[Andrew40]

И я уж не знаю как там сделано в англии, но знаю что у них (да и не только у них к слову) "проблемы негров шерифа не ипут" - есть закон, выполняй. Не выполняешь - не работаешь. В англии по крайней мере так, а у нас да - строгость рассейских законов всегда компенсировалось необязательностью их исполнения.

Вы уж определитесь - закон или не ипут. А то странно както.

Ну и в общем подобное мы в этой стране уже проходили - сначала принимаются законы, по которым виновны все, а потом выборочно их применяем. А будешь возмущаться - объявим врагом народа пособником террористов, нарушителем прав чела....

[L-ZiX]

Нету у меня цицко - зачем мне про нее читать?

Значит ты к ISP никакого отношения не имел и не имеешь и соотвественно споришь о том, о чем представления не имеешь.

Цискозависимый мышковод detected.

 

Да, кстати...

и соотвественно споришь о том

Пишется с буквой "т" - "соответственно".

Если уж на то пошло (=

+1 ;)

[Irsi]

Andrew40

Вы уж определитесь - закон или не ипут. А то странно както.

Ничего странного - есть занон, выполняй. А твои расходы и другие проблемы, которые связаны с выполнением буквы закона, никого не ипут.

Ну и в общем подобное мы в этой стране уже проходили - сначала принимаются законы, по которым виновны все, а потом выборочно их применяем.

Собственно речь идет об англии и выполнение английских законов. Ибо речь идет, напоминаю - об великом английском фаерволе. Особо смешно что некоторые сумневаются в технической возможности его существования. Ничего что китайский трафик поболее будет чем англии? И в его существовании никто не сумневается...

Aliech

Цискозависимый мышковод detected.

Красноглазый неучь детектед.

 

[1GE]

Ну и в общем подобное мы в этой стране уже проходили - сначала принимаются законы, по которым виновны все, а потом выборочно их применяем.

Собственно речь идет об англии и выполнение английских законов. Ибо речь идет, напоминаю - об великом английском фаерволе. Особо смешно что некоторые сумневаются в технической возможности его существования. Ничего что китайский трафик поболее будет чем англии? И в его существовании никто не сумневается...

Это не так.

Китайский трафик намного меньше проходящего через Лондон.

Тут дело в том, что Лондон с точки зрения Сети - транзитный город и через него идёт очень много канадов в Штаты с одной стороны и внутрь европы и в Россию с другой.

Это можно легко увидеть сравнив графики IX-ов.

График HK-IX - в пике 90Gbit

http://www.hkix.net/hkix/stat/aggt/hkix-aggregate.html

График Linx - в пике 470Gbit

https://www.linx.net/pubtools/trafficstats.html

[Irsi]

1GE

Тут дело в том, что Лондон с точки зрения Сети - транзитный город и через него идёт очень много канадов в Штаты с одной стороны и внутрь европы и в Россию с другой.

А ну в этом смысле... А вы понимаете что транзитный трафик правительство Англии не колышит и никто и не пытается его контролировать? Задача стоит иначе, а именно "обрезать нашим гражданам доступ к неугодным нам ресурсам". То есть интересует исключительно трафик от конечных пользователей наружу. И я никогда не поверю что 50 милионов англичан сгенерируют трафика больше чем более миллиарда китайцев.

 

P.S. На счет надежды на переводчики гугля и т.д. - http://government.zdnet.com/?p=5547. Сами думайте - если подобные компании так шустро и радостно ложаться под власти Ирака, то с какой скоростью они лягут под власти "демократических стран"? Вообщем-то они под ними давно лежат имхо, только не афишируют сей факт.

[1GE]

1GE

Тут дело в том, что Лондон с точки зрения Сети - транзитный город и через него идёт очень много канадов в Штаты с одной стороны и внутрь европы и в Россию с другой.

А ну в этом смысле... А вы понимаете что транзитный трафик правительство Англии не колышит и никто и не пытается его контролировать? Задача стоит иначе, а именно "обрезать нашим гражданам доступ к неугодным нам ресурсам". То есть интересует исключительно трафик от конечных пользователей наружу. И я никогда не поверю что 50 милионов англичан сгенерируют трафика больше чем более миллиарда китайцев.

Дело в том, что уже нет чистого английского трафика.

Трафик в Лондоне в основном международный и внутриевропейский.

А население всей Европы сейчас составляет 830,4 млн. человек с гораздо большим проникновением интернета в массы, чем в Китае.

http://ru.wikipedia.org/wiki/%D0%9D%D0%B0%...%BE%D0%BF%D1%8B

Глобализация.

Привыкайте :)

[Irsi]

1GE

Дело в том, что уже нет чистого английского трафика.

Я не понимаю что вы мне пытаетесь доказать - что великого английского фаервола нет, не смотря на то что есть факты явно свидетельствующие об обратном? Например тот факт из википедии, который я привел выша, когда доступ к ее страничке был заблокирован для жителей англии.

Еще раз - чисто английский трафик есть, только вот вы просто не там его ищете. Еще раз - надо искать не на крупнейших магистральных узлах, а на техплощадках ISP, которые обслуживают конечных пользователей. Там же он и контролируется к слову так.

 

Ну пример на родной рассейской почве - положим нашему правительству захотелось ввести фильтрацию, как они будут действовать по вашему? Попытаются воткнуть фаерволы на зарубежку? Да зачем? Сколько у нас городов-миллиоников? Около десятка. Сколько в каждом городе ISP& На тех что стоит обращать внимание - не более 5. Ну возмем даже города с населением более полумилиона - их наберется с милионниками десятка три, то есть надо контролировать (прижать к ногтю) 150-200 юрлиц, чтоб заблокировать неугодные сайты для более чем 90% населения. Вы думаете это так сложно и долго? Вы серьезно думаете что это сложно и долго? :) А начать стоит всего с двух городов - мск и спб, да...

К слову - в англии число этих юрлиц еще меньше, да и у нас оно стремительно сокращается к слову так. Сейчас вводить такой контроль еще сложно (хоть и вполне реально), а лет через 10 это будет так же просто как и в англии.

[Aliech]

Цискозависимый мышковод detected.

Красноглазый неучь детектед.

Ну надо сказать что сплю я достаточно, ибо ярый пакетчик. Так что я пью чай, пока система обновляется (=

А на работе ведь никто не мешает дособрать мир завтра/на следующей неделе?

 

Зато с жиру не предлагаю по фрагментам адреса резать доступ. Бреду меньше, пользы больше. Если Вам заняться с цисками, кроме как такими извратами, нечем - отдайте бедным. Тут же встречаются люди с неуправляемыми сетями. Или на hub.ru запостите предложение типа "отдам за просто так в хорошие руки", увидите как местные будут друг друга в угаре дележа убивать.

Мне лично не надо. Ни на доступ, ни на агрегацию. Руки и голова позволяют обойтись пока что ежами и софт роутерами. А понадобиться - закупим.

[Voicemaster]

[...]

Бегом читать про Cisco zbfw! Какие к дъяволу IP - фильтрация осуществляет именно по URL! Например так:

[...]

Irsi, о твоём криворучии уже легенды ходят - (с) /me

 

Бегом марш читать про Cisco SCE !

 

;-)

 

.

Изменено 9 октября, 2009 пользователем Voicemaster

[Irsi]

Voicemaster

Послан, даже сообщение целиком прочитать не можешь. При чем тут Cisco SCE? Хочешь предложить его как решение для эээ... национального фаервола? Ну блин, я и не предлогал для этого использовать zbfw - он был приведен только как пример технологии, самой простой и дешевой. Но тыж внимательно читать не умеешь, да?

Зато с жиру не предлагаю по фрагментам адреса резать доступ. Бреду меньше, пользы больше. Если Вам заняться с цисками, кроме как такими извратами, нечем - отдайте бедным.

Я уже понял что ты нихрена не понял. Это - маленький кусок из корпоративного фаервола. Точнее - из той части конфига, что сохранилась на моей домашней кошке от тестирования оного. Свои задачи он решил, свои две штуки зелени за 4 дня работы я получил. Вообщем как в том анекдоте - "дурак, не дурак я сотку в день с вас умных имею".

Руки и голова позволяют обойтись пока что ежами и софт роутерами.

Использование софт-роутеров - верный признак отсуствия рук и головы.

[Irsi]

Aliech

Или на hub.ru

Насмешил. У 95% посетителей данного ресурса денег не хватит чтоб заплатить за мои услуги.

[Aliech]

Использование софт-роутеров - верный признак отсуствия рук и головы.

Попытка засунуть везде железки, потребность в которых отсутствует на данный момент - ребячество.

Или признак человека из фирмы-интегратора. Да ещё и с циской. Взгрей лохов-клиентов на скорость. Вот я тут замечал, что сам ios спецов именно отупляет. Ну как же. В 95% случаев логика действий:

обновить ios => залить свой файлик конфигурации => подкастомайзить чуток.

 

Вы можете говорить про руки? Про голову? А что Вы скажите, например, про jab'a или ядрёнкота? Не думаю, что они от отсутствия разума занимаются запилами никсов под роутинг. Впрочем моё мнение, что linux и bsd и так из коробки обалденно всё тянут. Так что я о циске подумаю не скоро.

 

Да, кстати... Если уж на то пошло. Слышь Ты... неприятно, правда? Мы ведь с Вами даже не знакомы, а Вы мне тут "тыкаете". Может не стоит, а? Некультурно как-то...

[Irsi]

Вот я тут замечал, что сам ios спецов именно отупляет. Ну как же. В 95% случаев логика действий:

обновить ios => залить свой файлик конфигурации => подкастомайзить чуток. Вот я тут замечал, что сам ios спецов именно отупляет. Ну как же. В 95% случаев логика действий:

обновить ios => залить свой файлик конфигурации => подкастомайзить чуток.

Долго смеялся. То есть - заниматься именно сетью, не отвлекаясь на второстепенные мелочи это отупление? Ну-ну. Нет конечно надо сначала хорошо по...ся, подбирая нормальное железо, выбирая из десятка кривых софтин, так которая будет нормально работать, изучать ее мягко говоря малопонятные интерфейс... Это очень развивает моск? Ага щаз - это-то какраз и отупляет. Ибо человеку начинается казаться что он много знает - какже столько разного узнал. Но цена этих знаний - нулевая.

Циска отупляет говорите? Ты знаешь что происходит, когда ты пытаешся настроить то, что до этого не настраивал, например - незнакомый протокол. Ты много думаешь, читаешь спеки протокола и в результате - десяток-другой строчек добавлено в конфиг. Но чтоб добавить эти строчки - тебе приходится достаточно подробно изучить протокол/технологию и т.д., и осознать что ты делаешь. В юниксах это не требуется, точнее требуется в гораздо меньшей степени.

Обновить ios? Да нет - в первую очередь бежать обновлять ПО это логика линаксоидов, ибо там каждый день появляются костыли. В ios же все продумано изначально и в 96% для решении задачи ничего обновлять не надо.

Впрочем моё мнение, что linux и bsd и так из коробки обалденно всё тянут. Так что я о циске подумаю не скоро.

Это говорит только об убогости твоих потребностей, проистекающих из общей убогости знаний о сетях, такой характерной для динаксоидов. Ты тоже веришь что мах. размер ТСР-пакета равен 1500 байт как мне заявлял один из кернел-хакеров? :)

Вообще данный спор - весьма характерен. Красноглазые линаксоиды уверенны что L7-фильтрация дело очень сложное и ресурсоемкое... А цисководы ее спокойно используют и знают что все не так уж и сложно, да и ресурсов жрет умеренно. А все дело в том что в линаксе чуть ли не единственный инструмент для l7-фильтрации - монстрообразный сквид, который предназначен для всего сразу, в том числе и для l7-фильтрации. И это все сразу жрет ресурсы, отчего линаксоидом кажется что это l7-фильтрация адски ресурсоемка. Нет ребята - это просто ваш сквид поганый инструмент для нее... да и не только для нее - поганый инструмент.

Я намерянно обхожу вопрос производительности писюка - порядка 100 kpps для него фактически предел и стоить такой писюк будет 2-3 штуки зелени (в стоечном исполнении разумеется), при том что кошка аналогичной производительности обойдется всего в штуку-полторы, что в два раза дешевле. Про более высокие производительности речи не идет - для писюка это просто недостижимо в данный момент. Надежность - cisco по сравнению с писюком вне конкуренции, функциональность и удобство настройки и управления - тоже cisco делает писюк как щенка. Посему использующие софт-роутеры - на мой взгляд просто ламеры и обсуждать это даже не смешно.

Да, кстати... Если уж на то пошло. Слышь Ты... неприятно, правда? Мы ведь с Вами даже не знакомы, а Вы мне тут "тыкаете". Может не стоит, а? Некультурно как-то...

Не нравится как я с тобой разговариваю? Используй игнор-лист.

[vIv]

Ой-вэй... оно нам таки будет петь за IOS!!! 8-)

При его-то уровне практики, не зная про фичесеты и их "некоторую" неоднозначность.

АлексБТ: как ты говоришь, надо называть? Не телефонист, а как? "Лицо непопулярной сексуальной ориентации в худшем смысле этого слова"?

 

Чтобы было чуток понятно, почему я стебусь: я Op (оператор) канала #CISCO@RusNet , куда уважаемый Irsi периодически заглядывает, чтобы позадавать вопросы типа "как удалить старый IOS, новый не влазит" и аналогичного уровня

 

DISCLAIMER: я также считаю, что промывка мозгов на курсах вендорни зашкаливает. Но у именно CISCO она зашкаливает совершенно запредельно. Из 6 ответов на вопрос предлагаются обычно три правильных, но только один из правильных является "совсем правильным", причём он зачастую противоречит логике, но соответствует политике. Поэтому хороший инженер, практик с-наскока не сдаст экзамен, ему НЕОБХОДИМО ПРОНИКНУТЬСЯ идеологией, даже если логика противоречит идеологии. Ответ должен идти в русле религии CISCO. Проверочный момент: RIP

[vIv]

Надежность - cisco по сравнению с писюком вне конкуренции, функциональность и удобство настройки и управления - тоже cisco делает писюк как щенка.

Мальчег, ты бы почитал, а?

1) Два/три БП против одного

2) дублированный SUP / процессорная плата - покажи это в маршрутизаторах? 7600 и выше?

3) Core2Duo с кем из циски сравнивать будем?

[AlexBT]

Ой-вэй... оно нам таки будет петь за IOS!!! 8-)

При его-то уровне практики, не зная про фичесеты и их "некоторую" неоднозначность.

АлексБТ: как ты говоришь, надо называть? Не телефонист, а как? "Лицо непопулярной сексуальной ориентации в худшем смысле этого слова"?

Вспомним трактат Клавы и Мауса о цитатах и применим его на практике...

Ответ, однако, здесь:

Насмешил. У 95% посетителей данного ресурса денег не хватит чтоб заплатить за мои услуги.

свои две штуки зелени за 4 дня работы я получил. Вообщем как в том анекдоте - "дурак, не дурак я сотку в день с вас умных имею".

Валютный мальчик, однако. Выводы каждый сделает сам.

 

http://www.viewfinder.ru/forum/showpost.ph...mp;postcount=17

Здесь дополнительно для выводов. Его много везде. И везде пишет.

Тетерев на току. Обо все и про все и везде...

 

вИв, он нас не читает. Так чего икру метать, объясняя безнадежному. Я вобще догадаться немогу, оно хоть где нибудь чем нибудь полезным занимается?

[Aliech]

Не нравится как я с тобой разговариваю? Используй игнор-лист.

А ты как, против или за обезжиренного кефира? Безалкогольного пива? Если хочешь видеть тред целиком - надо его со всеми постами и читать. Быть может это способ показать некоторым людям, что их мнение тебе не интересно. Правда при этом пролетаешь именно ты. Как бы равносильно началу обсуждения без ознакомления с темой (=

А теперь поехали за упокой. Irsi, я так понимаю, что по-людски ты не ахти как понимаешь. Буду как с бы... как с тобой.

Слышь ты, школьник хренов... Про 1500 байт вспомнил? Сильно мучился, когда вспоминал? Ну так вот, чтобы ты знал - это всё входит в программу профильных универов/инстов. МТУСИ/МИРЭА, например. Узнавал. Думаю, что пора бы знания узаконить, получить вышку. Может тоже подумаешь об этом?

Или школота интеграторская считает, что счастье - это синяя рубашка и сертификат какой-нибудь конторы?

На самом деле вы нужны, по крайней мере мне. Когда что-нибудь не получается - так полезно посмотреть на шутов. Которые даже не пытаются включать свои мозги. Которые, как говорится, ну просто не осилили. Так что я считаю очень полезными для человечества ресурсы типа stoplinux.org.ru. Доставляет хорошее настроение, просто таки неимоверно.

 

2 vIv, AlexBT

Спасибо. Адекват в треде лишним не бывает. Особенно если завёлся такой биореактор, как Irsi.

[bitbucket]

А все дело в том что в линаксе чуть ли не единственный инструмент для l7-фильтрации - монстрообразный сквид, который предназначен для всего сразу, в том числе и для l7-фильтрации.

Бегом читать про u32 !!! Ну и про haproxy, до кучи, и iptables/ipfw для полной картины.

 

Я намерянно обхожу вопрос производительности писюка - порядка 100 kpps для него фактически предел и стоить такой писюк будет 2-3 штуки зелени (в стоечном исполнении разумеется)

А вы проверяли это ? Точно ?

 

при том что кошка аналогичной производительности обойдется всего в штуку-полторы, что в два раза дешевле.

Да ну ? Кошка производительности не самого топового писюка стоит этак 40-50+к зелени.

 

[Aliech]

А все дело в том что в линаксе чуть ли не единственный инструмент для l7-фильтрации - монстрообразный сквид, который предназначен для всего сразу, в том числе и для l7-фильтрации.

Бегом читать про u32 !!! Ну и про haproxy, до кучи, и iptables/ipfw для полной картины.

Есть подозрение, что тов. Irsi совсем не интересовался положением дел в никсах.

 

[Irsi]

А вы проверяли это? Точно?

Это прямо проистекает из архитектуры его шины, можете сами взять и убедиться.

Да ну ? Кошка производительности не самого топового писюка стоит этак 40-50+к зелени.

За такую сумму можно купить очень неплохо упакованую 7200-NPE-G2, это простите 2 mpps, цифра для любого писюка абсолютно недостижимая. 3845, ценой менее 10к$ это 500 kpps - тоже абсолютно недостижимы цифры для любого писюка. Писюк в лучшем случае может соревноваться с 28хх, от 1к$-4k$ и производительность 90-220 kpps, верхняя граница для писюка тоже практически недостижима в реальных условиях.

Бегом читать про u32 !!! Ну и про haproxy, до кучи, и iptables/ipfw для полной картины.

Что iptables/ipfw уже научились L7-фильтрации? http://l7-filter.sourceforge.net/ чтоль? Оно толком не работает.

Слышь ты, школьник хренов... Про 1500 байт вспомнил? Сильно мучился, когда вспоминал? Ну так вот, чтобы ты знал - это всё входит в программу профильных универов/инстов. МТУСИ/МИРЭА, например. Узнавал. Думаю, что пора бы знания узаконить, получить вышку. Может тоже подумаешь об этом?

Так это ты был, да? Это ты со мной спорил до посинения что ТСР-пакет не может быть длинне 1500 байт и ссылался на препода. Ты кстати ящик пива проспоренный так и зажал, щенок. Забыл уже что я на 10 лет тебя старше?

Ой сорри - если инфа в профиле соотвествует истине, это был не ты, история была 10 лет назад, ты тогда в младшие классы школы ходил и спорить не мог. Оказывается я тебе старше более чем на 20 лет.

Есть подозрение, что тов. Irsi совсем не интересовался положением дел в никсах.

Есть подозрение, точнее яб сказал уверенность что впервые юникс я увидел когда тебя еще в проекте не было, это было в 88м году если что. Аха, СМ-1420 (архитектура PDP-11, да, а то ведь ты не в курсе - молодой еще), с юникс ориджинал, да.

[Aliech]

Слышь ты, школьник хренов... Про 1500 байт вспомнил? Сильно мучился, когда вспоминал? Ну так вот, чтобы ты знал - это всё входит в программу профильных универов/инстов. МТУСИ/МИРЭА, например. Узнавал. Думаю, что пора бы знания узаконить, получить вышку. Может тоже подумаешь об этом?

Так это ты был, да? Это ты со мной спорил до посинения что ТСР-пакет не может быть длинне 1500 байт и ссылался на препода. Ты кстати ящик пива проспоренный так и зажал, щенок. Забыл уже что я на 10 лет тебя старше?

Ой сорри - если инфа в профиле соотвествует истине, это был не ты, история была 10 лет назад, ты тогда в младшие классы школы ходил и спорить не мог. Оказывается я тебе старше более чем на 20 лет.

Тогда простите. Это грустно. Я обязательно навещу вашу могилу. По логике вещей - мне дольше жить ещё ;-)

Это как можно так башкой прибиться, чтобы думать, что все кругом - лохи. И структуру пакетов tcp не знают? Есть подозрение, что у тебя слишком больное ЧСВ.

 

ЗЫ: только не забудь написать, в каком институте учился. Мне это нужно, чтобы не повторять твоей ошибки (=

Изменено 10 октября, 2009 пользователем Aliech

[Irsi]

Тогда простите. Это грустно. Я обязательно навещу вашу могилу. По логике вещей - мне дольше жить ещё ;-)

С таким поведением - не доживешь.

Это как можно так башкой прибиться, чтобы думать, что все кругом - лохи. И структуру пакетов tcp не знают?

Да вот смотрю и убеждаюсь - то с пеной у рта доказывают бред про мах. размер ТСР-пакета в 1500 байт (а между прочим - реально что-то для ядра ваять пытался, даже вроде его патчи в ядре имеются), то начинают утверждать бред про производительность роутеров в стиле "Кошка производительности не самого топового писюка стоит этак 40-50+к зелени.", то никак не могут понять как же проще всего осуществлять блокировки, обсуждаемые в данной теме, не понимают сути (что это и зачем нужно) таких базовых понятий как QoS или скажем RT, меряют производительность сетевых устройств в мегабитах в сек, не понимают что входит в понятие качество канала, то еще какую-то подобную чушь несут. Я сам в шоке - это люди позиционируются как сетевые инженеры, по крайней мере - здесь.

[Aliech]

Тогда простите. Это грустно. Я обязательно навещу вашу могилу. По логике вещей - мне дольше жить ещё ;-)

С таким поведением - не доживешь.

Ну это, конечно, вопрос спорный.

 

а между прочим - реально что-то для ядра ваять пытался, даже вроде его патчи в ядре имеются

Если так, то значит то, что ещё осталось его в ведре - адекватно. Может просвет случился (=

[bitbucket]

А вы проверяли это? Точно?

Это прямо проистекает из архитектуры его шины, можете сами взять и убедиться.

Мне убеждтаться не надо - у меня и так работает. А 7200 на этих же задачах умерла бы, ибо оно такой же софт рутер, в общем то.

 

За такую сумму можно купить очень неплохо упакованую 7200-NPE-G2, это простите 2 mpps

http://www.cisco.com/web/partners/download...performance.pdf

нпе-г2 1гигабит жует. Ну и куда оно надо с гигабитом, то ?

 

3845, ценой менее 10к$ это 500 kpps - тоже абсолютно недостижимы цифры для любого писюка.

Да ну ? PC жует до 500к вообще без особых твиков драйверов и системы, с твиками - больше. Поищите в инете сравнение рутера на циске и PC в плане производительности, при большом количестве маршрутов. Там даже есть контора, которая такие рутеры делает: еще год назад подобную тему обсуждали тут (пруфлинк не дам - забыл я как оно называлось)

 

Что iptables/ipfw уже научились L7-фильтрации? http://l7-filter.sourceforge.net/ чтоль? Оно толком не работает.

Да нет, я же написал - u32. При желании можно и bpf использовать, при сильно большом желании - описать задачу фаервола на языке C :)

[Irsi]

Aliech

ЗЫ: только не забудь написать, в каком институте учился. Мне это нужно, чтобы не повторять твоей ошибки (=

19 лет и все еще не в институте? Не берут? :) А должен уже быть на 2м курсе.