[Pritorius]

Господа хочется странного или не бывает.

 

Нужно на последнем линке к магистралу в разрыв прозрачный файрвол поставить, который без маршрутизации как коммутатор работает, но блокирует то что мне не нужно.

[orlik]

ну смотря что надо , если на PC то вообще не проблема , любой вервак с линукс или БСД на борту. если от вендора, то cisco ASA по моему умеет , да и многие другие

 

а вообще поиск в гугле на тему transparent firewall

 

P.S. но самое правильное решение будет DPI, кстати на таких скоростях можно и на PC собрать :)

[alkanaft]

ACL на порту коммутатора не проканает?

[Pritorius]

ACL на порту коммутатора не проканает?

 

Не красиво :) Хочется что-то более удобоюзательное и специализированное :)

 

P.S. но самое правильное решение будет DPI, кстати на таких скоростях можно и на PC собрать :)

 

Уже не вывозит, по ППС заваливается :(

[Saab95]

Уже не вывозит, по ППС заваливается :(

 

10000 пакетов и заваливается?

[BiWiS]

Эээ... что это за железо такое?

10к pps на 200мбит для PC это как семечки должно быть.

[f13]

cisco asa?

[orlik]

Уже не вывозит, по ППС заваливается :(

 

Вы просто не умеете их готовить , я думаю даже если запустить snort, то до 500Мбит проблем быть не должно

[Pritorius]

Уже не вывозит, по ППС заваливается :(

 

10000 пакетов и заваливается?

 

С тем файрволом (программным) который сейчас юзаем валится. Если отключаю оставляю только маршрутизацию всё летает. Помните тему про нагрузку только на одно ядро. Проблема оказалась в файрволе.

 

Уже не вывозит, по ППС заваливается :(

 

Вы просто не умеете их готовить , я думаю даже если запустить snort, то до 500Мбит проблем быть не должно

 

Я вам про ППС вы мне про скорость :)

[martini]

А ТТХ железа и софта что сейчас стоит не нужно сказать ?? ато вдруг там Вынь2003 с вингейтом ))))

В режиме бриджа ebtables может отработать очень большой трафик с множеством правил.. а такие ППСы для него вообще семечки.

[Pritorius]

Что вы имеете против ВИН2003??? Только с конкретными примерами а не слюнями ВиндовсМастДай.

 

Спецификации тут: http://forum.nag.ru/forum/index.php?showtopic=82074

[pppoetest]

Только с конкретными примерами а не слюнями ВиндовсМастДай.

Как минимум стоимость инсталляции.

[Ivan Rostovikov]

Обратите внимание на это :

http://www.npo-rtc.ru

http://www.npo-rtc.ru/product/sspt-2/

[NiTr0]

Что вы имеете против ВИН2003???

Угробищная сетевая подсистема, категорически непригодная к эксплуатации под большой нагрузкой. Чрезвычайно высокая ресурсоемкость (1 гбит/с на семпроне 2800+ под *никсами вытянуть - раз плюнуть на реалтеке или нфорсе, на винде - это просто нереально), отсутствие адекватного распараллеливания нагрузки в сетевой подсистеме и т.п... Не, можете конечно извращаться, но смысл?

[Pritorius]

Только с конкретными примерами а не слюнями ВиндовсМастДай.

Как минимум стоимость инсталляции.

 

Стоимость инсталляции компенсируется на второй месяц использования, отсутствием зарплаты на вечно пьющего кофе, с умными видом линуксойда, который осознаёт свою значимость и делает всё из под палки! :) Проходили уже... Я же даже секретарше могу объяснить по телевону что куда тыкнуть чтобы всё заработало. Единственное наверно на IDECO бы перешёл, но "это уже на следующем этапе".

 

Что вы имеете против ВИН2003???

Угробищная сетевая подсистема, категорически непригодная к эксплуатации под большой нагрузкой. Чрезвычайно высокая ресурсоемкость (1 гбит/с на семпроне 2800+ под *никсами вытянуть - раз плюнуть на реалтеке или нфорсе, на винде - это просто нереально), отсутствие адекватного распараллеливания нагрузки в сетевой подсистеме и т.п... Не, можете конечно извращаться, но смысл?

 

Не спорю, но решения нужно выбирать исходя из задач :)

 

С другой стороны что вы думаете про NDIS 6.x ?

 

Обратите внимание на это :

http://www.npo-rtc.ru

http://www.npo-rtc.ru/product/sspt-2/

 

То что нужно спасибо!

Edited January 29, 2013 by Pritorius

[^rage^]

поставьте vyatta и будет вам счастье.

[Pritorius]

поставьте vyatta и будет вам счастье.

 

Роскомнадзору как это счастье подавать?

[pppoetest]

Стоимость инсталляции компенсируется на второй месяц использования, отсутствием зарплаты на вечно пьющего кофе, с умными видом линуксойда, который осознаёт свою значимость и делает всё из под палки! :) Проходили уже...

Каждый смотрит на проблему по своему. Не вижу смысла держать на зряплате подобного индивидуума, разобраться в вопросе может любой, благо информации сейчас тонны, по любому вопросу. Было бы желание.

[vurd]

Какой у вас сейчас DPI? Почему бы не использовать тот же SCE1010?

[Pritorius]

Эх спалили меня... что без защиты сижу сегодня отбивался от атаки с 91.218.248.29, ломился на RDP множеством соединений видимо пароль подбирал.

 

Кому интересно на 91.218.248.29 открыт такой же доступ по RDP (win2008r2 приветствует, дальше не полез).

[Ivan_83]

ломился на RDP множеством соединений видимо пароль подбирал.

Давно не обращаю на такое внимание.

[Pritorius]

Я бы тоже не обращал но фигачили так что проц на 40% захапали на часик )))

[martini]

а Ivan_83 не обращает потому что у него Freebsd установлен ))

я не обращаю внимание потому как у меня Линукс установлен..

Не нужно пытаться разогнать запорожец )

[Ivan_83]

а Ivan_83 не обращает потому что у него Freebsd установлен ))

На ssh тоже долбятся.

У клиентов 2к8р2 стоят, дома семёрка с рдп на ружу, до всех прокинуты порты и ограничений на подключения нет.

Может каналы узкие, из за этого подборщикам становится скучно и они отваливают быстро.

[martini]

та долбятся на все.. но так чтобы аж 40% проца сожрало не было ни на одном роутере.