witch Опубликовано 30 ноября, 2010 · Жалоба Все банально.Во первых - убирайте нат и люди к Вам потянутся. Во вторых - фильтруйте tcp/udp 135-139 В третьих - comodo.com поясните чем поможет фильтрация tcp/udp 135-139 в конкретной проблеме. поразвёрнутее пожалуйста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 30 ноября, 2010 · Жалоба Все банально.Во первых - убирайте нат и люди к Вам потянутся. Во вторых - фильтруйте tcp/udp 135-139 В третьих - comodo.com поясните чем поможет фильтрация tcp/udp 135-139 в конкретной проблеме. поразвёрнутее пожалуйста. 75% сетевой проказы - netbios...еще имеет смысл фильтровать udp/dstip:255.255.255.255 пакеты - тот еще мусор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
witch Опубликовано 30 ноября, 2010 · Жалоба Все банально.Во первых - убирайте нат и люди к Вам потянутся. Во вторых - фильтруйте tcp/udp 135-139 В третьих - comodo.com поясните чем поможет фильтрация tcp/udp 135-139 в конкретной проблеме. поразвёрнутее пожалуйста. 75% сетевой проказы - netbios...еще имеет смысл фильтровать udp/dstip:255.255.255.255 пакеты - тот еще мусор. и какое отношение это имеет к проблемам с вконтактом при использовании NAT? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 30 ноября, 2010 · Жалоба Все банально.Во первых - убирайте нат и люди к Вам потянутся. Во вторых - фильтруйте tcp/udp 135-139 В третьих - comodo.com поясните чем поможет фильтрация tcp/udp 135-139 в конкретной проблеме. поразвёрнутее пожалуйста. 75% сетевой проказы - netbios...еще имеет смысл фильтровать udp/dstip:255.255.255.255 пакеты - тот еще мусор. и какое отношение это имеет к проблемам с вконтактом при использовании NAT? я тоже когда то читал по диагонали.. Иван первым же делом предложил убрать нат. и только после этого фильтрацию включить. вы спросили про фильтрацию, я прокомментировал фильтрацию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
witch Опубликовано 30 ноября, 2010 · Жалоба чтобы убрать NAT нужно иметь некоторое кол-во свободных адресов для клиентов, а их только заказали, сколько будет телится RIPE я не знаю, а вот проблема есть прямо сейчас. PS поделитесь плиз инфой как вы вы разгребаете проблемы с незапрошенным трафиком на клиентский адрес(который уже без NAT) когда клиент сидит на помегабайтке а на его адрес сыпиться говнецо из инета(при этом у клиента комп выключен) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 30 ноября, 2010 · Жалоба "Говнеца" такого как правило крайне мало. Гдето я читал цифру "не более 3%%". Бороться с ним может в том числе и биллинг. Он должен обрывать привязку IP адреса к лицевому счету, когда абонент отключился. Мы используем bgbilling. Он так и делает. Но честно говоря давно отказались от "помегабайных" тарифов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
witch Опубликовано 30 ноября, 2010 (изменено) · Жалоба "Говнеца" такого как правило крайне мало. Гдето я читал цифру "не более 3%%".Бороться с ним может в том числе и биллинг. Он должен обрывать привязку IP адреса к лицевому счету, когда абонент отключился. Мы используем bgbilling. Он так и делает. Но честно говоря давно отказались от "помегабайных" тарифов. спасибо за мысль, даже в голову не пришла такая простая идея. после отключения клиента адрес возвращается в пулл же :) на тему тарифов это я так назвал "льготный трафик" который на максимальной скорости. но пока проблема с вконтактом очень напрягает и народ начал сваливать. :( может есть какаянить мысль у ALL куда копать? пробовали некоторых клиентов натить "1в1" - не помогло. MTU смотрели - не то. NAT=gentoo+iptables Изменено 30 ноября, 2010 пользователем witch Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 30 ноября, 2010 · Жалоба чтобы убрать NAT нужно иметь некоторое кол-во свободных адресов для клиентов, а их только заказали, сколько будет телится RIPE я не знаю, а вот проблема есть прямо сейчас.PS поделитесь плиз инфой как вы вы разгребаете проблемы с незапрошенным трафиком на клиентский адрес(который уже без NAT) когда клиент сидит на помегабайтке а на его адрес сыпиться говнецо из инета(при этом у клиента комп выключен) Э. Проблему вашу понял.Скажите, а вы не используете RADIUS-аккаунтинг? Ведь учет трафика должен идти до той поры, пока у вас поднят туннель. Старт=стоп ну и при необходимости алайв-пакеты. Туннель уничтожился и трафика нет - что там может досчитываться? Роутинга на этот реальный IP тоже нет - он должен уходить в Null0 в терминах Cisco. В принципе есть и второй вариант - IPoE. Но как по мне, то использование помегабайтных тарифов вкупе с IPoE - не Даовэй. А если нет, то скажите, как считаете трафик? Нетфловом? Счетчиком в правилах пакетного фильтра? Заранее благодарен за комментарии. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 30 ноября, 2010 · Жалоба В принципе есть и второй вариант - IPoE.... А если нет, то скажите, как считаете трафик? Нетфловом? Счетчиком в правилах пакетного фильтра? м? http://www.cisco.com/en/US/docs/ios/12_2sr...e/ipradacc.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
witch Опубликовано 30 ноября, 2010 · Жалоба чтобы убрать NAT нужно иметь некоторое кол-во свободных адресов для клиентов, а их только заказали, сколько будет телится RIPE я не знаю, а вот проблема есть прямо сейчас.PS поделитесь плиз инфой как вы вы разгребаете проблемы с незапрошенным трафиком на клиентский адрес(который уже без NAT) когда клиент сидит на помегабайтке а на его адрес сыпиться говнецо из инета(при этом у клиента комп выключен) Э. Проблему вашу понял.Скажите, а вы не используете RADIUS-аккаунтинг? Ведь учет трафика должен идти до той поры, пока у вас поднят туннель. Старт=стоп ну и при необходимости алайв-пакеты. Туннель уничтожился и трафика нет - что там может досчитываться? Роутинга на этот реальный IP тоже нет - он должен уходить в Null0 в терминах Cisco. В принципе есть и второй вариант - IPoE. Но как по мне, то использование помегабайтных тарифов вкупе с IPoE - не Даовэй. А если нет, то скажите, как считаете трафик? Нетфловом? Счетчиком в правилах пакетного фильтра? Заранее благодарен за комментарии. именно IPoEда netflow на шлюзе Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 30 ноября, 2010 · Жалоба IPoE+Netflow+помегабайтный пакет - ну очень плохая идея. Уж простите. Вроде как есть возможность продолжать вести RADIUS-аккаунтинг на IPoE, или вы принципиально не используете RADIUS? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 1 декабря, 2010 (изменено) · Жалоба но пока проблема с вконтактом очень напрягает и народ начал сваливать. :( может есть какаянить мысль у ALL куда копать? пробовали некоторых клиентов натить "1в1" - не помогло. MTU смотрели - не то. NAT=gentoo+iptables Попробуйте из другой AS, например как временная тестовая мера сквид и PAT с той сети что вам выдал вышестоящий ISP. Контакт возможно фильтрует именно вашу автономку Изменено 1 декабря, 2010 пользователем denis_vid Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 1 декабря, 2010 (изменено) · Жалоба и какое отношение это имеет к проблемам с вконтактом при использовании NAT? Никаких проблем с контактом при использовании ната нет. У вас проблема либо локального характера либо приколы от контакта Изменено 1 декабря, 2010 пользователем denis_vid Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
witch Опубликовано 1 декабря, 2010 · Жалоба с реальных адресов нашей AS вконтакт работает без проблем - значит фильтрации нет. проблема именно в нате, но вот в чём конкретно понять не можем. на тему общения с вконтактом - это песня... после которой отпало напрочь желание общаться с ними дальше. В таких случаях надо делать трассировку. ----- Original Message ----- From: <noc@YYYtelecom.su> To: "Anton Rosenberg" <anton@vkontakte.ru> Sent: Thursday, November 25, 2010 7:18 PM Subject: Re: > 23.11.2010 23:27, Anton Rosenberg пишет: >> Условия не менялись. >> >>> ---------- Forwarded message ---------- >>> From: noc@YYYtelecom.su >>> Date: 2010/11/23 >>> Subject: Проблема с доступом к сети из ASXXX >>> To: support@vkontakte.ru >>> >>> Здравствуйте, с недавнего времени, пользователи пользующиеся услугами >>> нашей компании: >>> route: 195.162.Z.0/23 >>> descr: XXXX-NET >>> origin: ASXXX >>> >>> стали жаловаться на проблемы с доступом к вашим услугам. >>> статистика собранных нами данных об отказах в доступе в вашим услугам, >>> пока не позволяет в какой-либо мере применить анализ данных. >>> Собственно вопрос,не изменилось ли в последнее время у вас какие либо >>> условия доступа к вашим ресурсом с небольшого пула >>> адресов(195.162.Z.XXX/30) т.к. большинство наших клиентов работают через >>> NAT а иногда и "двойной" NAT(home router) >>> >>> Прошу переслать данное сообщение в соответствующее подразделение, если >>> оно доставлено не по адресу. >>> >>> Спасибо. >>> >> >> >> > мы наблюдаем полное отсутствие доступа к вашим ресурсам с нашего пула адресов выделенного для NAT. не могли-бы вы посмотреть не приходят ли вам битие пакеты от нас? или может какой либо был флуд с адресов... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 1 декабря, 2010 · Жалоба Во первых нат благо для абонента и нервной системы сисадмина.Только говно админа и/или на помегабайтке.В остальном мега ущёрбность что нет возможности удалённо сходить на работу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 1 декабря, 2010 (изменено) · Жалоба Во первых нат благо для абонента и нервной системы сисадмина.Только говно админа и/или на помегабайтке.В остальном мега ущёрбность что нет возможности удалённо сходить на работу. 1.Вы никогда не видели нормальных сетей, где натят и инспектирует трафик асы, юзеры из них почему то считают что говноадмины как раз в тех сетях где белые айпи на интерфейсах абонентов и ваше мнение вряд ли их в обратном убедит. А у говноадминов не болит голова от телефонных звонков и они могут работать головой а не языком.2.Религия не позволяет написать одну строку статик нат на рабочий компутер? Изменено 1 декабря, 2010 пользователем denis_vid Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 1 декабря, 2010 · Жалоба Мне, как абоненту и как сис админу на работе, ИСП с натом нафик не сдался. У себя я могу что угодно прописать, я про исп написал. Ещё есть сип, и прочие протоколы, которые в восторге от НАТ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 1 декабря, 2010 · Жалоба 1.Вы никогда не видели нормальных сетей, где натят и инспектирует трафик асы, юзеры из них почему то считают что говноадмины как раз в тех сетях где белые айпи на интерфейсах абонентов и ваше мнение вряд ли их в обратном убедит. А у говноадминов не болит голова от телефонных звонков и они могут работать головой а не языком.зато видели людей, считающих автоваз - единственным настоящим автопромом, а все остальное... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 2 декабря, 2010 (изменено) · Жалоба зато видели людей, считающих автоваз - единственным настоящим автопромом, а все остальное...Вот именно) Ещё есть сип, и прочие протоколы, которые в восторге от НАТ.Теретически только в том случае если оба хоста за нат, но и в этом случае проблемы решены софтовоПовторюсь если на одной чаше весов очень сомнительное неудобство от нат а на другой повышенный трафик и недовольные абоненты то выбор для меня очевиден Изменено 2 декабря, 2010 пользователем denis_vid Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 2 декабря, 2010 · Жалоба Повторюсь если на одной чаше весов очень сомнительное неудобство от нат а на другой повышенный трафик и недовольные абоненты то выбор для меня очевиден NAT - это короткие штанишки. Если Вам в них комфортно - Вы из них ещё не выросли... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 2 декабря, 2010 (изменено) · Жалоба >NAT - это короткие ... Черт, сам Пушкин не сказал бы лучше и точнее. Респект ! Жаль адресов почти не осталось. https://www.arin.net/announcements/2010/20101130.html Скоро дефицит будет как черная икра. Изменено 2 декабря, 2010 пользователем Ivan Rostovikov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 3 декабря, 2010 · Жалоба Повторюсь если на одной чаше весов очень сомнительное неудобство от нат а на другой повышенный трафик и недовольные абоненты то выбор для меня очевиденNAT - это короткие штанишки. Если Вам в них комфортно - Вы из них ещё не выросли... Ага, "короткие штанишки" "протоколы не в восторге" я понял) А белый адрес это рулезз. Особенно который висит на адсл модемах, точках доступа и прочей домашней тряхомудии. Убедили на все 100, можно больше не стараться) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 3 декабря, 2010 · Жалоба у меня вопрос к любителям белых адресов что делать будете когда исчерпаете свои последние запасы после того как закончится ipv4? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 3 декабря, 2010 · Жалоба Тоже, что и все. И Вы к стати тоже. Ломанемся в ipv6. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 3 декабря, 2010 · Жалоба Тоже, что и все. И Вы к стати тоже. Ломанемся в ipv6. я пока не знаю что буду делать... наиболее вероятным, в данный момент, вариантом вижу реализацию NAT ipv4-to-ipv6 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...