[Ivan_83]

Приходящему столько платить морально никто не готов.

 

В чём профит от цыски по сравнению с сервером на фряхе на доступе в инет?

[Irsi]

Приходящему столько платить морально никто не готов.

Дык, платят. :)

В чём профит от цыски по сравнению с сервером на фряхе на доступе в инет?

В том что циска дешевле, надежней и не зависит от наличия под рукой гуру, который ее настраивал и тюнил. Только не надо начинать про компы, собраные на помойке...

[Ivan_83]

Зачем на помойке, в магазине можно новый дешевле 10 купить.

А за циской ещё бегать нада, искать. И если сломается вообще весело будет. А пиюск хоть старый найти в шкафу, хоть у кого нить с рабочего места одолжить можно и быстро всё поднять.

Фряха для гуру а циску любой школьнег настроит?)

Изменено 17 мая, 2010 пользователем Ivan_83

[Картуччо]

А за циской ещё бегать нада, искать.

Тогда такой конторе точно пока не нужны циски.

Фряха для гуру а циску любой школьнег настроит?

Дело не в гуру, а в том, что на циске будут типовые, имеющиеся в официальной доке решения.

Все будет фигурировать в рамках одной текстовой конфигурации, а не стопицот файлах раскиданных в разных местах.

Причем ISR охватит кучу фукнкционала от шлюза/файрвола/впн до телефонии, прямо на борту можно организовать порты ADSL, E1, ISDN-BRI, FXS/FXO и многие другие.

 

[t92]

squid+opendns

И что помешает пользоваться веб проксями, вебанонимайзерами или халявным впн загранкой или у себя дома?

А в зависимости от реализации можно и просто у себя другой днс прописать.

Во первых, именно это и помешает.

Во вторых, Вы откусили еще один + , это не корректно.

В третьих, я не знал, что подразумевается полное отсутствие фаервола.

 

Есть очень конкретные минусы в таком решении, но они совсем не там где Вы их ищите.

[s.lobanov]

>Фряха для гуру а циску любой школьнег настроит?)

 

Ну по сути так и есть. Например, у нас в Нижнем есть сетевая академия cisco при ННГУ, где студенты могут занедорого выучиится на ccna и ccnp. Школьников конечно там нет, но вот студентов младших курсов найти не проблема, которые вам настроят эту циску на раз-два. А фряхой обычно люди занимаются сами из любопытсва или когда припрёт на работе, поэтому настройка и обслуживание cisco дешевле, чем платить админу фряхи со сверхвысоким ЧСВ.

[Картуччо]

На раз-два не настроят, если задача будет сложнее поднятия простейшего NAT.

[Irsi]

Зачем на помойке, в магазине можно новый дешевле 10 купить.

Угу, чтож это за кмоп дешевле чирика, да еще и новый? Видимо из тех что сразу после покупки надо отправлять на помойку. :)

А за циской ещё бегать нада, искать.

Надо позвонить, тебе по мылу пришлют счет, его оплатить и тебе ее привезут.

И если сломается вообще весело будет.

Это вы привыкли к писюкам - кошку сломать очень сложно. Опять же если вдруг это невероятное событие все же произойдет - надо позвонить, тебе привезут замену, а старую заберут в ремонт. Залить в новую кошку конфиг из бекапа - дело 5-10ти минут, в зависимости от кошки (основное время уходит на ожидание загрузки самой кошки). Когда привезут кошку из ремонта - операцию повторить и не забыть обнулить конфиг в кошке, которую использовали в качестве подмены.

Фряха для гуру а циску любой школьнег настроит?)

Циска отличается тем что достаточно знать что ты настраиваешь, сам протокол, как оно работает. Все. Не надо никаких сакральных знаний, конфигурация пишется на простом языке, достаточно знать десяток простых правил и собственно англицкий. Ну и сам настраиваемый протокол разумеется (это-то самое сложное, но что за админ, который этого не знает?). То есть школьник не настроит, ибо не знает, но нормальный админ - настроит гораздо быстрей чем фряху и более того - другому админу не придется долго ковыряться по десяткам файлов чтоб прочитать конфиг и составить представление о том что на этой системе настроено, и какие сервисы используются и т.д.

А теперь простая арифметика - дешевле чем рублей за 500 в час никакой нормальный админ работать не будет. Ну и считайте сами сколько часов надо чтоб поставить на комп фряху (если это "новый комп менее чем за 10 тыр - учтите сколько времени потребуется на борьбу с неизбежными глюками подобного железа) и настроить все необходимые сервисы. А на кошке - залить типовой конфиг и немного его подредактировать. Для справки - типовой конфиг для офисной кошки этот 10ти до 50ти килобайт текста, 50 это когда там задействовано куча сервисов, включая CCME (или как там называется теперь их IP PBX, никак запомнить не могу), zbfw, ips, dmvpn... Фактически 50 кил это нечто запредельное и уже не совсем типичное - у меня вот под рукой валяется конфиг для 3825 и более сотни воип-клиентов, он занимает около 30 кб. Сам понимаешь прочитать его и разобрать что там и как - задача не такая уж и сложная, если знаешь соответствующие протоколы. То есть зачастую дешевле заплатить за кошку и ее настройку чем за комп с фряхой, при учете стоимости работа специалиста разумеется. И умные люди - платят ибо понимают что лучше заплатить немного дороже за нормального спеца, но один раз чем постоянно платить мало, но хреновому.

[t92]

Irsi, если Вам интересно то брендовые системники стоят от 10к. Или их тоже на помойку ?

А CUCME с 3825ой и инженером писавшим 30к конфига во сколько Вам обошелся ? :)

[separaf]

кстати, был такой случай: сидели в отделе работали молодые люди. Видимо они были не с особой силой воли поэтому заставить их заниматься чем то полезным в плане самообразования было достаточно проблематично. Занимались, но редко. Через год после того как закрыли выход во внешку (тогда юсб модемов анлимных небыло еще и йоты тоже) 90% сменили работу на более высокооплачиваемую.

 

 

[SunWind]

Поставили задачу сделать доступ в Интернет для сотрудников компании с ограничением доступа к определенным сайтам (vkontakte, odnoklasniki и т.п.) в рабочее время.

Первая мысль это Squid + SquidGuard. Может есть решение лучше?

 

С уважением, Николай.

У меня на работе стоит Интернет Контроль Сервер. Можно делать ограничения по сайтам, по скорости подключения, по IP:Port хоста.

Вот тут качал

[Ivan_83]

Дело не в гуру, а в том, что на циске будут типовые, имеющиеся в официальной доке решения.

Все будет фигурировать в рамках одной текстовой конфигурации, а не стопицот файлах раскиданных в разных местах.

Причем ISR охватит кучу фукнкционала от шлюза/файрвола/впн до телефонии, прямо на борту можно организовать порты ADSL, E1, ISDN-BRI, FXS/FXO и многие другие.

Что мешает в man заглянуть и в инете поискать если что непонятно, в случае фряхи?

Стопицот файлов у вас будет если вы сами проект напишите, что нибудь ужасное типа сквида %)

Самих конфигов значимых для функционала не много, десяток - это уже куча сервисов.

У продвинутых админов есть типовые конфиги которые можно заливать везде без адаптации и то что пишется под задачу.

Например я, rc.conf держу типовой, он у меня везде одинаков, а rc.conf.local содержит исключительно специфические для конфигурации/задачи вещи.

Вы тоже можете между кошками так конфиги кидать не глядя?

 

 

Во первых, именно это и помешает.

Во вторых, Вы откусили еще один + , это не корректно.

В третьих, я не знал, что подразумевается полное отсутствие фаервола.

Есть очень конкретные минусы в таком решении, но они совсем не там где Вы их ищите.

И что помешает юзеру прописать у себя у браузере IP анонимного прокси?

Или зайти по IPшнику на вебанонимайзер?

Нет, отсутствие фаервола не подразумевается, но фаервол ничего не гарантирует да на жестоких настройках.

Я даже не упоминал про тунели через dns или icmp, есть как минимум десятки разных хитростей/хаков для обхода фаеров.

В случае с OpenDNS достаточно прописать IP другого DNS или обращатся к ресурсам напрямую по IP - это совсем просто и даже планктон до этого быстро додумается от безысходности.

 

 

Ну по сути так и есть. Например, у нас в Нижнем есть сетевая академия cisco при ННГУ, где студенты могут занедорого выучиится на ccna и ccnp. Школьников конечно там нет, но вот студентов младших курсов найти не проблема, которые вам настроят эту циску на раз-два. А фряхой обычно люди занимаются сами из любопытсва или когда припрёт на работе, поэтому настройка и обслуживание cisco дешевле, чем платить админу фряхи со сверхвысоким ЧСВ.

А у нас есть курсы МС, 1С - теперь их везде использовать?

ЧСВ не зависит от знаний и квалификации.

И факт наличия сертификата не означает что человек реально что то сможет или сделает это оптимально.

 

 

 

 

Угу, чтож это за кмоп дешевле чирика, да еще и новый?

Только сегодня видел за 6500 новые хоть и на селеронах. Всякие ITX тоже не дороги и в десятку укладываются, и размеры там тоже не больше коммутаторов попадаются.

 

Надо позвонить, тебе по мылу пришлют счет, его оплатить и тебе ее привезут.

И сколько будут везти если от дефолт сити больше тыщи км?

 

 

Это вы привыкли к писюкам - кошку сломать очень сложно. Опять же если вдруг это невероятное событие все же произойдет - надо позвонить, тебе привезут замену, а старую заберут в ремонт. Залить в новую кошку конфиг из бекапа - дело 5-10ти минут, в зависимости от кошки (основное время уходит на ожидание загрузки самой кошки). Когда привезут кошку из ремонта - операцию повторить и не забыть обнулить конфиг в кошке, которую использовали в качестве подмены.

У меня писюки даже на рабочих станциях редко ломаются.

А кошку и украсть могут, и просто форс мажор случится не гарантийный не сколько.

Сколько мне будут везти кошку в Иркутск? За час доедут?

А если это будет не очень ширпотребное, а чуть экзотичное?

 

 

Циска отличается тем что достаточно знать что ты настраиваешь, сам протокол, как оно работает. Все. Не надо никаких сакральных знаний, конфигурация пишется на простом языке, достаточно знать десяток простых правил и собственно англицкий. Ну и сам настраиваемый протокол разумеется (это-то самое сложное, но что за админ, который этого не знает?). То есть школьник не настроит, ибо не знает, но нормальный админ - настроит гораздо быстрей чем фряху и более того - другому админу не придется долго ковыряться по десяткам файлов чтоб прочитать конфиг и составить представление о том что на этой системе настроено, и какие сервисы используются и т.д.

Оно и видно - спрашивают как впн поднять между офисами на цисках %)

Во фряхе достаточно знать английский, чтобы прочитать справку и посмотреть примеры.

Я вот, лично, знаю совсем не много протоколов: pop3, smtp, dns, http, mail.ru agent - это что я реализовывал программно лично - на практике, при администрировании, эти знания обычно не используются, хотя и являются подспорьем.

Все остальные протоколы я не знаю или знают очень приблизительно - это тоже мне не мешает поднимать VPN и давать аську через нат :)

Вы вот какие протоколы знаете?)

Кучи файлов нету, всё сгруппированно логически. Вроде в некоторых дистрибутивах страдают хернёй и пихают всё в один конфиг.

 

 

А теперь простая арифметика - дешевле чем рублей за 500 в час никакой нормальный админ работать не будет. Ну и считайте сами сколько часов надо чтоб поставить на комп фряху (если это "новый комп менее чем за 10 тыр - учтите сколько времени потребуется на борьбу с неизбежными глюками подобного железа) и настроить все необходимые сервисы. А на кошке - залить типовой конфиг и немного его подредактировать. Для справки - типовой конфиг для офисной кошки этот 10ти до 50ти килобайт текста, 50 это когда там задействовано куча сервисов, включая CCME (или как там называется теперь их IP PBX, никак запомнить не могу), zbfw, ips, dmvpn... Фактически 50 кил это нечто запредельное и уже не совсем типичное - у меня вот под рукой валяется конфиг для 3825 и более сотни воип-клиентов, он занимает около 30 кб. Сам понимаешь прочитать его и разобрать что там и как - задача не такая уж и сложная, если знаешь соответствующие протоколы. То есть зачастую дешевле заплатить за кошку и ее настройку чем за комп с фряхой, при учете стоимости работа специалиста разумеется. И умные люди - платят ибо понимают что лучше заплатить немного дороже за нормального спеца, но один раз чем постоянно платить мало, но хреновому.

Это от специфики зависит.

Если ставить фряху с диска и ничего не пересобирать под себя и не обновлять, то часа даже много. Дальше от задач, скорости инета и скорости работы платформы. Полное обновление системы включая ядро на Е5300 с 2гб оперативы занимает почти час.

А кошкам прошивку обновлять не нада?

Если с моих конфигов потереть все коменнты и закоменченные опции, опции которые стоят дефолтом в системе тоже мало что останется - что это должно показывать?

[naves]

И что помешает юзеру прописать у себя у браузере IP анонимного прокси?

у пользователя уже прописан локальный прокси-сервер

Я даже не упоминал про тунели через dns или icmp, есть как минимум десятки разных хитростей/хаков для обхода фаеров.

В случае с OpenDNS достаточно прописать IP другого DNS или обращатся к ресурсам напрямую по IP - это совсем просто и даже планктон до этого быстро додумается от безысходности.

пользователь не имеет администраторского аккаунта на компьютере и прописать свои сетевые настройки не может, так же как и установить свое впн-подключение куда-либо, или установить драйверы для icmp, dns-тоннелей.

через НАТ проходит только 25, 2525, 110 почтовые порты, если не настроен socks-сервер

что может сделать пользователь кроме:

заходить на одноклассники через веб-морду анонимайзера, а потом кричать, что у него украли драгоценные пароли 1234 :)

установить скайп.

 

tor-плагин к лисе умеет работать через HTTP-proxy?

Изменено 17 мая, 2010 пользователем naves

[Картуччо]

Что мешает в man заглянуть и в инете поискать если что непонятно, в случае фряхи?

Стопицот файлов у вас будет если вы сами проект напишите, что нибудь ужасное типа сквида %)

Самих конфигов значимых для функционала не много, десяток - это уже куча сервисов.

У продвинутых админов есть типовые конфиги которые можно заливать везде без адаптации и то что пишется под задачу.

Например я, rc.conf держу типовой, он у меня везде одинаков, а rc.conf.local содержит исключительно специфические для конфигурации/задачи вещи.

Вы тоже можете между кошками так конфиги кидать не глядя?

Первые пять строк цитаты обсуждать смысла нет, каждый кулик своё болото хвалит, холивор не ведущий ни к чему.

А по поводу кидания конфигов - вообще без проблем, у специалиста с опытом обычно есть много шаблонов на все случаи жизни, из которых потом с минимальными усилиями строится конфигурация конкретной железки.

И по поводу "кошек/кисок", это жаргонизмы уровня колхоза "заветы ильича", уважающий себя сетевик не будет оперировать ими. Звучит мерзопакостно.

Циско, сиско вполне нормально.

[Tima]

Первые пять строк цитаты обсуждать смысла нет, каждый кулик своё болото хвалит, холивор не ведущий ни к чему.

...

И по поводу "кошек/кисок", это жаргонизмы уровня колхоза "заветы ильича", уважающий себя сетевик не будет оперировать ими. Звучит мерзопакостно.

Циско, сиско вполне нормально.

 

Как назвать железки - это холивар к чему-то ведущий ? :)

[Irsi]

Оно и видно - спрашивают как впн поднять между офисами на цисках %)

Во фряхе достаточно знать английский, чтобы прочитать справку и посмотреть примеры.

Это все от того что они не знают как работает IPSec. А вообще это хрестоматийный пример из любого учебника, хотя бы Дж. Бони "Руководство по Cisco IOS" издательства O'Relly - там есть рабочий пример конфига. Даже англицкого знать не надо - все на русском. А еще есть отличный сайт - www.cisco.com, где этот пример тоже есть, правда уже на англицком.

Я вот, лично, знаю совсем не много протоколов: pop3, smtp, dns, http, mail.ru agent - это что я реализовывал программно лично - на практике, при администрировании, эти знания обычно не используются, хотя и являются подспорьем.

Все остальные протоколы я не знаю или знают очень приблизительно - это тоже мне не мешает поднимать VPN и давать аську через нат :)

Вы вот какие протоколы знаете?)

Ну видать вы аникейщик а не админ. Как вы можете осуществлять поиск проблем и соответственно устранять неисправности, если вы не знаете протоколов, не знаете как оно работает. Ну вот у вас для примеру упал VPN-туннель - что вы будете делать? Я тупо запущу отладку и посмотрю на каком этапе обламывается, но для этого надо хорошо понимать как работает VPN-туннель, что такое IPSes, GRE и как оно все работает. Вы не знаете всего этого? Значит вы не сможете быстро и эффективно решить проблему.

А кошкам прошивку обновлять не нада?

Если все работает - не надо. Какие-то критические ашипки в ней - явление очень редкое и зачастую они не критичны при правильно настроенных акцесс-листах. Классический пример - милая бага в их httpd, который собственно обычно не нужен и все его отключат. А бага была знатная, такой классический бекдорчик. Давно пофикшена если что - история была лет 10 назад. Посвежей багов подобного уровня я не припомню.

Кстати заливка нового ios-а занимает несколько минут, еще несколько минут - рестарт самой кошки. Ну размерчи, для примера на моей домашней кошечке:

2 -rwx 21839140 Aug 18 2009 01:12:15 +03:00 c870-advipservicesk9-mz.124-24.T1.bin

Размер конфига:

Current configuration : 8756 bytes

В это влезло - сами интерфейсы под adsl, pppoe-клиент, Wi-Fi, pptp-сервер, DHCP-сервер (с привязками IP к MAC), DDNS-клиент, NAT с тансляцией портов (торренты и прочая мелочь), IPS, ZBFW (отлаживал кое-что). Так же в этих 8756 bytes валяются остатки экспериментов с VLAN-ами и прочий мусор, который лень подчистить. Комменты там тоже есть, правда немного - в основном это дескрипщены к интерфейсам.

Вы тоже можете между кошками так конфиги кидать не глядя?

Ну IP-адреса сменил, юзеров (если есть кто-то кроме меня), ключи у VPN и все собственно. Залил по tftp и все.

[godlike]

посмотрите на traffpro.ru

[Картуччо]

Первые пять строк цитаты обсуждать смысла нет, каждый кулик своё болото хвалит, холивор не ведущий ни к чему.

...

И по поводу "кошек/кисок", это жаргонизмы уровня колхоза "заветы ильича", уважающий себя сетевик не будет оперировать ими. Звучит мерзопакостно.

Циско, сиско вполне нормально.

Как назвать железки - это холивар к чему-то ведущий ? :)

Это не холивар, это просто рекомендация. Если на собеседовании услышу про кошек-кисок это будет одним из поводов отказа.

Во-первых никакого отношения эти слова к оригиналу не имеют. Во-вторых, даже слово циско не говорит ни о чём, так как оный производитель выпускает более 9000 железок, начиная с мыльниц.

[Irsi]

Если на собеседовании услышу про кошек-кисок это будет одним из поводов отказа.

Ну такой работодатель по определению является идиотом, с которым связываться не рекомендуется. :)

Во-первых никакого отношения эти слова к оригиналу не имеют.

Как и большинство жаргонизмов в данной области.

Во-вторых, даже слово циско не говорит ни о чём, так как оный производитель выпускает более 9000 железок, начиная с мыльниц.

Ну во-первых совсем мыльницы это линксис. В-вторых ios он везде... очень похож. Да я в курсе что у них не только ios.

[t92]

Ivan_83, это уже демагогия пошла.

Есть факт, что закрыть сразу все возможные варианты нельзя, если в конце мы пишем pass all.

Но, как мне кажется, можно закрыть любой из вариантов обхода системы если мы с ним столкнулись.

Это вообще постоянный процесс. И лучше все таки добавлять к нему административный ресурс.

 

Где Вы видели конторы, в которых DNS какой попало можно прописывать ? Вы уверены что в них стоит задача вообще как то с чем то бороться ? :-)

[Картуччо]

Если на собеседовании услышу про кошек-кисок это будет одним из поводов отказа.

Ну такой работодатель по определению является идиотом, с которым связываться не рекомендуется. :)

О ваших способностях здесь сложилось весьма однозначное мнение ;)

 

[Irsi]

Если на собеседовании услышу про кошек-кисок это будет одним из поводов отказа.

Ну такой работодатель по определению является идиотом, с которым связываться не рекомендуется. :)

О ваших способностях здесь сложилось весьма однозначное мнение ;)

У меня есть свое мнение о домушниках и их способностях. :) Так что на их мнение мне плевать с высокой колокольни.

[martin74]

Извините, что вмешиваюсь в столь высоконаучный спор, но "мыльницы" - это разве не жаргонизм? Или это слово имеет какое то отношение к механике работы неуправляемого свича?

[Темный]

Это не холивар, это просто рекомендация. Если на собеседовании услышу про кошек-кисок это будет одним из поводов отказа.

Главное чтобы человек был хороший :)

 

[Картуччо]

Извините, что вмешиваюсь в столь высоконаучный спор, но "мыльницы" - это разве не жаргонизм? Или это слово имеет какое то отношение к механике работы неуправляемого свича?

Слово "мыльница" заметно оганичивает выбор устройств :)

В отличии от слова циско.