Jump to content
Калькуляторы

NAT или Ip unnumbered относительно нагрузки на аплинки

Вот сижу и ломаю голову, что лучше в свете нагрузки на аплинки - схема ISG&NAT или ISG и IP unnambered? Ясно что трафик на аплиники выше без NAT, но если закрыть входящие соединения(для всех кроме тех кому оно надо) на порты <1024 получится ли таким методом "убить 2-х зайцев"? Без NATа но сравнительно с такой же нагрузкой на аплинки

Share this post


Link to post
Share on other sites

подрезание не спасет... только "поднасрете" абонентам своим.

isg+ip unnumbered, и грамотно спроектированный qos.

 

Share this post


Link to post
Share on other sites
подрезание не спасет... только "поднасрете" абонентам своим.

isg+ip unnumbered, и грамотно спроектированный qos.

Да по сабжу так лучше, но как тогда быть с безопасностью для абонентов при юзании ната если не фильтровать порты? Запарят же "вирусами который лезут из вашей сети на мой комп". А при нате жалоб таких нет в принципе
Edited by denis_vid

Share this post


Link to post
Share on other sites
Да по сабжу так лучше, но как тогда быть с безопасностью для абонентов при юзании ната если не фильтровать порты? Запарят же "вирусами который лезут из вашей сети на мой комп". А при нате жалоб таких нет в принципе
самое простое - начать раздовать в сети антивирус, как это делают многие.

 

Share this post


Link to post
Share on other sites
Да по сабжу так лучше, но как тогда быть с безопасностью для абонентов при юзании ната если не фильтровать порты? Запарят же "вирусами который лезут из вашей сети на мой комп". А при нате жалоб таких нет в принципе
самое простое - начать раздовать в сети антивирус, как это делают многие.

Получается кастыль, большинство абонентов ложили на тот платный антивирус (хоть и недорого, но деньги ж) что предлагает провайдер. Заклинило их на ломаном ноде, авасте или только конкретной версии касперского версии n-го года и все тут. А воплей потом "у кореша на каком то адсл не ломают комп а в вашей сети рассадник вирусов" И чихать им с колокольни на объяснения. Потому пока склоняюсь к нату
Edited by denis_vid

Share this post


Link to post
Share on other sites
ключевое слово "платный".

это да .. да и вообще когда в конце концов оператор будет доплачивать клиенту за доступ в инет

 

немного не в тему вопрос

при выдаче адресов по ip unnumbered - как вопрос с запросами из УВД решаете

логи радиус сессий храните?

Share this post


Link to post
Share on other sites
Да по сабжу так лучше, но как тогда быть с безопасностью для абонентов
Это не ваше дело, вы труба, и ваше дело труба :)

Хотите:

- подвязывайтесь на продажу антивирусов за процент.

- делайте хотя бы в ЛК вкл/выкл всей фильтрации

 

 

Получается кастыль, большинство абонентов ложили на тот платный антивирус
Есть бесплатные, для дома или для тех у кого лицензионная винда.

Share this post


Link to post
Share on other sites
Да по сабжу так лучше, но как тогда быть с безопасностью для абонентов
Это не ваше дело, вы труба, и ваше дело труба :)

Хотите:

- подвязывайтесь на продажу антивирусов за процент.

- делайте хотя бы в ЛК вкл/выкл всей фильтрации

 

 

Получается кастыль, большинство абонентов ложили на тот платный антивирус
Есть бесплатные, для дома или для тех у кого лицензионная винда.

Не вижу преимуществ ip unnambered перед натом, только больше гемора в том или ином виде. А бесплатные это какие? Я как неинтересующийся этим вопросом кроме AV-Desk ничего не знаю. Но он платный
Edited by denis_vid

Share this post


Link to post
Share on other sites

плату за антивирус можно включить в тех.обслуживание абонентской линии. причем прозрачно и без лишних вопросов - поднять допустим на 5-10руб. все равно не все 100% будут использовать ваш антивирус, а те кто будут пользоваться - тех эти самые 5-10руб и покроют. цифра конечно же варьируется от объема вашей активной абонентской базы.

вариантов как сделать из платного бесплатное - очень много.

Share this post


Link to post
Share on other sites

лучше уж какой нить анализатор трафика на л7, который будет и антивирить трафик и файрволить его. через одну железку можно много много абонов пустить.

Share this post


Link to post
Share on other sites

лучше уж какой нить анализатор трафика на л7, который будет и антивирить трафик и файрволить его. через одну железку можно много много абонов пустить.

космическое по цене решение, если брать тот же sce для примера.

Share this post


Link to post
Share on other sites

А вот вопрос.

Чем плохо рубить входящие сессии? Думаю это самое правильное решение. Для пула под хомяков рубать весь вход.

Надо порты - дополнительная услуга.

Надо нат 1 в 1 - дополнительная услуга.

Надо статик реалIP - допуслуга.

Надо антивирус - допуслуга.

Надо контент сканнер - допуслуга.

Надо открыть смпт - выдать IP из пула, где не запрещены коннекты на 25 порт TCP.

 

Вроде все логично.

Share this post


Link to post
Share on other sites
А вот вопрос.

Чем плохо рубить входящие сессии? Думаю это самое правильное решение. Для пула под хомяков рубать весь вход.

Надо порты - дополнительная услуга.

Надо нат 1 в 1 - дополнительная услуга.

Надо статик реалIP - допуслуга.

Надо антивирус - допуслуга.

Надо контент сканнер - допуслуга.

Надо открыть смпт - выдать IP из пула, где не запрещены коннекты на 25 порт TCP.

 

Вроде все логично.

Так и делают, в сотовых сетях например. А в ШПД слишком много игроков, не договориться.

А пока слияния/поглощения пройдут уже IPv6 будет, идея станет мало привлекательной.

 

Share this post


Link to post
Share on other sites
А вот вопрос.

Чем плохо рубить входящие сессии? Думаю это самое правильное решение. Для пула под хомяков рубать весь вход.

Надо порты - дополнительная услуга.

Надо нат 1 в 1 - дополнительная услуга.

Надо статик реалIP - допуслуга.

Надо антивирус - допуслуга.

Надо контент сканнер - допуслуга.

Надо открыть смпт - выдать IP из пула, где не запрещены коннекты на 25 порт TCP.

 

Вроде все логично.

Так и делают, в сотовых сетях например. А в ШПД слишком много игроков, не договориться.

А пока слияния/поглощения пройдут уже IPv6 будет, идея станет мало привлекательной.

Каких игроков? Не понял.

В байки про IPv6 не верю. Ну не смогут все перейти сразу на IPv6, затратное это дело, ребята + будет вылазить такое, чего никто не ожидает.

Share this post


Link to post
Share on other sites
Запарят же "вирусами который лезут из вашей сети на мой комп". А при нате жалоб таких нет в принципе

Бред не несите и научите пользователей включать встроенный в винду фаервол.

Не видел еще ни одного бага в фаерволе, чтоб пропустил входящий коннект кроме тех, что открыты приложениями.

 

Кроме наверное портов нетбиоса (их вообще на свитчах режем) и порта самбы (его режем на входе из внешки, внутри подсети ограничиваем поличество syn в минуту)

Share this post


Link to post
Share on other sites

большинство абонентов ложили на тот платный антивирус (хоть и недорого, но деньги ж)

Есть бесплатная версия антивируса avgfree, на ура прокатывает.

Share this post


Link to post
Share on other sites
Не вижу преимуществ ip unnambered перед натом, только больше гемора в том или ином виде. А бесплатные это какие?
Avast home

MS Security Essential

 

В байки про IPv6 не верю. Ну не смогут все перейти сразу на IPv6, затратное это дело, ребята + будет вылазить такое, чего никто не ожидает.
Достаточно вспомнить истории 1980-2000 годов, собственно до появления ната.

Будет ровно всё тоже самое.

И даже арп спуфинг никуда не денется, только называться будет по другому :)

И куча отрытых локалок с шарами всплывёт...

Share this post


Link to post
Share on other sites

Разве не поможет statesfull firewall в случае isg+ip unnumbered, что-то вроде такого для линукса ---

 

iptables -A FORWARD --state RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -s _poll_ip_/XX -o _inet_iface_ --state NEW -j ACCEPT

iptables -P FORWARD DROP

 

а "чесный" ip со всеми открытыми портами снаружи - доп. услуга ...

 

Share this post


Link to post
Share on other sites
Запарят же "вирусами который лезут из вашей сети на мой комп". А при нате жалоб таких нет в принципе

Бред не несите и научите пользователей включать встроенный в винду фаервол.

Не видел еще ни одного бага в фаерволе, чтоб пропустил входящий коннект кроме тех, что открыты приложениями.

 

Кроме наверное портов нетбиоса (их вообще на свитчах режем) и порта самбы (его режем на входе из внешки, внутри подсети ограничиваем поличество syn в минуту)

Это вы не несите бред про "учебу юзеров", если хотите учите сами, только другим не советуйте. Юзеры неандертальцы которые сами считают что все лучше любого админа знают, поэтому организовать им канал нужно так что бы единственная их забота была включить компьютер и кликнуть иконку. Если конечно вы хотите что бы о вашей сети в народе говорили "нормальная" а не "такое же гуано как и ххх"

 

Не вижу преимуществ ip unnambered перед натом, только больше гемора в том или ином виде. А бесплатные это какие?
Avast home

MS Security Essential

Выше был ответ, что многие юзеры не признают ничего кроме ххх версии антивируса ххх. И эти юзеры если что вопят громче всех.

С сабжем вроде ясно, каждый кулик хвалит свою схему, значит будем юзать нат

Edited by denis_vid

Share this post


Link to post
Share on other sites

столкнулись с проблемой при использовании NAT - вконтакт, недавно пользователи NAT вообще перестали видеть вконтакт, после ничего не давшей переписки с вконтактом(3 дня) доступ так-же неожиданно появился как и пропал, но у клиентов теперь наблюдаются проблемы с видео и флеш.

ессно мы с своей стороны ничего не меняли.

Share this post


Link to post
Share on other sites
Выше был ответ, что многие юзеры не признают ничего кроме ххх версии антивируса ххх. И эти юзеры если что вопят громче всех.

С сабжем вроде ясно, каждый кулик хвалит свою схему, значит будем юзать нат

Я то про бесплатные.

Не нравятся бесплатные и умные - пусть сами выкручиваются, никто ж не принуждает.

 

 

столкнулись с проблемой при использовании NAT - вконтакт, недавно пользователи NAT вообще перестали видеть вконтакт, после ничего не давшей переписки с вконтактом(3 дня) доступ так-же неожиданно появился как и пропал, но у клиентов теперь наблюдаются проблемы с видео и флеш.

ессно мы с своей стороны ничего не меняли.

Если не только вконтакт но и случайные/проивзольные сайты/сервисы - возможно проблема с мту.

Share this post


Link to post
Share on other sites

Если не только вконтакт но и случайные/проивзольные сайты/сервисы - возможно проблема с мту.

только с асей проблема была, вылечили натом в 1 адрес а не в пул. для вконтакт не прокатило

Edited by witch

Share this post


Link to post
Share on other sites

Все банально.

Во первых - убирайте нат и люди к Вам потянутся.

Во вторых - фильтруйте tcp/udp 135-139

В третьих - comodo.com

 

Share this post


Link to post
Share on other sites
Все банально.

Во первых - убирайте нат и люди к Вам потянутся.

Во вторых - фильтруйте tcp/udp 135-139

В третьих - comodo.com

Во первых нат благо для абонента и нервной системы сисадмина. Никому не нужен лишний траф. Все популярные приложения адаптированы в той или иной мере под схему с нат. А тянутся люди туда где инет быстрее и проще

Во вторых кроме 135-139 есть 445 tcp и прочие виндовые службы в разной степенью дырявости.

В третьих выше все расписано

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this