[gsmail]

А что можно поставить на IX 1U в качестве фаервола L4 на 10G для защиты от ДДос.

[myst]

=)))

Уже смешно.

 

Рано вам ещё на IX если вы путаете коммутаторы, фаерволы, и уровни модели оси.

Изменено 17 июня, 2014 пользователем myst

[gsmail]

А что смешно? Расскажите, пожалуйста.

 

Я понимаю, что настоящий фаервол на такую скорость стоит очень дорого, возможно существуют свитчи с возможностью блокировать трафик по портам и ИП.

Изменено 17 июня, 2014 пользователем gsmail

[danilbal]

ACL есть на многих коммутаторах, но от этого они не начинают "коммутировать L4", и уж тем более - защищать от ДДОСа.

[myst]

Потому что "свитч" это л2. Фаервол это вообще немного из другой области, а "коммутировать" l4 вообще невозможно.

 

У вас полная каша в голове. Вот по этому смешно.

Изменено 17 июня, 2014 пользователем myst

[gsmail]

Существует ли коммутатор с ACL по IP, портам на 10G

[myst]

Существует ли коммутатор с ACL по IP, портам на 10G

Существует. Например cisco4948, но справедливости ради это не коммутатор.

[gsmail]

Существует. Например cisco4948, но справедливости ради это не коммутатор.

Фу, меня поняли, спасибо :)

 

То есть его можно подключить по l2 и иметь возможность на порту блокировать трафи по портам и IP ?

А сколько таких правил можно добавить, как это влияет на его производительность?

[myst]

Существует. Например cisco4948, но справедливости ради это не коммутатор.

Фу, меня поняли, спасибо :)

 

То есть его можно подключить по l2 и иметь возможность на порту блокировать трафи по портам и IP ?

А сколько таких правил можно добавить, как это влияет на его производительность?

Да можно.

 

Сколько конкретно ацл можно посмотреть в датащите, заодно глянуть в асиках оно реализовано или софтово, и от этого плясать по производительности.

 

Но никакого анти-дидоса ждать от этого недороутера-пересвича не стоит. Не того класса железка.

[gsmail]

Но никакого анти-дидоса ждать от этого недороутера-пересвича не стоит. Не того класса железка.

имеется ввду, возможность заблокировать атакуемый IP, порт на нем, и все должно дальше работать.

Вся суть, что в IX до 10G, а дальше к нам идет уже максимум 0.5G. При атаках, 1гбит, все парализуется. Блокируем весь IP через блекхоле, хотя обычно атаки по UDP, что можно срезать без проблем для сервиса.

 

 

А по личному опыту, никто не знает про производительнось?

Изменено 17 июня, 2014 пользователем gsmail

[vlad11]

Ставьте обычный PC, 1Gb он легко отфильтрует.

Другое дело, сейчас ДДoС очень часто забивает полностью линки 1 Gb.

Дальше уже идут специализированные железки - Cisco ASA, Cisco GUARD, Arbor.

[secandr]

имеется ввду, возможность заблокировать атакуемый IP, порт на нем, и все должно дальше работать.

Купите вы железяку за XX k$ отразите одну, две атаки. Атакующие сообразят, что не проходит атака, сменят в софте одну, две галки и хана вашей защите. Деньги выброшены на ветер.

 

Лучше сделать как предлагает vlad11. Можно в писюк и 10г карточку сунуть, гораздо гибче будет решение. Только наймите человека, рубящего в ПС подобного класса. Ибо мы периодически развлекаемся реализацией на ПС разной лабуды, иногда попадаются довольно забавные ограничения в самых невероятных местах. За счёт большого числа проектов косяки с железом не сильно накладны...

[VVSina]

... иногда попадаются довольно забавные ограничения в самых невероятных местах....

 

А можно пару примеров на вскидку?

[vlad11]

А можно пару примеров на вскидку?

 

Навскидку, проблемы с прерываниями, очередями и распределениям по ядрам процессора/ов.

Узнаете много нового о ACPI и о разных производителях материнок.

[secandr]

У нас задачи совсем другие, так что там обычно всё то в винты, то в память упирается. В своё время делали файло-помойку, так выяснилось, что сетевая карточка в недешёвом сервере, мягко говоря, не очень. При трафике в 100-150 мбит сетевая засерает CPU на 100%. Разбираться особо не стали, перекинули задачи на другой сервер.

[gsmail]

А чем железка с возможностью блокировать порты и IP не мобильное решение? Им будет управлять сервер, которые анализирует трафик и принимает решение.

Сервер мы пробовали, к сожалению, надо массу знаний, так как достаточно мощный сервер начинает тормозить.

Другой вопрос, сможет ли такое недорогое решение как cisco 4948 прожевать 10G c acl.

[Butch3r]

А можно пару примеров на вскидку?

 

Навскидку, проблемы с прерываниями, очередями и распределениям по ядрам процессора/ов.

Узнаете много нового о ACPI и о разных производителях материнок.

какую маму посоветуете?

[DVM-Avgoor]

Другой вопрос, сможет ли такое недорогое решение как cisco 4948 прожевать 10G c acl.

 

 

Оно железное, ему пофиг. Главное TCAM не переполнить.

[digsi]

народ, откройте глаза , есть коммутатция на L4 и она идет именно по портам. на прокурвах коммутаторах L3-4 так и описано.

[Antares]

А можно пару примеров на вскидку?

 

Навскидку, проблемы с прерываниями, очередями и распределениям по ядрам процессора/ов.

Узнаете много нового о ACPI и о разных производителях материнок.

какую маму посоветуете?

+1

[s.lobanov]

Если речь про stateless L4 acl, то такое умеют почти все, даже самые дешёвые l2/l3-свитчи. Поможет оно вам от ддоса это уже другой вопрос

[g3fox]

Для защиты от DDoS вас спасёт любой коммутатор, который можно выключить из розетки.

Атакуют - отключаете из розетки, и на защищаемом сервисе всё становится замечательно.

 

А если серьёзно: попробуйте, например, http://qrator.net

Ценник не знаю. К ним отношения не имею.

[myst]

народ, откройте глаза , есть коммутатция на L4 и она идет именно по портам. на прокурвах коммутаторах L3-4 так и описано.

чего???

 

Яб вас даже на собеседование не пригласил.

Изменено 18 июня, 2014 пользователем myst

[DVM-Avgoor]

Яб вас даже на собеседование не пригласил.

 

Ггг. Ну балансеры например как раз L4 свитчи. Но я не уверен что он их имел ввиду :)

[digsi]

myst я бы к вам не пошел, раз в руководстве люди не владеют новым знанием, т.е. по сути отсталые )) http://www.hp.com/rnd/support/faqs/93xx_6308.htm Q:

Do the HP ProCurve Routing Switches support Layer 4 switching?

Yes. The HP ProCurve Routing Switches execute wire-speed Layer 4 switching decisions based on source and destination IP address in combination with TCP and UDP port numbers.

Изменено 18 июня, 2014 пользователем digsi