[ilili]

улетают обратно поставщику ввиду глюкавости железа.

Есть такое, не без этого )))

[SSD]

А гдеже сааб защищающий микротики?)

 

Сааб всегда на месте. Арендуете инет в куче датацентров, ставите в каждую по несколько CCR, на каждом анонсируете свои адреса в инет, далее от них по туннелям все идет в центральный датацентр, где стоят защищаемые сервера. Прямого доступа на них с интернета нет, только через промежуточные микротики, если начинают атаку, то она обычно придет на какой-то один микротик, или несколько - там ее легко заблокировать, ведь суммарная пропускная способность всех каналов будет намного больше, чем возможности атакующих.

Есть несколько нюансов, самый первый из которых. Что делать когда CCR тупо зависнет по причине не допилености софта, переполнения памяти или ошалелости от объемов трафика? Расскажи еще раз байку про горку микротиков где один будет 3G для удаленной связи поднимать, второй ребутить CCR, а третий ребутить вышестоящие два.

[Saab95]

PPS: а у сааба лишь одна тухлая отмазка. Заявленная опция не работает - она не нужна. (особенно я смеялся когда сей персонаж вещал это про IPIP, IPSEC, OSPF)

 

Про OSPF я не говорил что не работает - просто нужно правильно настраивать, то есть не настраивать и не создавать то, что не нужно, достаточно несколько раз мышкой щелкнуть, и готово, так нет, некоторые любят его просто до дыр затыкать.

 

улетают обратно поставщику ввиду глюкавости железа.

Есть такое, не без этого )))

 

Не могу согласиться по этому поводу - работает несколько тысяч радиоустройств на базе микротика, более полтысячи роутеров RB750 и RB2011 и никаких проблем не создают. Поставщику ни разу не отправлял микротик обратно, с UBNT было дело=)

[myst]

Про OSPF я не говорил что не работает - просто нужно правильно настраивать, то есть не настраивать и не создавать то, что не нужно, достаточно несколько раз мышкой щелкнуть, и готово, так нет, некоторые любят его просто до дыр затыкать.

Дружок, не считай себя умнее других.

Не один ты в этом мире знаешь как работает протокол OSPF и как его настраивать.

То, что более-менее сложные конфигурации сетей не вывозит реализация этого протокола на микротике, это проблема микротика, а знаний его настраивающего.

[Saab95]

Про OSPF я не говорил что не работает - просто нужно правильно настраивать, то есть не настраивать и не создавать то, что не нужно, достаточно несколько раз мышкой щелкнуть, и готово, так нет, некоторые любят его просто до дыр затыкать.

Дружок, не считай себя умнее других.

Не один ты в этом мире знаешь как работает протокол OSPF и как его настраивать.

То, что более-менее сложные конфигурации сетей не вывозит реализация этого протокола на микротике, это проблема микротика, а знаний его настраивающего.

 

Микротик 10 тысяч маршрутов вывозит в OSPF, и то, это еще не предел, поэтому сложные конфигурации для него не нужны.

[myst]

Микротик 10 тысяч маршрутов вывозит в OSPF, и то, это еще не предел, поэтому сложные конфигурации для него не нужны.

да хоть 100000. если у тебя 100 географически разнесенных сайтов (читай AS), с разной надежности каналами, то объединять это в одну область будет только полнейший идиот.

[Saab95]

Микротик 10 тысяч маршрутов вывозит в OSPF, и то, это еще не предел, поэтому сложные конфигурации для него не нужны.

да хоть 100000. если у тебя 100 географически разнесенных сайтов (читай AS), с разной надежности каналами, то объединять это в одну область будет только полнейший идиот.

 

Что мешает делать в каждом из 100 географически разнесенных сайтов дефолтную 0.0.0.0 зону, а объединять их через одну общую для всех зону с отличным от дефолтной номером? В ней будет 100 устройств и никаких проблем с надежностью не возникнет.

[myst]

Что мешает делать в каждом из 100 географически разнесенных сайтов дефолтную 0.0.0.0 зону, а объединять их через одну общую для всех зону с отличным от дефолтной номером? В ней будет 100 устройств и никаких проблем с надежностью не возникнет.

 

Ничто не мешает, так и делали (по всякому пытались). Проблемы с перераспределением из зоны в зону до сих пор возникают и микротик лупит роуты. Суппорт микротика кстати проблему подтверждал но решить не мог.

[Витайлий МР]

Вот вы полемику поразвели. Задача стояла настроить фаервол максимально правильно для имеющегося гигабитного канала. Если ДДоС превысит гигабит, то и хрен бы с ним - тогда и только тогда будем искать другое решение. Зачем из пушки по воробьям? Выпендриться? Ну не знаю, ребят. Если не можете прочитать что требовалось заказчику и сделать всё в рамках задания, то так и скажите, что вам это просто не под силу.

[myst]

Вот вы полемику поразвели. Задача стояла настроить фаервол максимально правильно для имеющегося гигабитного канала. Если ДДоС превысит гигабит, то и хрен бы с ним - тогда и только тогда будем искать другое решение. Зачем из пушки по воробьям? Выпендриться? Ну не знаю, ребят. Если не можете прочитать что требовалось заказчику и сделать всё в рамках задания, то так и скажите, что вам это просто не под силу.

 

А нечего там настраивать особо. Чесслово нечего. Все те финтифлюшки которые есть в микротике они как волосы на лобке, прикрывают но нихрена не защищают.

 

Если надо защиту по этому ТЗ, берите джунипер или что-то подобное. Там вам и syn cookie и прочие плюшки фаервола.

[Витайлий МР]

Реально защититься от ддоса в 100 гагибит в России? Пострадает ли пинг и качество связи с серверами онлайн игры? Не будет ли урона провайдеру, у которого размещено оборудование?

[myst]

Реально защититься от ддоса в 100 гагибит в России? Пострадает ли пинг и качество связи с серверами онлайн игры? Не будет ли урона провайдеру, у которого размещено оборудование?

Да вот пожалуйста. http://blogerator.ru/page/ddos-v-100-gbits-reportazh-s-linii-fronta-ot-ocevidca

Не совсем свежачек но представление дает.

Выводы надеюсь сделаете сами.

[Витайлий МР]

Ухх, вот и нас 27 числа 55 гигабитным ддосом пресанули, сказали у них есть 400 гигабит. От нас отстали, потому что мы вежливо поговорили, а вот 10 конкурентов по той же онлайн игре утюжат до сих пор, требуя выкуп.

[stelsik]

Ухх, вот и нас 27 числа 55 гигабитным ддосом пресанули, сказали у них есть 400 гигабит. От нас отстали, потому что мы вежливо поговорили, а вот 10 конкурентов по той же онлайн игре утюжат до сих пор, требуя выкуп.

ddos-protection.ru

[nuclearcat]

Собственно о чем я и предупреждал. Фокус в том, если у вас нет защиты, то вас школота будет на бабки разводить постоянно.

[Витайлий МР]

Купили защиту (проксирование) у DDOS-GUARD.NET, понравилось что у них оборудование как в M9, так и в Украинском аналоге, то есть пинг вырастет крайне незначительно.

Изменено 17 ноября, 2013 пользователем Витайлий МР