fedusia

На базе Centos все должно обновиться без проблем (если не ставили своими руками что-то), сам лично обновлял centos 4.6 до 4.9 все без проблем работает как работало. Зы: по поводу конфигов. Конфиги с обновленными пакетами ставятся как *.conf.rpmnew Если где-то не прав, то поправьте меня. =)

iperf?

К сожалению я за вас не могу разбираться. Скрипт рабочий, проверить пути и все должно работать, так как сам его использовал на нескольких системах. Вы уверены что скрипт вам выдал ошибку? А не просто отработал и не найдя нужно информации вывел вам пустую строку?

#!/usr/bin/perl -w use strict; if ($#ARGV == -1){ print "Usage ./catdetails <netflow_file> <IP>\n"; exit 1; } my %count = (); open (CMD, '/usr/bin/flow-cat '."$ARGV[0]".' | /usr/bin/flow-export -f2|') or die "Can't open flows: $!\n"; while (<CMD>){ my @array = (split /,/, $_); if ($array[11] eq $ARGV[1]) { #11dst, 10 -src my $time = localtime($array[0]); print "$time\t$array[10]\t\t$array[5]\tdstport\t$array[15]\n"; $count{$array[10]} += $array[5]; } } print "Detail statistic by source in bits:\n"; foreach(sort {$count{$b} <=> $count{$a}} keys %count) { print "$_\t\t$count{$_}\n"; } Как пример привожу свой скрипт по вытаскиванию детальной статистики.

Так ведь если все будут фильтровать SRC, тогда это и будет борьбой с DDoS, ведь левые пакеты не будут покидать сеть? Да, но так помоему никто не делает, магистралы точно не будут строить prefix-lists они фильтруют по as-set + количество максимальных префиксов от даунстрима.

Нет, т.к. регистрация коннекта в списке идет до его реджекта. Т.е. - бот отправил 5 писем, и дальше безуспешно долбится до посинения через файрвол. Можно кол-во писем и время конечно увеличить, к примеру, 20-30 писем за 15 минут... Я бы сказал не 5 писем. А 5 tcp соединений. Это довольно много для одного человека. Т.е. в таблицу попадает человек, который послал 5 tcp SYN пакетов на порт 25. За одно соединение можно отправить гораздо больше писем чем 1.

В данном примере мы разрешаем 5 соединений в минуту по 25 порту, все остальное мы блокируем. И так каждую минуту. Действует давно и классно.

iptables -A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --set --name SMTP --rsource iptables -A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --name SMTP --rsource -j REJECT --reject-with icmp-port-unreachable 5 соединений в минуту с 1 ip затем следует блокировка.

2 роут сервера -> L2 свитч, поднимаем по 2 сессии с каждым пиром. Думаю для таких задач хватит, как писали выше, P4 и какой-нибудь Д-линк.

Сама циска не является ДНС-сервером. В настройках циски вы указали ДНС сервер, она и будет его использовать, чтобы сопоставить доменному имени Ip-адрес. Но она не является днс-сервером.

Возможно вам необходимо почитать статью про iptables. Советую прочитать iptables tutorial. Может вот хватит данной ссылки http://www.opennet.ru/docs/RUS/iptables/

В настройках BIND можно сказать так: max-cache-ttl 86400 И не надо будет делать постоянно rndc flush.

Я бы сказал, что резать чаще всего могут все что меньше /24. Как было сказано выше, что блок /21 далеко не считается малым блоком, я лично не встречал ни одного провайдера режащего /21. О вопросе связываться с PI считаю, что лучше иметь именно PI, так как вы полностью отвечаете за них и не будете иметь гемороя при смене аплинка.

У меня были ситуации, когда маршруты в кваге есть, но почему-то в локальную таблицу маршрутизации они не попадали. Помогал, только такой метод.

s.lobanov, возьмите себе за правило рестратить квагу вот в такой последовательности: /etc/init.d/bgpd stop /etc/init.d/zebra restart /etc/init.d/bgpd start Т.е. демон БГП должен запускаться после удачного старта Зебры.

badjo, вам вполне хватит модели D-link 35хх. Аналогично, работал с этими моделями в сервис-провайдере, свичи нормальные. По крайней мере для ваших нужд его хватит выше крыши. Простите, а, когда вы тестировали, ваш компьютер как был подключен?(кабелем напряму в этот свитч? по вай-фай? и т.д.).

Я автора не оправдываю, все это есть в мануалах. Но иногда больше понятно, когда тебе человек ответит и развеит все твои сомнения. -)

FWSM# sh xlate count 65238 in use, 82399 most used В пиках пока проходит 800-900 Мbps.

Подскажите пожалуйста, а можно ли организовать policing на catalyst 6500 + FWSM (NAT). В данный момент осуществляет функции BGP(2 uplik), сбор статистки netflow, Файервольный модуль обрабатывает НАТ (FWSM). Правила ната заданы все статически вида 10.10.10.0\24 -> 172.19.19.19. Т.е. сеть класса C в 1 реальный адрес. С исходящим трафиком я вроде смог разобраться как зарезать для каждого абонента, а вот входящий не могу понять где надо зарезать. На внешнем интерфейсе это невозможно сделать так как dst ip - это nat ip. буду признателен за любую помощь.

Столкнулся с такой же проблемой, так как на interface Vlan402 у вас приходит проначеный пакет и он не попадает под правило. Если кто может подсказать как решить проблему буду очень рпизнателен. Стоит cisco catalyst 6500 с FWSM, в данный момент работает как Бордер + НАТ (на FWSM). Как можно организовать полисинг для 5к аббонентов.

2 канала нагрузить у вас не получиться одинаково, так как ассиметрия траффика будет всегда присутствовать. Я бы на вашем месте выбрал бы 1 аплинка как главного, а второго как резервного. Т.е. у вас будет весь траффик ходить в 1 аплинк, какон падает, у вас будет ходить все в резервный аплинк.

http://www.netping.ru/ Очень удобная штука. Работает по SNMP.

1) Я бы не стал делать нат и шейпинг на одной машине, хотя зависит от можности машины. 2) Опять надо смотреть загрузку машины. Далее тут есть два варианта: 1) если у вас весь трафик должен резаться то без проблем навешивайте очереди. 2) если у вас часть трафика не должна резаться (допустим пиринг, у меня было так.) то я маркировал интернет через iptables. 3) я выбирал htb + sfq на обоих интерфейсах.

supp, спасибо за ссылку, но я написал, что ищу 2-ух юнитовый.

Куплю корпус, для минимальных целей, недорогой. Можно б/у, главное, чтобы салазки и крепления были к нему, т.е. полный комплект.