Kuzmich

Тогда уж rinetd поставить. Он хоть процесс на каждый коннект запускать не будет. Однако у такого способа есть минус - скрывается IP-адрес абонента, без которого трудновато будет "банить". P.S. Для любого севиса должно быть своё имя в DNS. Тогда проблем не будет.

Антимерзостное для ipfw делаем через dummynet. Использовать 25 порт полностью не запрещаем - одного-двух соединений нормальному человеку вполне достаточно. Но больше - явный признак вируса/спамера. ipfw table 99 bw 4Kbit/s delay 500ms queue 2 buckets 1024 mask src-ip 0xFFFFFFFF ipfw add XXX pipe 99 tcp from any to any 25,445,139 setup in via em0 Если у какого-то адреса в ipfw pipe 99 show показатели зашкаливают - с нам разбираются специально обученные люди и скрипты (трафик в /dev/null, мыло на почту, звонок на контактный телефон, редирект всего HTTP на "Вы-рассадник вируса, спрочно скачайте cureit" и т.д.) Жалоб - единицы, выявленных рассадников - сотни. Даже иногда "спасибо" говорят.

Кроме шоу-бизнеса разумеется ;-) Ура!!!! Скажите мне, куда надо платить $5 в месяц, чтобы развалить и обанкротить наш шоу-бизнес?

Так не юзеров своих защищать, а именно тебя, любимого. Спам то тебе сыпется, а не его юзерам.

ИМХО, издательство должно думать не о гигабите на магистрали, а о гигабите на рабочее место и 10 гигабитах на магистраль. Картинки полиграфического качества по 100 мегабитам доооолго едут, особенно если в несколько юзеров сразу... Вариант "с прицелом" - из серверной три оптики на этажи, сечас на гигабите - с прицелом на то, чтобы перевести на 1- гигабит. Если без прицела - то три медяхи. Лучше 6 - по две на каждый этаж. (Hint - гигабит не любит многопарников!) Самый правильный вариант - поставить на каждом этаже железку типа DLink DES 3550, рядом с ней - патч-панель на ... ну, 96 или 144 порта, например, и развести медью по розеткам. На ту же патч-панель вывести и телефонию. Процесс переезда сотрудника с места на место будет сопровождаться всего лишь перетыканием патчкорда на этажном распределителе. Менее правильный вариант - на этажном распределителе поставить что-нибудь типа DGS-3100-24 (если совсем деньги жмут - DGS 1016D), и развести по гигабиту в каждую комнату. В комнате повесить DES 3010, DES 2110 или DES 3018DG, а то и DGS 1016D, и от него развести розетки. В серверную - этажный распределитель первого этажа + центральный коммутатор. Если не жадничать, и иметь желание повозиться с L3-коммутаторами, можно взять DGS 3612 (с буквой G, если оптика на этажи). Судя по количеству комнат у вас порядка 150-200 машин, L3 может быть полезен для сегментации сети. Если нет нужды - тот же 3100. Если опять же упор в деньги очень сильный - DGS 1016D, но о 2х гигабитах на этаж придется забыть) Цены: DGS-3100-24 ~ 14 тыщ DES-3550 ~ 15 тыщ DGS-3612 ~ 32 тыщи DES-3010 ~ 3600 DES-2110 ~ 2600 DES-1018DG ~ 2500 - можно один на 2 комнаты, но он совсем тупой DGS-1016D ~ 4000 - можно один на 2 комнаты. тупой, но зато все порты - гигабит. Стоимость кабеля - сначала трассы посчитать нужно. P.S. Не сочтите за рекламу DLink'а. Но советовать сурекомы я не буду, а при остоль существенной ограниченности в финансах смотреть в сторону Allied Telesyn и прочих кисок явно нет смысла. P.P.S. 100 тыщ на 200 рабочих мест явно мало. Месячная зарплата очень хорошего админа или двух просто хороших, а не бюджет модернизации сети... это только "если не интересует результат" (С) Жванецкий. В этих же 100 тысячах еще небось и премия сотрудникам за работу по ночам заложена... P.P.P.S. Оконцовывать на клею нынче не модно, долго и дорого. Проще и дешевле позвать мастера с "фуджикурой" и сварить всё за час.

Я знаю эту сеть. И то, что access-оборудование стоит 200$ за 8-портовый свич (кстати, информация устаревшая, меньше 200 за 24-портовку нынче) позволяет этой конторе полностью использовать пропускную способность своей сети, приоритезировать трафик по 802.1p по всей сети от центрального узла до порта абонента, регулировать доступ к абонента к услугам на любом уровне - от IP до порта, организовать мультикаст (поддержка IGMP-снупинга на всем оборудовании сети). А что не всё гладко - так они первые в РФ (а то и не только в РФ) рискнули довести 802.1х до стадии массового использования в проводных сетях. И софт пришлось делать, и даже прошивки свичей "на заказ". Заодно 802.1Х - родная система авторизации для WiFi, и от того, чтобы накрыть весь город радиоэзернетом их удерживают только радиочастотные напряги и необходимость сдавать ГСН каждую пятидесятибаксовую точку доступа... PPPoE и неуправляемые access-свичи заставят тебя либо собирать в центр района тот трафик, который можно было бы не выпускать за пределы одного свича, либо отключать должников от локалки руками. Не говоря уже о том, что НОРМАЛЬНЫЙ PPPoE BRAS в пересчете на абонента обойдется не намного дороже, чем управляемые свичи на access, а "пингвинобрас" на PPPoE до гигабита дотягивает в крайне редких случаях, и то с оговорками, что вирусов-флудеров в сети нынче нету. Чтобы обеспечить сравнимую с "голым эзернетом" производительность, тебе нужно "пингвинобрас" на каждый второй чердак ставить...

Снести вин2003. Ну или как минимум найти сетевые карты, умеющие делать отложенные прерывания. Антивир для чего? Для самого win2003-сервера, или для проверки полбзовательского трафика (и какого)? Microsoft выпускает ISA-Server... в лучших традициях мелкомягкой идеологии - "всё в одном". Достаточно гибкая система. В зависимости от:а) Это офисная сеть или домонет б) Трафик считать будем или нет Варианты стандартные - DHCP, статика, PPP-Over-что-нибудь. Авторизация - MAC/IP, 802.1x, ISA-серверная на базе MS-домена, просто вхождение в домен и т.п. Что есть оболочка в отношении ftp-сервера?

В указанной теме написали - "..Вы не продавец, абонент - не покупатель. Этот закон на УСЛУГИ не распространяется..." Это еще доказать надо, что я не продавец. В том законе не написано, что он действует на покупку-продажу только товаров. Все эти "козыри" будут предъявлены, благо время на выполнение предписания еще есть. Только хочется их побольше собрать :) А то придешь с одним, а они ткнут в какое-нибудь постановление от "позавчера", и доказывай им потом, что закон обратной силы не имеет. Лучше подготовиться лучше :) Так к нам и не ГСН пришел. С ним то как раз всё в порядке. P.S. Письмо "куда надо" с вопросом написал. Только ответят ли они на него за время, отведенное в "предписании" - науке не известно.

Спасибо! Почему-то не удалось найти эту тему "поиском", ну да ладно, спишем на кривые руки и бессонные ночи. В процессе разборок выяснилось: В соотвествии со статьей 8 Закона Российской Федерации "Об обеспечении единства измерений", "2. Решения об отнесении технического устройства к средствам измерений и об установлении интервалов между поверками принимает Госстандарт России." Вот где бы достать перечень того, что Госстандарт решил...

Вот эта тема - http://www.electrosvyaz.com/forum/viewtopic.php?t=5116. Однако правильный ответ там дан в 2003 году. Сейчас новые ОТТ к АСР - http://www.garant.ru/prime/20070717/91493.htm, и такой хорошей главы, как "метрологическое обеспечение" там нет. О, спасибо! Почему-то в поисковом движке я эту тему не отловил :(

Если бы и еще дату регистрации в минюсте этого бесспорного утверждения отыскать... А то они конечно лесом пойдут - но прав у нас не тот, кто прав, а у кого больше прав. Правильно было бы не доводить до конфликта, а доказать им, что они не правы, но мы на них за это не обижаемся... А по второму вопросу ничего не известно? Вроде как точное время у нас по Маяку вещают, только он расходится с ntp.imvp.ru нипадецки. Может быть есть какие-нибудь атомные часы с интерфейсом RS-232 за недорого? Или прецедент использования ntp на публичных сетях, как источник сигналов точного времени?

Наши - не отстали. Странно, почему еще к 1С:Бухгалтерии не прикопались, и к банк-клиенту... т.е. мне в результате нужно будет получать метрологические сертификаты на сервера телематических служб и PC-роутеры (всё с сертификатами ССС)? Кстати, в Реестре Средств Измерения не встречается слова cisco, маршрутизатор, а слово "коммутатор" в единственном экземпляре - "Система измерения длительности соединений в составе коммутатора сети радиодоступа стандарта CDMA ". Раз ни одной кошки нет в ГРСИ, ни одной АСР-ки, работающей по трафику - должен быть какой-то документ, в котором сказано, что трафик не является объектом измерений. Ну или закрытый список того, что объектом измерения является...

Пришли дяди из Ростехнадзора, и пристали к Биллинговой Системе на предмет наличия на нее всяких поверок и внесения в реестр средств измерения. Вопрос - к кому с таким приходили, и кто как отмазывался. ИМХО, вообще бред, ибо "измерение" это "сравнение с эталоном". Есть где-нибудь эталон рубля или байта? С другой стороны при расчетах используется время... не длительность сеанса, конечно, но есть тарифные планы с ценой, зависящей от времени суток. Опять же, отключать абонентов по отрицательному балансу с наступлением нового расчетного периода надо не раньше, чем этот период наступит. К сожалению, в ОТТ на АСР есть строчка, что трафик должен ИЗМЕРЯТЬСЯ с точностью до одного байта, так что формальные причины для отнесения АСР к средствам измерения в принципе присутсвуют. С другой стороны, никто и не запрещает мне вообще не использовать АСР, и вести взаиморасчеты на логарифмической линейке. Если не получится грамотно отмазаться, второй вопрос: Кто нибудь реализовывал соединение с Системой Единого Времени, на каком оборудовании и почём. Накопал Quatzlock A8-B с синхронизацией по GPS и Владимирский УСВ-1. Цена на первый неизвестна, второй - ~1000 евро. Сертификат конечно вещь нужная, но если мой КПК за 15 000 руб синхронизирует свои часы с GPS, не бред ли платить в 2.5 раза большую сумму за то же самое, но только без сотового телефона, MP3-плеера и Pocket-Excel... P.S. АСР - коммерческая, с действительным сертификатом минсвязи.

А как-же классика жанра - автоматическое пересоздание конфигов nagios'а по субд системы технического учета?

А, сейчас модно по Spanning Tree превращать опорные кольца в деревья, и гонять весь локальный трафик через центр? Так скоро уже и 10 гигабит на магистрали станет "не модно"... Перенумеровать прямые адреса не удастся? А перераздать по vpn?

так чем именно не устраивает nagios? Значки крупноваты, или остуствие готовых плугинов для пингования с внешнего коллектора? А под флэш?

request tracker, только в настройке нетривиален

802.1х успешно использую в сетях абонентского доступа. Работает. Одно плохо - 802.1х не может сконфигурировать комп абонента. Вся польза от него - что можно не фиксировать MAC-адрес абонента навсегда, а привязывать его к логину в момент авторизации. Если аксесс-коммутаторы еще и умные, т.е. умеют ограничивать количество изучаемых MAC-адресов на порту одним адресом - мы защищены от подмены абонентом мак-адреса. Но все пляски с подменой IP-дреса остаются, и следить за парами (а теперь даже за тройками!) MAC-IP-LOGIN всё равно приходится. Если под 802.1х понимать несколько больше, чем обычно понимают производители оборудования, например почитав RFC 3580 - можно добиться очень интересных и полезных эффектов, осталось только уговорить производителей оборудования его поддерживать. Что частично сделано....

nagios + самопальные плагины + самопальные довески к snmpd

Трава у тебя хорошая, да :) Зато придется настраивать только однотипные железки, практически одинаково, мышкой из веб-морды.

Пункт №1: То, что ты хочешь замутить - регулиреутся "Федеральным Законом о Связи". В случае чего - вплоть до статьи "незаконное предпринимательство" с конфискацией и отсидкой до 5 лет. Оно тебе надо? Оформлять всё законно - дико бюрократично, долго и дорого. Пункт №2: Лучше всего это сделает тот самый провайдер, который дает тебе интернет. Причем даже будет платить тебе некий оговоренный процент, как агентское вознаграждение. А у тебя не будет болеть голова, что "уборщица Маша опять выковыряля провод из розетки, и теперь перед тобой строем стоит толпа разгневанных арендаторов". Пункт №3: Отвечать на вопрос "подскажите, а в какой последовательности мне нужно нажать кнопки, чтобы у меня всё заработало" тебе никто не будет - эта работа стоит денег. Причем за $100 к тебе с радостью приедет паренек, и за два часа всё настроит. За $300 даже настроит хорошо, а за пару тысяч у тебя даже из 1С-ки будут вылезать счета абонентам. Пункт 4: Физически: --Модем--Роутер--Свич==Абоненты Логически: Абонент1 --- виртуальный интерфейс роутера №1 --- Интерфейс роутера №0 --- модем Абонент2 --- виртуальный интерфейс роутера №2 ... Абонент10 --- виртуальный интерфейс роутера №10 Текстом: Предположим, у тебя порты коммутатора 1-10 предназначены для абонентов, и порт 25 - для роутера. Создаешь на коммутаторе VLAN'ы 101,102,103...110. VLAN 101 вешаешь в нетегированном режиме на порт №1 и в тегированном режиме на порт №25, не забываем установить PVID для порта №1 равным 101 .... VLAN 110 вешаешь в нетегированном режиме на порт №10 и в тегированном режиме на порт №25, не забываем установить PVID для порта №10 равным 110 Втыкаешь роутер в 25й порт, создаешь на нем виртуальные интерфейсы типа VLAN с соотвествующими идентификаторами, и распределяешь "серое" адресное пространство, например VLAN101 IP-адрес 192.168.101.254 маска 255.255.255.0 ... VLAN110 IP-адрес 192.168.110.254 маска 255.255.255.0 Втыкаешь WAN-интерфейс роутера в свой модем, настраиваешь его в соотвествии с рекомендациями от провайдера. Включаешь на роутере NAT Идешь на первый компьютер первого арендатора, ставишь на нем IP-адрес 192.168.101.1 маска 255.255.255.0 шлюз 192.168.101.254 DNS - адрес DNS-сервера твоего провайдера Идешь на второй компьютер первого арендатора, ставишь на нем IP-адрес 192.168.101.2 маска 255.255.255.0 шлюз 192.168.101.254 DNS - адрес DNS-сервера твоего провайдера .... Идешь на сотый компьютер десятого арендатора, ставишь на нем IP-адрес 192.168.110.100 маска 255.255.255.0 шлюз 192.168.110.254 DNS - адрес DNS-сервера твоего провайдера Всё, интернет работает. Вариант "не надо думать": Покупаешь N+1 обычных бытовых роутеров с двумя Ethernet-интерфейсами. Коммутатор свой отучаешь от всяких VLAN'ов (cбрасываешь в настройки по-умолчанию). Сединяем по схеме: Абонент 1 --- Роутер A1 --- Свич --- Роутер И ---- Модем --- интернет Абонент 2 --- Роутер А2 --- Свич ... Абонент 10 -- Роутер А10 -- Свич Настройка: На всех роутерах включить NAT Роутер И - WAN-интерфейс настроить по рекомендациям провайдера LAN-интерфейс - 172.16.0.1 маска 255.255.255.0 Роутер А1 WAN-интерфейс - 172.16.0.11 маска 255.255.255.0 LAN-инетфейс - как захочет арендатор (например, 192.168.0.1 ) .... Роутер A10 WAN-интерфейс - 172.16.0.20 маска 255.255.255.0 LAN-инетфейс - как захочет арендатор (например, 192.168.0.1 - причем это НЕ ОШИБКА) к LAN-инетрфейсам роутеров A1-A10 подключаешь сети арендаторов.

В качестве "софтинки S" не покатит банальный веб-сервер с cgi-скриптом, который будет по запросу править настройки обычного, "не продвинутого" порт-маппинга?

Если продолжать дальше - то получится еще веселле. Как в старые добрые времена советовали: сделать RAMDRIVE побольше, и положить на него swap :) При нынешних ценах на память проще докупить себе гигабайт, чем заморачиваться с отдельным HDD для свопа. P.S. "Всё на одном логическом диске" - в принципе направильный подход. Рискуете получить неработоспособную систему при неожиданном разрастании объема данных, лог-файлов и т.д. Как поведет себя тот или иной софт при окончании места на дисках - заранее обычно неизвестно.

А потом жильцы дома громко возмущались, что весь подъезд посыпан грязью, все малые дети попросыпались от вашего грохота, выступление Путина по телевизору нифига не слышно было, вместо аккуратной дырочки на входе бура - лунный кратер. На моей памяти как раз одну сетку очень капитально обидели с привлечением мэра и правохранительных органов за установку своей слаботочки методом перфоратора, шуму было на пол-города. Потом ребята из конкурирующей компании, в чистеньких спецовочках, с вышеупомянутыми цедимами и водопылесосами очень тихо, чисто, быстро и аккуратно поставили свои стояки в тех же подъездах. Если кто и выходил "на посмотреть", то вопросы были из разряда "а когда подключаться можно будет, и куда обращаться", и "во блин... а где продаются такие штуки?". При том, что месяц назад те же люди чуть ли не сковородками гоняли предыдущую гоп-команду... Люди не любят лишнего шума и неаккуратности, а звук ударов перфоратора вызывает еще и некоторые сомнения в дальнейшем успешном существовании окружающих конструкций. Любой самый добродушный человек, находящийся в отличном настроении, очень быстро превратится в "злобную бабку", если ему долбить перформатором над ухом. И, даже если он в принципе заинтересован в в получении ваших услуг, злоба на ваших "дятлов" может помешать ему ими воспользоваться. P.S. Того чудища, которое будет у меня в подъезде рубить перекрытие перфоратором обещаю лично приложить пару раз чем-нибудь тяжелым, не оставляющим синяков... если успею раньше соседей.

Дык это.... абонентов то в сетку как авторизуешь? МАК-ИП, PPPoE, PPTP, ... ? IP-адреса статикой даешь, или динамические с DHCP? От этого сильно зависит, что ты с сеткой своей можешь сделать.