G.Y.S.

в ipfilter - да

PPPoE решает много проблем. Эту в том числе. интересно как без комментариев, man portsentry По данному вопросу нарыл, что дейсвительно средствами ipnat возможно ограничить количество соединений открываемых юзером например так map fxp0 192.168.1.149/32 -> 200.200.200.1/32 portmap tcp/udp 20000:20099 не совсем удобно но всеже + ipnat вбезусловно более быстрый и гибкий

Sultan, любые динамические правила тут увы не подходят. syn-flood - и конец (см. выше)

некоторые операторы, особенно на анлиме, ограничивают количество открытых соединений. Вопрос - как ?

сало как сало

Sultan, хорошая идея. Надо подумать. Их можно просто резать.

Инстукция по ipfilter (ipf, ipnat), там к сожалению нет нислова от том как так же как и в man-ах

ты напиши какой именно софт

? ОК, подняли ipfilter. Работает ipf, можно даже отключить ipfw. Как сделать subj?

Уважаемый jab, "Во-первых, перейти с natd на ipnat, а во-вторых запретить tcp/udp порты 135,137,138,139,445" 2. ок 1. сейчас читаю маны к ipnat конечно он быстее будет работать, но как решить ДАННУЮ проблему - пока не вижу. (Может поделишься кусочком ipnat.rules с парой ремарок...) + можно ли использовать ipfw+ipnat ?

cat /etc/rc.conf ifconfig ipfw -a l dmesg в студию какой драйвер использает твоя карточка (т.е. каким именем определяется в системе)?

Как защитить NATD от ДДОС атаки из внутренней сети. Во внутренней сети - более 500 ПК, все они ходят через нат (наружу имеею сеточку /26). При заражении нескольких ПК вирями - от них идет громадное количество пакетов по разным портам и адресам, забивая сокеты NATD, при этом интернет с других ПК тоже начинает "тормозить"! Мысли (воспользоваться правилом limit) такие: ipfw add allow ip from any to any via lo0 ipfw add deny ip from any to any 135, 139, 445 и проч "плохие" порты # каждого юзера юзеров добавляем правилом ipfw add 3000 skipto 50000 ip from 192.168.10.xxx to any limit dst-addr 1000 in via ifIN ipfw add 3000 skipto 50000 ip from any to myOUTnet/26 in via ifOUT ipfw add 49999 deny ip from any to any ipfw add 50000 divert natd all from any to any ipfw add 50001 allow from any to any НЕ ПОДХОДИТ если выставлять dst-addr 1000 каджому юзеру - создается ограмное количество димамических правил (особенно при флуде), количество динамических правил исчерпывается (да, его можно поднять sysclt переменной - но все равно - значение не резиновое) и ipfw выдает too many dymanic rules, sorry. При этом другие юзеры которым также добавлено limit dst-addr 1000 уже не попадают в divert. Как можно решить проблемму (ограничить количество открываемых сокетов natd каждым юзером)?

Не понимаю нападок на МТУ (со стороны AlexPan в частности). У меня много знакомых товарищей которые выбрали Стрим, из-за убогой ДС, работающей в их районе. Нарекатий никаких! не смотря на то что они точно могут отделить мух от котлет. -------- ...гб на оптовом рынке стоит около $2. ---------- А что вы вкладываете в понятие "оптовая" Если 7-8 терабайт - то может быть. Терабайт вам за такую цену не отдадут (расматрая точку удаленную от девятки), а заплатите за транспорт - получите - теже 3,5-5 бака - гиг. ДС - качающих - 8 гиг я не знаю. Увы.

Да, ошибся, конечно три десятых. Я это вообще к ибо как по другому проверить уплату этих трех десятых? :))

Антон, а нам помнится в минсвязи давненько говорили (когда мы получили лицензии), что как появяться у вас доходы, вот вам реквезиты - и туда перечисляйте 3% от доходов. У тогда помню у многих опрераторов спрашивал про эти 3 процента. Все махали рукой. Как сейчас положение дел (с "налогом")?

т.е. ты хочешь сказать - все карты атэросе (802.11g) работают одинаково? Хочу услышать авторитетный совет - может какие карты будут получше (802.11g). Расстояния небольшие - до 3-4 км.

Цена кабеля не так сильно разнится. За все хорошее нужно платить. Стоить сети на дерьме - не советую. Если денег нет то лучше вообще не строить. ИМХО. Ну сам подумай - сэкономишь ты пару сотен баков на кабеле. А он через год придет в негодность...

2admin_wireless, MaXToP, дело в том что для 802.11b(например) - есть отработанные операторские решения, та же оринока (авая) или циска аиронэт. Для 802.11g - карт тоже много и хочеться выбрать что-нибудь стоящее и понадежнее. (интересует работа под фрей)

м-де Вот и институры потянулись до девятки. Вот типичный пример "российского it бизнеса". Мы не используем существующие емкости, а прокладываем новые кабели. Уважаемый Гость. Обратитесь к нескольким крупным оператора связи, с запросом коммерческого предложения. Вам не нужно ничего тянуть, арендовать, согласовывать и проч. 300 гиг - вам продадут очень дещево (намного дешевле 135 у.е. за гиг)

Senao NL-3054 Atheros 5212 - вообще нормально работает ? Я вот думаю на каких картах остаеновиться ?? Дешевый Senao - брать стремно, но он работает! Кстате - та же Orinoco 8470WD - на расстоянии больше 300 м - говорят не пашет. Может, кто нибудь пробовал ставить карты других производителей ? Хочеться услышать ваше мнение.

2 MAXTOR - 1. а какие карты вы использовали (производитель и модель), 2. какие расстояния 3. какую максимальную скорость Вам удавалось получить P.S. ИНТЕРЕСУЕТ ИМЕННО 802.11g (2.4 Ггц) на фре 5.2 с драйвером ath) спасибо

"ЛЮБАЯ фильтрация по IP уже Layer 3." Почему то производители думаю по другому. Хотя Вам конечно же виднее :))

"IP - это Layer 3, дешево не бывает." не обязательно layer3, многие L2 - прекрасно фильтруют по ip, маскам, протоколам, портам и проч... да стоят не дорого www.dlink.ru совсем безглючных моделей там нет, но с ИБС - некоторые! неплохо пашут. layer 3 - имеется ввиду роутинг, но отнують не Ip как вы думаете Вообще деление l2-l3 - условное. Многие модели находяться где то между.

"А закон "О конкуренции" они там не читали?" нет не читали и плевать им на него

вообще - мы несколько драматизируем события. почему? потому что ДС - сейчас это бизнес и деньги, а заниматься "бизнесом" в России, неустанно вкладывая в него деньги, и всем "страшновато". Так что не волнуйтесь все будет хорошо. Рынок поделиться - вот увидите. Москва - это более 10 млн-в. Хватит всем.