Перейти к содержимому
Калькуляторы

NAT или Ip unnumbered относительно нагрузки на аплинки

Вот сижу и ломаю голову, что лучше в свете нагрузки на аплинки - схема ISG&NAT или ISG и IP unnambered? Ясно что трафик на аплиники выше без NAT, но если закрыть входящие соединения(для всех кроме тех кому оно надо) на порты <1024 получится ли таким методом "убить 2-х зайцев"? Без NATа но сравнительно с такой же нагрузкой на аплинки

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

подрезание не спасет... только "поднасрете" абонентам своим.

isg+ip unnumbered, и грамотно спроектированный qos.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

подрезание не спасет... только "поднасрете" абонентам своим.

isg+ip unnumbered, и грамотно спроектированный qos.

Да по сабжу так лучше, но как тогда быть с безопасностью для абонентов при юзании ната если не фильтровать порты? Запарят же "вирусами который лезут из вашей сети на мой комп". А при нате жалоб таких нет в принципе
Изменено пользователем denis_vid

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да по сабжу так лучше, но как тогда быть с безопасностью для абонентов при юзании ната если не фильтровать порты? Запарят же "вирусами который лезут из вашей сети на мой комп". А при нате жалоб таких нет в принципе
самое простое - начать раздовать в сети антивирус, как это делают многие.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да по сабжу так лучше, но как тогда быть с безопасностью для абонентов при юзании ната если не фильтровать порты? Запарят же "вирусами который лезут из вашей сети на мой комп". А при нате жалоб таких нет в принципе
самое простое - начать раздовать в сети антивирус, как это делают многие.

Получается кастыль, большинство абонентов ложили на тот платный антивирус (хоть и недорого, но деньги ж) что предлагает провайдер. Заклинило их на ломаном ноде, авасте или только конкретной версии касперского версии n-го года и все тут. А воплей потом "у кореша на каком то адсл не ломают комп а в вашей сети рассадник вирусов" И чихать им с колокольни на объяснения. Потому пока склоняюсь к нату
Изменено пользователем denis_vid

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ключевое слово "платный".

это да .. да и вообще когда в конце концов оператор будет доплачивать клиенту за доступ в инет

 

немного не в тему вопрос

при выдаче адресов по ip unnumbered - как вопрос с запросами из УВД решаете

логи радиус сессий храните?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да по сабжу так лучше, но как тогда быть с безопасностью для абонентов
Это не ваше дело, вы труба, и ваше дело труба :)

Хотите:

- подвязывайтесь на продажу антивирусов за процент.

- делайте хотя бы в ЛК вкл/выкл всей фильтрации

 

 

Получается кастыль, большинство абонентов ложили на тот платный антивирус
Есть бесплатные, для дома или для тех у кого лицензионная винда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да по сабжу так лучше, но как тогда быть с безопасностью для абонентов
Это не ваше дело, вы труба, и ваше дело труба :)

Хотите:

- подвязывайтесь на продажу антивирусов за процент.

- делайте хотя бы в ЛК вкл/выкл всей фильтрации

 

 

Получается кастыль, большинство абонентов ложили на тот платный антивирус
Есть бесплатные, для дома или для тех у кого лицензионная винда.

Не вижу преимуществ ip unnambered перед натом, только больше гемора в том или ином виде. А бесплатные это какие? Я как неинтересующийся этим вопросом кроме AV-Desk ничего не знаю. Но он платный
Изменено пользователем denis_vid

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

плату за антивирус можно включить в тех.обслуживание абонентской линии. причем прозрачно и без лишних вопросов - поднять допустим на 5-10руб. все равно не все 100% будут использовать ваш антивирус, а те кто будут пользоваться - тех эти самые 5-10руб и покроют. цифра конечно же варьируется от объема вашей активной абонентской базы.

вариантов как сделать из платного бесплатное - очень много.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

лучше уж какой нить анализатор трафика на л7, который будет и антивирить трафик и файрволить его. через одну железку можно много много абонов пустить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

лучше уж какой нить анализатор трафика на л7, который будет и антивирить трафик и файрволить его. через одну железку можно много много абонов пустить.

космическое по цене решение, если брать тот же sce для примера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вот вопрос.

Чем плохо рубить входящие сессии? Думаю это самое правильное решение. Для пула под хомяков рубать весь вход.

Надо порты - дополнительная услуга.

Надо нат 1 в 1 - дополнительная услуга.

Надо статик реалIP - допуслуга.

Надо антивирус - допуслуга.

Надо контент сканнер - допуслуга.

Надо открыть смпт - выдать IP из пула, где не запрещены коннекты на 25 порт TCP.

 

Вроде все логично.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вот вопрос.

Чем плохо рубить входящие сессии? Думаю это самое правильное решение. Для пула под хомяков рубать весь вход.

Надо порты - дополнительная услуга.

Надо нат 1 в 1 - дополнительная услуга.

Надо статик реалIP - допуслуга.

Надо антивирус - допуслуга.

Надо контент сканнер - допуслуга.

Надо открыть смпт - выдать IP из пула, где не запрещены коннекты на 25 порт TCP.

 

Вроде все логично.

Так и делают, в сотовых сетях например. А в ШПД слишком много игроков, не договориться.

А пока слияния/поглощения пройдут уже IPv6 будет, идея станет мало привлекательной.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вот вопрос.

Чем плохо рубить входящие сессии? Думаю это самое правильное решение. Для пула под хомяков рубать весь вход.

Надо порты - дополнительная услуга.

Надо нат 1 в 1 - дополнительная услуга.

Надо статик реалIP - допуслуга.

Надо антивирус - допуслуга.

Надо контент сканнер - допуслуга.

Надо открыть смпт - выдать IP из пула, где не запрещены коннекты на 25 порт TCP.

 

Вроде все логично.

Так и делают, в сотовых сетях например. А в ШПД слишком много игроков, не договориться.

А пока слияния/поглощения пройдут уже IPv6 будет, идея станет мало привлекательной.

Каких игроков? Не понял.

В байки про IPv6 не верю. Ну не смогут все перейти сразу на IPv6, затратное это дело, ребята + будет вылазить такое, чего никто не ожидает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Запарят же "вирусами который лезут из вашей сети на мой комп". А при нате жалоб таких нет в принципе

Бред не несите и научите пользователей включать встроенный в винду фаервол.

Не видел еще ни одного бага в фаерволе, чтоб пропустил входящий коннект кроме тех, что открыты приложениями.

 

Кроме наверное портов нетбиоса (их вообще на свитчах режем) и порта самбы (его режем на входе из внешки, внутри подсети ограничиваем поличество syn в минуту)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

большинство абонентов ложили на тот платный антивирус (хоть и недорого, но деньги ж)

Есть бесплатная версия антивируса avgfree, на ура прокатывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не вижу преимуществ ip unnambered перед натом, только больше гемора в том или ином виде. А бесплатные это какие?
Avast home

MS Security Essential

 

В байки про IPv6 не верю. Ну не смогут все перейти сразу на IPv6, затратное это дело, ребята + будет вылазить такое, чего никто не ожидает.
Достаточно вспомнить истории 1980-2000 годов, собственно до появления ната.

Будет ровно всё тоже самое.

И даже арп спуфинг никуда не денется, только называться будет по другому :)

И куча отрытых локалок с шарами всплывёт...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Разве не поможет statesfull firewall в случае isg+ip unnumbered, что-то вроде такого для линукса ---

 

iptables -A FORWARD --state RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -s _poll_ip_/XX -o _inet_iface_ --state NEW -j ACCEPT

iptables -P FORWARD DROP

 

а "чесный" ip со всеми открытыми портами снаружи - доп. услуга ...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Запарят же "вирусами который лезут из вашей сети на мой комп". А при нате жалоб таких нет в принципе

Бред не несите и научите пользователей включать встроенный в винду фаервол.

Не видел еще ни одного бага в фаерволе, чтоб пропустил входящий коннект кроме тех, что открыты приложениями.

 

Кроме наверное портов нетбиоса (их вообще на свитчах режем) и порта самбы (его режем на входе из внешки, внутри подсети ограничиваем поличество syn в минуту)

Это вы не несите бред про "учебу юзеров", если хотите учите сами, только другим не советуйте. Юзеры неандертальцы которые сами считают что все лучше любого админа знают, поэтому организовать им канал нужно так что бы единственная их забота была включить компьютер и кликнуть иконку. Если конечно вы хотите что бы о вашей сети в народе говорили "нормальная" а не "такое же гуано как и ххх"

 

Не вижу преимуществ ip unnambered перед натом, только больше гемора в том или ином виде. А бесплатные это какие?
Avast home

MS Security Essential

Выше был ответ, что многие юзеры не признают ничего кроме ххх версии антивируса ххх. И эти юзеры если что вопят громче всех.

С сабжем вроде ясно, каждый кулик хвалит свою схему, значит будем юзать нат

Изменено пользователем denis_vid

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

столкнулись с проблемой при использовании NAT - вконтакт, недавно пользователи NAT вообще перестали видеть вконтакт, после ничего не давшей переписки с вконтактом(3 дня) доступ так-же неожиданно появился как и пропал, но у клиентов теперь наблюдаются проблемы с видео и флеш.

ессно мы с своей стороны ничего не меняли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Выше был ответ, что многие юзеры не признают ничего кроме ххх версии антивируса ххх. И эти юзеры если что вопят громче всех.

С сабжем вроде ясно, каждый кулик хвалит свою схему, значит будем юзать нат

Я то про бесплатные.

Не нравятся бесплатные и умные - пусть сами выкручиваются, никто ж не принуждает.

 

 

столкнулись с проблемой при использовании NAT - вконтакт, недавно пользователи NAT вообще перестали видеть вконтакт, после ничего не давшей переписки с вконтактом(3 дня) доступ так-же неожиданно появился как и пропал, но у клиентов теперь наблюдаются проблемы с видео и флеш.

ессно мы с своей стороны ничего не меняли.

Если не только вконтакт но и случайные/проивзольные сайты/сервисы - возможно проблема с мту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если не только вконтакт но и случайные/проивзольные сайты/сервисы - возможно проблема с мту.

только с асей проблема была, вылечили натом в 1 адрес а не в пул. для вконтакт не прокатило

Изменено пользователем witch

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все банально.

Во первых - убирайте нат и люди к Вам потянутся.

Во вторых - фильтруйте tcp/udp 135-139

В третьих - comodo.com

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все банально.

Во первых - убирайте нат и люди к Вам потянутся.

Во вторых - фильтруйте tcp/udp 135-139

В третьих - comodo.com

Во первых нат благо для абонента и нервной системы сисадмина. Никому не нужен лишний траф. Все популярные приложения адаптированы в той или иной мере под схему с нат. А тянутся люди туда где инет быстрее и проще

Во вторых кроме 135-139 есть 445 tcp и прочие виндовые службы в разной степенью дырявости.

В третьих выше все расписано

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.