denis_vid Опубликовано 29 ноября, 2010 · Жалоба Вот сижу и ломаю голову, что лучше в свете нагрузки на аплинки - схема ISG&NAT или ISG и IP unnambered? Ясно что трафик на аплиники выше без NAT, но если закрыть входящие соединения(для всех кроме тех кому оно надо) на порты <1024 получится ли таким методом "убить 2-х зайцев"? Без NATа но сравнительно с такой же нагрузкой на аплинки Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 29 ноября, 2010 · Жалоба подрезание не спасет... только "поднасрете" абонентам своим. isg+ip unnumbered, и грамотно спроектированный qos. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 29 ноября, 2010 (изменено) · Жалоба подрезание не спасет... только "поднасрете" абонентам своим.isg+ip unnumbered, и грамотно спроектированный qos. Да по сабжу так лучше, но как тогда быть с безопасностью для абонентов при юзании ната если не фильтровать порты? Запарят же "вирусами который лезут из вашей сети на мой комп". А при нате жалоб таких нет в принципе Изменено 29 ноября, 2010 пользователем denis_vid Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 29 ноября, 2010 · Жалоба Да по сабжу так лучше, но как тогда быть с безопасностью для абонентов при юзании ната если не фильтровать порты? Запарят же "вирусами который лезут из вашей сети на мой комп". А при нате жалоб таких нет в принципесамое простое - начать раздовать в сети антивирус, как это делают многие. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 29 ноября, 2010 (изменено) · Жалоба Да по сабжу так лучше, но как тогда быть с безопасностью для абонентов при юзании ната если не фильтровать порты? Запарят же "вирусами который лезут из вашей сети на мой комп". А при нате жалоб таких нет в принципесамое простое - начать раздовать в сети антивирус, как это делают многие. Получается кастыль, большинство абонентов ложили на тот платный антивирус (хоть и недорого, но деньги ж) что предлагает провайдер. Заклинило их на ломаном ноде, авасте или только конкретной версии касперского версии n-го года и все тут. А воплей потом "у кореша на каком то адсл не ломают комп а в вашей сети рассадник вирусов" И чихать им с колокольни на объяснения. Потому пока склоняюсь к нату Изменено 29 ноября, 2010 пользователем denis_vid Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 29 ноября, 2010 · Жалоба ключевое слово "платный". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 29 ноября, 2010 · Жалоба ключевое слово "платный". это да .. да и вообще когда в конце концов оператор будет доплачивать клиенту за доступ в инет немного не в тему вопрос при выдаче адресов по ip unnumbered - как вопрос с запросами из УВД решаете логи радиус сессий храните? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 29 ноября, 2010 · Жалоба Да по сабжу так лучше, но как тогда быть с безопасностью для абонентовЭто не ваше дело, вы труба, и ваше дело труба :)Хотите: - подвязывайтесь на продажу антивирусов за процент. - делайте хотя бы в ЛК вкл/выкл всей фильтрации Получается кастыль, большинство абонентов ложили на тот платный антивирусЕсть бесплатные, для дома или для тех у кого лицензионная винда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 29 ноября, 2010 (изменено) · Жалоба Да по сабжу так лучше, но как тогда быть с безопасностью для абонентовЭто не ваше дело, вы труба, и ваше дело труба :)Хотите: - подвязывайтесь на продажу антивирусов за процент. - делайте хотя бы в ЛК вкл/выкл всей фильтрации Получается кастыль, большинство абонентов ложили на тот платный антивирусЕсть бесплатные, для дома или для тех у кого лицензионная винда. Не вижу преимуществ ip unnambered перед натом, только больше гемора в том или ином виде. А бесплатные это какие? Я как неинтересующийся этим вопросом кроме AV-Desk ничего не знаю. Но он платный Изменено 29 ноября, 2010 пользователем denis_vid Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 29 ноября, 2010 · Жалоба плату за антивирус можно включить в тех.обслуживание абонентской линии. причем прозрачно и без лишних вопросов - поднять допустим на 5-10руб. все равно не все 100% будут использовать ваш антивирус, а те кто будут пользоваться - тех эти самые 5-10руб и покроют. цифра конечно же варьируется от объема вашей активной абонентской базы. вариантов как сделать из платного бесплатное - очень много. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bokl Опубликовано 29 ноября, 2010 · Жалоба лучше уж какой нить анализатор трафика на л7, который будет и антивирить трафик и файрволить его. через одну железку можно много много абонов пустить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 29 ноября, 2010 · Жалоба лучше уж какой нить анализатор трафика на л7, который будет и антивирить трафик и файрволить его. через одну железку можно много много абонов пустить. космическое по цене решение, если брать тот же sce для примера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 29 ноября, 2010 · Жалоба А вот вопрос. Чем плохо рубить входящие сессии? Думаю это самое правильное решение. Для пула под хомяков рубать весь вход. Надо порты - дополнительная услуга. Надо нат 1 в 1 - дополнительная услуга. Надо статик реалIP - допуслуга. Надо антивирус - допуслуга. Надо контент сканнер - допуслуга. Надо открыть смпт - выдать IP из пула, где не запрещены коннекты на 25 порт TCP. Вроде все логично. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rus-p Опубликовано 29 ноября, 2010 · Жалоба А вот вопрос. Чем плохо рубить входящие сессии? Думаю это самое правильное решение. Для пула под хомяков рубать весь вход. Надо порты - дополнительная услуга. Надо нат 1 в 1 - дополнительная услуга. Надо статик реалIP - допуслуга. Надо антивирус - допуслуга. Надо контент сканнер - допуслуга. Надо открыть смпт - выдать IP из пула, где не запрещены коннекты на 25 порт TCP. Вроде все логично. Так и делают, в сотовых сетях например. А в ШПД слишком много игроков, не договориться. А пока слияния/поглощения пройдут уже IPv6 будет, идея станет мало привлекательной. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 29 ноября, 2010 · Жалоба А вот вопрос. Чем плохо рубить входящие сессии? Думаю это самое правильное решение. Для пула под хомяков рубать весь вход. Надо порты - дополнительная услуга. Надо нат 1 в 1 - дополнительная услуга. Надо статик реалIP - допуслуга. Надо антивирус - допуслуга. Надо контент сканнер - допуслуга. Надо открыть смпт - выдать IP из пула, где не запрещены коннекты на 25 порт TCP. Вроде все логично. Так и делают, в сотовых сетях например. А в ШПД слишком много игроков, не договориться. А пока слияния/поглощения пройдут уже IPv6 будет, идея станет мало привлекательной. Каких игроков? Не понял.В байки про IPv6 не верю. Ну не смогут все перейти сразу на IPv6, затратное это дело, ребята + будет вылазить такое, чего никто не ожидает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 29 ноября, 2010 · Жалоба Запарят же "вирусами который лезут из вашей сети на мой комп". А при нате жалоб таких нет в принципе Бред не несите и научите пользователей включать встроенный в винду фаервол. Не видел еще ни одного бага в фаерволе, чтоб пропустил входящий коннект кроме тех, что открыты приложениями. Кроме наверное портов нетбиоса (их вообще на свитчах режем) и порта самбы (его режем на входе из внешки, внутри подсети ограничиваем поличество syn в минуту) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
++PPoE Опубликовано 29 ноября, 2010 · Жалоба большинство абонентов ложили на тот платный антивирус (хоть и недорого, но деньги ж) Есть бесплатная версия антивируса avgfree, на ура прокатывает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 30 ноября, 2010 · Жалоба Не вижу преимуществ ip unnambered перед натом, только больше гемора в том или ином виде. А бесплатные это какие?Avast homeMS Security Essential В байки про IPv6 не верю. Ну не смогут все перейти сразу на IPv6, затратное это дело, ребята + будет вылазить такое, чего никто не ожидает.Достаточно вспомнить истории 1980-2000 годов, собственно до появления ната.Будет ровно всё тоже самое. И даже арп спуфинг никуда не денется, только называться будет по другому :) И куча отрытых локалок с шарами всплывёт... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a_andry Опубликовано 30 ноября, 2010 · Жалоба Разве не поможет statesfull firewall в случае isg+ip unnumbered, что-то вроде такого для линукса --- iptables -A FORWARD --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -s _poll_ip_/XX -o _inet_iface_ --state NEW -j ACCEPT iptables -P FORWARD DROP а "чесный" ip со всеми открытыми портами снаружи - доп. услуга ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 30 ноября, 2010 (изменено) · Жалоба Запарят же "вирусами который лезут из вашей сети на мой комп". А при нате жалоб таких нет в принципе Бред не несите и научите пользователей включать встроенный в винду фаервол. Не видел еще ни одного бага в фаерволе, чтоб пропустил входящий коннект кроме тех, что открыты приложениями. Кроме наверное портов нетбиоса (их вообще на свитчах режем) и порта самбы (его режем на входе из внешки, внутри подсети ограничиваем поличество syn в минуту) Это вы не несите бред про "учебу юзеров", если хотите учите сами, только другим не советуйте. Юзеры неандертальцы которые сами считают что все лучше любого админа знают, поэтому организовать им канал нужно так что бы единственная их забота была включить компьютер и кликнуть иконку. Если конечно вы хотите что бы о вашей сети в народе говорили "нормальная" а не "такое же гуано как и ххх" Не вижу преимуществ ip unnambered перед натом, только больше гемора в том или ином виде. А бесплатные это какие?Avast homeMS Security Essential Выше был ответ, что многие юзеры не признают ничего кроме ххх версии антивируса ххх. И эти юзеры если что вопят громче всех.С сабжем вроде ясно, каждый кулик хвалит свою схему, значит будем юзать нат Изменено 30 ноября, 2010 пользователем denis_vid Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
witch Опубликовано 30 ноября, 2010 · Жалоба столкнулись с проблемой при использовании NAT - вконтакт, недавно пользователи NAT вообще перестали видеть вконтакт, после ничего не давшей переписки с вконтактом(3 дня) доступ так-же неожиданно появился как и пропал, но у клиентов теперь наблюдаются проблемы с видео и флеш. ессно мы с своей стороны ничего не меняли. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 30 ноября, 2010 · Жалоба Выше был ответ, что многие юзеры не признают ничего кроме ххх версии антивируса ххх. И эти юзеры если что вопят громче всех.С сабжем вроде ясно, каждый кулик хвалит свою схему, значит будем юзать нат Я то про бесплатные.Не нравятся бесплатные и умные - пусть сами выкручиваются, никто ж не принуждает. столкнулись с проблемой при использовании NAT - вконтакт, недавно пользователи NAT вообще перестали видеть вконтакт, после ничего не давшей переписки с вконтактом(3 дня) доступ так-же неожиданно появился как и пропал, но у клиентов теперь наблюдаются проблемы с видео и флеш.ессно мы с своей стороны ничего не меняли. Если не только вконтакт но и случайные/проивзольные сайты/сервисы - возможно проблема с мту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
witch Опубликовано 30 ноября, 2010 (изменено) · Жалоба Если не только вконтакт но и случайные/проивзольные сайты/сервисы - возможно проблема с мту. только с асей проблема была, вылечили натом в 1 адрес а не в пул. для вконтакт не прокатило Изменено 30 ноября, 2010 пользователем witch Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 30 ноября, 2010 · Жалоба Все банально. Во первых - убирайте нат и люди к Вам потянутся. Во вторых - фильтруйте tcp/udp 135-139 В третьих - comodo.com Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 30 ноября, 2010 · Жалоба Все банально.Во первых - убирайте нат и люди к Вам потянутся. Во вторых - фильтруйте tcp/udp 135-139 В третьих - comodo.com Во первых нат благо для абонента и нервной системы сисадмина. Никому не нужен лишний траф. Все популярные приложения адаптированы в той или иной мере под схему с нат. А тянутся люди туда где инет быстрее и прощеВо вторых кроме 135-139 есть 445 tcp и прочие виндовые службы в разной степенью дырявости. В третьих выше все расписано Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...