[SyJet]

Mikrotik это 100% SOHO или HOME, впускать его в ISP - черевато потерей клиентов.

 

Когда руки кривые это верно, если правильно настраивать никаких проблем не возникает. Как раз многие на микротике и заработали на циску или что покруче.

Руки кривые? Ну-ну..

[pppoetest]

Да нехай, пока есть последователи саабжа, работа будет.

[Saab95]

хех, смешно. А я думал что с тазиков перешли на железные решения. А микроти обычно это предыдущий шаг, до того как поймут что таз на фре\линуксе ведет себя куда предсказуемее чем микротик.

 

На линуксе и фре очень ущербный файрвол.

[vurd]

Угу особенно на фре с её таблицами. Очень ущербно.

А в микротике совсем не обертка над iptables, там свое уникальное решение, ага.

[pppoetest]

На линуксе и фре очень ущербный файрвол.

Следовательно на микре тоже ущербный, ибо там такой же iptables. Однако линуксы в отличие от сабжа не дохнут на 200-300 мбитах при 50-100 правил. Так что тут еще большой вопрос, кто более ущербен.

[GrandPr1de]

На линуксе и фре очень ущербный файрвол.

Следовательно на микре тоже ущербный, ибо там такой же iptables. Однако линуксы в отличие от сабжа не дохнут на 200-300 мбитах при 50-100 правил. Так что тут еще большой вопрос, кто более ущербен.

Типо в доказательство :)

# ipfw show | wc -l
     49

top -SCHIPb | grep cpu
  11 root       155 ki31     0K    16K CPU1    1 1093.4 91.94% idle{idle: cpu1}
  11 root       155 ki31     0K    16K RUN     0 1106.8 89.94% idle{idle: cpu0}

ifstat -i em2 -b 1
91758.81  13595.41

# ipfw nat show
nat 4: icmp=0, udp=2145, tcp=3586, sctp=0, pptp=0, proto=0, frag_id=27 frag_ptr=0 / tot=5758
nat 3: icmp=30, udp=6154, tcp=16112, sctp=0, pptp=0, proto=0, frag_id=12 frag_ptr=0 / tot=22308
nat 2: icmp=8, udp=10339, tcp=24620, sctp=0, pptp=0, proto=0, frag_id=3 frag_ptr=0 / tot=34970
nat 1: icmp=8, udp=8833, tcp=20405, sctp=0, pptp=0, proto=0, frag_id=8 frag_ptr=0 / tot=29254

 

49 правил в фаерволе, 4 инстанса ната на ipfw и конечно же дамминет, правда у меня сейчас не ЧНН, трафа ровно половину от ЧНН.

 

Не, конечно жизнь моей сети начиналась с микротика, правил было всего 4 или 5. Разрешить из каждого акцес листа - остальных запретить, нат на один ип и шейпер в виде дерева PCQ, но такая схема на одном тике с 600 Мгц дожила до 120 человек и около 45 мегабит трафа. Да и не я это возводил, мне это наследие досталось.

Теперь вот фря, в которой есть розовый и замечательный тцпдамп. Микротиковский снифер дает чуть больше чем ничего.

На счёт фаера - я бы сказал, что нет нормального фаервола в принципе. Давно их пора менять, но из имеющихся ipfw прекрасно делает своё дело.

А у микротика архитектура такая, впихни туда хоть 10000 ядер по гигагерцу, всё равно толку будет немного.

Черезчур производительность нелинейная. Никому он на голом статичном роутинге не нужен. Добавь пару правил в фаервол - и оп, прощай 5-50% мощности.

Изменено 31 декабря, 2014 пользователем GrandPr1de

[s.lobanov]

На счёт фаера - я бы сказал, что нет нормального фаервола в принципе. Давно их пора менять

 

Фаерволы нормальные - и iptables и ipfw. Просто они не так удобны с точки зрения userspace. Начиная с ядра linux 3.13 там живёт nftables, а в юзерспейсе последних дистрибутивов linux есть утилита nft. В ближайшие годы, оно будет заменять iptables.

 

И кстати, CLI микротика почти ничем не отличается от ввода правила с помощью iptables, только в виде parameter=value. Так что фаервола микротика это просто аналог iptables, который точно так же управляет netfliter-ом

 

Никому он на голом статичном роутинге не нужен.

 

вот это очень точно подмечено. никому не нужен mikrotik в режиме fast-path ибо эти фичи умеют дешёвые l3-свитчи в железе

[AKim]

хех, смешно. А я думал что с тазиков перешли на железные решения. А микроти обычно это предыдущий шаг, до того как поймут что таз на фре\линуксе ведет себя куда предсказуемее чем микротик.

 

смешно читать посты такие. Появляется дикое желание пригласить в гости.

Вам доказательства даже предоставь, а вы начинаете снова о каких-то непредсказуемых глюках.

 

Думаете, что мы 3 года с глюками мирились бы? Или у нас недостаточно денег на нормальное решение?

[GrandPr1de]

хех, смешно. А я думал что с тазиков перешли на железные решения. А микроти обычно это предыдущий шаг, до того как поймут что таз на фре\линуксе ведет себя куда предсказуемее чем микротик.

 

смешно читать посты такие. Появляется дикое желание пригласить в гости.

Вам доказательства даже предоставь, а вы начинаете снова о каких-то непредсказуемых глюках.

 

Думаете, что мы 3 года с глюками мирились бы? Или у нас недостаточно денег на нормальное решение?

Где в вами цитируемом посте есть слово "глюк"? Дальше я пишу, что очень сильно влияет на производительность кол-во правил в микротике.

[Saab95]

Угу особенно на фре с её таблицами. Очень ущербно.

А в микротике совсем не обертка над iptables, там свое уникальное решение, ага.

 

Ну так для добавления одного правила в микротике строчка для отправки в разы короче получается.

 

Следовательно на микре тоже ущербный, ибо там такой же iptables. Однако линуксы в отличие от сабжа не дохнут на 200-300 мбитах при 50-100 правил. Так что тут еще большой вопрос, кто более ущербен.

 

Разговор был про синтаксис, кроме всего микротик умеет то, что не умеет ваш файрвол.

 

49 правил в фаерволе, 4 инстанса ната на ipfw и конечно же дамминет, правда у меня сейчас не ЧНН, трафа ровно половину от ЧНН.

 

Графическое представление файрвола разве есть в линуксе? Что бы можно было открыть 5-10 окошек и сразу же наблюдать в каждом о происходящем?

 

Черезчур производительность нелинейная. Никому он на голом статичном роутинге не нужен. Добавь пару правил в фаервол - и оп, прощай 5-50% мощности.

 

То есть у вас везде на сети только шейпера, наты и прочие устройства?

 

вот это очень точно подмечено. никому не нужен mikrotik в режиме fast-path ибо эти фичи умеют дешёвые l3-свитчи в железе

 

И сколько стоит этот L3 свич? Микротик гораздо дешевле, особенно младшие модели. Ведь если нужно только отроутить 200-300 мегабит, хватит и RB750, при этом если он сгорит, то залить конфиг на новое устройство дело нескольких секунд и все снова работает. При этом не зависимо от прошивки и т.п.

 

смешно читать посты такие. Появляется дикое желание пригласить в гости.

Вам доказательства даже предоставь, а вы начинаете снова о каких-то непредсказуемых глюках.

 

Просто есть люди, которые пытаются перенести линуксовую схему работы, или там цисковскую, на микротик - естественно ничего толкового не получается, вот и жалуются. Если правильно поставить задачу и решить ее микротиковскими способами, никаких проблем не бывает, все работает стабильно годами без перезагрузок.

[pppoetest]

микротик умеет то, что не умеет ваш файрвол.

Конгениально, киса © Бендер

Сравнивать ОСь и фаер это надо постараться.

[Saab95]

Где в вами цитируемом посте есть слово "глюк"? Дальше я пишу, что очень сильно влияет на производительность кол-во правил в микротике.

 

Так на линуксах тоже производительность падает, особенно от правил шейпера.

[pppoetest]

Графическое представление файрвола разве есть в линуксе?

Ну если очень хотите, я могу накидать вам скриптик, который покажет вам реалтайм, вопрос нахрена?

 

Где в вами цитируемом посте есть слово "глюк"? Дальше я пишу, что очень сильно влияет на производительность кол-во правил в микротике.

 

Так на линуксах тоже производительность падает, особенно от правил шейпера.

Вы просто не умеете их готовить. Про хеши слышали что нибудь?

 

Если правильно поставить задачу и решить ее микротиковскими способами,

То потребуется ведёрко микротиков, для шейперов, натов и прочих бгп. По коробочке на задачу, а то две и более.

 

микротик умеет то, что не умеет ваш файрвол.

IPSEC умеет?

[Saab95]

Ну если очень хотите, я могу накидать вам скриптик, который покажет вам реалтайм, вопрос нахрена?

 

То есть штатными средствами не умеет? На микротике можно прямо на лету менять параметры и смотреть на графике количество обработанных пакетов.

 

Вы просто не умеете их готовить. Про хеши слышали что нибудь?

 

Мне и не надо их готовить.

 

То потребуется ведёрко микротиков, для шейперов, натов и прочих бгп. По коробочке на задачу, а то две и более.

 

Это не проблема.

 

IPSEC умеет?

 

Умеет, только это устаревшая технология и ее использование не рекомендуется.

[pppoetest]

То есть штатными средствами не умеет?

Гуй на линуксе - не нужен, для этого есть другие инструменты визуализации.

На микротике можно прямо на лету менять параметры

Поменяйте мне 10 тысяч параметров тогоже допустим dhcp-сервера, допустим добвьте/измените лизы. Желательно на лету, в винбоксе.

 

Умеет, только это устаревшая технология и ее использование не рекомендуется.

Какая же тогда технология новейшая и какую использовать рекомендуется?

 

Мне и не надо их готовить.

Тогда приготовьте мне пожалуйста шейпер по четырем видам класса трафика, допустим icmp/upd/tcp dst 80/other на каждого из 3 тысяч сабскрайберов, и при этом еще отнатить их. На микротике.

[GrandPr1de]

Тогда приготовьте мне пожалуйста шейпер по четырем видам класса трафика, допустим icmp/upd/tcp dst 80/other на каждого из 3 тысяч сабскрайберов, и при этом еще отнатить их. На микротике.

Ну это и я вам отвечу, через мангл.

То есть у вас везде на сети только шейпера, наты и прочие устройства?

Что есть прочие устройства? У меня машина с фрей на борту, которая натит, шейпит, выбирает кого выпускать в инет, а кто должник, биллинг, свичи, радиолинки.

Что вы имеете в виду не известно.

Ну так для добавления одного правила в микротике строчка для отправки в разы короче получается.

Даже я особо не зная айпитиеблса отвечу - что вы палите на угад. Обертка вокруг айпитейбса = айпитейблс, только с слегка модифицированым синтаксисом.

Так на линуксах тоже производительность падает, особенно от правил шейпера.

У меня фря, говорю уже в 10 раз. У меня шейп занимает процессорного времени меньше чем днс. Судя по топу, конечно же.

И сколько стоит этот L3 свич?

Посмотрите сколько стоит 3550 кошка :) 300 вланов выдержит, архетиктура то старая. 4948 с кучей гиговых портов и с наличией 10г найдете около 1к долларов.

Модели помладше - естественно дешевле. К слову - 4948 таже 45хх только в одном юните. 45хх модульную тоже около 1к долларов собрать можно, при желании дешевле выйдет.

Графическое представление файрвола разве есть в линуксе? Что бы можно было открыть 5-10 окошек и сразу же наблюдать в каждом о происходящем?

Кому оно нужно? Правило или работает или нет. Видно это по кол-ву пакетов, которые попали под правило + тцпдамп всегда в помощь.

Фаер в графике нужен только тому, кто ознакамливается. Я в свой фаер смотрел последний раз, только из-за того, что бы показать кол-во правил и нат трансляций.

IPSEC умеет?

Не спрашивайте про незнакомые ему вещи. Они по умолчанию устаревшие и не должны использоватся. Проще вообще про них ни у кого не спрашивать, а делать на том, на чём оно 100% работает, но ему не понять.

[martini]

Saab наверное до сих пор не знает откуда у микровтыка появились фаервольные фичи.. Даю наводку netfilter.org

По поводу наглядности - я бы хотел увидеть наконец то окошко винбокса с фулл вью )) а вот ссх на линуксе показывает хоть 10 фулов , или вебка на линуксе.

Ну если по теме - iptables -nvL работает безотказно, и счетчики можно включить и комменты и включать и выключать правила...

 

Было как то время , когда микровтык вылаживал у себя на сайте ссылки на опенсорс софт который он перепиливал в своих целях, так вот весь микровтык состоит из опенсорса который вежливо скрывает микрот и Ко )) ну там криптофайлосистемы всякие, упаковщики свои.. ну и конечно гуевина винбокса своя.. хотя гдето встречал на QT народ под линух что то начинал похожее писать. А вспомнить хотя бы насколько Нормис был в гневе когда я на форуме расписал как закинул в микровтык новый драйвер Интела , чтобы сетевушки все работали.. (до этого год просил вкомпилить новый драйвер), что тогда творилось.. и посты мои терли и логин блокировали... Ахтунг вобщем )

[NiTr0]

Тогда приготовьте мне пожалуйста шейпер по четырем видам класса трафика, допустим icmp/upd/tcp dst 80/other на каждого из 3 тысяч сабскрайберов, и при этом еще отнатить их. На микротике.

Еще и с негаранированной скоростью, с пропорциональным относительно макс.скорости ограничением при оверкоммите, и с конфигурируемой суммарной полоской :)

[SyJet]

Тогда приготовьте мне пожалуйста шейпер по четырем видам класса трафика, допустим icmp/upd/tcp dst 80/other на каждого из 3 тысяч сабскрайберов, и при этом еще отнатить их. На микротике.

Еще и с негаранированной скоростью, с пропорциональным относительно макс.скорости ограничением при оверкоммите, и с конфигурируемой суммарной полоской :)

Нитро, жгиии!!!

Я вот на линухе нифига не сделаю, но парни умнее меня легко )))

Изменено 1 января, 2015 пользователем SyJet

[Saab95]

Какая же тогда технология новейшая и какую использовать рекомендуется?

 

SSTP.

 

Тогда приготовьте мне пожалуйста шейпер по четырем видам класса трафика, допустим icmp/upd/tcp dst 80/other на каждого из 3 тысяч сабскрайберов, и при этом еще отнатить их. На микротике.

 

Нужно каналы расширять, а не делить гигабит на 3000 абонентов.

 

Что есть прочие устройства? У меня машина с фрей на борту, которая натит, шейпит, выбирает кого выпускать в инет, а кто должник, биллинг, свичи, радиолинки.

 

Имелось в виду что каждое устройство должно решать одну задачу - нат, шейпер и прочее должно быть на отдельных устройствах. А то еще с древних времен повелось делать крутой сервер, на котором все - от выхода в интернет и биллинга, до почтового сервера.

 

Даже я особо не зная айпитиеблса отвечу - что вы палите на угад. Обертка вокруг айпитейбса = айпитейблс, только с слегка модифицированым синтаксисом.

 

В микротике можно сокращать команды, в линуксе нужно писать полностью.

 

Посмотрите сколько стоит 3550 кошка :) 300 вланов выдержит, архетиктура то старая. 4948 с кучей гиговых портов и с наличией 10г найдете около 1к долларов.

Модели помладше - естественно дешевле. К слову - 4948 таже 45хх только в одном юните. 45хх модульную тоже около 1к долларов собрать можно, при желании дешевле выйдет.

 

И зачем все это? Например в одном поселке стоит себе RB951G-2HnD и рулит трафик от 200 абонентов, при этом его стоимость в 10 раз меньше, чем предлагаемые вами решения, за год не завис ни разу.

[GrandPr1de]

И зачем все это? Например в одном поселке стоит себе RB951G-2HnD и рулит трафик от 200 абонентов, при этом его стоимость в 10 раз меньше, чем предлагаемые вами решения, за год не завис ни разу.

Сколько вы там говорите стоит б\у кошка 35хх? Раз в 10 больше чем этот микротик? О_о или у вас очень дешевые цены на микротик, или я не знаю где вы ищете.

[SyJet]

Я представляю надёжность этой сети....

[pppoetest]

SSTP.

Проприентарный протокол? Ну-ну.

В микротике можно сокращать команды, в линуксе нужно писать полностью.

Учите матчасть, в линуксе (на котором основан микротик) есть автодополнение команд.

Нужно каналы расширять, а не делить гигабит на 3000 абонентов.

Приезжайте к нам, и попробуйте порасширять по 45 баксов за мегабит.

Имелось в виду что каждое устройство должно решать одну задачу - нат, шейпер должно быть на отдельных устройствах.

Создавая дополнительные точки отказа? Зачем? Если одна железка с этим справляется на ура. Или это потому что ваша говномыльница не тянет?

[NiTr0]

Создавая дополнительные точки отказа? Зачем?

Чтобы вы у Saab'а больше девайсов купили же :)

[GrandPr1de]

Создавая дополнительные точки отказа? Зачем?

Чтобы вы у Saab'а больше девайсов купили же :)

Так то да. Нат, шейпер, фаервол (кого выпускать в инет, а кто должник) * 2 (зип держать же нужно), как минимум 6 штук выходит. Учитывая их относительно небольшую стоимость - типо 1009 около 400 баксов = 2400 долляров. Отличный маркетинг чё, а лучше толкать 1036 (по 1к баксов)! :) :)

Так что в сетях он может и профан, а вот продован, который свою линию гнет - отличный :D