[aligor88]

в ветке купи/продай , блейд продают, на него routeros и накатишь )

[ChargeSet]

Роутерос на тазике не нужен. Есть же BSD и прочий чистый честный линукс. Или поколение пепси сменилось поколением винбокса?

[Saab95]

Роутерос на тазике не нужен. Есть же BSD и прочий чистый честный линукс. Или поколение пепси сменилось поколением винбокса?

 

В линуксе и BSD то, что в винбоксе за несколько секунд настраивается, занимает по времени в 10 раз больше.

[ChargeSet]

В линуксе и BSD то, что в винбоксе за несколько секунд настраивается, занимает по времени в 10 раз больше.

И работает в 10 раз лучше.

[h3ll1]

Лучше потратить более время для настройки и чтоб работало годы, чем настроить за секунду и затем искать пачи для неработающих фичей.

[dIMbI4]

Что вы млять такое крутите на микротиках, что вам не хватает ресурсов?

[Saab95]

Что вы млять такое крутите на микротиках, что вам не хватает ресурсов?

 

Настраивают не правильно просто, вот и не справляется. Одни чего только запрещающие правила всего входящего трафика стоят.

 

Лучше потратить более время для настройки и чтоб работало годы, чем настроить за секунду и затем искать пачи для неработающих фичей.

 

На микротике можно открыть 10 окон с информацией и отслеживать данные, как то же самое сделать на линуксе?

[Sergeylo]

Что вы млять такое крутите на микротиках, что вам не хватает ресурсов?

Ну, попытка разрулить и отшейпить 150 мбит/с на 60 абонентов средствами дохленьго CRS'а увенчалась загрузкой процессора. На неделе перепрофилирую его под pptp-сервер для собственных нужд, посмотрим, сколько съест.

Одни чего только запрещающие правила всего входящего трафика стоят.

Список доступа не считается законченным, если в конце него не сказано "а всё остальное запретить!". Просто потому что известных моделей угроз - тысячи, неизвестных - бесконечность. Как мы узнаём о новом микротике, появившемся у одного из абонентов - да по жалобе от какого-нибудь хостера на open resolver. Для роутера входящий трафик - это управление и его малочисленные службы, которые открыты для конкретных задач.

На микротике можно открыть 10 окон с информацией и отслеживать данные

Открыть 10 ssh-сессий или экранов? Хотя я лично не сторонник линуксовых тазиков, максимум - vyos.

[NiTr0]

На неделе перепрофилирую его под pptp-сервер для собственных нужд, посмотрим, сколько съест.

Ну может мегабит 40-50 и выдаст... При одном туннеле.

[EShirokiy]

pptp-сервер

Микротик и pptp - это ужасно работает, на 300 хостах тазики на i5 дохли. К тому же вечный перекос нагрузки по ядрам, когда одно ядро уходит в сотку и тазик превращается в кирпич)

[Sonne]

Myst, GRE это проприетарный цисковский протокол!

 

Что мешает запулить 1000 цисок и наслаждаться радость работы GRE поверх IPSec?

[Sonne]

Что вы млять такое крутите на микротиках, что вам не хватает ресурсов?

Ну, попытка разрулить и отшейпить 150 мбит/с на 60 абонентов средствами дохленьго CRS'а увенчалась загрузкой процессора. На неделе перепрофилирую его под pptp-сервер для собственных нужд, посмотрим, сколько съест.

 

Одни чего только запрещающие правила всего входящего трафика стоят.

 

На длинке попробуйте поднять PPTP, на 3200!

 

Вы на свиче запускаете задачи роутера. Вина Микротика лишь в том, что он дал возможности, которые другие вендоры не дают. К сожалению мозги к этим возможностям в довесок не прилагаются, думать надо своей головой!

[Saab95]

Список доступа не считается законченным, если в конце него не сказано "а всё остальное запретить!". Просто потому что известных моделей угроз - тысячи, неизвестных - бесконечность. Как мы узнаём о новом микротике, появившемся у одного из абонентов - да по жалобе от какого-нибудь хостера на open resolver. Для роутера входящий трафик - это управление и его малочисленные службы, которые открыты для конкретных задач.

 

На микротике следует блокировать только 2 службы - DNS и NTP, если используете на устройстве с публичным белым IP, но правильные люди делают по другому - просто устанавливают эти службы на микротике, который расположен внутри сети и не имеет внешних адресов, тогда ничего блокировать не требуется.

Осталось только порты SSH и Telnet перенастроить на не стандартные, и готово.

 

Микротик не страдает от взломов, если ничего не блокировать и даже не менять порты службам, никаких проблем не возникает, никто пароль не подберет и нагрузки никакой не создаст. Это на дырявых линуксах требуется все блокировать.

[aligor88]

Вечные споры), автор , попробуй сам на вкус , иначе никогда не определишься

[snvoronkov]

Я понял! Saab95 это диагноз такой!

 

Такого количества бреда, как в последнем посте я давненько не читал...

[TretUliy2]

Список доступа не считается законченным, если в конце него не сказано "а всё остальное запретить!". Просто потому что известных моделей угроз - тысячи, неизвестных - бесконечность. Как мы узнаём о новом микротике, появившемся у одного из абонентов - да по жалобе от какого-нибудь хостера на open resolver. Для роутера входящий трафик - это управление и его малочисленные службы, которые открыты для конкретных задач.

 

На микротике следует блокировать только 2 службы - DNS и NTP, если используете на устройстве с публичным белым IP, но правильные люди делают по другому - просто устанавливают эти службы на микротике, который расположен внутри сети и не имеет внешних адресов, тогда ничего блокировать не требуется.

Осталось только порты SSH и Telnet перенастроить на не стандартные, и готово.

 

Микротик не страдает от взломов, если ничего не блокировать и даже не менять порты службам, никаких проблем не возникает, никто пароль не подберет и нагрузки никакой не создаст. Это на дырявых линуксах требуется все блокировать.

А у микротика внутри что за ось такая стоит ?

[Saab95]

Такого количества бреда, как в последнем посте я давненько не читал...

 

Я уже много лет занимаюсь работой с сетями и перевидал такие настройки на микротиках, которые и в страшном сне не приснится. Накручивали столько правил, столько вводили вручную информации, которую вообще вводить не требовалось и т.п. При этом, из-за того, что все плохо работало, называли микротик плохими словами.

 

А у микротика внутри что за ось такая стоит ?

 

Router OS у него.

[NiTr0]

Вина Микротика лишь в том, что он дал возможности, которые другие вендоры не дают.

Прилепил к дешманскому роутеру дешманский же вебсмарт? :) Оно не пригодно к употреблению ни как свич (ввиду отсутствия элементарного луп детекта, не говоря уже об опциях 82 и прочих плюшках), ни как роутер (ввиду убогости). Хотя - для мелкого офиса потянет...

[ChargeSet]

snvoronkov

А вы бы почитали, какую пургу он в беспроводном разделе постит...

 

А у микротика внутри что за ось такая стоит ?

Там линукс внутри. Только вот микротики нарушают gpl и не раскрывают даже тех сырцов, которые являются свободными и открытыми по вышестоящей лицензии

[DVM-Avgoor]

нарушают gpl и не раскрывают даже тех сырцов, которые являются свободными и открытыми по вышестоящей лицензии

 

Она не везде работает юридически.

[snvoronkov]

Список доступа не считается законченным, если в конце него не сказано "а всё остальное запретить!". Просто потому что известных моделей угроз - тысячи, неизвестных - бесконечность. Как мы узнаём о новом микротике, появившемся у одного из абонентов - да по жалобе от какого-нибудь хостера на open resolver. Для роутера входящий трафик - это управление и его малочисленные службы, которые открыты для конкретных задач.

 

На микротике следует блокировать только 2 службы - DNS и NTP, если используете на устройстве с публичным белым IP, но правильные люди делают по другому - просто устанавливают эти службы на микротике, который расположен внутри сети и не имеет внешних адресов, тогда ничего блокировать не требуется.

Осталось только порты SSH и Telnet перенастроить на не стандартные, и готово.

 

Микротик не страдает от взломов, если ничего не блокировать и даже не менять порты службам, никаких проблем не возникает, никто пароль не подберет и нагрузки никакой не создаст. Это на дырявых линуксах требуется все блокировать.

Хорошо. Буду предметен:

 

1) Синхра времени на роутерах, я так понял, зло? Записи в журналах, радиусе с правильным временем - тоже зло?

 

2) Слоу фулл порт сканы Вы никогда не видели, очевидно. Смена порта уже очень давно не панацея.

 

3) Про невзламываемы некротики Вы где-нибудь в другом месте сказки рассказывайте. Есть у нас оператор-партнер, который очень любит некротики и часто через нас своим клиентам ip/ipvpn строит. Я скоро им штатно начну dns, ntp и ssh банить. :-)

[adron2]

И еще gre не забудьте :-D

[YuryD]

На микротике следует блокировать только 2 службы - DNS и NTP, если используете на устройстве с публичным белым IP, но правильные люди делают по другому

 

:) Т.е. проблемы open resolver и ntp ampl в роутерос никто бесплатно не решает ? Админы микротиков - люди весьма любопытные. Пересылаю им очередной забугорный абуз на эти темы - они говорят что у них нет ни ntp ни dns. Ладно бы нищеброды страдали ерундой, вполне себе крупнороссийские фирмы. Или поглядеть за траффиком. Есть туннель, что в нём гуляет - мне не видно, но мимо туннеля прёт явно вирусячий траффик. Понятно, что столичные одмины его не видят, он-же вне туннеля. Впариватели и разводилы в основном мокротик и впаривают...

[ChargeSet]

Она не везде работает юридически.

если честно, то лично мне без разницы, где лицензии на опенсорс признаются, а где нет. Совесть-то должна быть у людей, хотя бы по выходным и праздничным дням

[Saab95]

1) Синхра времени на роутерах, я так понял, зло? Записи в журналах, радиусе с правильным временем - тоже зло?

 

Ну так делайте ее внутри сети - поставьте отдельный микротик, имеющий доступ в интернет через НАТ и всего делов.

 

2) Слоу фулл порт сканы Вы никогда не видели, очевидно. Смена порта уже очень давно не панацея.

 

Видели, только часто тыкают просто по стандартным и все, на все адреса не будет столько времени сканить.

 

3) Про невзламываемы некротики Вы где-нибудь в другом месте сказки рассказывайте. Есть у нас оператор-партнер, который очень любит некротики и часто через нас своим клиентам ip/ipvpn строит. Я скоро им штатно начну dns, ntp и ssh банить. :-)

 

У вас есть реальные случаи взлома микротика?