loginex

начинается с того, что из ядра выкидывается лишьний мусор, остается только самое необходимое. потом нужны правильные сетевухи(а именно intel) с правильными драйверами(от intel, если речь про 10G, или от яндекса, если речь про 1G). Дальше надо пересмотреть фаервол и уменьшить кол-во правил до минимума, включить one-pass, т.е. как только правило доходит до allow — то выходим из фаервола и дальше не идем, каждое уменьшенное правило влияет на производительность намного больше, чем вы себе можете представить(при хайлоаде). Но это вообще далеко не все общие принципы, конкретика начинается в каждом конкретном случае(все зависит от траффика, что идет через шейпер\шлюз, что за ОС используется(желательно использовать что-нибудь самое последнее и очень желательно freebsd)… так же без ковыряния в исходниках ядра не обходится…

вы так размышляете, как если бы не было Гитлера, то Вторую Мировую развязал бы кто-нибудь другой…

Были, но именно благодаря досу появился позже windows, который сыграл большую роль в том, чтобы персоналки появились в каждой семье.

вы так говорите, буд-то IBM не могла себе позволить собственную разработку ОС, на самом деле они просто хотели побыстрее выкинуть железку на рынок.
да и вообще речь не об этом, а о том, что если железячники будут ссорится с MS — то все от этого только проиграют.

ага и была бы тупо другая персоналка — типа эпл… и… все. А IBM бы не стало выпускать компьютеры, ориентированные для обычных людей. Это был переломный момент в истории, если бы случилось иначе — история пошла бы по другому направлению.

причем тут сантименты? раз нет ОС, где это железо бы работало — то и кому оно нужно? Потеряют много денег, уволят сотню-другую служащих, и все ради вашего «нет». В бизнесе совсем другие законы и понятия, если МС просит что-то сделать за некую «скидку» потом, значит все от этого выигрывают(за исключением маленькой группы людей, которые против)

вы, наверное, не помните(или не знаете) историю. Если бы не msdos — хрен бы вы персоналки увидели бы, хотя на том же поле работала тогда еще молодая компания apple в лице двух Стивов( Джобс и Возняк ), но они помимо ОС еще и железо делали.

я уже выше писал, что шейпил 2.6 гб\с и это не предел, теоретически около 5 гб\с можно пропустить. Без значительного(более чем на 5-10мс) увеличения задержек и без потери пакетов.
Бюджет — около 120 тысяч рублей на сервак сертифицированный по ССС + работа квалифицированного админа. Конечно можно купить джунипер за 1-2 млн рублей, но зачем? Когда как сервак справляется + еще можно купить 1-2 шт для горячей замены(ради надежности и уменьшения даунтайма).

2. Эта задача поможет сэкономить на оборудовании с NAT, а это по хорошему от 300 тысяч рублей при общем трафике в инет от 1 гб\с.

3. почему бред? просто вы не умеете его готовить, похоже.

да, ошибка :)
там стояла лишь одна 10G сетевуха.
сравнивал давным давно, для передачи транзитного траффика FreeBSD с ipfw подходит лучше, чем linux. А вот для «приземления» его в случае сетевых сервисов(web/dhcp/ftp/etc ...) — лучше linux.

я строил сети на 18 тысяч пользователей, я знаю о чем говорю. Помимо юникст траффика, который уходит в интернет, можно задействовать iptv, тогда уже нагрузка на агрегаторы будет выше. Узким место shaping и/или NAT будет, если на этом сэкономить — вот если поставить железку за миллион рублей(семитонник или ASR от циски, ну или джунипер аналогичный), то все будет ок.

в бюджетном варианте предлагаете и биллинг с бд держать на маршрутизаторе? l3 коммутаторы меняются очень быстро и просто в отличии от серваков(всего-то залить конфиг нужно на железку), обновление прошивки проходит куда быстрее, чем обновление ПО на линукс-роутере(например поднять пару тысяч вланов с интерфейсами нормальный коммутатор сможет за несколько секунд, когда как во многих дистрибутивах линукса это будет производиться минут эдак 30-50), да и производительность их на много порядков выше в плане передачи данных.

Во первых вам нужно отказаться от линукс-роутеров — это тупик. Ставить надо какие-нибудь l3-коммутаторы, например dlink dgs-3627 или если у вас около тысячи вланов и больше — то allied telesyn присмотреть. Да это дороже, чем использовать писюшники, но они куда имеют более высокую производительность на несколько порядков.
Во вторых по возможности отказаться от серых ip-адресов, можете даже рассмотреть вариант с ipv6, тогда вы сможете отказаться от NAT/PAT. Если же нет, то NAT выполнять на отдельной железке.
Единственное что оставить в виде писюка — это шейпер. Мне на FreeBSD 8 удавалось пропускать(и шейпить) через сервак 2.6 ТБ/с с тремья четырехядерными ксеонами и нагрузка была около 40-50% суммарно по всем ядрам. Сервер работал в режиме моста, на нем не было маршрутизации, тажил из одного влана в другой и был подключен обоими линками в центральный маршрутизатор. В итоге если надо было его заменить\перезагрузить, можно было его просто выкинуть из конфига свитча, поменяв в нем 3 строчки, после чего траффик бежал не через него, можно было сделать и динамическую маршрутизацию, но это была бы лишняя нагрузка на сервер, из которого и так выжималось все, вплоть до отключения всяких usb. Без тюнинга он упирался в полную загрузку по цпу уже на 1.6 тб\с.

это один из пунктов того, что нужно сделать. а так же разделить нат и шейпинг, тогда куда проще внедрять резервные сервера в случае ухода какого-либо узла на тех. обслуживание. Даунтайм можно свести до пары секунд, никто ничего и не заметит.

Знаете ли, с вами не особо приятно разговаривать. Во первых вы прямо не ответили на вопрос, сославшись что ответ есть где-то неподалеку, увы, я его не нашел. Во вторых ваша манера тыкать незнакомому человеку.
Поэтому такому человеку как Вы, мне просто лень доказывать прописные истины:
1) что такое WAF и с чем его едят
2) что mod_security — это полноценный WAF, который отвечает многим стандартам защиты информации, например таким как PCI DSS первого уровня.

да, я так полагаю, потому как он отвечает требованиям, которые возложены на WAF. Может хватит отвечать вопросом на вопрос?

например? mod_security под nginx нету, а более адекватных вэбсерверов кроме апача и nginx нет.

а кто даст гарантию, что они не дырявые? что если код ревью не выявит баг\бэк дур, который программист умело спрятал? И тем более есть такая вещь, как PCI DSS, по которой WAF обязателен.

м-да, для вас 100мбит\с это флуд, а для кого-то это нормальная нагрузка… вместо того, чтобы ставить костыли в виде фаервола, вы бы лучше софт привели в порядок. Если вам не нужен WAF, у вас обычный сайт на php(например), то вас один голый nginx устроит(+php-fpm). Ну и провести кодревью не мешало бы еще, если что-то самописное. Ну и заведите себе ipkvm, это не серьезно — его не иметь, если нашлись те, кто вас ддосят. Банить правилами фаервола — это уже последнее дело.

ipset 17 тыщ правил превращают в одно…

иногда без апача обойтись нельзя, например когда нужен WAF.

я бы даже сказал вредная. так делать нельзя… ну разве что про ipset верное замечание есть…

на код 0 и 2 тоже не все современные операционки реагируют «по умолчанию», далеко не все.

Механизм ICMP Redirect позволяет перенаправлять запросы не только на хосты, но и на целые сети. Причем нет ограничения на их размер, в теории можно указать хоть 0.0.0.0/0, но тогда он будет пересекаться с дефолтным маршрутом и, чтобы уж наверняка(для предотвращения коллизий в таблице маршрутизации), то лучше указать в исходных дейтаграммах две сети с меньшей маской, но которые будут покрывать все интернеты.
Если бы вы больше времени уделяли «базовым» знаниям, то не тратили время на программы, ориентированные на школоту, которой надо почитать переписку Лены из 9Б. Все эти утилиты с б0льшим функционалом написаны давным давно и доступны всем желающим.

Для тех кто не знаком с техникой ICMP Redirect внесу ясность. Поснифать все что движется не получится,
есть одно важное ограничение — можно редиректить хосты только из других подсетей.
Пример:
192.168.1.1 — GW
192.168.1.10 - жертва
192.168.1.100 — DNS
при таком раскладе данная атака не сработает.

DNS должен быть или 192.168.2.x или из любой другой подсети.

Пардоньте!
Если все эти хосты будут иметь маску /23 и «больше» (т.е. /22 /21 и т.д.), то они будут в одной подсети. Как можно писать об атаках на сеть без каких либо базовых знаний ip-протокола?

вы в токенах вообще разбираетесь? знаете разницу между otp и x509 токенами?

я понимаю принцип, и рутокен умеет генерировать ключи. Другое дело, что алгоритмы, с помощью которых токен генерит ключи, могут быть несовместимы с тем, что есть в truecrypt. И в флешке нету Intruder lockout, она не заблокируется, если кто-то 20ть раз неправильно введет пароль. Поэтому ваш архив можно будет взломать, вас уже поимели — если он попал кому-то в руки и не важно особо какой длинны там пароль.

так он и так живет только внутри токена, просто генерится внешне. с флешки же легко списать ваш зип архив и ломать его в оффлайне с перебором, когда как токен ломать перебором вы не сможете. есть механизм Intruder lockout

токен != флешка

web application firewall

А еще неплохо бы уметь настраивать WAF…

при обновлении официальной прошивкой рут пропадет, если обновлять модифицированной официальной с рутом — то рут, соответственно будет.

рут можно получить и на 1.72 и 1.85, а вот s-off только на 1.34.
Сейчас пытаюсь получить его на новой прошивке с андроид 2.3.3 — пока безуспешно. Есть вариант через прошивание рекавери и установку типа апдейта.

а разве бд не принято удалять через drop database в интерпретаторе mysql? Пускай хоть и случайно… Если сравнивать удаление бд как и удаление файла — то тогда стоит применять те же процедуры по восстановлению, что и для обычных файлов(при помощи специальных утилит).

что-то не углядел я там ничего про двухфакторную аутентификацию… вроде гмыл обещал присылать смс с кодом на мобильный, но я не нашел этого в настройках тоже…

а где эта «галочка» ставится, не могли бы вы написать? что-то не могу найти…

я бы вам порекомендовал держать /tmp и /var/tmp/portage на рамдиске.

tcpdump -w /mnt/flash/file.dump

в фрибзд отлично подошел бы netgraph one2many для форвардинга пакетов через маршрутизатор + отсылка копии пакета на удаленный хост.
а вообще еще лучше сделать зеркалирование траффика на коммутаторе.
в общем вариант с линуксом и айпироутом — это наиболее сложный, затратный и ненадежный механизм решения.

ага, сейчас в моде ospf и bgp с фул вью для юникаст трафика, а не всякие статик маршруты с PBR, но если кто хочет поизвращаться…