Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 62
/me почитатель PF. Так что это: «PF: Packet Queueing and Prioritization» поможет решить ту же задачу, что описана в теме.
а давайте не будем? :)
Тогда с отличным настроением я прочитаю вашу статью о altq =)
Если серьезно то не вижу ни малейшего смысла. pf использую только там где нужно отруливать потоки >60-70 Мбит при зверском количестве сессий.
Тогда с отличным настроением я прочитаю вашу статью о altq =)
Если серьезно то не вижу ни малейшего смысла. pf использую только там где нужно отруливать потоки >60-70 Мбит при зверском количестве сессий.
Альтернативные решения раздачи:
Kerio WinRoute Firewall
DrayTek Vigor 2950/3300
Barracuda WebFilter по сравнению с KWF не понравился, но тоже вариант.
Kerio WinRoute Firewall
DrayTek Vigor 2950/3300
Barracuda WebFilter по сравнению с KWF не понравился, но тоже вариант.
www.kerio.com/firewall/buy — $395
DrayTek Vigor 2950 — Price range: $610.08 to $698.50
Barracuda WebFilter — $474.05
Могу вообще идеальную железку под такие задачи предложить — Cisco 2800 series либо пиксу какую-нить.
Описал бюджетное решение ценовой категории «от $0»
DrayTek Vigor 2950 — Price range: $610.08 to $698.50
Barracuda WebFilter — $474.05
Могу вообще идеальную железку под такие задачи предложить — Cisco 2800 series либо пиксу какую-нить.
Описал бюджетное решение ценовой категории «от $0»
Это вы мягко говоря лукавите. Сервер что-то стоит, FreeBSD не на кофемолку ставилась.
Подножный корм себестоимостью 0$ вестимо. Можно и слепить хоть новое в магазине — минимальная тачка с 2-3 сетевухами всяко дешевле хотя как показала практика что-то «не нужное» в таких учреждениях всегда валяется.
и из этой коробки никуда не вылезти. В качестве сетевых железок 3 уровня признаю только циску)
был давеча на семинаре по роутерам DLink:
1. обсуждали этот дивайз — отличная железка за свои то деньги, но по причине своего преждевременного выхода на рынок см. п.2
2. www.dlink.com/products/?pid=452 почему смотрите п.1. :)
3. ничего не имею против того чтобы если задача «просто взять и раздать» и «взять и забалансить» воткнуть либо его либо одноканальный DIR-300 (еще и вайфай там будет) и забыть.
4. если задача «пошейпить/посчитать/полимитировать/всесторонне помониторить/еще и файлопомойку» развернуть всеравно придеться рядышком ставить софтовое решение приблизительно за теже деньги.
За последний год по п.4. развернули 5 таких точек с затратами $0 на железо ибо были уже в наличии «старый ненужный хост бухгалтерши» либо «вот наш файлосервер на win2k» — стоимость настройки приблизилась к стоимости того же LB =)
Если требования клиента полностью удовлетворяються конкретной железкой с запасиком так на годик вперед — тогда в любом случае лучше ставить железку, как минимум требования к електропитанию попроще будут. Если клиент хочет тотального контроля за тем как все работает а еще и недайбог (смайл здесь) имеет у себя штатного вменяемого эникея которого можно научить пользоваться мордашкой к биллингу — выбор скорее всего падет на софтовое решение.
1. обсуждали этот дивайз — отличная железка за свои то деньги, но по причине своего преждевременного выхода на рынок см. п.2
2. www.dlink.com/products/?pid=452 почему смотрите п.1. :)
3. ничего не имею против того чтобы если задача «просто взять и раздать» и «взять и забалансить» воткнуть либо его либо одноканальный DIR-300 (еще и вайфай там будет) и забыть.
4. если задача «пошейпить/посчитать/полимитировать/всесторонне помониторить/еще и файлопомойку» развернуть всеравно придеться рядышком ставить софтовое решение приблизительно за теже деньги.
За последний год по п.4. развернули 5 таких точек с затратами $0 на железо ибо были уже в наличии «старый ненужный хост бухгалтерши» либо «вот наш файлосервер на win2k» — стоимость настройки приблизилась к стоимости того же LB =)
Если требования клиента полностью удовлетворяються конкретной железкой с запасиком так на годик вперед — тогда в любом случае лучше ставить железку, как минимум требования к електропитанию попроще будут. Если клиент хочет тотального контроля за тем как все работает а еще и недайбог (смайл здесь) имеет у себя штатного вменяемого эникея которого можно научить пользоваться мордашкой к биллингу — выбор скорее всего падет на софтовое решение.
это к transparent proxy чтоли — чуть не в ту степь :)
Гуманность в случае транспарентной прокси со сворачиваемым http трафиком также имеет вторую сторону медальки — на которой назову моментально 3 минуса на вскидку. Угадайте каких :)
Не томлю — называю.
1. офисы это и асечки манагеров (пусть проксей — нет проблем) и почта черти знает где (110,23 — уже либо огород городить с форвардингом/настройкой МТА либо всеравно подымать рядышком НАТ по описанной вами методе)
2. «хотелки» в виде mp3 бывают еще и в виде zip/rar/exe/xxx/p2p/… (ненужное зачеркнуть) и здесь пороблемы с ними вылезают за рамки ИТ и как никогда прямо смотрят на качество организации труда
3. опять же шейпить интернеты по скорости придется тогда либо на интерфейсе смотрящем внутрь (fxp0 в примере) либо же изголяться с delay_class/delay_access/delay_parameters сквида, тогда уж давайте и авторизацию пользователя на PAM к проксе сбацаем — но это почему-то никогда не считал «нетрудоемким» и «прозрачным».
ЗЫ вы еще не видели приятных и хороших отчетов от bandwithd + stg + какая-нить мордашка ;)
О этом как и обещался расскажу в картинках в ближайшие дни — рутинная работа с паралельным копипастом в заготовку статьи какраз в процесе.
1. офисы это и асечки манагеров (пусть проксей — нет проблем) и почта черти знает где (110,23 — уже либо огород городить с форвардингом/настройкой МТА либо всеравно подымать рядышком НАТ по описанной вами методе)
2. «хотелки» в виде mp3 бывают еще и в виде zip/rar/exe/xxx/p2p/… (ненужное зачеркнуть) и здесь пороблемы с ними вылезают за рамки ИТ и как никогда прямо смотрят на качество организации труда
3. опять же шейпить интернеты по скорости придется тогда либо на интерфейсе смотрящем внутрь (fxp0 в примере) либо же изголяться с delay_class/delay_access/delay_parameters сквида, тогда уж давайте и авторизацию пользователя на PAM к проксе сбацаем — но это почему-то никогда не считал «нетрудоемким» и «прозрачным».
ЗЫ вы еще не видели приятных и хороших отчетов от bandwithd + stg + какая-нить мордашка ;)
О этом как и обещался расскажу в картинках в ближайшие дни — рутинная работа с паралельным копипастом в заготовку статьи какраз в процесе.
1. уже и почтовый сервер рядом появился либо МТА на нашем роутере — отлично :)
>>нат только для себя любимого :)
Ооо :)
2. бедный Святослав Никифорович не сможет загрузить свежий прайс на комплектуху :( за чтоооо??? :)
как я и пророчил «админ… ищет вручную… показательно… лишает… запугивает..» уходит в сторону воспитания сотрудников и переходит в стадию улучшения планирования труда.
Возможно это не моя сфера ниразу (я всегда стараюсь не лезть в то где ничерта не понимаю) но организация труда должна сводиться к «выполнил поставленную задачу — молодец отдыхай» либо «не выполнил норматив качаешь порнуху/это мешает (либо ты просто не хочешь) тебе выполнять поставленные задачи за которые тебе платят — казнь». Возможно все зависит от специфики производства, качественных характеристик персонала но сдается мне что сотрудник который не выполняет поставленных задач и требует постоянного контроля за трафиком — нафиг никому не нужен. Надеюсь вы со мной согласны :)
3. причем адреса к РАМ-у? :)
>>нат только для себя любимого :)
Ооо :)
2. бедный Святослав Никифорович не сможет загрузить свежий прайс на комплектуху :( за чтоооо??? :)
как я и пророчил «админ… ищет вручную… показательно… лишает… запугивает..» уходит в сторону воспитания сотрудников и переходит в стадию улучшения планирования труда.
Возможно это не моя сфера ниразу (я всегда стараюсь не лезть в то где ничерта не понимаю) но организация труда должна сводиться к «выполнил поставленную задачу — молодец отдыхай» либо «не выполнил норматив качаешь порнуху/это мешает (либо ты просто не хочешь) тебе выполнять поставленные задачи за которые тебе платят — казнь». Возможно все зависит от специфики производства, качественных характеристик персонала но сдается мне что сотрудник который не выполняет поставленных задач и требует постоянного контроля за трафиком — нафиг никому не нужен. Надеюсь вы со мной согласны :)
3. причем адреса к РАМ-у? :)
2. за чтооооо… рыдает Святослав Никифорович
3. и?
Итак по поводу отчетов из реальных условий.
Текстильное предприятие, около 50 хостов за 1 бросовой машиной. Имееться штатный эникей на обучение которого «а так добавляется новая машина в сеть» было затрачено около 40 минут + неполный рабочий день на постройку роутера. Строилось это нечто 2 года назад — обращений ко мне было тоже ровно 2 — помочь в отлове спамлящих машин (одним глазом в tcpdump посмотреть) и по поводу переезда всего «as is» на новый винт (старый очень страшно начал стучать — sic.)
Общая картинка которую _должен_ видеть ихний эникей/начальство при тыке кнопочки «статистика» рандомного пользователя (да там просто у каждого своя айпишка + дхцп на статических хостах)
Общая статистика:
Как это в общем выглядело в исполнении этого работника (день, неделя, месяц, год):
Когда же и сколько использовано интернетов:
Куда ходилось если уж очень неймется:
Как это выглядело в исполнении всего колектива:
Ну и собственно еще все поверху для души приконтраливаеться cacti (как это выглядит думаю нагуглите сами)
3. и?
Итак по поводу отчетов из реальных условий.
Текстильное предприятие, около 50 хостов за 1 бросовой машиной. Имееться штатный эникей на обучение которого «а так добавляется новая машина в сеть» было затрачено около 40 минут + неполный рабочий день на постройку роутера. Строилось это нечто 2 года назад — обращений ко мне было тоже ровно 2 — помочь в отлове спамлящих машин (одним глазом в tcpdump посмотреть) и по поводу переезда всего «as is» на новый винт (старый очень страшно начал стучать — sic.)
Общая картинка которую _должен_ видеть ихний эникей/начальство при тыке кнопочки «статистика» рандомного пользователя (да там просто у каждого своя айпишка + дхцп на статических хостах)
Общая статистика:
Как это в общем выглядело в исполнении этого работника (день, неделя, месяц, год):
Когда же и сколько использовано интернетов:
Куда ходилось если уж очень неймется:
Как это выглядело в исполнении всего колектива:
Ну и собственно еще все поверху для души приконтраливаеться cacti (как это выглядит думаю нагуглите сами)
Кстати к Вам не закралась мысль что никто не запрещает паралельно с NAT-ом можно использовать столь любимый вами squid? Давайте даже реальное и полезное применение постараюсь придумать… ммм… ну действительно можно использовать его как _кеширующий_ прокси и ним же АЦЛками ограничивать размеры загружаемых файлов в случае скажем ооочень медленных интернетов или если интернеты лимитированы по трафику (OMG)
tldp.org/HOWTO/IP-Masquerade-HOWTO/what-is-masq.html
Сидеть и мониторить риалтайм кто-куда-кого? Не не не.
Trafshow/tcpdump если неожиданно возникает вопрос чья вирусня так буйствует прямо сейчас либо постфактум минимум 20 способов наскладировать логов деятельности — от бпф-а до флоутулз.
Сидеть и мониторить риалтайм кто-куда-кого? Не не не.
Trafshow/tcpdump если неожиданно возникает вопрос чья вирусня так буйствует прямо сейчас либо постфактум минимум 20 способов наскладировать логов деятельности — от бпф-а до флоутулз.
>>Риалтаймово полезно(если до 100-200 клиентов)
божеж ты мой — сидите и смотрите в реалтайме за сотней бедных планктонин ходящих по фишечкам?
>>но иногда они как пушка по воробью дают избыточную информацию
а еще есть и греп и фильтра для отбора нужной информации :)
>>Screws up WWW counters and WWW statistics
Oo
>>DNAT наше всё
ну всеравно же к нату и портфорвардингу вернулись :)
>>Сладость прокси в её логах.
А что больше ничем нельзя пологать кто-куда ходил? :)))
>>Иногда есть «творческие» задания по подсчету посещений тех или иных урлов и т.п.
собрать колекцию порноссылок для себя? или построение графика популярности башорга среди планктонин?
Извините не занимался никогда.
божеж ты мой — сидите и смотрите в реалтайме за сотней бедных планктонин ходящих по фишечкам?
>>но иногда они как пушка по воробью дают избыточную информацию
а еще есть и греп и фильтра для отбора нужной информации :)
>>Screws up WWW counters and WWW statistics
Oo
>>DNAT наше всё
ну всеравно же к нату и портфорвардингу вернулись :)
>>Сладость прокси в её логах.
А что больше ничем нельзя пологать кто-куда ходил? :)))
>>Иногда есть «творческие» задания по подсчету посещений тех или иных урлов и т.п.
собрать колекцию порноссылок для себя? или построение графика популярности башорга среди планктонин?
Извините не занимался никогда.
Вчитался — какая, то наркоманская статья в целом. Закинул я в принципе ее только за тем чтобы вы уверовали что нету панацеи. Ни от чего — небыло и нету. Я уже где-то упоминал что руководствоваться в решении любой задачи можно только поставленной задачей и никакой религией и личными предпочтениями нивкоем случае — это влечет за собой либо кривость/невозможность реализации либо излишнюю непрозрачность решения.
Кофемолку зачастую найти труднее, чем железо, которое будет вертеть на себе FreeBSD. Вы посмотрите что у Cisco внутри)
как то выпускать винду в инет в виде роутера, всегда вызывает некоторые опасения, хотя наверно пользователю винды поднять керио значительно проще %) (это если не говорить о нагрузках...)
Холивар разводить нет желания, не верите что RWF защитит вашу сеть, не ставьте. С нагрузками тожде всё в порядке, 100-200Мб/с без проблем.
Умоляю вас, дома сервачок на бсд у меня раздавал шифрованый вай фай. Я начинающий, но за один вечер освоил кое что и удивился, насколько все наглядно и просто. А придя на новое место работы и увидев керио, честно говоря расстроился. Скоро переведу инет на BSD, бог даст.
я всегда считал, что тут разница подходов :) понимаете, со знаниями основ ИТ грамотности, бздя или линукс понимаются гораздо проще, чем виндовс, но без знания оных, по менюшкам зачастую лазить нагляднее и проще, хотя когда начинаешь копать глубже, и понимать, что в менюшки надо лезть все глубже и глубже снова становится легче бздя и линукс с конфигами и командной строкой, но это лично мой опыт, может быть у кого то иначе.
ну хотя б правило, в фаервол чтоб ssh открытым остался :) (или я чет пропустил?)
а почему на картинке вверху 2 интернета, а в схеме пониже — только один?
куда второй потерялся?
куда второй потерялся?
Спасибо, интересно было прочитать и кое что узнать
Вот если бы в таком направлении но более глубоко, вообще б цены небыло для меня
жду продолжение…
Вот если бы в таком направлении но более глубоко, вообще б цены небыло для меня
жду продолжение…
А в сторону NoDeny что-то сказать можете?
Могу сказать что это АСР (вот такой веселый класс продуктов) которая не имеет к НАТу никакого отношения :)
Денюжку считать можно много чем (netams/stargazer/abills/nodeny/utm/freenibs/и еще длинный ряд специфичных продуктов) и моно как. Лично последних лет 8-9 работал плотно только со stargazer/abills и двумя текущими самописами.
Денюжку считать можно много чем (netams/stargazer/abills/nodeny/utm/freenibs/и еще длинный ряд специфичных продуктов) и моно как. Лично последних лет 8-9 работал плотно только со stargazer/abills и двумя текущими самописами.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Рассматриваем простейшие случаи раздачи интернета внутри офисной сети