1.

[Kirya]

Кстати платность внутресетевого трафика пусть и 5коп./метр решает проблему с вирусфлудом одназначно =) Клиент попавший на бабки в следующий раз освоит средства контроля траффика от себя, особенно после внушения собратьев по подсети которым не кисло наприлетало этих самых пакетов =)

Полностью не решает.

Есть чудаки в статистике которые вставали на эти грабли уже не по разу.

[itl2044]

1. Конкурентная борьба не дает сделать внутрисетевой трафик платным.

2. Порты 137-139, 445 закрыты на акцессе, об этом написано в договоре

3. Ограничение параметра "пакеты в секунду" сразу повлияет на скорость скачивания в системе DC++, а скорость в пир ту пир нужна полная, поэтому резать пакеты НЕЛЬЗЯ.

 

Сравнение вполне корректное, просто Вы на него смотрите со стороны абонента, и Вам плевать, и даже более того, Вы понятия не имеете, что такое просаженная магистраль по PPS.

[sfstudio]

1. Конкурентная борьба не дает сделать внутрисетевой трафик платным.

Это вопрос организации бизнеса.

 

2. Порты 137-139, 445 закрыты на акцессе, об этом написано в договоре

3. Ограничение параметра "пакеты в секунду" сразу повлияет на скорость скачивания в системе DC++,

а скорость в пир ту пир нужна полная, поэтому резать пакеты НЕЛЬЗЯ.

Не понял связи. Вы же сказали что сеть ложиться от широковещаловки, ну так и ограничивайте жироковещалоку, каким образом это скажется на других типах траффика и уж DC++ не понял, поясните?

 

Сравнение вполне корректное, просто Вы на него смотрите со стороны абонента, и Вам плевать, и даже более того, Вы понятия не имеете, что такое просаженная магистраль по PPS.

Хех, приколист. За исключением того что админю не одну сеть в том числе и ДС, сам являюсь владельцем ДС, то я конечно абонент в том числе и своей сети. Давайте впреть не будем меряться пиписьками? Насчёт понятия неимею что такое просаженная магистраль, увы имею сталкивался с таким в криво сетях нашего славного города, где не нашли другого выхода как разгрузить магистраль переводом юзверей на 10мегабит. В общем логика ясна. В любом случае при правильно спроектированной сети никаких проблем не возникает. Все ДС страдают от того что развернуть сеть с нормальной топологией с учётом застройки почти не реально, но никто не запрещает сделать это наиболее грамотно. А положить оптику на магистрали сейчас проблем нет, как и с пропускной способностью магистралей в человечески построенной сети.

 

P.S. Если уже смотреть в корень, в причину "сифилиса" который флудит по 137 порту, может сразу начачь пересаживать домоюзеров на *nix ? Я не думаю что у вас в ближайшее время появиться такая возможность, но недоОС от мелкомягких всегда будет сопровождаться подобного рода дерьмом, как трояны с той лишь разницей, что сегодня флудим на 137 порту, завтра на 6666 а после завтра на 1234.

[itl2044]

Э нет батенька, на порту 6666 или 1234 майкрасотовская дырень под названием нетбиос не работает, она работает на портах 137 - 139. На порту 445 работает не менее огромная дырень - служба "server", и именно эти порты во встроенном брендмауере открыты.

Из всего Вами сказанного я понял, что Вы ни чего на данный момент не знаете об организации и структуре сетей, Вами движет юношеский максимализм, Вам хочется то, что запрещают, а вот зачем - Вы еще и сами не знаете...

Топология "звезда" магистрали 1 гиг, 200 абонентов в сегменте.

1 больной юзер с ловесаном укладывает 50 - 100 машин (абоненты, как правило, антивирь не юзают - ибо "тармазит")

Последствия: от 50 до 100 абонентов от недели до 3х месяцев выпадают из числа потребителей - ибо не на чем.

Вот во избежание таких неприятных инцидентов закрыты 137 - 139, 455, 8167, 7550 и 25 наружу (релай онли)

Лично мне - так спокойней живется, и юзеры это ЦЕНЯТ

[sfstudio]

Э нет батенька, на порту 6666 или 1234 майкрасотовская дырень под названием нетбиос не работает, она работает на портах 137 - 139. На порту 445 работает не менее огромная дырень - служба "server", и именно эти порты во встроенном брендмауере открыты.

Вы меня через слово читаете? Перечитайте 2жды что я написал. Перефразирую если не ясно выразился, вашими же словами: "Сегодня дырень на одном порту, завтра БГ и компания выпустят (выпустили?) новыю первделку с дыренью на другом порту, после завтра на 3м и т.д."... Это у них тоже самое как с хвалёной совместимостью между версиями.

 

Из всего Вами сказанного я понял, что Вы ни чего на данный момент не знаете об организации и структуре сетей, Вами движет юношеский максимализм, Вам хочется то, что запрещают, а вот зачем - Вы еще и сами не знаете...

Бррр. Опять плохо читали, повторюсь ещё раз. Прежде чем ставить диагнозы читайте внимательно что пишут. И не будем меряться пиписьками. Мне никто и не что запретить в своей же сети не может, т.к. я сам как владелец так и админ своей сети (и не только). Максимализмом не страдаю, в сетевых технологиях темболее. Прекрасно знаком с проблемами и вижу варианты их решения. Но рубить под корень что-то в своей сети не намерян. Административными методами это решается в разы проще. Более того чем не устроил вариант ограничения именно широковещательных запросов если они вас так уж бедных достали? =)

 

Топология "звезда" магистрали 1 гиг, 200 абонентов в сегменте.

1 больной юзер с ловесаном укладывает 50 - 100 машин (абоненты, как правило, антивирь не юзают - ибо "тармазит")

Последствия: от 50 до 100 абонентов от недели до 3х месяцев выпадают из числа потребителей - ибо не на чем.

Вот во избежание таких неприятных инцидентов закрыты 137 - 139, 455, 8167, 7550 и 25 наружу (релай онли)

Лично мне - так спокойней живется, и юзеры это ЦЕНЯТ

Наружу это куда? За пределы сети? Свича? То что юзвери не юзают антивири эт, но юзают винду эт болезнь. Но опятьже у вас L3 оборудование если вы на нём фильтруете нужные порты по юзерам или как? Опятьже сроки от недели до 3х месяцев эт сильно надуманные сроки ибо отрубить юзера на управляемом оборудовании нет никаких проблем. Впрочем как и настроить мониторинг всего этого безобразия.

 

Как-то у вас порты размножаться стали =) К чему бы это, может вернёмся к теме о сетевом окружении? Или будем составлять таблицу потенциально опасных портов на которых работают всевозможные вирусы?

 

Вы ушли от темы и перешли на личности, что скажем мягко не очень приятно. Пока с вашей стороны есть только одно веское обоснование закрытости портов: "Лично мне - так спокойней живется, и юзеры это ЦЕНЯТ". Больше толком я ничего не услышал, а вы меня услышать не желаете ибо читаете через строку.

 

Скажем так, чтобы хоть как-то вернуться к теме разговора: "В нормально спроектированной сети с настроенными WINS серверами и репликацией записей работа сетевого окружения не сказывается на работе сети, а также по скорости не намного уступает FTP даже при числе абонентов около 1тыс.".

 

Если говорить о вирусах и прочих околовредительских технологиях и методах борьбы, думаю следует создать отдельную тему. В данной теме в первом посте я невижу вопроса насчёт вирусов и прочего?

 

Более того решение с ограничением числа широковещательных запросов по порту будет работать более чем корректно, как и административные меры при выявлении подлеца.

 

P.S. Каждый решает такие проблемы по своему, но юзвери очень сильно орут что их любимое сетевое окружение не работает, мне проще предоставить им возможность безпроблемно работать с сетевым окружением. Темболее технически это осуществимо однозначно. Что касается антивирусов и фаерволов, то у мну есть пункт в договоре, на тему отказа в предоставлении услуг при выявлении работы вредоносного программного обеспечения нарушающего нормальную работу сети. Ну и snort вам в руки чтобы на досуге было чем поразвлекаться.

[jab]

Скажем так, чтобы хоть как-то вернуться к теме разговора: "В нормально спроектированной сети с настроенными WINS серверами и репликацией записей работа сетевого окружения не сказывается на работе сети, а также по скорости не намного уступает FTP даже при числе абонентов около 1тыс.".

:-))

[itl2044]

25 порт закрыт наружу (за шлюз)

Все остальные порты закрыты на акцессе.

До закрытия портов были случаи выпадания целых домов.

8167, 7550 - это как раз и есть самый злой броадкаст (вупер и борг чаты)

[sfstudio]

25 порт закрыт наружу (за шлюз)

Все остальные порты закрыты на акцессе.

До закрытия портов были случаи выпадания целых домов.

8167, 7550 - это как раз и есть самый злой броадкаст (вупер и борг чаты)

Самые злостные флудильщики это говномыльницы на IC+ которые от любого пыха кладут сеть домами =)

Вайпресы и прочая ерунда в сети с нормальным роутингом сама по себе не несёт проблем ибо 255 адресов на дом достаточно, а за роутер никакие бкасты не пролезут, кто мешает давать отдельную подсеть типа 10.0.0\24 на дом? Или вообще нарезать подсети по числу квартир\2 ибо один чёрт больше 50 абонентов в многокваритирном доме вряти подключите. Разроутить это всё проблем особых не составить а проблемы с bcast решит однозначно. Ессно это более затратно, но вполне выполнимо. Да и народ при таком раскладе очень часто сам отказывается от выпрысов и прочей мути в сторону IRC Jabber и прочего. Локализовать проблему с некорректным поведением себя одной подсети много проще. В общем вариантов много, но если нушно то организовать работу сетевого окружения во благо юзверям вполне реально. Я сам неперевариваю M$ технологии, но деваться некуда, куча юзвереей верещит так, что проще сделать чем объяснять всем и каждому.

[itl2044]

Если я буду резать броадкаст, в контре не будет видно сервера в поиске, а если вдруг такое произойдет - сеть моно сворачивать.

Вот такая специфика сетей в сельской местности.

[sfstudio]

Если я буду резать броадкаст, в контре не будет видно сервера в поиске, а если вдруг такое произойдет - сеть моно сворачивать.

Вот такая специфика сетей в сельской местности.

Сочувству, сказать тут больше нечего. Мне показалось проще поднять CS сервер, дать ему гордое имя в DNS и сказать народ, ходите сюда. А вася пупким там типа админ игрового сервера, чёт всё привязывает да прикручивает к этому бедному CS то карты то ещё какую муйню. Можно было конечно поизвращаться на роутере с mroute и его аналогами, но желания не возникло. В остальном тишь да гладь.

[itl2044]

Центральный CS сервер со статами конечно поднят, но только плевали они на него, им нужно, чтоб именно на серваках, поднятых юзерами все смогли играть через поиск.

[Kirya]

И статистику каждый ведет, читеров гоняет ?

Изменено 11 апреля, 2007 пользователем Kirya

[mikevlz]

а это уже не важно. Главное - оттестить самый новый чит или показать ширину межпальцевого расстояния в духе "у меня карты круче, а централ отсасывает на старье"

[itl2044]

В самую точку :)

[P-IV]

Пару слов в защиту сетевого окружения. Пример, так сказать. :-)

В городской больнице прекрасно себе существует сеть из более чем 500 компьютеров (большей частью это допотопные писюки с вин98се) с рабочим сетевым окружением. Работа сего монстра просто изумительна! Все открывается на раз! Никаких задержек и прочих радостей жизни. Скажу сразу, сервак не видел, даже не знаю на чем он. С админом не ручкался и пиво не пил ;) При следующем посещении попробую сделать ipconfig /all

[itl2044]

Честно сказать, я трудно себе предстовляю сеть оператора в больнице.....

Там наверно и сервера нет.

[P-IV]

Конечно, это не оператор. Это местное :-) Но низачто не поверю, что сервера там нет! Я просто привет пример, что сетевое окружение нормально живет на большом числе компьютеров.

[itl2044]

Ну да, в таком балагане как раз все должно работать "как часы" :)

[mikevlz]

где-то я читал про сеть на 40к хостов под win32 с win32 серверами, которую обслуживало 4 тела.

Но корпорат, гда можно доменной политикой все раб станции прикрутить, и операторская сеть - сильно разные вещи.

[Kerogaz]

Более 3000 машин онлайн, маска /16, 1 wins, всё шуршит.

Москва, север.

[_IX_]

ужос... выложите тцпдамп за минуту? =)

[misha mike]

Много тут всего сказали, тема поостыла, но хотелось бы вставить свою копейку. У виндовых шар окромя упомянутых тут недостатков существует одно гигантское преимущество -- прозрачность на уровне файловых операций (под WIN по крайней мере).

 

Зачем она нужна? Для фильмов в первую очередь. Если юзер может смотреть фильм прямо с сервера, то от создаст нагрузку в полтора мегабита/сек на протяжении полутора часов. А если ему фильм сначала выкачать надо, то он на протяжении нескольких минут создаст нагрузку 10/100 мегабит/сек. Какой вариант выглядит предпочтительнее?

 

А кроме того, половина фильмов на развалах часто вообще недостойна того чтобы их смотреть (по качеству картинки или по содержанию) -- в итоге скачанный файл сразу идет в корзину, и начинается новая закачка. И так несколько раз. А если бы человек мог смотреть его in place, то неоправданного трафика и нагрузки на оборудование он не создал бы.

 

Хотя, если внутрисетевой трафик платный, то конечно. Можно еще и своп-файлы выкладывать на серверах с именами нашумевших лент, во движуха начнется ;)

[martin74]

200 клиентов ftp - нагрузка на сервер и сеть небольшие...

200 клиентов samba - сервер лежит, шелл не шевелится, телефон краснеет...

ессно железо одинаково...

[sinoptik]

у нас в пионер-сетке этот вопрос немного в другой плоскости - юзера начинают подключаться к альтернативным интернет каналам и раздавать трафик через сеть - пытался решить проблему, набрав мыльниц компекс 2216 - на большее денег не хватило, изолировал порты.. вскоре всё виснуть начало - видимо на гирлянды свичи не рассчитаны..

[sfstudio]

200 клиентов ftp - нагрузка на сервер и сеть небольшие...

200 клиентов samba - сервер лежит, шелл не шевелится, телефон краснеет...

ессно железо одинаково...

откройте для себя:

1) сборку из исходников и соберите наконец самбу по человечески без всяой бяки типа acl которые на общей свалке не нужны по определению.

2) откройте для себя такие опции самбы как TCP_NODELAY SO_RCVBUF SO_SNDBUF

3) почитайте наконец о nice и ionice

4) почитайте о планировщиках CPU

5) неплохо освоить hdparm

6) стараться не юзать где попало riser (угадал?)

 

и т.д. и т.п.

 

Висящий из-за самбы шел это сильно, через какую задницу вы конфигурили сервер?

Неплохо бы посмотреть что на самом деле жрёт ресурсы и где именно узкое место.

 

200 клиентов говорите? Одновременно? 100мБит/200клиентов=0,5мБит на клиента в лучшем случае, что маловероятно безотносительно самба там или ФТП.

 

Так что фигню сморозили.