» и пускай контора наймет того кто «шарит».

насчет вочгардов благо не в курсе и надеюсь и останусь не вкурсе.

по мне так на предложенные вами условия хватит и старого пня 200мгц с близжайшей свалки с цф флешкой и фряхой на борту. для любителей cisco можно понабрать б/у: цена cisco 3745 $390, цена коммутатора WS-C2950G-48 ~$220, итого $1050 за три свища и маршрутизатор вместе с доставкой и всеми делами. кстате, не думаю что выйдет дороже ваших вочгардов с управляемыми свищами делинк.

ps: тут про упырей, как и до про зайчиков, говорится не с целью вас обидеть и вообще не в ваш адрес. не нужно это принимать на свой счет. я же не знаю, может у вас все замечательно и четко работает на kerio и вы никому не поласкаете мозги. :)
Kerio winroute купил и поставил 2.5 года назад, работает как часы, чем меня очень сильно радует. Трафика неучтенного нет, кто куда ходит видно — красота.
Никаких глюгов страшных замечено не был, обновлял регулярно.
Можно меня бить по лицу за то что работает, но я буду сопротивляться ))))

Ноют те, кто читать доки не умеет, о чем весь разговор тут.
Лучше купить нормальное оборудование чем платить ежемесячно быдло админу который поставит какое нить убогое керио.
Дешевле выходит.

Решения же на основе линукса и бзди вполне себе вариант если у вас не слишком много объектов, и если интернет сервисы не особо критичные для бизнеса.

Что же касается поборников дороговизны циски и прочего оборудования.
То она весьма относительна.
По сравнению с затратами на строительство, одного рабочего места даже сотня баксов на порт коммутатора и станции это НЕДОРОГО.

Блядь, я сам быдло админ и поставлю и керио и черта лысого.

Всё зависит от задач, бюджета и срока реализации.
А еще чаще все зависит от некомпетентных Итшников которые втирают бизнесу всякую хрень которая удобна им.
Успокойся, выше мы выяснили что я тот самый быдло-админ, тупица и редкое говно.
цена cisco 3745 $390 не подскажете где найти за такую цену? а то наш админ очень любит себе покупать всякие железки.
Почему не используется GUI, а CLI — ответ очень простой. CLI надежней.
да на самом деле — пусть был бы гуи. но для маршрутизатора должен быть единый интерфейс (в пределах одной железки) (когда куча разных — можно легко запутаться).
когда нужно просто сделать НАТ — можно и воспользоваться гуём если он адекватный.
а когда этот роутер — на самом деле не просто рядовой роутер, а ядро сети — тут начинаются проблемы.
не видел ни одного адекватного гуи в таких железках, хотя уверен, что такой можно сделать.
поэтому пока я выбираю консоль. да и копипаст решает и мышка, которая по идее призвана помогать, — только мешает.
В микротике сделано очень логично. Единые названия команд CLI и функций в интерфейсе GUI.
Ну кстати да, как-то забыл про него. Отличная железка, понятный интерфейс. Можно потренероваться на gui — потом комманду в консоль забацать.
Консоль правда в нём не очень удобная.
после веб-гуя на домашних (говно)роутерах хочется как раз нормальной консоли.
есть гуи… но не будем о грустном. Да и тут больше о функционировании, команд всего-ничего.
GUI давно имеется, вот только он даёт возможность базовой настройки. А если нужно тщательно выверить и подобрать необходимые параметры или получить доступ ко Всем опциям- тогда, да, добро пожаловать в старую добрую коммандную строку.
Видимо Вы очень мало настраивали cisco через GUI. Там можно всё то же самое что и в консоли, если уметь это делать.
очень хорошо, может я тоже пропустил. покажите мне MPLS VPN в гуи
или средней сложности QoS :)
Зато потом на обычных смертных мышевозов можешь сверху смотреть и плевать на них, ты крут, ты циску настраивал.
Извините за сарказм.
Да-да, поюзайте свой гуй из тьмутаракани с тормозным и теряющим пакеты GPRS соединением, и при этом имея в наличии только мобильник.
А SSH работает.
Судя по всему Вы не умете киски настраивать?
Задач не было. По виду команд похоже на телесин, а его я из телнета настраивал, так что свой подъеб оставьте себе.
команды похожи. а поведение нет. Статья именно о поведении
Думаете вы единственный кто научился читать доки? )))
и в мыслях не было :) но во-первых, изложенное в статье скорее результат моего личного опыта (исключая команды, конечно), чем изучения доков, а во-вторых, практика показывает, что кому-то это интересно
Статья как раз во время, спасибо.
PS А что все так набросились на командную строку? Отличный инструмент для тех, кто спокойно запоминает команды. Канешь для тех кто циски конфигурит копированием команд из ворда были бы рады гую, но надеюсь таких очень мало.
лол :) таке не из ворда, а из нотпада. и копируются не комманды, а целые сценарии. ибо унылый ios изменения применяет на лету, возможности отката изменений нет. поэтому составляешь один сценарий для применения нужных изменений и другой сценарий для его отката, на коте пишешь релоад ин 10, и копипастишь, и молишься чтобы ничего не отломалось :) и да, наверно таких людей мало, толковых людей вообще мало, да. :(

и да, кто сказал что их, комманды, надо запоминать? есть же "?" который подскажет чо там дальше писать. в конце концов есть интернет, гугл и в частности для cisco есть cisco.com с горой документации и примеров. гораздо нужнее знание и понимание предмета того чего делаешь и чего хочешь, а без этого и знание «волшебных» комманд не поможет.
при копипастинге из блокнота всегда есть шанс потерять соединение с железкой и, как следствие, часть команд не будут выполнены
чтобы избежать подобных граблей — грузите конфиг по тфтп, в этом случае кошка применит его целиком и сразу

ps в новых версиях иоса есть откат конфигурации, но он конечно не такой удобный как в том же джунипере =)
да это ясень пень. терминальные серверы для этого есть. ну или думать надо не затронут ли изменения доступность железки.

да, junos решаэ :) и не только в откатах конфигов. .)
пожалуйста :) да в принципе, почему бы и нет, расскажу и про полиси-НАТ
Неплохая статья. Хотя эта статья мне гораздо больше понравилась www.ebooki.moy.su/publ/4-1-0-1, когда разбирался — там как-то проще всё написано что-ли.

Хорошо бы увидеть в следующей части вопрос производительности, оптимизации и тп =)
Хотя, конечно, та статья явно не такая подробная, как Ваша)
цель статьи не столько основы рассказать, сколько особенности поведения. Но за отзыв спасибо :) Вопрос производительности подумаю, как осветить, но не в следующей части, надо сначала остальные варианты НАТ расписать
Спасибо за очень интересную статью!

Очень долго делал ненужное действие при обратной трансляции пока сам не понял, что это вовсе необязательно, а Вы — раз и сразу в статье про это указали:
Для обратной трансляции не обязательно наличие метки inside на каком-либо интерфейсе. Все равно, если прямая трансляция существует, обратная трансляция сработает до маршрутизации.


С удовольствием почетал-бы про трансляцию с одного outside на другой outside
:) пожалуйста. про трансляции между outside… Напишите в личку, если есть желание, конечно, схему и ожидаемое поведение. Но возможно Вам будет интересна моя же статья в этом блоге про NAT enable
я бы теорию сетей почитал, порекомендуй книжек, пжлста.
ну если отбросить вендорские книги, то мне очень нравится трехтомник Дугласа Камера, правда там не все, но что есть — хорошо описано.
Если кошка не умеет аппаратный NAT — лучше его там не использовать. CPU съедает ещё как.

верно. Но вроде на современных роутерах падение производительности не критично (10-15%).
7206VRX-G2 — 600Mbit/sec НАТ включен — CPU-95%.
Натить можно на 76XX серии, ASR-ах, ну ещё на 65XX каталистах с NAT модулем.
Как не удивительно НАТ хорошо работает на обычных компах
72хх серия вообще в плане многого CPU-зависима. Но вот ISR современные у меня на НАТ реагируют спокойно.
ну так я и говорю — что для НАТ-а надо спецом кошку подбирать.
А вот цена такой кошатины — ууууу…
ну не спецом… ISR, ASR, 76xx, 65хх — это довольно большое семейство, согласитесь. Да и 76хх и 65хх — все больше коммутаторы, хотя и уровня ядра. Для них поддержка ната не основное. 7206 — да, но уж больно древняя железка. ЕЕ и айписек укладывает враз.
Only those users with full accounts are able to leave comments. Log in, please.