Перейти к содержимому
Калькуляторы

А что можно поставить на IX 1U в качестве фаервола L4 на 10G для защиты от ДДос.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

=)))

Уже смешно.

 

Рано вам ещё на IX если вы путаете коммутаторы, фаерволы, и уровни модели оси.

Изменено пользователем myst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что смешно? Расскажите, пожалуйста.

 

Я понимаю, что настоящий фаервол на такую скорость стоит очень дорого, возможно существуют свитчи с возможностью блокировать трафик по портам и ИП.

Изменено пользователем gsmail

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ACL есть на многих коммутаторах, но от этого они не начинают "коммутировать L4", и уж тем более - защищать от ДДОСа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Потому что "свитч" это л2. Фаервол это вообще немного из другой области, а "коммутировать" l4 вообще невозможно.

 

У вас полная каша в голове. Вот по этому смешно.

Изменено пользователем myst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Существует ли коммутатор с ACL по IP, портам на 10G

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Существует ли коммутатор с ACL по IP, портам на 10G

Существует. Например cisco4948, но справедливости ради это не коммутатор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Существует. Например cisco4948, но справедливости ради это не коммутатор.

Фу, меня поняли, спасибо :)

 

То есть его можно подключить по l2 и иметь возможность на порту блокировать трафи по портам и IP ?

А сколько таких правил можно добавить, как это влияет на его производительность?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Существует. Например cisco4948, но справедливости ради это не коммутатор.

Фу, меня поняли, спасибо :)

 

То есть его можно подключить по l2 и иметь возможность на порту блокировать трафи по портам и IP ?

А сколько таких правил можно добавить, как это влияет на его производительность?

Да можно.

 

Сколько конкретно ацл можно посмотреть в датащите, заодно глянуть в асиках оно реализовано или софтово, и от этого плясать по производительности.

 

Но никакого анти-дидоса ждать от этого недороутера-пересвича не стоит. Не того класса железка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но никакого анти-дидоса ждать от этого недороутера-пересвича не стоит. Не того класса железка.

имеется ввду, возможность заблокировать атакуемый IP, порт на нем, и все должно дальше работать.

Вся суть, что в IX до 10G, а дальше к нам идет уже максимум 0.5G. При атаках, 1гбит, все парализуется. Блокируем весь IP через блекхоле, хотя обычно атаки по UDP, что можно срезать без проблем для сервиса.

 

 

А по личному опыту, никто не знает про производительнось?

Изменено пользователем gsmail

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ставьте обычный PC, 1Gb он легко отфильтрует.

Другое дело, сейчас ДДoС очень часто забивает полностью линки 1 Gb.

Дальше уже идут специализированные железки - Cisco ASA, Cisco GUARD, Arbor.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

имеется ввду, возможность заблокировать атакуемый IP, порт на нем, и все должно дальше работать.

Купите вы железяку за XX k$ отразите одну, две атаки. Атакующие сообразят, что не проходит атака, сменят в софте одну, две галки и хана вашей защите. Деньги выброшены на ветер.

 

Лучше сделать как предлагает vlad11. Можно в писюк и 10г карточку сунуть, гораздо гибче будет решение. Только наймите человека, рубящего в ПС подобного класса. Ибо мы периодически развлекаемся реализацией на ПС разной лабуды, иногда попадаются довольно забавные ограничения в самых невероятных местах. За счёт большого числа проектов косяки с железом не сильно накладны...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

... иногда попадаются довольно забавные ограничения в самых невероятных местах....

 

А можно пару примеров на вскидку?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А можно пару примеров на вскидку?

 

Навскидку, проблемы с прерываниями, очередями и распределениям по ядрам процессора/ов.

Узнаете много нового о ACPI и о разных производителях материнок.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нас задачи совсем другие, так что там обычно всё то в винты, то в память упирается. В своё время делали файло-помойку, так выяснилось, что сетевая карточка в недешёвом сервере, мягко говоря, не очень. При трафике в 100-150 мбит сетевая засерает CPU на 100%. Разбираться особо не стали, перекинули задачи на другой сервер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А чем железка с возможностью блокировать порты и IP не мобильное решение? Им будет управлять сервер, которые анализирует трафик и принимает решение.

Сервер мы пробовали, к сожалению, надо массу знаний, так как достаточно мощный сервер начинает тормозить.

Другой вопрос, сможет ли такое недорогое решение как cisco 4948 прожевать 10G c acl.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А можно пару примеров на вскидку?

 

Навскидку, проблемы с прерываниями, очередями и распределениям по ядрам процессора/ов.

Узнаете много нового о ACPI и о разных производителях материнок.

какую маму посоветуете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Другой вопрос, сможет ли такое недорогое решение как cisco 4948 прожевать 10G c acl.

 

 

Оно железное, ему пофиг. Главное TCAM не переполнить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

народ, откройте глаза , есть коммутатция на L4 и она идет именно по портам. на прокурвах коммутаторах L3-4 так и описано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А можно пару примеров на вскидку?

 

Навскидку, проблемы с прерываниями, очередями и распределениям по ядрам процессора/ов.

Узнаете много нового о ACPI и о разных производителях материнок.

какую маму посоветуете?

+1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если речь про stateless L4 acl, то такое умеют почти все, даже самые дешёвые l2/l3-свитчи. Поможет оно вам от ддоса это уже другой вопрос

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для защиты от DDoS вас спасёт любой коммутатор, который можно выключить из розетки.

Атакуют - отключаете из розетки, и на защищаемом сервисе всё становится замечательно.

 

А если серьёзно: попробуйте, например, http://qrator.net

Ценник не знаю. К ним отношения не имею.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

народ, откройте глаза , есть коммутатция на L4 и она идет именно по портам. на прокурвах коммутаторах L3-4 так и описано.

чего???

 

Яб вас даже на собеседование не пригласил.

Изменено пользователем myst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Яб вас даже на собеседование не пригласил.

 

Ггг. Ну балансеры например как раз L4 свитчи. Но я не уверен что он их имел ввиду :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

myst я бы к вам не пошел, раз в руководстве люди не владеют новым знанием, т.е. по сути отсталые )) http://www.hp.com/rnd/support/faqs/93xx_6308.htm Q:

Do the HP ProCurve Routing Switches support Layer 4 switching?

Yes. The HP ProCurve Routing Switches execute wire-speed Layer 4 switching decisions based on source and destination IP address in combination with TCP and UDP port numbers.

Изменено пользователем digsi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.