dignity Опубликовано 3 декабря, 2013 · Жалоба Добрый день, друзья. У меня тут возникла задача дать клиентам веб-морду к файрволу (то есть вебморду мы сами напишем). Подумалось о mikrotik, причем именно как routerboard, чтобы дать техподдержке достаточно простой и понятный инструмент. Сразу скажу, что не хочу под это дело ставить PC по причине малопортовости, да и вообще, морочиться лень, кроме того есть на складе Juniper isg2000, если не будет адекватной железки, на нем сделаю без проблем, просто он энергии жрет как пылесос, а мне бы что-то маломощное, чтобы еще в ИБП не пришлось вкладываться. Итак, что хочу: ~ 2000 правил файрвола INGRESS stateless FW без conntrack и т.п., планируется внедрение бриджевое. При этом требуется пропустить 1.5G simplex-а суммарно по направлениям на IMIX трафике. ~ медные или оптические порты, если будет пара оптических, вообще кошерно. Цена в пределах 20 т.р. В принципе, как вариант, можно рассмотреть еще Cisco 7201/7301, если она на этих условиях не встанет колом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 3 декабря, 2013 · Жалоба Так же, я проблему с другой стороны мог бы решить. Как аппартный хост + куча m0n0wall/mikrotik под KVM, по одной штуке под клиента, хотя меня волнуют ситуации, когда будет деградация других FW из-за перегруза какого-то FW на хосте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 3 декабря, 2013 · Жалоба Mikrotik CCR1016 как раз укладывается в бюджет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 3 декабря, 2013 · Жалоба Укладывается Ли он в требования, вот что любопытно... Именно на такой задаче как fw. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 3 декабря, 2013 · Жалоба боюсь что он "Укладывается". %sarcasm Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 3 декабря, 2013 · Жалоба Сарказм детектед)) у меня есть ощущение, что именно как fw с большим количеством правил будет плохо... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
applx Опубликовано 3 декабря, 2013 · Жалоба Juniper ISG-2000 правда там все statefull Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 3 декабря, 2013 · Жалоба Juniper ISG-2000 правда там все statefull ну ему без разницы, он же хардварный по самое не хочу, все на ASIC. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sexst Опубликовано 3 декабря, 2013 · Жалоба А микротик вообще stateless умеет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 4 декабря, 2013 · Жалоба А микротик вообще stateless умеет? в настройках можно отключить conntrack, но отключается ли он на самом деле - это надо проверять Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 4 декабря, 2013 · Жалоба отключается на самом деле, но от 2к правил умрет нафиг, даже без контрака ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 5 декабря, 2013 · Жалоба Микротик... 1G FW... Мсье, если вы живете на работе и вам не чужд извращенный секс - то велкам. В любом другом случае я бы взял джунипер Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 5 декабря, 2013 · Жалоба А я бы циску Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ArcticFox Опубликовано 5 декабря, 2013 · Жалоба А у кого какая нагрузка на файрволе микротика живёт? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 5 декабря, 2013 · Жалоба Микротик... 1G FW... Мсье, если вы живете на работе и вам не чужд извращенный секс - то велкам. В любом другом случае я бы взял джунипер Я согласный, но уж много электричества он кушает и места 3u целых + уж сильно эксклюзивная железка, зип хрен найдешь при поломке. А так, конечно, да. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 5 декабря, 2013 · Жалоба А у кого какая нагрузка на файрволе микротика живёт? У меня 3 правила, полет нормальный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xxxupg Опубликовано 5 декабря, 2013 · Жалоба есть железка с 56 правилами там отлов спамеров\скан портов\левые dhcp\ пинги и т.п. работает всё чётко Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 5 декабря, 2013 · Жалоба 8 правил + 3 address lists (aka ipset в терминах МТ) с порядка 4 тыс записей, без NAT и conntrack, клеил ласты при 800М (400/400). Машинка C2D 3GHz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kww Опубликовано 5 декабря, 2013 (изменено) · Жалоба Добрый день, друзья. ....... Итак, что хочу: ~ 2000 правил файрвола INGRESS stateless FW без conntrack и т.п., планируется внедрение бриджевое. При этом требуется пропустить 1.5G simplex-а суммарно по направлениям на IMIX трафике. ~ медные или оптические порты, если будет пара оптических, вообще кошерно. В принципе, как вариант, можно рассмотреть еще Cisco 7201/7301, если она на этих условиях не встанет колом. Достаточно давно работаю с CCR-1036 , CCR-1016. При 2000 правил FW созданных "в лоб" 36 ядер укладываютя на потоке в 300 Mbit реального клиентского траффика. Но.. при 7000-8000 правил в address list и 20 в FW, что выполняют видимо те-же задачи что и ваши 2000 правил CCR-1036 спокойно прожевывает 2G траффика с 20-30% загрузкой (без conntrack). Опишите свою задачу, и если нет решения без 2000 правил FW - то mikrotik не ваша железка. Изменено 5 декабря, 2013 пользователем kww Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 5 декабря, 2013 · Жалоба можно провести оптимизацию: использовать цепочки, чтобы пакет шел не по всем 2000 правилам, а предположим по количеству клиентов + максимальное количество правил для клиента Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kww Опубликовано 5 декабря, 2013 · Жалоба можно провести оптимизацию: использовать цепочки, чтобы пакет шел не по всем 2000 правилам, а предположим по количеству клиентов + максимальное количество правил для клиента Проверено CCR-1036 при нагрузке более 1G - 100 правил в FW - уже неприемлемо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 5 декабря, 2013 · Жалоба При 2000 правил FW созданных "в лоб" 36 ядер укладываютя на потоке в 300 Mbit реального клиентского траффика. Но.. при 7000-8000 правил в address list и 20 в FW, что выполняют видимо те-же задачи что и ваши 2000 правил CCR-1036 спокойно прожевывает 2G траффика с 20-30% загрузкой (без conntrack). Опишите свою задачу, и если нет решения без 2000 правил FW - то mikrotik не ваша железка. вот это мне как раз не нужно. Я хотел бы задачу решить простым способом, а не так, чтобы потом только "избранные" могли в этом разобраться. А то есть у нас тут услуги, которые только с танцами с бубном и только избранными заводятся. Я в последнее время придерживаюсь принципа keep it stupid simple. Я уж лучше на хосте большом заведу каждому по отдельному m0n0wall в kvm, c 1м ядром и 64 mb ram и буду уверен что за 1 ядро он не выпрыгнет пусть там хоть какой изврат наконфигурирует себе... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 5 декабря, 2013 · Жалоба можно провести оптимизацию: использовать цепочки, чтобы пакет шел не по всем 2000 правилам, а предположим по количеству клиентов + максимальное количество правил для клиента Можно предположить что сначала стоит запрещающее правило, которое блокирует доступ в интернет всех клиентов, а потом создаются разрешающие, которые позволяют определенному клиенту выходить в интернет. Такая схема в корне не верная по загрузки оборудования. Правильнее вообще ничего не блокировать и пускать всех в сеть. Если у абонента нет денег, то помещать его в адрес лист должников, и уже тех, кто в нем находится, блокировать или перенаправлять на страничку. Сейчас, когда используются технологии, которые не позволяют абонентам самостоятельно менять адреса, или не легально подключаться к сети, пропадает сам смысл блокировки всего трафика. Поэтому я и написал что используются всего 3 правила=) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kww Опубликовано 5 декабря, 2013 (изменено) · Жалоба вот это мне как раз не нужно. Я хотел бы задачу решить простым способом, а не так, чтобы потом только "избранные" могли в этом разобраться. А то есть у нас тут услуги, которые только с танцами с бубном и только избранными заводятся. Я в последнее время придерживаюсь принципа keep it stupid simple. Я уж лучше на хосте большом заведу каждому по отдельному m0n0wall в kvm, c 1м ядром и 64 mb ram и буду уверен что за 1 ядро он не выпрыгнет пусть там хоть какой изврат наконфигурирует себе... Как раз тот самый случай :))) Дешево - без бубна никак, котя бубен там прост и минимален. По поводу избранных - у вас решение получится не менее уникально, и с разбегу понятно только Вам. Изменено 5 декабря, 2013 пользователем kww Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 5 декабря, 2013 · Жалоба можно провести оптимизацию: использовать цепочки, чтобы пакет шел не по всем 2000 правилам, а предположим по количеству клиентов + максимальное количество правил для клиента Можно предположить что сначала стоит запрещающее правило, которое блокирует доступ в интернет всех клиентов, а потом создаются разрешающие, которые позволяют определенному клиенту выходить в интернет. Такая схема в корне не верная по загрузки оборудования. Правильнее вообще ничего не блокировать и пускать всех в сеть. Если у абонента нет денег, то помещать его в адрес лист должников, и уже тех, кто в нем находится, блокировать или перенаправлять на страничку. Сейчас, когда используются технологии, которые не позволяют абонентам самостоятельно менять адреса, или не легально подключаться к сети, пропадает сам смысл блокировки всего трафика. Поэтому я и написал что используются всего 3 правила=) В частном, Вы правы, существует класс задач, где такая оптимизация приемлема, однако, если клиент сам управляет своим файрволом и хочет странного, то это не подходит. вот это мне как раз не нужно. Я хотел бы задачу решить простым способом, а не так, чтобы потом только "избранные" могли в этом разобраться. А то есть у нас тут услуги, которые только с танцами с бубном и только избранными заводятся. Я в последнее время придерживаюсь принципа keep it stupid simple. Я уж лучше на хосте большом заведу каждому по отдельному m0n0wall в kvm, c 1м ядром и 64 mb ram и буду уверен что за 1 ядро он не выпрыгнет пусть там хоть какой изврат наконфигурирует себе... Как раз тот самый случай :))) Дешево - без бубна никак, котя бубен там прост и минимален. По поводу изюранных - у вас решение получится не менее уникально, и с разбегу понятно только Вам. По крайней мере это легко масштабировать и траблшутить, а суть решения может быть описана в KB в 3х абзацах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...