Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Bambarbia
|
Добавлено: 11-01-07 22:25 Заголовок сообщения: |
|
|
а вводить небольшие пресеты - это временная мера, рано или поздно железки и ними справляться перестанут |
|
Сообщения: 25
|
|
|
Oleg
|
Добавлено: 11-01-07 22:29 Заголовок сообщения: |
|
|
Bambarbia, там не производительности нехватает, а просто нехватает памяти для размещения всех персональных ACL. Если будут пресеты - то в памяти будет находиться ограниченное число фильтров, а не по отдельному экземпляру на каждую PPPoE-сессию, как сейчас. Но это автоматически означает, что иметь редактируемые пользователем правила будет совсем нельзя, даже по одному-два - только готовые наборы, иначе это будет то же на то же. Вообще мы сейчас консультируемся с Cisco по этому вопросу. У них заявлена поддержка на этой платформе до 32000 одновременно работающих miniacl (это фильтры с количеством правил не более 8 ), если они подтвердят, что такой вариант точно так масштабируем, как написано - возможно, достаточно будет ввести ограничение на максимальное количество правил и какие-то ограничения на функционал самих правил. Но это еще не точно.
Последний раз редактировалось: Oleg (11-01-07 22:40), всего редактировалось 2 раз(а) |
|
Сообщения: 1329
|
|
|
brrrr
|
Добавлено: 11-01-07 22:35 Заголовок сообщения: |
|
|
Цитата: | Если будут пресеты - то в памяти будет находиться ограниченное число фильтров, а не по отдельному экземпляру на каждую PPPoE-сессию, как сейчас. |
И отсюда следует, что пресетов может быть под сотню? это же все равно меньше чем "по отдельному экземпляру на каждую PPPoE-сессию, как сейчас."
тогда, я думаю проблем никаких не будет в принципе. |
|
Сообщения: 21
|
|
|
Нечто
|
Добавлено: 11-01-07 22:39 Заголовок сообщения: |
|
|
Bambarbia писал(а): | остальные включат встроенные файрволы или поставят что-то типа аутпоста. |
наверное лицензионный=))) |
|
Сообщения: 269
|
|
|
Oleg
|
Добавлено: 11-01-07 22:39 Заголовок сообщения: |
|
|
brrrr, даже если их будет под тысячу - все возможные варианты все равно не учтешь |
|
Сообщения: 1329
|
|
|
Нечто
|
Добавлено: 11-01-07 22:42 Заголовок сообщения: |
|
|
Oleg , а фсе и нинадо.. мне веб пож. входящий смтп исходящий, асю.. и всё остальное платное блочить блочить блочить=))) |
|
Сообщения: 269
|
|
|
brrrr
|
Добавлено: 11-01-07 22:53 Заголовок сообщения: |
|
|
Oleg Ну это понятно, но сгруппировать пользователей по 100 кучек более чем можно.
Ос. если 30% будут в 1й а 60 во второй. А пять пресетов можно обновлять раз в месяц в соответствии с пожеланиями особо нуждающихся
Я боялся что пресетов будет три-пять |
|
Сообщения: 21
|
|
|
halfelven
|
Добавлено: 11-01-07 23:58 Заголовок сообщения: |
|
|
Вопрос: как будет происходить процесс перехода на новые фильтры?
- резко отрубят существующие и оставят "пустой" "новый фильтр"?
или
- будет отрезок времени когда будет действовать старый фильтр,
но будет форма настройки нового (активная для настройки, но не работающая до определенного момента)?
Или ещё как? |
|
Сообщения: 136
|
|
|
sanatall
|
Добавлено: 12-01-07 00:57 Заголовок сообщения: |
|
|
Уважаемыq суппорт пожалуйста ответе, а почему нельзя сделать, чтобы можно было применять новые настройки фильтра без разрыва текущей сессии PPPoE (если мне не изменяет память то вроде бы я где то на форуме читал что такое в принципе возможно)
Если бы была такая возможность, то мне бы лично хватило двух вариантов
1. Локальный с прокси
2. Полностью открытый Интернет
Так как внешним инетом я пользуюсь не все время, а только когда есть необходимость
Очень прошу дать ответ на мой вопрос |
|
Сообщения: 37
|
|
|
dimedrol
|
Добавлено: 12-01-07 01:29 Заголовок сообщения: |
|
|
При составлении фильтров прошу учесть, что есть люди которым прокси не нужен, а нужен фильтр с открытыми портами в инет. |
|
Сообщения: 71
|
|
|
ErV
|
Добавлено: 12-01-07 05:05 Заголовок сообщения: |
|
|
ПО-хорошему, нужны след варианты настройки:
1) открыта только халява
2) открыта халява + выборчные фильтры
3) открыто все.
Из выборочного лично мне нужны:
1) login.icq.com
2) pop.rambler.ru, smtp.rambler.ru
3) pop.yandex.ru, smpt.yandex.ru
Если переключение фильтра можно будет проводить без перегрузки модема, то можно выбросить второй вариант. |
|
Сообщения: 56
|
|
|
J.C.
|
Добавлено: 12-01-07 07:54 Заголовок сообщения: |
|
|
1. закрыт доступ во внешний интернет.
2. закрыт доступ на внутренние платные ресурсы.
3. открыта icq. не через прокси, а напрямую
+ опционально, почта: rambler, yandex или mail
думаю, наличие такого фильтра устроило бы достаточно большой сегмент абонентов, в том числе и меня. |
|
Сообщения: 24
|
|
|
Hazard
|
Добавлено: 12-01-07 15:01 Заголовок сообщения: |
|
|
1) открыта только халява
2) открыта халява + ICQ (only)
3) открыто все. |
|
Сообщения: 1
|
|
|
sanatall
|
Добавлено: 12-01-07 20:12 Заголовок сообщения: |
|
|
Ну так все таки возможно изменение настроек фильтра без перезагрузки модема? |
|
Сообщения: 37
|
|
|
Maxishtorm
|
Добавлено: 12-01-07 22:28 Заголовок сообщения: |
|
|
Уважаемые, а нельзя отобрать пакетники у диал-апников, они им всеравно не треба(ИМХО) или АДСЛщики и ДИАЛАПники завязаны на одной cisco |
|
Сообщения: 65
|
|
|
Zhenek
|
Добавлено: 12-01-07 23:02 Заголовок сообщения: |
|
|
Ну как всегда забыли подумать прежде чем устраивать различные акции А теперь начинают извращатся как могут.
В любом случае всех варианты предложенные не устроят и фильтры многие отрубят.В результате левый траф и ВСИ довольна опять-денег побольше заплатят.
Тут недавно месяц потратили на то чтобы доказать что при пакетнике считается то чего нет,а теперь вообще ничего не докажешь!
МОЛОДЦЫ ТАК ДЕРЖАТЬ! ХОРОШО БОРЕТЕСЬ ЗА СВОИХ ПОЛЬЗОВАТЕЛЕЙ! |
|
Сообщения: 20
|
|
|
sanatall
|
Добавлено: 13-01-07 01:40 Заголовок сообщения: |
|
|
Да что, если начнутся залеты многие просто свалят к другим провайдерам и все на этом |
|
Сообщения: 37
|
|
|
Gowa
|
Добавлено: 13-01-07 01:49 Заголовок сообщения: |
|
|
А я думаю, что ничего особо страшного не происходит. Я уже 5й год пользуюсь интернетом с очень широким каналом (в Москве), с реальным IPником и при этом я особо никак не защищен.
Вот набор правил, которые мне бы были очень нужны:
1) очень нужно правило разрешения всего трафика с определенного IP-ника. Для удаленного администрирования это очень надо! Одно единственное правило - разрешить всё с одного единственного IP-ника. Для меня это просто MUST. Я оставил свой комп дома, и кроме меня его там некому админить в любых ситуациях.
2) надо обязательно запретить NetBios трафик из внешнего интернета. Те, кому нужен доступ - поднимаейте VPN сервера (Например OpenVPN) (или FTP на худой конец). К сожалению, многие до сих пор не ставят хороших паролей на админских юзеров, таким образом не закрывая дефолтные shares.
3) можно еще дать контроль за ICMP трафиком. Но это так - опция. С этим вполне справляться модем. Конечно трафик будет учитываться. Но если и так видно, что IPник не отвечает - зачем его валить? С пингов особой выгоды для себя не получишь. (если найдется кто-нть, кто сможет это оспорить - я буду рад узнать чего-нть нового. как вы считаете, дорогой support?) У файрволов обычно есть настрока типа "невидивый в сети" - вот такое можно оставить.
4) Ну и конечно - отключения всего внешнего инета. Правило 1) здесь просто необходимо в виде исключения.
Расположил правила в порядке, в котором они бы сейчас в пакетном фильтре меня очень устроили. Всего 4 правила. И никаких established connection и т.п.
Лично я могу оставить себе только 1)ое и 4)ое правила. И думаю, что буду счастлив.
Больше правил особо не придумаешь. Ды и вообще - надо отдавать отчет себе в том, что в любом оборудовании, в котором можно что-то настроить, в котором есть OS, в котором есть проц и память, всегда присутствуют ограничения. Я когда подключался, сам еще удивился, как приходится оборудованию обрабатывать все эти правила для каждого пользователя!
PS 1 Mb в Москве мне обходится в 50 копеек. Это конечно дешевле, чем тут. Но все же, он не бесплатный. И всякий может посадить меня на бабки, если это кому-то нужно будет. И причем так, что мне придется идти и просить админов, чтобы мне отрубили инет. Или вообще дергать кабель из сети!
PPS Правило 3) действует у нас по умолчанию. И никто не жалуется. |
|
Сообщения: 14
|
|
|
Gowa
|
Добавлено: 13-01-07 01:54 Заголовок сообщения: |
|
|
Есть еще одно пожелание - не про пакетник:
Сделайте плиз нормальный сертификат для https://stat.vsi.ru. Я думаю, что логиниться туда еще и по http - это просто позорно. А ведь дело касается денег! Зайдите на сайты банков с услугой интернет-банкинга, или даже например провайдеров SIP - там везде SSL-connection.
В любом случае, спасибо, что SSL вообще есть на stats.vsi.ru |
|
Сообщения: 14
|
|
|
Gowa
|
Добавлено: 13-01-07 02:25 Заголовок сообщения: |
|
|
Ну и последняя добавка
Если всего инета лишаться не хочется, а кто-то все-таки домагивается из него - я думаю, что суппорт должен по просьбе клиента сам добавлять блокирующие правила. Это должно быть сделано только по необходимости, раз уж количество правил ограничено. Решение должно быть обосновано.
Конечно, я думаю, что это самый наглый пункт. И на такое пойти будет тяжело...
А вот то, что все всё блокируют и разрешают аську - это мне кажется глупым. За исходящими соединениями, которые приводят к входящему трафику клиент должен сам следить. |
|
Сообщения: 14
|
|
|
Oleg
|
Добавлено: 13-01-07 02:34 Заголовок сообщения: |
|
|
Gowa писал(а): |
Есть еще одно пожелание - не про пакетник:
Сделайте плиз нормальный сертификат для https://stat.vsi.ru. Я думаю, что логиниться туда еще и по http - это просто позорно. А ведь дело касается денег! Зайдите на сайты банков с услугой интернет-банкинга, или даже например провайдеров SIP - там везде SSL-connection.
В любом случае, спасибо, что SSL вообще есть на stats.vsi.ru
|
"Нормальным" этот сертификат делается элементарно - берется наш сертификат вот отсюда:
ftp://ftp.vsi.ru/pub/ssl-cert/
и импортируется в ваш браузер и почтовую программу. Им подписаны все наши сертификаты на официальных сайтах, и от "нормального" в вашем понимании он отличается лишь тем, что его нет в вашем браузере с момента установки, как сертификатов всяких VerySign. |
|
Сообщения: 1329
|
|
|
Gowa
|
Добавлено: 13-01-07 02:45 Заголовок сообщения: |
|
|
[quote="Oleg"]
Спасибо за ссылку! Чем "нормальный" от "ненормального" сертификата отличается, мне известно. Ссылки все же стоит давать на https, раз он есть.
Надеюсь, что мои предложения по пакетнику Вам все же покажутся конструктивными. |
|
Сообщения: 14
|
|
|
Нечто
|
Добавлено: 13-01-07 07:58 Заголовок сообщения: |
|
|
по этой теме уже фильм ужасов снимать можно...
(гундявым страшным голосом: ) прошёл месяц .. ситуация с пакетными фильтрами не изменилась.. пользователи всё больше придумывают ухищрений, администраторы кусают локти своих коллег по работе, пытаясь осуществить все пожелания пользователей.. пользователи лютуют..
прошёл второй месяц... железки загибаются, пользователи лютуют ещё сильнее, сообщения в этой теме приближаются ко второй тысячи, админы уже забывают о чём их просили вначале.. они даже забывают что они делают
проходит третий месяц.. от бессоных ночей у программистов начался тик.. они психуют по любому поводу, 3000 страниц написанного кода резко вырезаются и начинаются писаться снова фильтры отключены, чтобы был инет.. циско шухирица...
гы гы гы |
|
Сообщения: 269
|
|
|
Mash
|
Добавлено: 13-01-07 07:58 Заголовок сообщения: |
|
|
Увадаемый Саппорт..
А вам не кажется что это просто очередное временное решение?
Вы сейчас просто освободите место. Да, но благодаря вашей рекламной компании вы просто не учли масшатабы новых пользователей..
Просто ситуация в итоге сложиться такая.. Вы уберете персоналки, поставите пресеты-тем самым сократи колво АСЛ в 2-3 раза.. Далее вопрос только в времени.. через сколько кол-во абонентов приблизиться к очередному заполнению?
А что потом? пересмотр пресетов? у дальнейшее их сокращение на душу населения?
Помойму ситуация тупиковая..
По мне так в погоне за прибылью ВСИ просто не учла множество факторов.. |
|
Сообщения: 3
|
|
|
cardinal
|
Добавлено: 13-01-07 09:32 Заголовок сообщения: |
|
|
Oleg писал(а): | ftp://ftp.vsi.ru/pub/ssl-cert/ |
Cool!
Только почему бы не положить его гдето на видном месте,лучше гдето в диапазоне бесплатных адресов,скажем на том же stat.vsi.ru?
А внизу сделать маленькую сцылку "Чтобы избежать частых предупреждений о сертификации узла недоверенным центром импортируйте в браузер наш сертифика" или както так? |
|
Сообщения: 854
|
|
|
|
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах
|
|