prechod na routovanou sit

[Hatatitla]

raven-il keď máš toľko verejných IP že si ich dovolíš dávať klientom tak by ta nemal trápiť že ich pár stratíš na routovaní. latenia z domu idem do optiky cez 6 5GHz skokov doma som ešte zavesený na 2,4 AP . Každý skok zvlášť subnet a latenciu na http://www.zoznam.sk mám od 4,74 ms po max 6 ,26 ms ale väčšinou sa to drží +- 0,30 okolo 5 ms.
Môžeš mať akokoľvek dobre zabezpečenú sieť FW ale poznám metódu akoby som tvoju alebo podobne vybudovanú sieť zložil ani by si nevedel odkial útok na sieť prichádza.
Jeden chlapík od konkurencie sa mi vysmieval že načo všetko routujem , že on má všetko v bridge a kvalitný firewall spraví svoje. Stačil mi jeden port na switchy u neho na sieti a pár minút aby som mu sieť o 2000 klientoch zhodil. Na niektoré zariadenia sa na diaľku ani nedostal a musel si ich fyzicky obehnúť aby postupným odpájaním zistil odkiaľ ide útok.

[raven-il]

A mas povolene tahani mezi lidmi? U neroutovanych siti byva tohle problem, protoze lidi se vidi az pres branu. Mame relativne velky lokalni provoz a pri predstave, ze by to vsechno muselo dotect k natu a zpet, by nam nestacil asi ani ceragon

Pak tomu rozumim, my traffic mezi lidma nedelame, navic ty 4 routery jsou usazeny ve strategickych uzlech, tak by to nebyl problem, ale zatim jsme tenhle pozadavek nemeli.

[raven-il]

raven-il keď máš toľko verejných IP že si ich dovolíš dávať klientom tak by ta nemal trápiť že ich pár stratíš na routovaní. latenia z domu idem do optiky cez 6 5GHz skokov doma som ešte zavesený na 2,4 AP . Každý skok zvlášť subnet a latenciu na http://www.zoznam.sk mám od 4,74 ms po max 6 ,26 ms ale väčšinou sa to drží +- 0,30 okolo 5 ms.
Môžeš mať akokoľvek dobre zabezpečenú sieť FW ale poznám metódu akoby som tvoju alebo podobne vybudovanú sieť zložil ani by si nevedel odkial útok na sieť prichádza.
Jeden chlapík od konkurencie sa mi vysmieval že načo všetko routujem , že on má všetko v bridge a kvalitný firewall spraví svoje. Stačil mi jeden port na switchy u neho na sieti a pár minút aby som mu sieť o 2000 klientoch zhodil. Na niektoré zariadenia sa na diaľku ani nedostal a musel si ich fyzicky obehnúť aby postupným odpájaním zistil odkiaľ ide útok.

Par utoku uz jsme meli, pokazde ale shodili maximalne jednu VLAN. Urcite se ale da zabit celej router o tom neni pochyb. Stejne jako cela dynamicky routovana sit, ze...

[iTomB]

UBIQUITI za tu cenu nevypada spatne, ale radsi to postavim na RB, kdyz uz je mam. Tu 133 nahradim RB433AH + R52. O OSPF uvazuji, ale spis az casem, az toho bude vic, ted radsi budu mit cesty pod kontrolou . Do routrovane site me tlaci klesajici vykon stavajici site s prirustanim uzivatel, zamezeni broadcastu, prehlednejsi cleneni site a taky se nestane, ze uzivatel virem schodi temer celou sit, ale uz jen jeji segment:) a urcite to bude mit i dalsi vyhody.

A taky dalsi nevyhody...
Treba potrebu mnoha verejnych adres, slozitou spravu, obcas nefunkcni routovani

Mam osobne tuhle zkusenost, neroutovana sit, cca 1000 lidi, 4 masiny, ktere routuji, natuji, delaji shaping, prihlasovani atd (ne mikrotiky) sit vlanovana, dusledne osetreny provoz a no problema. Usetris mnoho verejnych adres, snadno se to spravuje, funguje to skvele.

Pak sit cca 300 lidi, vse routovane, mikrotik. Sit podle vseho funguje skvele, jen ma masivni potrebu verejnych adres.

Takze, pokud prejdes na routovanou sit a nenaucis se osetrit provoz, viry atd, tak te to stejne nezachrani a ja osobne bych uz na routovanou sit neprechazel ani omylem, neni proste duvod. Sice to umime, ale proc ?

Zdar
Nevidim duvod plytvanim verejnych IP adres. Muze to byt i min, nez na bridgovane siti. Staci NAT na hlavnim NATu verejna-neverejna. Takhlejich spotrebuju min, nez ty na bridge, kde mas na brane GW s verejnou a davate zakaznikum treba /29...
Ad obcas nefunkcni routovani. To same se da rici i o bridge. Nekdo propoji porty a sup, cela VLAN je out ...

Mno a ad latence: 5 skoku z toho 1x 2.4GHz mereni od klienta:
seznam.cz ping statistics ---
10 packets transmitted, 10 packets received, 0% packet loss
round-trip min/avg/max = 5.416/6.636/8.472 ms
Vse routovane

[hawkfree]

Tak jsem si síť podle schématu postavil v pokoji a kupodivu nefungovala . Po několika hodinách činorodého bádaní jsem zjistil, že je chyba v hlavním serveru, který natuje pouze adresy, které má na LAN rozhraní, tedy 10.0.0.0/30. Po nastavení rozhraní na 10.0.0.0/14 vše funguje jak má . Vadí něčemu nastavení adresy přes celý rozsah? Neporadí nějaký linuxák jak do natu přidat sítě, které se mají taky překládat? (přece jen by tam asi melo být /30) Díky

[pthv]

Tak jsem si síť podle schématu postavil v pokoji a kupodivu nefungovala . Po několika hodinách činorodého bádaní jsem zjistil, že je chyba v hlavním serveru, který natuje pouze adresy, které má na LAN rozhraní, tedy 10.0.0.0/30. Po nastavení rozhraní na 10.0.0.0/14 vše funguje jak má . Vadí něčemu nastavení adresy přes celý rozsah? Neporadí nějaký linuxák jak do natu přidat sítě, které se mají taky překládat? (přece jen by tam asi melo být /30) Díky

Jednoduche pravidlo. Toto pravidlo se vzdy vlozi na zacatek tudiz se provadi jako prvni, dokud pred nej nevlozis dalsi. Takhle muzes postupne pridavat site:)

Kód: Vybrat vše

iptables -t nat -I POSTROUTING -s "sit kterou chces prekladat, napr. 10.0.1.0/30" -o "rozhrani do internetu, vetsinou eth0" -j SNAT --to "verejna ip adresa na kterou chces prekladat. Pokud mas pridelenou jen jednu, tak ip adresa rozhrani do internetu."

Presny priklad:

Kód: Vybrat vše

iptables -t nat -I POSTROUTING -s 10.0.1.0/30 -o eth0 -j SNAT --to x.x.x.x