Как стать автором
Обновить
0
0

Пользователь

Отправить сообщение
да, ошибка :)
там стояла лишь одна 10G сетевуха.
сравнивал давным давно, для передачи транзитного траффика FreeBSD с ipfw подходит лучше, чем linux. А вот для «приземления» его в случае сетевых сервисов(web/dhcp/ftp/etc ...) — лучше linux.
я строил сети на 18 тысяч пользователей, я знаю о чем говорю. Помимо юникст траффика, который уходит в интернет, можно задействовать iptv, тогда уже нагрузка на агрегаторы будет выше. Узким место shaping и/или NAT будет, если на этом сэкономить — вот если поставить железку за миллион рублей(семитонник или ASR от циски, ну или джунипер аналогичный), то все будет ок.
в бюджетном варианте предлагаете и биллинг с бд держать на маршрутизаторе? l3 коммутаторы меняются очень быстро и просто в отличии от серваков(всего-то залить конфиг нужно на железку), обновление прошивки проходит куда быстрее, чем обновление ПО на линукс-роутере(например поднять пару тысяч вланов с интерфейсами нормальный коммутатор сможет за несколько секунд, когда как во многих дистрибутивах линукса это будет производиться минут эдак 30-50), да и производительность их на много порядков выше в плане передачи данных.
Во первых вам нужно отказаться от линукс-роутеров — это тупик. Ставить надо какие-нибудь l3-коммутаторы, например dlink dgs-3627 или если у вас около тысячи вланов и больше — то allied telesyn присмотреть. Да это дороже, чем использовать писюшники, но они куда имеют более высокую производительность на несколько порядков.
Во вторых по возможности отказаться от серых ip-адресов, можете даже рассмотреть вариант с ipv6, тогда вы сможете отказаться от NAT/PAT. Если же нет, то NAT выполнять на отдельной железке.
Единственное что оставить в виде писюка — это шейпер. Мне на FreeBSD 8 удавалось пропускать(и шейпить) через сервак 2.6 ТБ/с с тремья четырехядерными ксеонами и нагрузка была около 40-50% суммарно по всем ядрам. Сервер работал в режиме моста, на нем не было маршрутизации, тажил из одного влана в другой и был подключен обоими линками в центральный маршрутизатор. В итоге если надо было его заменить\перезагрузить, можно было его просто выкинуть из конфига свитча, поменяв в нем 3 строчки, после чего траффик бежал не через него, можно было сделать и динамическую маршрутизацию, но это была бы лишняя нагрузка на сервер, из которого и так выжималось все, вплоть до отключения всяких usb. Без тюнинга он упирался в полную загрузку по цпу уже на 1.6 тб\с.
это один из пунктов того, что нужно сделать. а так же разделить нат и шейпинг, тогда куда проще внедрять резервные сервера в случае ухода какого-либо узла на тех. обслуживание. Даунтайм можно свести до пары секунд, никто ничего и не заметит.
Знаете ли, с вами не особо приятно разговаривать. Во первых вы прямо не ответили на вопрос, сославшись что ответ есть где-то неподалеку, увы, я его не нашел. Во вторых ваша манера тыкать незнакомому человеку.
Поэтому такому человеку как Вы, мне просто лень доказывать прописные истины:
1) что такое WAF и с чем его едят
2) что mod_security — это полноценный WAF, который отвечает многим стандартам защиты информации, например таким как PCI DSS первого уровня.
да, я так полагаю, потому как он отвечает требованиям, которые возложены на WAF. Может хватит отвечать вопросом на вопрос?
например? mod_security под nginx нету, а более адекватных вэбсерверов кроме апача и nginx нет.
а кто даст гарантию, что они не дырявые? что если код ревью не выявит баг\бэк дур, который программист умело спрятал? И тем более есть такая вещь, как PCI DSS, по которой WAF обязателен.
м-да, для вас 100мбит\с это флуд, а для кого-то это нормальная нагрузка… вместо того, чтобы ставить костыли в виде фаервола, вы бы лучше софт привели в порядок. Если вам не нужен WAF, у вас обычный сайт на php(например), то вас один голый nginx устроит(+php-fpm). Ну и провести кодревью не мешало бы еще, если что-то самописное. Ну и заведите себе ipkvm, это не серьезно — его не иметь, если нашлись те, кто вас ддосят. Банить правилами фаервола — это уже последнее дело.
ipset 17 тыщ правил превращают в одно…
иногда без апача обойтись нельзя, например когда нужен WAF.
я бы даже сказал вредная. так делать нельзя… ну разве что про ipset верное замечание есть…
на код 0 и 2 тоже не все современные операционки реагируют «по умолчанию», далеко не все.
Механизм ICMP Redirect позволяет перенаправлять запросы не только на хосты, но и на целые сети. Причем нет ограничения на их размер, в теории можно указать хоть 0.0.0.0/0, но тогда он будет пересекаться с дефолтным маршрутом и, чтобы уж наверняка(для предотвращения коллизий в таблице маршрутизации), то лучше указать в исходных дейтаграммах две сети с меньшей маской, но которые будут покрывать все интернеты.
Если бы вы больше времени уделяли «базовым» знаниям, то не тратили время на программы, ориентированные на школоту, которой надо почитать переписку Лены из 9Б. Все эти утилиты с б0льшим функционалом написаны давным давно и доступны всем желающим.
Для тех кто не знаком с техникой ICMP Redirect внесу ясность. Поснифать все что движется не получится,
есть одно важное ограничение — можно редиректить хосты только из других подсетей.
Пример:
192.168.1.1 — GW
192.168.1.10 - жертва
192.168.1.100 — DNS
при таком раскладе данная атака не сработает.

DNS должен быть или 192.168.2.x или из любой другой подсети.

Пардоньте!
Если все эти хосты будут иметь маску /23 и «больше» (т.е. /22 /21 и т.д.), то они будут в одной подсети. Как можно писать об атаках на сеть без каких либо базовых знаний ip-протокола?
вы в токенах вообще разбираетесь? знаете разницу между otp и x509 токенами?
я понимаю принцип, и рутокен умеет генерировать ключи. Другое дело, что алгоритмы, с помощью которых токен генерит ключи, могут быть несовместимы с тем, что есть в truecrypt. И в флешке нету Intruder lockout, она не заблокируется, если кто-то 20ть раз неправильно введет пароль. Поэтому ваш архив можно будет взломать, вас уже поимели — если он попал кому-то в руки и не важно особо какой длинны там пароль.
так он и так живет только внутри токена, просто генерится внешне. с флешки же легко списать ваш зип архив и ломать его в оффлайне с перебором, когда как токен ломать перебором вы не сможете. есть механизм Intruder lockout
токен != флешка

Информация

В рейтинге
Не участвует
Зарегистрирован
Активность