Ugnich Anton Опубликовано 1 февраля, 2006 · Жалоба Ugnich Anton, Чем нагружать? Расскажите. Чтобы получить объективные результаты.Нужна программа, которая сможет полностью забить гигабитный канал мелкими пакетами. Mikrotik не подходит. На 100 мбитах ещё ничего, а на гигабите пишет фигню всякую, даже не рядышком. Одной программы мало будет. Надо флудить с нескольких компьютеров, на каждом из которых канал не уже, чем у сервера. Если на сервере 1Гбит, то и на компьютерах должны быть 1Гбит. В качестве источника флуда - вирусы, всякие сканнеры, DoS-еры. Главное, чтобы думало меньше, а отсылало больше. З.Ы. Очень интересно было бы посмотреть, если в момент какой-нить DoS-атаки на ваш роутер, вы бы пытались что-то сделать фаерволом, а ваш виндовз пытался хоть как-то обрабатывать пакеты и в муках рожать очередное окошко с настройками фаервола. :) З.Ы.Ы. Ничего плохого в ваш адрес! ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 1 февраля, 2006 · Жалоба З.Ы. Очень интересно было бы посмотреть, если в момент какой-нить DoS-атаки на ваш роутер, вы бы пытались что-то сделать фаерволом, а ваш виндовз пытался хоть как-то обрабатывать пакеты и в муках рожать очередное окошко с настройками фаервола. :)З.Ы.Ы. Ничего плохого в ваш адрес! ;) Ну если учесть что в 2003 - немного покоцанный ip-стек от freebsd, и ipfw есть для желающих, то ничего страшного. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 1 февраля, 2006 · Жалоба А вот если на него каким-то rdesktop-ом ходить и активно там таскать окошки - то тогда да. :-) Тогда оно колом встает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dmitriy_Kolesnikov Опубликовано 1 февраля, 2006 · Жалоба А вот если на него каким-то rdesktop-ом ходить и активно там таскать окошки - то тогда да. :-) Тогда оно колом встает. А это смотря какие приоритеты у процессов... Если у RRAS будет приоритет ниже среднего, а у службы RDP - выше среднего, то окошки будут весьма резво таскаться... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 1 февраля, 2006 · Жалоба А это смотря какие приоритеты у процессов... Если у RRAS будет приоритет ниже среднего, а у службы RDP - выше среднего, то окошки будут весьма резво таскаться... Ага, окошки за счет форвардинга. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dmitriy_Kolesnikov Опубликовано 1 февраля, 2006 · Жалоба Почему бы и нет. Я RDP редко пользуюсь, но когда я на сервере, конфигурирую его через удалённый рабочий стол, производительность маршрутизации можно временно снизить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ugnich Anton Опубликовано 1 февраля, 2006 · Жалоба Почему бы и нет. Я RDP редко пользуюсь, но когда я на сервере, конфигурирую его через удалённый рабочий стол, производительность маршрутизации можно временно снизить. Позвонить флудерам, попросить перерыв сделать? :) Завязывайте с этими виндовсами... Как бы хороша ни была их техническая реализация, они идеологически не подходят для нужд провайдинга. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dmitriy_Kolesnikov Опубликовано 2 февраля, 2006 · Жалоба Идеологически виндовсы ничем не хуже юниксов, просто имеют дополнительные возможности, которые в ДС мало используются. А у нас, например, единая аутентификация на базе Active Directory (доступ в инет, доступ на файл-серверы, чат Jabber, почтовый сервер...) Без крайнего гимора то же на юниксе не настроишь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 2 февраля, 2006 · Жалоба Идеологически виндовсы ничем не хуже юниксов, просто имеют дополнительные возможности, которые в ДС мало используются. А у нас, например, единая аутентификация на базе Active Directory (доступ в инет, доступ на файл-серверы, чат Jabber, почтовый сервер...) Без крайнего гимора то же на юниксе не настроишь. :)))))))))))))))))))))) На юниксе все это без гимора настраивается лет десять как. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 2 февраля, 2006 · Жалоба А вот держать 10-20 тысяч аккаунтов на винде - это да, это весело. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dmitriy_Kolesnikov Опубликовано 2 февраля, 2006 · Жалоба jab, Дыразве? Единая аутентификация? На основе OpenLDAP, наверное? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Disease Опубликовано 2 февраля, 2006 · Жалоба Ugnich Anton, Чем нагружать? Расскажите. Чтобы получить объективные результаты.Нужна программа, которая сможет полностью забить гигабитный канал мелкими пакетами. Mikrotik не подходит. На 100 мбитах ещё ничего, а на гигабите пишет фигню всякую, даже не рядышком. на nix: ping -f [ip] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 2 февраля, 2006 · Жалоба jab, Дыразве? Единая аутентификация? На основе OpenLDAP, наверное? В том числе и LDAP. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 2 февраля, 2006 · Жалоба Про керберос видать виндузятники ничего не слышали. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 2 февраля, 2006 · Жалоба Вот только одна загвоздка, при единой аутентификации скомпроментировав аккаунт злоумышленник получает доступ ко _ВСЕМ_ данным пользователя. :-) А при дискретной аутентификации - только к одному сервису. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShumBor Опубликовано 2 февраля, 2006 · Жалоба ShumBor, Чтобы увязать, рекомендую использовать схему с NBMA-маршрутизаторами. Работает отлично. В режиме же Broadcast определяет соседей не всегда. Да вот проблема в том что квагга у нас на мультикасте пашет и переписывать некогда/работает - не трож!/. Точнее сказал напарник: "Я ради этого поделия переписывать конфиги не буду. Пусткай ставять кошку либо нормальную ось." Я конечно поставил себе винду в виртуалье поковыряться, но я лучше линух/фрю воткну чем буду иметь гимор с виндовым rasом. Просто он уже надоел своими глюками. То интерфейс сам по себе пропадет вместе с маршрутами, то еще что-то. В 2003 так и не сделали ната по адресам :( К тому же в *nix можно из консоли сделать, что очень хорошо при ssh мидлете на телефоне. А вот как RDP поднять на сотике, да еще при этом трафика сколько в трубу улетит.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ugnich Anton Опубликовано 2 февраля, 2006 · Жалоба Идеологически виндовсы ничем не хуже юниксов, просто имеют дополнительные возможности, которые в ДС мало используются. Приведите список востребованых дополнительных возможностей. Идеология у них неправильная, потому что виндовс не настраивается. И не надо мне про окошки с настройками рассказывать и ключи реестра. Возможности по настройке должны ограничиваться только уровнем ваших знаний, а не желанием разработчиков. Это не домашний компьютер, где должно быть все понятно. Задача в нормальных сетях - дать максимальную производительность и максимальный uptime. Тут люди стараются лишний процент по производительности из железа выжать, а вы на роутере "Рабочий стол" отрисовываете. А у нас, например, единая аутентификация на базе Active Directory (доступ в инет, доступ на файл-серверы, чат Jabber, почтовый сервер...) Без крайнего гимора то же на юниксе не настроишь. Доступ в инет через AD ?! "Без крайнего гимора" полазить в инете нормальным юзерам у вас не получится. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dmitriy_Kolesnikov Опубликовано 3 февраля, 2006 · Жалоба jab, А при дискретной аутентификации - только к одному сервису. Давайте сравнивать плюсы и минусы единой аутентификации. Про минусы вы уже сказали. Контраргумент - протокол Kerberos хорошо защищен, поэтому "скомпрометировать" аккаунт можно лишь придя домой к жертве (знакомому или другу) и посмотрев пароли на бумажке под стеклом. Но таким же образом можно узнать и полный набор дискретных паролей. Утюгом погладишь его - он ещё и не такое расскажет... Плюсы - удобство, причем как для пользователя, так и для администратора, и при увеличении количества пользователей и сервисов, к которым необходимо обеспечить доступ, удобство возрастает в геометрической прогрессии. Следствие - масштабируемость. ShumBor, квагга у нас на мультикасте пашет Пожалуйста, прокомментируйте последнюю фразу. Что такое "квагга"? поставил себе винду в виртуалье поковыряться, но я лучше линух/фрю воткну чем буду иметь гимор с виндовым rasом. Просто он уже надоел своими глюками. А вы не задумывались, почему у вас она глючит, а у других нет? Может быть, не в системе дело, а в чем-то ещё? Например, в том, кто её администрирует? К тому же в *nix можно из консоли сделать, что очень хорошо при ssh мидлете на телефоне. А вот как RDP поднять на сотике, да еще при этом трафика сколько в трубу улетит....В Windows из командной строки можно делать то же, что и через GUI. За подробностями отсылаю вас к книге Д. Харалсона "Microsoft Windows Server 2003: администрирование из командной строки". GUI сейчас является полезным дополнением к командной строке, администратор Windows может выбирать ту среду конфигурирования сервера, которая ему удобнее. В отличие от администратора других ОС. Ugnich Anton, Приведите список востребованых дополнительных возможностей Буду говорить только за себя: 1. Единая аутентификация на основе Active Directory 2. Гибкое разграничение прав доступа к файловым ресурсам на файл-сервере (за счет ACL файловой системы NTFS) 3. DFS 4. Сервер Exchange позволяет нашим сотрудникам обмениваться заданиями, планировать события, встречи, быть в курсе дел друг друга. 5. Служба Computer Browser на всех серверах позволяет всем компьютерам многосегментной сети (несколько десятков сегментов) корректно отображать сетевое окружение. 6. Служба DHCP, зарегистрированная в AD, позволяет для некоторых сегментов создавать сразу несколько DHCP-серверов и не бояться проблем, связанных с повторным назначением адресов, выданных другим сервером. Идеология у них неправильная, потому что виндовс не настраивается Пожалуйста, приведите полный список тех модулей ОС, которые настраиваются в Unix, но не настраиваются в Windows. Доступ в инет через AD ?! "Без крайнего гимора" полазить в инете нормальным юзерам у вас не получится Прошу вас не разбрасываться словами и не говорить того, о чем не имеете представления. Про Unix я вас послушаю, а про Windows учить меня не надо. Не верите - добро пожаловать, приезжайте к нам в Воронеж и посмотрите. Доступ в интернет реализован на базе отечественной биллинговой системы Traffic Inspector (www.smart-soft.ru), используется доменная аутентификация. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 3 февраля, 2006 · Жалоба поэтому "скомпрометировать" аккаунт можно лишь придя домой к жертве (знакомому или другу) и посмотрев пароли на бумажке под стеклом. Но таким же образом можно узнать и полный набор дискретных паролей. А так же вирусом, трояном, rdesktopом, и т.п. :-) При разных паролях на сервисы - придется ждать пока юзер введет их с клавиатуры. Утюгом погладишь его - он ещё и не такое расскажет... Плюсы - удобство, причем как для пользователя, так и для администратора, и при увеличении количества пользователей и сервисов, к которым необходимо обеспечить доступ, удобство возрастает в геометрической прогрессии. Следствие - масштабируемость. :-) Это намек, что пора меряться количеством серверов/роутеров/юзеров на одного админа ? Я подозреваю что винда у вас официально куплена с необходимым количеством лицензий ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 3 февраля, 2006 · Жалоба Доступ в интернет реализован на базе отечественной биллинговой системы Traffic Inspector (www.smart-soft.ru), используется доменная аутентификация. Это тот биллинг который Blue Screen of Death выдает ? :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 3 февраля, 2006 · Жалоба В отличие от администратора других ОС. А это ничего, что я под X-Window на удаленных серверах сижу больше десяти лет ? :-) На винде я так понимаю удаленное администрирование началось с PC Anywhere ? :-) Есть что сравнивать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShumBor Опубликовано 3 февраля, 2006 · Жалоба ShumBor, квагга у нас на мультикасте пашет Пожалуйста, прокомментируйте последнюю фразу. Что такое "квагга"? Это демон отвечающий за протоколы маршрутизации. поставил себе винду в виртуалье поковыряться, но я лучше линух/фрю воткну чем буду иметь гимор с виндовым rasом. Просто он уже надоел своими глюками.А вы не задумывались, почему у вас она глючит, а у других нет? Может быть, не в системе дело, а в чем-то ещё? Например, в том, кто её администрирует? Поверь я винду админю со времен 3.11. И У меня есть машины где она работает нормально. Но когда не стого не ссего в ras пропадает интерфес после перезагрузки когда он фактически есть в в системе и ras говорит что новый интерфейсов нет. Это чтол-то не так. и вылечилось это только полной перенастройкой ras. К тому же в *nix можно из консоли сделать, что очень хорошо при ssh мидлете на телефоне. А вот как RDP поднять на сотике, да еще при этом трафика сколько в трубу улетит....В Windows из командной строки можно делать то же, что и через GUI. За подробностями отсылаю вас к книге Д. Харалсона "Microsoft Windows Server 2003: администрирование из командной строки". GUI сейчас является полезным дополнением к командной строке, администратор Windows может выбирать ту среду конфигурирования сервера, которая ему удобнее. В отличие от администратора других ОС. ДААААА. Блин. А я могу запустить сервак без видеокарты, с консолью на ком порте? 80% серверов у меня так пашут. Мне так удобно. К тому же винда так и не умеет сколько не смотрел нат по ip а не по интерфесам, роутинг по источнику (это мне необходимый минимум). К тому же чтобы понять в коносле виндовой что к чему голову сломать можно. Консольно посмотреть списко процессов, загрузку можно? Не прибегая к сторониим приложениям? К тому же меня не устраивает размер системы. У меня образ роутера занимает 32-64 метра (в зависимости от комплектации машины и служебных программ). Винда на этот объем встанет? Нет? Ставить винт в роутер я не хочу, лишняя причина отказа. Я не спорю в винде админить удобно. Сам админил небольшой диалап узел в конторе(2 rasa по 4 и 3 модема соответственно) . Но блин когда приспичило сделать 4 линии исключительно ночными, то встал вопрос как это сгородить на маздае: либо гасить ras, что нереально ибо линии были 2 на одной и 1 на другом поменять никак :(, разные концы офисного здания, телефонные линии начальство отказалось передвигать, можно было только 1 линию прокинуть туде где уже есть 2 ночные. Надыбал четверку и стал городить на ней линух. Правда это была моя первая настройка линуха и я думал что вообще ничего не заработает... В результате все заработало как надо. Пришлось почитать мануалов немного. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 3 февраля, 2006 · Жалоба У меня образ роутера занимает 32-64 метра (в зависимости от комплектации машины и служебных программ). Винда на этот объем встанет? Нет? WinCE встанет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShumBor Опубликовано 3 февраля, 2006 · Жалоба У меня образ роутера занимает 32-64 метра (в зависимости от комплектации машины и служебных программ). Винда на этот объем встанет? Нет? WinCE встанет. Ну это не серверный продукт :) И я недумаю что там можно рулить из консоли будет :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 3 февраля, 2006 · Жалоба WinCE встанет.Ну это не серверный продукт :) И я недумаю что там можно рулить из консоли будет :) Ну не с консоли - так с телефона. :-) Везде где есть например голубозуб - уже серверная платформа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...