Tygra Опубликовано 28 октября, 2017 · Жалоба В случае с IP адресами есть список адресов , который можно подставлять в одно правило и не городить под каждый IP свое правило . Есть ли какой похожий способ для списка MAC адресов ? Или какой нибудь не очевидный "костыль" ? Или все же по правилу для каждого МАС ? ( много их маков то, да и меняются они периодически ) . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 28 октября, 2017 · Жалоба Самое время перейти на какую-то другую схему авторизации, что бы уйти от необходимости костылей на L2 уровне. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 28 октября, 2017 · Жалоба 28 минут назад, Saab95 сказал: Самое время перейти на какую-то другую схему авторизации К сожалению это не возможно. Подконтрольное нам оборудование "посредник" . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 28 октября, 2017 · Жалоба Смак адресами можно работать фильтрами бриджа. Это удобнее, чем делать то же самое в стандартном файрволе. При этом можно маркировать трафик по макам, то есть если вам нужно управлять трафиком стандартным файрволом по каким-то критериям с маками, можно в фильтрах бриджа создать кучу правил, которые промаркируют трафик с нужными маками, и уже по этим меткам дальше будете работать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 28 октября, 2017 · Жалоба 7 минут назад, Saab95 сказал: Смак адресами можно работать фильтрами бриджа Изначально так и планировалось , вопрос в количестве правил , одно дело одно правило к списку маков , другое дело по правилу на мак , а их много , от того думаю можно ли что здесь придумать . Особой нагрузки на микрот не будет от большого количества правил, будет мягко выражаясь , как то не правильно что ли , но что то я пока ничего умнее, чем тупо по правилу на мак, не могу придумать .. Скрипт управления сильно усложнится . Но надежда всегда остается последней , от того и спрашиваю у более опытных товарищей , может есть какое "хитрое" решение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 28 октября, 2017 · Жалоба 1 час назад, Tygra сказал: Особой нагрузки на микрот не будет от большого количества правил, будет мягко выражаясь Это от вагона линейных правил то? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 28 октября, 2017 · Жалоба 9 минут назад, myth сказал: Это от вагона линейных правил то? Основной трафик не будет там летать , 99пр трафика "вылетит" в первых двух правилах, по макам это "контрольки" , это меньше 1пр трафика , да какой 1 , меньше чем процент .. Так что там большой нагрузки не планируется . Хотя конечно я не знаю сколько ресурсов сожрет простой пропуск определенных пакетов через мост , думаю что не фатально много , по крайней мере для CCR1016 .. Думаю , если переварит 300-500kpps в потоке до 1гигабита уже будет хорошо... В идеале то понятно , чем больше тем лучше . На данный момент сию функцию выполняют мосты на юниксе , хочу посмотреть сколько микрот переварит , т.к. мостов на юниксе становится все больше ... На "столе" все работает нормально , до практического теста пока еще далековато. Да и не решено еще куда воткнуть 10гб порт , все порты на 10гб заняты ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 28 октября, 2017 · Жалоба Причёт тут проценты трафика, проверяться будет КАЖДЫЙ пакет, в данном случае фрейм, если л2. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 28 октября, 2017 · Жалоба 4 часа назад, Tygra сказал: К сожалению это не возможно. Подконтрольное нам оборудование "посредник" туннели Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 28 октября, 2017 · Жалоба 25 минут назад, pppoetest сказал: Причёт тут проценты трафика, проверяться будет КАЖДЫЙ пакет, в данном случае фрейм, если л2. Я наверное не верно понял логику работы фаервола микрота, поправьте если я не прав , основной трафик имеет определенный признак , по данному признаку в первых двух правилах оно будет отрабатывать сразу на пропуск , не пропуская на проверку дальше т.к. оно должно пройти сразу и нет смысла его гонять по остальным тысячам правил . С чего каждый фрейм л2 будет проверяться всеми правилами фаервола ? Я же говорю что основной трафик "пройдет" через первые 2 правила . Проверка по макам пойдет по другим признакам и количество данный фреймов в общей полосе минимально .. 21 минуту назад, myth сказал: туннели Да . Через нас проходят только туннели , планирую пропуск самих тунелей, но контролировать их образование по мак адресу . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 28 октября, 2017 · Жалоба Емнип, под капотом у микрота обычный iptables, значит возможны варианты с цепочками, утверждать не берусь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 28 октября, 2017 · Жалоба 5 минут назад, pppoetest сказал: Емнип, под капотом у микрота обычный iptables, значит возможны варианты с цепочками, утверждать не берусь. Я все до конца еще не изучил , только начал разбираться с микротом, на юниксе фаервол прост и логичен . Здесь я так понял что у моста свой загадочный фаервол , как оно будет под нагрузкой работать х.з. , на столе работает вроде адекватно . Сейчас я думаю как скрипт управления и синхронизации с базой упростить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 28 октября, 2017 · Жалоба 1 час назад, Tygra сказал: но контролировать их образование по мак адресу . гланды удалять исключительно через ж...? Чем способ авторизации через радиус какой-нибудь не устраивает? Хоть по маку, хоть по логину с паролем Имхо, от 1000 l2 правил и тазик склеится Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 29 октября, 2017 · Жалоба 20 часов назад, myth сказал: гланды удалять исключительно через ж...? Чем способ авторизации через радиус какой-нибудь не устраивает? Хоть по маку, хоть по логину с паролем Имхо, от 1000 l2 правил и тазик склеится Читайте выше , оборудование транзитное, авторизация осуществляется на вышестоящих серверах к которым нет доступа. Что либо изменить в данной системе , ровно как способ авторизации не возможно, грубить при этом совершенно не обязательно . Требуется лишь контроль доступа к вышестоящим серверам по мак адресу , зачем это - надо , что либо изменить не возможно . Для авторизуемых не должно ничего измениться , они как логинились на вышестоящем сервере , так и логиниться , трафик Л2 , л3 только внутри туннелей , который мы не трогаем ... На "тазике" крутится около 6000 таких правил и ничего у него не "склеивается" . Почему - я выше обьяснил , не вижу особых отличий от которых загнется микрот . Вот концепция фаервола, после юникса , мягко выражаясь не адекватная, но это скорее с непривычки, не страшно - разберемся . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 29 октября, 2017 · Жалоба 2 часа назад, Tygra сказал: Требуется лишь контроль доступа к вышестоящим серверам по мак адресу Извините, но это не контроль. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 29 октября, 2017 · Жалоба 29 минут назад, pppoetest сказал: Извините, но это не контроль. Прямо жесткого контроля всего и вся не требуется , как я уже не однократно говорил, авторизацией занимается вышестоящая организация , она и осуществляет основной контроль . На данный момент с меня требуется только чистка и доступ к авторизации по маку , больше ничего .. Да понимаю что система мягко выражаясь не стандартная и реализовано как то через "опу" , но что дали то и "работаем" , изменить систему нет никакой возможности .... P\S По всей видимости все же надо городить огород из километра правил ... Ну попробую , не получается у тех кто ничего не делает , посмотрим что выйдет , я думаю будет все нормально ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 29 октября, 2017 · Жалоба Если авторизация уже есть, то зачем что-то дополнительно ограничивать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 30 октября, 2017 · Жалоба 7 часов назад, myth сказал: зачем что-то дополнительно ограничивать Как я уже отметил выше , система не стандартная от того очевидные вещи не получаются очевидно , что вам кажется бессмысленным здесь работает и в структуре всей системы вполне логично , ну если не учитывать что оно как то все через одно место .. И не плохо функционирует уже около 10 лет ... К сожалению в наших реалиях только так , собственно и этому рады ) ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 30 октября, 2017 · Жалоба Провел не большой тест под нагрузкой , поток около 800мбит, добавлял одинаковых правил для теста нагрузки на процессор . В общем микроту "поплохело" после 1000 "действующих" правил т.е. абсолютно весь трафик проходил через все 1000 правил , я ожидал гораздо худшего. Можно смело городить "огород" ) .. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...