"Сетевое окружение" - бить или не бить?

[MAXxim]

Давайте выскажимся по поводу того, стоит ли разрешать в сети пользоваться стандартным "Сетевым окружением" Windows?

 

PS: для сети размером 400-450 хостов.

[jab]

даже для мелких сетей в 500 хостов следует запрещать все виндовые порты

[Ugnich Anton]

Я бы поставил вопрос по-другому, запрещать ли траффик user2user ?! Со всеми "за" и "против".

[ush]

ну ваш вопрос несколько отличается от того, который задал автор

[Grey]

Я проголосовал за первый пункт. Если это опорная сеть провайдера и ему (провайдеру) не всё равно какие вирусы гуляют по шарам, то надо запрещать... что я собственно в своей сети и делаю...

Но в корпоративной сети (к примеру какая-нить контора) скорее всего запрещать не стоит... просто правильно клиентские компы настраивать надо и политику безопасности вырабатывать и блюсти.

[Ugnich Anton]

ну ваш вопрос несколько отличается от того, который задал автор

Создал отдельную тему, если кому интересно:

Траффик user2user - запрещать или нет ?

[SNEG]

резать на уровне районных свитчей, а лучше прямо на порту абонентском.

[sfstudio]

Давайте выскажимся по поводу того, стоит ли разрешать в сети пользоваться стандартным "Сетевым окружением" Windows?

 

PS: для сети размером 400-450 хостов.

Чего вы все так докапались до этой бедной поделки БГ =) Нормально оно работает в правильно спроектированной сети где магистрали с запасом. Несколько wins серверов из первопней с репликацией (samba4wins) ну и нормально настроенный dhcpd с option netbios-node-type 2 (P-node: Peer - WINS only) и никаких проблем, при этом сетевое окружение по работе будет мало отличаться от кучи FTP, да и клиентам удобнее. При 500 юзверях проблем не заметил т.е. 3 сегмента по 100 с копейками юзверей в каждом. 3 рабочих группы в каждой свой винс, смена рабочих груп присекается административными методами. Гигабитными магистралями там и не пахнет, всё на сотке.

Edited April 6, 2007 by sfstudio

[itl2044]

нетбиос в основном - это 150 - 200 байт в пакете.

По сравнению с обычным FTP или HTTP 1470 байт

сети от нетбиоса ложатся прямо мнгновенно.

 

P.S. В сегментах тоже человек по 100 сидят, магистрали - оптика гиг.

Так что утверждение не из пальца высосано

[Kirya]

нетбиос в основном - это 150 - 200 байт в пакете.

По сравнению с обычным FTP или HTTP 1470 байт

сети от нетбиоса ложатся прямо мнгновенно.

 

P.S. В сегментах тоже человек по 100 сидят, магистрали - оптика гиг.

Так что утверждение не из пальца высосано

3 ха-ха.

[itl2044]

вот когда 10 человек создают нагрузку в 120 тыс pps - тогда не до "ха-ха"

Еслиб этот трафик был платным - о чем то думать можно было бы, а на халяву сеть уложить - для хохлов - ЛЮБИМОЕ дело.

По 30 - 50 фильмов одновременно качали.

 

Порты 137 - 139 порезаны на акцессе

[Kirya]

А я б и не говорил, если б не знал, что с моего личного компика вечером народ льет под 300 мбит average такого трафика. И ничего. :)

И компик не умирает, и сеть не ложится, и расход внешки сокрашается. Что положительно сказывается на коэффициенте мультиплексирования и лояльности пользователей :).

 

А про размер netbios пакетиков вообще даже обсуждать не хочется.

Хоть бы tcpdump чтоль запустил, прежде чем писать такое.

 

И я могу сказать больше, если посмотреть и просуммировать например мой весь межсегментный и пиринговый локальный трафик, 99% которого это тот самый netbios проходящий сквозь центры, в пике получаются цифры под 8 гбит, правда у меня и сеточка уже далеко не 500 компов. (Это конечно завышенная цифра, из-за того что часть транзитного трафика считается получется 2 раза). С одной стороны страшно. Но с другой его обрабытывают всего 3 D-link DGS-3324SR которые могут промолотить 24*2*3=144 гбит трафика. И стоимость их всего 6 кило$. Это посильная сумма для нас. Ну не нравится D-link-на рынке есть Cisco 3560. Это такая же молотился трафика. Стоит правда в полтора раза дороже. Но это тоже подъемные суммы, это не стоимости нескольких 6509, которые бы пришлось ставить, в случае, если б вдруг захотелось такой трафик обсчитать, не говоря про стоимость железа под биллинг и стоимость обслуживания такого биллинга. Сейчас я всерьез рассматриваю возможность, в связи с кем, что цены на 3828 ушли под 500$ ставить их уже на нижние distribution уровни. ( Надеюсь мои мальчики все-таки дойдут до Влада Карагезова, чтоб их оттестить в этой роли). Вот такая арифметика.

 

А если конечно в роли центра, стоит PC, который пытается пророутить такие объемы и от которых он ложится, а вы не знаете как бы туда поставить еще одну гигабитную сетевушку, и поэтому юзвери качающие фильмы пачками начинают снится по ночам, мне вас просто жалко.

 

Ребят, вы забыли об одном очень важном экономическом преимуществе, которое никогда не смогут дать ADSL, WI-FI и прочие технологии. Это высокая скорость передачи данных за относительно смешные деньги. Нет возможности давать интернет трафик с такими скоростями, зачем же запрещать и резать то, что достается практически бесплатно. Надо помнить, что сделать сеть по надежности сравнимй с ADSL можно только одним способом-дотянув оптику не до каждого дома, а до каждой квартиры.Сколько это стоит для ethernet технологий мне объяснять не надо. И если у пользователя есть примерно одинаковые цены на ADSL и Ethernet доступ к инету, этот доступ безлимитный, если ему не давать ничего дополнительно, он выберет просто более надежную технологию. Т.е не вас.

 

А уж про небольшие сети 400-500 компов и говорить нечего.

Свести такую сеть, в случае даже неправляемой и побитой на несколько сегментов, в один 3828, если архитертура линков сделана правильно, не должно составлять большого труда. Далее пусть пользователи резвятся. А если помнить то, что пользователь скачавший фильм у "соседа" (которого он может и не знать, или сосед жить на другом конце района, ну или с сервера прова) за 5 минут 5 раз подумает, прежде чем пересаживаться на ADSL или идти к конкурентам, где netbios зарезан и качать этот же фильм, игру (дальше кто что придумает-можно вписывать) из инета он будет несколько часов, то как говорится конкурентное преимущество ethernet-a перед другими технологиями налицо.

Edited April 7, 2007 by Kirya

[itl2044]

Пир ту пир работает на уровне DC++

Этериал показывает пакеты 100 - 209 байт (при нетбиосе)

В ДС++ прекрасно работает поиск, и найти то, что нужно из 600 терабайт - элементарно.

Нетбиос - позапрошлый каменный век, возвращаться к которому смысла просто нет.

Через порты шар, вирусы размножаются, как тараканы, держать эту дырень у себя - как минимум глупо.

Тот же самый фильм скачивается в ДС++ быстрее, чем через нетбиос, и что самое главное! - 1 поток с 1 IP.

Ни у кого ни чего не тормозит, и все довольны.

Edited April 7, 2007 by itl2044

[Kirya]

DC++ вещь конечно хорошая, но это дополнительный софт, который нужно ставить большинству юзеров.

Плюс попробуй сделать каталогированный поиск в DC++.

А при Netbios/Ftp - поисковичок, на него сайтец и все готово. И ссылки открываются IE. :)

 

Вообщем у нас DC не прижился. Ибо вшитые в нем возможности поиска, по сравнению с нашими поисковиками выглядят убого.

[itl2044]

Ну и чем плох этот поиск?

[kamehck]

вот чтото я по инету по лазил и как понял надо ставить сервет дс++ а де его взять? по этому поводу ничего чтото не нашел.

[itl2044]

http://www.ptokax.org/downloads.html

[sfstudio]

Пир ту пир работает на уровне DC++

Этериал показывает пакеты 100 - 209 байт (при нетбиосе)

В ДС++ прекрасно работает поиск, и найти то, что нужно из 600 терабайт - элементарно.

Нетбиос - позапрошлый каменный век, возвращаться к которому смысла просто нет.

Через порты шар, вирусы размножаются, как тараканы, держать эту дырень у себя - как минимум глупо.

Тот же самый фильм скачивается в ДС++ быстрее, чем через нетбиос, и что самое главное! - 1 поток с 1 IP.

Ни у кого ни чего не тормозит, и все довольны.

О каком нетбиосе в плане скачивания речь? Испольщуются 2 протокола SMB и CIFS поверх нетбиос поверх TCP/IP. Самая большая проблема это именно обзор сети, а она решается WINS сервером без вопросов. Вот специально запустил зачачку и в wireshark смотрю что льётся. Прекрасно вижу пакеты SMB размером в 1400 байт и никаких проблем. Т.е. по сути современный NBT является эмуляцией функций Netbios поверх tcp-ip и никаких проблем кроме небольшого оверхида не несёт. Могут использоваться как UDP так и TCP никакой лишней широковещаловки при использовании Wins сервера для NBSN не возникает и неоткуда ему взяться. Мелкими пакетами оно тоже не обменивается если с сетью всё ОК.

 

Ну нет там дикой нагрузки и взять неоткуда. Темболее при правильной организации сети.

Edited April 7, 2007 by sfstudio

[itl2044]

Смотрите размер пакетов в тот момент, когда идет не скачивание, а просмотр фильма с удаленной шары, или при скачивании одновременно 2 - 20 фильмов с одной расшарки.

Вы видели, как флудит броадкастом по 137 порту зараженная вирусом машина?

На всю ширину подключения!

[Kirya]

Ну и чем плох этот поиск?

http://kinfo.ru/Films/All/Movies.aspx :)

 

Смотрите размер пакетов в тот момент, когда идет не скачивание, а просмотр фильма с удаленной шары, или при скачивании одновременно 2 - 20 фильмов с одной расшарки.

Вы видели, как флудит броадкастом по 137 порту зараженная вирусом машина?

На всю ширину подключения!

Практически у каждого человека в жизни хоть раз болит голова.

Но это же не повод рубить всем головы для профилактики ?

[itl2044]

нужно не голову рубить, а источник головной боли, и рубить нужно на корню, в данном случае нужно закрывать 137 - 139, 445 порты.

[sfstudio]

Смотрите размер пакетов в тот момент, когда идет не скачивание, а просмотр фильма с удаленной шары, или при скачивании одновременно 2 - 20 фильмов с одной расшарки.

Хех, ну посмотрел, правда винды под рукой нет но у мну сеть смонтирована через fusesmb смотрю mplayer`ом, попробовал закачать результат однозначно одинаковый, пакеты большие и никаких проблем со скоростью. Посмотрел на самом сервере tcpdumpom кто-то смотрит фильмец, пакеты большие абонент на другом конце сети наверняка под виндой ибо у клиентов кроме винды нет ничего. В общем проблем не вижу. Навскидку могу предположить что это из-за того что у мну option interface-mtu 1500; указано в dhcpd ессно винда получает этот параметр и ведёт себя иначе нежели у вас. Но пока проблемы не вижу впринципе.

 

Вы видели, как флудит броадкастом по 137 порту зараженная вирусом машина?

На всю ширину подключения!

Ну это уже к исходному вопросу имеет весьма косвенное отношение. С таким же успехом другой вирус может флудить по другим портам и т.д. и т.п.

 

нужно не голову рубить, а источник головной боли, и рубить нужно на корню, в данном случае нужно закрывать 137 - 139, 445 порты.

Вот именно что вы предлагаете рубить голову и это не есть верно, хотя дело каждого, опятьже в нормально спроектированной сети число юзеров в одном широковещательном домене не должно быть большим. Никто не запрещает поделить сеть на кучку подсетей. Для работы сетевого окружения (при условии настроенного Wins сервера) совсем необязательно чтобы все клиенты находились в одном броадкаст "домене", т.е. на уровне логической реализации это всё решаемо, а если ещё и железки позволяют так и вообще всё вкусно.

[desperado]

Вы видели, как флудит броадкастом по 137 порту зараженная вирусом машина?

На всю ширину подключения!

это вообще из другой оперы!

броадкаст надо фильтровать на акцесе.

 

мое мнение - резать ничего не надо. кроме голого вирусного трафика который можно явно выделить из полезного.

 

как потребителя меня очень сильно раздражает когда провайдер начинает что-то резать. хочется по мозгам сильно настучать чтоб перестал себя считать самым умным. правда среднестатистическим потребителем я скорее всего не являюсь.

Edited April 9, 2007 by desperado

[itl2044]

Ну как же из другой оперы?!!!!!!

Ваши слова примерно равны следующим:

Так как спид не у всех людей, то и презервативы не нужны, ну а если вдруг больной заразит 200 - 300 человек, то тогда его можно и изолировать.

А потом примерно месяца полтора вычищать компьютеры абонентов, зараженных этой заразой.

Это типа "спокойно не живется, ждем приключений?"

[sfstudio]

Ну как же из другой оперы?!!!!!!

Ваши слова примерно равны следующим:

Так как спид не у всех людей, то и презервативы не нужны, ну а если вдруг больной заразит 200 - 300 человек, то тогда его можно и изолировать.

А потом примерно месяца полтора вычищать компьютеры абонентов, зараженных этой заразой.

Это типа "спокойно не живется, ждем приключений?"

Сравнение некорректно впринципе. Презервативы являются лишь сдерживающим выборочным фактором. Если у вас уже есть вменяемое аппаратное или программное обеспечение что позволяет вам резать по портам траффик, то наверняка можно обеспечить ограничение числа пакетов в секунду, в том числе и широковещательных. И это будет правильным решением.

 

Да и отловить кто гадит в сеть широковещаловкой никаких проблем не составляет. Далее отрубаем абонента до окончания разбора полётов, ессно такие вещи должны быть прописаны в договоре.

 

Более того логическое деление сети на подсети сведут на нет проблемы при такого вида флуде ибо пострадают (а пострадают ли?) только абоненты находяжиеся в одном "широковещательном домене" с флудящим.

 

P.S. А вот к примеру ситуация. Появилась у мну программа которая работает исключительно по 137/TCP а вы его зарезали? А мне она просто жизненно необходима, причём работать она должна с другим абонентом в вашей сети, а т.к. внутресетевой траффик у вас платный, то я на полных правах пойду требовать разрешить работу этих портов.

 

Кстати платность внутресетевого трафика пусть и 5коп./метр решает проблему с вирусфлудом одназначно =) Клиент попавший на бабки в следующий раз освоит средства контроля траффика от себя, особенно после внушения собратьев по подсети которым не кисло наприлетало этих самых пакетов =)

Edited April 9, 2007 by sfstudio