CenterTelecom Voronezh ISP
Технический форум
Web: http://isp.vsi.ru/; E-Mail: support@vsi.ru; Phone: 050


 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация   ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 

ИЗМЕНЕНИЯ В ПАКЕТНЫХ ФИЛЬТРАХ
На страницу Пред.  1, 2, 3, 4, 5  След.
 
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов CenterTelecom Voronezh ISP -> Мусор
Предыдущая тема :: Следующая тема  
Автор Сообщение
Bambarbia



СообщениеДобавлено: 11-01-07 22:25    Заголовок сообщения: Ответить с цитатой

а вводить небольшие пресеты - это временная мера, рано или поздно железки и ними справляться перестанут
Сообщения: 25
Посмотреть профиль Отправить личное сообщение
Oleg



СообщениеДобавлено: 11-01-07 22:29    Заголовок сообщения: Ответить с цитатой

Bambarbia, там не производительности нехватает, а просто нехватает памяти для размещения всех персональных ACL. Если будут пресеты - то в памяти будет находиться ограниченное число фильтров, а не по отдельному экземпляру на каждую PPPoE-сессию, как сейчас. Но это автоматически означает, что иметь редактируемые пользователем правила будет совсем нельзя, даже по одному-два - только готовые наборы, иначе это будет то же на то же. Вообще мы сейчас консультируемся с Cisco по этому вопросу. У них заявлена поддержка на этой платформе до 32000 одновременно работающих miniacl (это фильтры с количеством правил не более 8 ), если они подтвердят, что такой вариант точно так масштабируем, как написано - возможно, достаточно будет ввести ограничение на максимальное количество правил и какие-то ограничения на функционал самих правил. Но это еще не точно.

Последний раз редактировалось: Oleg (11-01-07 22:40), всего редактировалось 2 раз(а)
Сообщения: 1329
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
brrrr



СообщениеДобавлено: 11-01-07 22:35    Заголовок сообщения: Ответить с цитатой

Цитата:
Если будут пресеты - то в памяти будет находиться ограниченное число фильтров, а не по отдельному экземпляру на каждую PPPoE-сессию, как сейчас.

И отсюда следует, что пресетов может быть под сотню? это же все равно меньше чем "по отдельному экземпляру на каждую PPPoE-сессию, как сейчас."

тогда, я думаю проблем никаких не будет в принципе.
Сообщения: 21
Посмотреть профиль Отправить личное сообщение
Нечто



СообщениеДобавлено: 11-01-07 22:39    Заголовок сообщения: Ответить с цитатой

Bambarbia писал(а):
остальные включат встроенные файрволы или поставят что-то типа аутпоста.

наверное лицензионный=)))
Сообщения: 269
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Oleg



СообщениеДобавлено: 11-01-07 22:39    Заголовок сообщения: Ответить с цитатой

brrrr, даже если их будет под тысячу - все возможные варианты все равно не учтешь smile
Сообщения: 1329
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
Нечто



СообщениеДобавлено: 11-01-07 22:42    Заголовок сообщения: Ответить с цитатой

Oleg , а фсе и нинадо.. мне веб пож. входящий смтп исходящий, асю.. и всё остальное платное блочить блочить блочить=)))
Сообщения: 269
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
brrrr



СообщениеДобавлено: 11-01-07 22:53    Заголовок сообщения: Ответить с цитатой

Oleg Ну это понятно, но сгруппировать пользователей по 100 кучек более чем можно.
Ос. если 30% будут в 1й а 60 во второй. А пять пресетов можно обновлять раз в месяц в соответствии с пожеланиями особо нуждающихся

Я боялся что пресетов будет три-пять
Сообщения: 21
Посмотреть профиль Отправить личное сообщение
halfelven



СообщениеДобавлено: 11-01-07 23:58    Заголовок сообщения: Ответить с цитатой

Вопрос: как будет происходить процесс перехода на новые фильтры?

- резко отрубят существующие и оставят "пустой" "новый фильтр"?

или

- будет отрезок времени когда будет действовать старый фильтр,
но будет форма настройки нового (активная для настройки, но не работающая до определенного момента)?

Или ещё как?
Сообщения: 136
Посмотреть профиль Отправить личное сообщение
sanatall



СообщениеДобавлено: 12-01-07 00:57    Заголовок сообщения: Ответить с цитатой

Уважаемыq суппорт пожалуйста ответе, а почему нельзя сделать, чтобы можно было применять новые настройки фильтра без разрыва текущей сессии PPPoE (если мне не изменяет память то вроде бы я где то на форуме читал что такое в принципе возможно)

Если бы была такая возможность, то мне бы лично хватило двух вариантов
1. Локальный с прокси
2. Полностью открытый Интернет

Так как внешним инетом я пользуюсь не все время, а только когда есть необходимость

Очень прошу дать ответ на мой вопрос
Сообщения: 37
Посмотреть профиль Отправить личное сообщение
dimedrol



СообщениеДобавлено: 12-01-07 01:29    Заголовок сообщения: Ответить с цитатой

При составлении фильтров прошу учесть, что есть люди которым прокси не нужен, а нужен фильтр с открытыми портами в инет.
Сообщения: 71
Посмотреть профиль Отправить личное сообщение
ErV



СообщениеДобавлено: 12-01-07 05:05    Заголовок сообщения: Ответить с цитатой

ПО-хорошему, нужны след варианты настройки:
1) открыта только халява
2) открыта халява + выборчные фильтры
3) открыто все.

Из выборочного лично мне нужны:
1) login.icq.com
2) pop.rambler.ru, smtp.rambler.ru
3) pop.yandex.ru, smpt.yandex.ru

Если переключение фильтра можно будет проводить без перегрузки модема, то можно выбросить второй вариант.
Сообщения: 56
Посмотреть профиль Отправить личное сообщение
J.C.



СообщениеДобавлено: 12-01-07 07:54    Заголовок сообщения: Ответить с цитатой

1. закрыт доступ во внешний интернет.
2. закрыт доступ на внутренние платные ресурсы.
3. открыта icq. не через прокси, а напрямую
+ опционально, почта: rambler, yandex или mail

думаю, наличие такого фильтра устроило бы достаточно большой сегмент абонентов, в том числе и меня.
Сообщения: 24
Посмотреть профиль Отправить личное сообщение
Hazard



СообщениеДобавлено: 12-01-07 15:01    Заголовок сообщения: Ответить с цитатой

1) открыта только халява
2) открыта халява + ICQ (only)
3) открыто все.
Сообщения: 1
Посмотреть профиль Отправить личное сообщение
sanatall



СообщениеДобавлено: 12-01-07 20:12    Заголовок сообщения: Ответить с цитатой

Ну так все таки возможно изменение настроек фильтра без перезагрузки модема?
Сообщения: 37
Посмотреть профиль Отправить личное сообщение
Maxishtorm



СообщениеДобавлено: 12-01-07 22:28    Заголовок сообщения: Ответить с цитатой

Уважаемые, а нельзя отобрать пакетники у диал-апников, они им всеравно не треба(ИМХО) или АДСЛщики и ДИАЛАПники завязаны на одной cisco
Сообщения: 65
Посмотреть профиль Отправить личное сообщение
Zhenek



СообщениеДобавлено: 12-01-07 23:02    Заголовок сообщения: Ответить с цитатой

Ну как всегда забыли подумать прежде чем устраивать различные акции lol А теперь начинают извращатся как могут.
В любом случае всех варианты предложенные не устроят и фильтры многие отрубят.В результате левый траф и ВСИ довольна опять-денег побольше заплатят.
Тут недавно месяц потратили на то чтобы доказать что при пакетнике считается то чего нет,а теперь вообще ничего не докажешь!
МОЛОДЦЫ ТАК ДЕРЖАТЬ! ХОРОШО БОРЕТЕСЬ ЗА СВОИХ ПОЛЬЗОВАТЕЛЕЙ! wink
Сообщения: 20
Посмотреть профиль Отправить личное сообщение
sanatall



СообщениеДобавлено: 13-01-07 01:40    Заголовок сообщения: Ответить с цитатой

Да что, если начнутся залеты многие просто свалят к другим провайдерам и все на этом
Сообщения: 37
Посмотреть профиль Отправить личное сообщение
Gowa



СообщениеДобавлено: 13-01-07 01:49    Заголовок сообщения: Ответить с цитатой

А я думаю, что ничего особо страшного не происходит. Я уже 5й год пользуюсь интернетом с очень широким каналом (в Москве), с реальным IPником и при этом я особо никак не защищен.

Вот набор правил, которые мне бы были очень нужны:

1) очень нужно правило разрешения всего трафика с определенного IP-ника. Для удаленного администрирования это очень надо! Одно единственное правило - разрешить всё с одного единственного IP-ника. Для меня это просто MUST. Я оставил свой комп дома, и кроме меня его там некому админить в любых ситуациях.

2) надо обязательно запретить NetBios трафик из внешнего интернета. Те, кому нужен доступ - поднимаейте VPN сервера (Например OpenVPN) (или FTP на худой конец). К сожалению, многие до сих пор не ставят хороших паролей на админских юзеров, таким образом не закрывая дефолтные shares.

3) можно еще дать контроль за ICMP трафиком. Но это так - опция. С этим вполне справляться модем. Конечно трафик будет учитываться. Но если и так видно, что IPник не отвечает - зачем его валить? С пингов особой выгоды для себя не получишь. (если найдется кто-нть, кто сможет это оспорить - я буду рад узнать чего-нть нового. как вы считаете, дорогой support?) У файрволов обычно есть настрока типа "невидивый в сети" - вот такое можно оставить.

4) Ну и конечно - отключения всего внешнего инета. Правило 1) здесь просто необходимо в виде исключения.

Расположил правила в порядке, в котором они бы сейчас в пакетном фильтре меня очень устроили. Всего 4 правила. И никаких established connection и т.п.

Лично я могу оставить себе только 1)ое и 4)ое правила. И думаю, что буду счастлив.

Больше правил особо не придумаешь. Ды и вообще - надо отдавать отчет себе в том, что в любом оборудовании, в котором можно что-то настроить, в котором есть OS, в котором есть проц и память, всегда присутствуют ограничения. Я когда подключался, сам еще удивился, как приходится оборудованию обрабатывать все эти правила для каждого пользователя!

PS 1 Mb в Москве мне обходится в 50 копеек. Это конечно дешевле, чем тут. Но все же, он не бесплатный. И всякий может посадить меня на бабки, если это кому-то нужно будет. И причем так, что мне придется идти и просить админов, чтобы мне отрубили инет. Или вообще дергать кабель из сети!

PPS Правило 3) действует у нас по умолчанию. И никто не жалуется.
Сообщения: 14
Посмотреть профиль Отправить личное сообщение
Gowa



СообщениеДобавлено: 13-01-07 01:54    Заголовок сообщения: Ответить с цитатой

Есть еще одно пожелание - не про пакетник:

Сделайте плиз нормальный сертификат для https://stat.vsi.ru. Я думаю, что логиниться туда еще и по http - это просто позорно. А ведь дело касается денег! Зайдите на сайты банков с услугой интернет-банкинга, или даже например провайдеров SIP - там везде SSL-connection.

В любом случае, спасибо, что SSL вообще есть на stats.vsi.ru
Сообщения: 14
Посмотреть профиль Отправить личное сообщение
Gowa



СообщениеДобавлено: 13-01-07 02:25    Заголовок сообщения: Ответить с цитатой

Ну и последняя добавка smile
Если всего инета лишаться не хочется, а кто-то все-таки домагивается из него - я думаю, что суппорт должен по просьбе клиента сам добавлять блокирующие правила. Это должно быть сделано только по необходимости, раз уж количество правил ограничено. Решение должно быть обосновано.

Конечно, я думаю, что это самый наглый пункт. И на такое пойти будет тяжело...


А вот то, что все всё блокируют и разрешают аську - это мне кажется глупым. За исходящими соединениями, которые приводят к входящему трафику клиент должен сам следить.
Сообщения: 14
Посмотреть профиль Отправить личное сообщение
Oleg



СообщениеДобавлено: 13-01-07 02:34    Заголовок сообщения: Ответить с цитатой

Gowa писал(а):

Есть еще одно пожелание - не про пакетник:

Сделайте плиз нормальный сертификат для https://stat.vsi.ru. Я думаю, что логиниться туда еще и по http - это просто позорно. А ведь дело касается денег! Зайдите на сайты банков с услугой интернет-банкинга, или даже например провайдеров SIP - там везде SSL-connection.

В любом случае, спасибо, что SSL вообще есть на stats.vsi.ru


"Нормальным" этот сертификат делается элементарно - берется наш сертификат вот отсюда:

ftp://ftp.vsi.ru/pub/ssl-cert/

и импортируется в ваш браузер и почтовую программу. Им подписаны все наши сертификаты на официальных сайтах, и от "нормального" в вашем понимании он отличается лишь тем, что его нет в вашем браузере с момента установки, как сертификатов всяких VerySign.
Сообщения: 1329
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
Gowa



СообщениеДобавлено: 13-01-07 02:45    Заголовок сообщения: Ответить с цитатой

[quote="Oleg"]
Спасибо за ссылку! smile Чем "нормальный" от "ненормального" сертификата отличается, мне известно. Ссылки все же стоит давать на https, раз он есть.

Надеюсь, что мои предложения по пакетнику Вам все же покажутся конструктивными.
Сообщения: 14
Посмотреть профиль Отправить личное сообщение
Нечто



СообщениеДобавлено: 13-01-07 07:58    Заголовок сообщения: Ответить с цитатой

по этой теме уже фильм ужасов снимать можно...

(гундявым страшным голосом: ) прошёл месяц .. ситуация с пакетными фильтрами не изменилась.. пользователи всё больше придумывают ухищрений, администраторы кусают локти своих коллег по работе, пытаясь осуществить все пожелания пользователей.. пользователи лютуют..
прошёл второй месяц... железки загибаются, пользователи лютуют ещё сильнее, сообщения в этой теме приближаются ко второй тысячи, админы уже забывают о чём их просили вначале.. они даже забывают что они делают
проходит третий месяц.. от бессоных ночей у программистов начался тик.. они психуют по любому поводу, 3000 страниц написанного кода резко вырезаются и начинаются писаться снова фильтры отключены, чтобы был инет.. циско шухирица...


гы гы гы clapp crazy
Сообщения: 269
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Mash



СообщениеДобавлено: 13-01-07 07:58    Заголовок сообщения: Ответить с цитатой

Увадаемый Саппорт..

А вам не кажется что это просто очередное временное решение?
Вы сейчас просто освободите место. Да, но благодаря вашей рекламной компании вы просто не учли масшатабы новых пользователей..

Просто ситуация в итоге сложиться такая.. Вы уберете персоналки, поставите пресеты-тем самым сократи колво АСЛ в 2-3 раза.. Далее вопрос только в времени.. через сколько кол-во абонентов приблизиться к очередному заполнению?
А что потом? пересмотр пресетов? у дальнейшее их сокращение на душу населения?

Помойму ситуация тупиковая..

По мне так в погоне за прибылью ВСИ просто не учла множество факторов..
Сообщения: 3
Посмотреть профиль Отправить личное сообщение
cardinal



СообщениеДобавлено: 13-01-07 09:32    Заголовок сообщения: Ответить с цитатой

Oleg писал(а):
ftp://ftp.vsi.ru/pub/ssl-cert/

Cool! smile
Только почему бы не положить его гдето на видном месте,лучше гдето в диапазоне бесплатных адресов,скажем на том же stat.vsi.ru?
А внизу сделать маленькую сцылку "Чтобы избежать частых предупреждений о сертификации узла недоверенным центром импортируйте в браузер наш сертифика" или както так? smile
Сообщения: 854
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов CenterTelecom Voronezh ISP -> Мусор Часовой пояс: GMT + 4
На страницу Пред.  1, 2, 3, 4, 5  След.
Страница 4 из 5

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах