forum.lan.md

[gridis]

Хорошо, если грамотно настроить файрволл, стоит ли на машины которые стоят внутри сети, точнее сервера, на них ставить файрволл (iptables прописывать) или можно не загружать их таким, так как данных может быть много...?

[young]

2 gridis:
всё зависит от того, как ты себе представляешь схему.
если ты будешь прокидывать внутрь обращения на конкретные порты, то любые остальные обращения скорее всего (в зависимости от того, как ты строишь свою защиту) обработаются правилами на роутере.
если же ты будешь форвардить любые обращения к каким-то внешним адресам внутрь, то да, тебе придётся защищать непосредственно требуемую машину.
в любом случае при прокидывании внутрь ты можешь фильтровать пакеты предварительно на роутере, дабы уменьшить количество прокидываемого мусора.

[gridis]

1 схема... блокирую макс на роутере, а остальное, есть вероятность, что может гадость случиться.... имея ввиду только ось и железо, непосредственно сайты пока не трогаем....?

да и какой лучше комп поставить в роутер, если предпологается сеть в 1гб и интенсивный обьем передаваемого трафика....

[young]

2 gridis:

*недостаточно информации для однозначного понимания сути вопроса*

ты опять за старое ? ) отвечу на что-нибудь при таком подходе:
ну сам подумай - вероятность есть всегда. к примеру, ты прокидываешь только обращения на 80-й порт, но кто знает, как у тебя веб-сервер настроен ? может уже внутри он будет уязвим для разнообразных инжекшинов для цги-шек ... а тот же флуд обращениями на один этот порт ?
ну и т.д.

по поводу железа - не могу сейчас сказать тебе так вот сразу, ибо ты явно не учитываешь кучу факторов. и вопрос не просто в проце, памяти, сетевуке твоего роутера ... интенсивная загрузка гигабита подразумевает поток, грубо говоря, до 125 мегабайт в секунду. ты действительно уверен, что все твои железки внутри локалки и на самом роутере справятся с такой нагрузкой ? а будет ли она ?
вот для интереса.

[gridis]

поточнее 1 вопрос:

Роутер используется что бы интуитивно отсеить ненужных (отфильтровать) потворяющиеся запрос, брут форс и тд.....
+ отсеть явный взлом (привер: допустим у ядра 2.6 есть уязвимость на каком-то порте и просто с помочью роутера не дать кому либо воспользоваться этой уязвимостью)

насчет 2:(железа)

ну железо внутренне сети наверно будет послабее и в одинчку не сможет дать такой производительности... я просто делаю кластер и много полезных статей и документаций нарыл, правда пока не делал, нет ресурсов.... но почему я спросил.... потому что, такие вещи, которые строят в центре, нужно думать заранее и не обгрейдить каждый раз по необходимости.... потому что каждый раз переделывая правила можно совершить ошибку.... (я учел бекап и тд)

но гигабит я имел ввиду пиковую пропускную способность....., она конечно будет не всегда и не постоянно

[young]

2 gridis:

поточнее 1 вопрос:

скажу честно - вопроса я так и не увидел
не знаю, про какие "уязвимости на порте" ты говоришь, учитывая, что само ядро не слушает ничего такого особенного (пока ты сам не вкомпилишь какой-нить руткит внутрь), этим занимаются другие "демоно-подобные образования". но да, "Роутер используется что бы интуитивно отсеить ненужных (отфильтровать) потворяющиеся запрос, брут форс и тд....." ... и ?

насчет 2:(железа)

роутер занимается прокидкой канала туда и обратно, если ты останавливаешься на микротике, то тебе не надо тратить время на обработку каких-то активных сценариев, ворочанье баз данных и прочее. поэтому требования к ресурсам заметно снижены. ресурсы будут жраться твоим "внутренним" железом. ты для интереса глянь на его системные требования. а заменить роутер можно в любой момент на более мощный. конфиги-то сохраняются, правда ?

[gridis]

ДА, все правильно! Я просто статейку недочитал.... ))))

[young]

2 gridis:
комментарии тут излишни после этого, да ? (это риторический вопрос)

пожалуйста.

[gridis]

Скажи, а возможно что бы микротик складывал логи на отельный комп, по nfs допустим или на отдельный носитель.... что бы потом можно было бы проанализировать, что от дропнул, а что пропускал....?

просто он показывает мало инфы в винбоксе, помойму последние 100 строк.... а мне бы запустить его на пару дней и потом посмотреть лог, что не так закрыто или что закрыто, но надо открыть.....

[young]

2 gridis:
ну в тех же манах, которые я приводил, есть пример настройки логов. чтобы хранилось больше строк, что хранить в оперативке, что в файле ... есть ещё и пример выполнения команд на микротике посредством ссх из сценария на какой-то твоей никсовой машине. почему бы тебе удалённо не лезть и не забирать сохранёнку ?

ты ведь почитал там, правда ?

[Igoras]

young,

ты ведь почитал там, правда ?

зачем, если ты и так все расскажешь?

[young]

2 Igoras:

зачем, если ты и так все расскажешь?

ыыы ... я держусь изо всех сил
чем больше я вижу, что доки не читаются, тем меньше я привожу примеров и ссылок


хинт - мне просто ой как лениво самому примеры писать ))

[gridis]

я смотрю бегло, потому что ой как не хватает времени..... так что не бейте сильно.... )))

[young]

2 gridis:
ну ... кссзб

[gridis]

Про скрипт я видел, но это мне как-то не нравиться... есть возможность допустим к микротику подмонтировать nfs раздел, на который он просто будет все логировать?

[young]

2 gridis:
ну раз пошла такая пьянка ... загрузись с какого-нибуть лайв-сиди, подмонтируй винт, посмотри на линуксовый раздел, добавь в фстаб строки для правильного монтирования сетевой файловой системы, подправь конфиг, настраивающий ранее лог для вывода в ram (когда поковыряешься, найдёшь - я же нашёл ... ыыы ...), подправь вывод на эту твою монтируемую фс. и усё. только теперь для начала прочти пару толмудов на тему линукс ессеншиалз и пойми, как делается то, что описал, если вдруг совершенно случайно не знаешь

правда, скрипт становится привлекательным ?

[gridis]

да, очень привлекательным.... )))) а mikrotik дружит с nfs, никакие покеты зарание ставить не надо на него?

[young]

2 gridis:
не могу тебе сказать, откомпилена ли в ядре поддержка нфс в списке файловых систем, ибо исходники у меня отсутствуют. смею предположить, что таки нет
более того - никто ведь не мешает тебе добавить строку в фстаб и проверить