Problémy na sieti

[5ko22]

Ahojte
Nikde som nevidel pod. problém ako sa mi naskytol. Niečo som tu videl, ale nebolo to čo by som potreboval.

Vznikli mi nasledovné problémy.
1. Problém je logovanie (2 krát si od nás prokuratúra vyžiadala logy a neboli dobré. Ja to logujem tak, že to vyťahujem z MK cez Trafick Flow. Popravde, keď som to pozeral logovalo to čudne a predpokladal som, že to nikto nebude chcieť ( logujem a zákon som tým spĺňal som si myslel, ale loguje to čudne len časť siete a pri tom je to na hlavnom servery)

2. Veľká spamovosť mojej verejnej IP. Nestíham to vymazávať (neverím že pri 1600 ľuďoch je to takéto hrozné. Mám nejaký Firewall na MK, niečo zachytí, ale problémy stále pribúdajú.
hlavný problém: je blokovanie stránok u poskytovateľa. Z jedného obecného úradu údajne naklikali za 10min 800 getov a ich firewall to vyhodnotil ako spam. Počítače sú na obecnom preinštalované a majú vlastný hardvérový firewall a počet getov má nastavených na 200 /za 10 min

3. Obmedzovanie zákazníkov. Robím to cez Queue Tree. Je to podľa mňa dosť neprehľadné, lebo vždy musím pátrať po tom kto ma akú IP, pretože tam nieje konkrétne meno.

Nechcem investovať napr do ISP admina a pod..
na sieti mi beží zabbix a pre info pre zákazníkov či majú, alebo nemajú uhradenú faktúru mám spravenú stránku na lokálnej sieti, kde to vidia, to mi stačí.

Potreboval by som hlavne vyriešiť tieto 3 problémy.
Špekuloval som nad týmito variantami:

A: Linuxový server switch vytvoriť NAT na switchy 1:1 a zvyšok pravidiel riešiť cez server {tu potom je potrebné asi spraviť nejaké obmedzovanie, firewall a logovanie} neviem či toto je dobré riešenie.

B: Ďalšie ma napadá hlavný server ako Linux a všetko na ňom ( akurát neviem či nebude moc vyťažený ak tadiaľ potečie v budúcnosti 600 Mbps )

C: Posledné riešenie vidím v MK a za ním by som dal firewall a log. A potom za ním ešte Obmedzovanie zákazníkov. ( Akurát neviem či tri mašiny za sebou nie je moc veľké gusto a väčšia pravdepodobnosť výpadku pri poruche jednej mašiny ). Niekde som čítal, že by bolo najvhodnejšie použiť alternatívu A, ale bohužiaľ moje skúsenosti s ciscom, alebo s nejakým lepším switchom niesú na takej úrovni.

[KoZLiCeK]

Nic proti ale při 1600 zákazníkách bych určitě šel do ISPADMINa.Těch par tisíc tě "nevytrhne"
V tomhle stavu tvé sítě bych nechtěl byt tvůj zákazník...

[hapi]

nechci tě urazit ale body 1-3 jsou dost jasně řešitelný. Body A-C vůbec nic nevyřeší.

1. mikrotik loguje dobře přes traffic flow. Můžu potvrdit že MKv5.24 je ok.

2. spamovost.. jestli taháš všechny zákazníky přes jednu veřejnou tak se prostě nediv, navíc každej kdo chytí nějakýho spamovacího vira luxusně může spamovat. Řešení je blokovat 25 port a nechat lidi odesílat maily s přihlášením a šifrovaně (jiný port) přes toho kde má mail. Pokud někteří nehodlaji nějak řešit mail tak si postav vlastní otevřenej smtp server pro svojí síť a nandej tam nějaký omezující filtry pro třeba max počet mailů za minut nebo tak.

3. nevim co se ti na QT nelíbí... aha, máš tam 1600 userů takže optimálně 3200 pravidel. Jo hochu, to neni o tom aby to bylo přehledný ale na to aby QTčka plnil nějakej system kde máš úhledně zákazníky napsaný. Mě přestalo bavit zapisování zákazníků když jsme překročili 50ku.

A: linuxovej server/switch ti v ničem nepomůže. ba naopak, nemůžeš k pravidlům psát komentáře atd..

B: viz A.

C: viz všechno ostatní.

řešení?
http://demo.systems4isp.cz

[reset]

2. spamovost.. jestli taháš všechny zákazníky přes jednu veřejnou tak se prostě nediv, navíc každej kdo chytí nějakýho spamovacího vira luxusně může spamovat. Řešení je blokovat 25 port a nechat lidi odesílat maily s přihlášením a šifrovaně (jiný port) přes toho kde má mail. Pokud někteří nehodlaji nějak řešit mail tak si postav vlastní otevřenej smtp server pro svojí síť a nandej tam nějaký omezující filtry pro třeba max počet mailů za minut nebo tak.

vlastni mail server doporucuju ,
resime to omezenim konexi na MK , a dale nam to filtruje nas smtp server ,
kdyz usera chytne mikrotik , zablokuje mu na X hodin 25 port a zacneme ho kazdou hodinu buzerovat , ze tam ma vira (zadny srani) , prozatim s tim mame jen uspech

[reset]

@5ko22
kolik mas verejnych IP ?
vlastni web si hostujes u sebe nebo nekde na hostingu ?

[Hatatitla]

Neviem síce čo tým "800 getov" básnik myslel. Ale ked si zoberiem bežnú stránku tak sa stiahne sa stránka , stiahnu sa štýly , skripty , nejaké obrázky a ani nevieš ako a browser požiada server 20 razy o zaslanie súborov, preklineš sa 40 krát a hned máš 800 požiadaviek na server. Za 10 min nič nenormálne . A nastaviť na nejakom fw na niečo takéhoto limit 200x/10 min za ktorým je x pc , šak to by im internet viac nefungoval ako fungoval. 200 spojení za 10 min to asi tiež nebude .

[5ko22]

@hapi:

Ako by si riesil tie body 1-3 ked su lahko riesitelne ? teraz mi ide procak na 75% skoro stale a to tam mam trafick okolo 250 a nie to este 600 co budem mat po 1.8.

Skusal som logovat na mikrotiku a loguje mi len tie IP co su z adresneho rozsahu 10.x.0.1/24 ale ja potrebujem celu siet a to je 10.x.x.0/16 to co je za prvym routerom to uz nevidim v logoch a MK 5.6

Blokovanie portu 25 mi nepomohlo, ani zriadenie vlastneho mail servera kde som umiestnil asi 10 zakaznikov s ich domenami, ale IP boli aj tak blokovane
PS je tazko povedat obecnym uradom aby mali maily u nas.
Dokonca som im vybavil aby im u hostingovych spolocnoastiach povolili porty 2525

ako riesis QT ?

@reset: Mám x.x.x.0/22 verejnych IP, na celu siet pouzivam jednu IP verejnu, dalsie IP maju firmy ktoré maju od nas net.
Ked som rozdelil verejne IP na viacero bodov vysledok bol taky isty. Po case boli skoro všetky IP opat blokovane.

@Hatatitla: Tu je vyjadrenie hostingu

Hosting (02:20:41): ta IP je nejaky gateway?
JA (02:21:02): ta IP je hlavny server
Hosting (02:21:13): mate totiz prekroceny limit viac ako 800 getov za 10 minut
JA (02:21:16): a potom odtial ide net uzivatelom
JA (02:21:44): no je tam zavesenych cca 1500 zakaznikov a pochybujem ze vsetci pozeraju obecnu stranku
Hosting (02:22:50): ja som to z firewallu zmazal, cca o 10 minut to pojde
JA (02:23:49): ale mna zaujima hlavne preco to vzniklo V servery co je hlavny router je na danu IP vygenerovanych len 150 spojeni
Hosting (02:24:43): tak nemusi byt 1500 ludi prave pripojenych na tu stranku, staci ak tam je par a klikanim na rozne odkazy sa tie gety hromadia, server to vyhodnotil ako utok a preto tu IP blokol
Hosting (02:25:06): ja som pisal technikom na navrh nejakeho riesenia, ale zatial som nedostal ziadnu priamu odpoved
Hosting (02:27:39): tych 150 spojeni moze vygenerovat viac getov ako len 150(kazdy 1)
Hosting (02:30:58): oficialne vyjadrenie je teda take, ze: Z danej IP bolo vygenerovanych viac ako 800 requestov v priebehu 10 minut a server to vyhodnotil ako utok. Bohuzial musime sa takto chranit proti utokom, technikom som dal vediet aky je problem a zvazuje sa navysenie tohoto limitu. No urcite to nebude o vela. Maximalne to vidim na 1000.
Hosting (02:36:27): 1 spojenie je jeden clovek ak by ten clovek permanentne stlaval f5 5 minut v kuse vie tych requestov vygenerovat 800 aj sam

[hapi]

@hapi:

Ako by si riesil tie body 1-3 ked su lahko riesitelne ? teraz mi ide procak na 75% skoro stale a to tam mam trafick okolo 250 a nie to este 600 co budem mat po 1.8.

Skusal som logovat na mikrotiku a loguje mi len tie IP co su z adresneho rozsahu 10.x.0.1/24 ale ja potrebujem celu siet a to je 10.x.x.0/16 to co je za prvym routerom to uz nevidim v logoch a MK 5.6

no tak předně se zeptám co máš za hw na bráně.

tohle mi připadá jako když na každym routeru natuješ. Pak seš (jak to slušně říct) v háji. Zkus primárně traffic flow přepnout nastavení iface na all.

[pepulis]

Pokud mas na vice zarizenich zaply NAT (maskaradu) je jasne ze klienti pripojeni na tom zarizeni vystupuji prave pod jednou IP a tedy v trafic flow neuvidis ip adresy klientu, ale prave ip adresu toho routru. Je to tedy jak pise hapi.

Pokud blokujes port 25, nemuze ti uz jednoduse nic projit ven. Vsem uzivatelum, kteri chteji odesilat postu, musis dat ip adresu tveho smtp serveru a hlavne se odbanovat kde se da.

Resit tohle pri 1600 uzivatelych az ted (kdyz nastanou problemy) je docela pozde ne? Problemum se ma predchazet a ne resit nasledky ...

[hapi]

já všem userům do hlavy cpu aby používaly smtp tam kde maji email. Skoro každej server na maily má svůj zabezpečený přístup kterej je na jinym portu než 25 takže můžou vesele odesílat. Pak tu je taky možnost IMAPu atd.. Je to lepší pro ty co maji mobilní zařízka protože mimo síť neni tvoje SMTP dostupný pokud by si nedával loginy i na svoje SMTP.

[5ko22]

@hapi: Xeon5500 64G ramku a 250GB disk masina asus
Natujem len na hlavnom routery a to adresny rozsah/16

@pepulis port 25 bklokovana uz 3 mes, hotingy kto ma domenu maju port 2525 pre mna spraveny a u tych uzivateloch som nastavil porty 2525

No ono to bolo riesil som ako sa dalo. teraz hladam riesnie ako to spravit aby to bolo co najefektivnejsie a rozumne.
Ked ma to bude stat 2 tis € na novom HW tak budis ale patram po nejakom riesini

[hapi]

tak ten kepl vyhoď a dej si tam Quad Xeon E3 nebo minimálně jeden Octo core Xeon E5. Pokud očekáváš těžkej zápřah tak do desky strč supermicro ethernet kartu která rozkládá hardwarově zátěž mezi jádra (MK supported). Víc už HW nemá smysl a musí nastoupit odtučňovací kůra. Především optimalizace mangle pravidel. Nat "nic" nežere.

[zvukarmiso]

Zaujimava diskusia
Ja len zo zvedavosti co ak by bol namiesto MK bol linuxovy stroj ?