forum

Здравствуйте, гость ( Вход | Регистрация )

Важные объявления

Внимание всем, кто хочет зарегистрироваться: обязательно указывайте правильный E-mail адрес, иначе вы не получите письмо активации!
 
Добавить ответ в эту темуОткрыть тему
> посоветуйте firewall
alexi
сообщение 7.9.2012, 13:59
Сообщение #1


Прохожий


Группа: Пользователи
Сообщений: 7
Поблагодарили: 0 *
Вставить ник | Цитата

Регистрация: 8.7.2012
Пользователь №: 7003



Знающие посоветуйте железку в пределах 100-200 дол. для фирмы. Нужна возможность блокирования трафика P2P,обеспечение защиты информации от разных там вторжений......атак и прочие. На фирме 3 стационарных кома ,1 сервер, 2 ноута, раздает интернет роутер DIR-300/NRU, роутер подключен к гаранту + виртуальный Витебск
знающие посоветуйте плиз такой firewall, буду признателен очень, желательно чтоб поддерживал ipv6..........
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
SuperR
сообщение 7.9.2012, 23:00
Сообщение #2


Знаток
***

Группа: Пользователи
Сообщений: 346
Поблагодарили: 37 *
ICQ: 557266381
Вставить ник | Цитата

Регистрация: 28.5.2010
Из: Витебск
Пользователь №: 4419



Непонятно что имеется в виду под вторжением, сам по себе NAT является очень надежной защитой.
В принципе для указанных выше целей подойдёт любой маршрутизатор из этой ценовой категории с возможностью фильтрации входящего и исходящего трафика.
Нужно определиться с IPv6, что должно уметь устройство?
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Adminы4
сообщение 8.9.2012, 2:19
Сообщение #3


Главный Админ
*****

Группа: Главный Админ
Сообщений: 1375
Поблагодарили: 264 *
ICQ: 616124
Вставить ник | Цитата

Регистрация: 2.6.2007
Из: BY, Витебск
Пользователь №: 1



Ставим в цепи интернет - офис, между ними еще один комп, который будет по сути роутером, там linux и iptables. Лучше фаервола не найти, причем все free & open source.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Nerey
сообщение 8.9.2012, 7:24
Сообщение #4


Завсегдатый
****

Группа: Пользователи
Сообщений: 887
Поблагодарили: 96 *
ICQ: 315797227
Вставить ник | Цитата

Регистрация: 1.9.2007
Из: Витебск
Пользователь №: 403



Амыч, расскажешь как на нём настроить распознавание торрента?
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
SuperR
сообщение 8.9.2012, 9:06
Сообщение #5


Знаток
***

Группа: Пользователи
Сообщений: 346
Поблагодарили: 37 *
ICQ: 557266381
Вставить ник | Цитата

Регистрация: 28.5.2010
Из: Витебск
Пользователь №: 4419



Торренты запретить очень сложно. Если оставить, к примеру, только исходящие TCP порты 80, 443 и UDP 123, всё равно эта гадость будет работать.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Adminы4
сообщение 8.9.2012, 10:09
Сообщение #6


Главный Админ
*****

Группа: Главный Админ
Сообщений: 1375
Поблагодарили: 264 *
ICQ: 616124
Вставить ник | Цитата

Регистрация: 2.6.2007
Из: BY, Витебск
Пользователь №: 1



To: Nerey
Сам никогда таким вопросом не задавался, но знаю что это возможно, поэтому спросил у гугла "iptables block torrent"
Вот самое первое https://forum.openwrt.org/viewtopic.php?pid=42598

To: SuperR
Порты тут не при чем) мысли протоколами)
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
plex
сообщение 8.9.2012, 11:50
Сообщение #7


Старейшина
*******

Группа: Пользователи
Сообщений: 3060
Поблагодарили: 339 *
ICQ: 368228770
Вставить ник | Цитата

Регистрация: 6.6.2007
Из: Выпивск
Пользователь №: 25



Цитата(SuperR @ 8.9.2012, 10:06) *
Торренты запретить очень сложно. Если оставить, к примеру, только исходящие TCP порты 80, 443 и UDP 123, всё равно эта гадость будет работать.

а сигнатуры уже отменили?
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
SuperR
сообщение 8.9.2012, 22:25
Сообщение #8


Знаток
***

Группа: Пользователи
Сообщений: 346
Поблагодарили: 37 *
ICQ: 557266381
Вставить ник | Цитата

Регистрация: 28.5.2010
Из: Витебск
Пользователь №: 4419



Топикстартер, скорее всего, имел в виду устройство компактного вида. Использовать в организации компьютер в качестве шлюза, где всего лишь несколько машин – это как-то неказисто, но это чисто с моей точки зрения. Я бы присмотрелся к этой длинковской модели:
http://www.dlink.ru/ru/products/2/1478_b.html

DSR-250N очень даже неплохой вариант для небольшой организации.
Огромнейший плюс - это USB-порт, который можно использовать для подключения USB-принтера.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Adminы4
сообщение 9.9.2012, 12:13
Сообщение #9


Главный Админ
*****

Группа: Главный Админ
Сообщений: 1375
Поблагодарили: 264 *
ICQ: 616124
Вставить ник | Цитата

Регистрация: 2.6.2007
Из: BY, Витебск
Пользователь №: 1



Цитата(SuperR @ 8.9.2012, 23:25) *
Использовать в организации компьютер в качестве шлюза, где всего лишь несколько машин – это как-то неказисто, но это чисто с моей точки зрения.


Вот и не спроста выше утверждали, что торренты закрыть ой как сложно))

Вот и эта точка зрения совершенна не верна. Какой девайс не бери - по любому найдется что-то, что на нем реализовать не выйдет, из соображения узкоспециализированности таких девайсов.

Для компа же в виде роутера подойдет древний комп, который можно заталкать в дальний угол и забыть о его существовании, зато в руках у админа будет целая полноценная система, а это полная свобода маневров.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
alexi
сообщение 13.9.2012, 23:13
Сообщение #10


Прохожий


Группа: Пользователи
Сообщений: 7
Поблагодарили: 0 *
Вставить ник | Цитата

Регистрация: 8.7.2012
Пользователь №: 7003



всем здрасте…. ящик шумящий ставить неохота…… для преследуемой мной цели есть специальное оборудование .
вопрос про этот DSR …… если я поставлю не один, а два таких девайса… в разных офисах.Второй офис тожа подключен к сети гарант, смогут они объединить офисы в единую сеть c возможностью защищенной передачи данных....... Какая скорость будет такого соединения??
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Codre
сообщение 14.9.2012, 8:00
Сообщение #11


Повелитель
********

Группа: Администраторы
Сообщений: 5158
Поблагодарили: 870 *
ICQ: 4048326
Вставить ник | Цитата

Регистрация: 5.6.2007
Из: Витебск
Пользователь №: 4



А почему сразу шумящий ящик? Неттоп купить за 150-200$, он вообще не шумит и по размеру как роутер.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
SuperR
сообщение 14.9.2012, 17:25
Сообщение #12


Знаток
***

Группа: Пользователи
Сообщений: 346
Поблагодарили: 37 *
ICQ: 557266381
Вставить ник | Цитата

Регистрация: 28.5.2010
Из: Витебск
Пользователь №: 4419



Цитата(alexi @ 14.9.2012, 0:13) *
вопрос про этот DSR …… если я поставлю не один, а два таких девайса… в разных офисах.Второй офис тожа подключен к сети гарант, смогут они объединить офисы в единую сеть c возможностью защищенной передачи данных....... Какая скорость будет такого соединения??

Пункт - расширенные функции VPN
http://www.dlink.ru/ru/products/2/1478.html

Скорость соединения не должна упасть, если грамотно настроить маршрутизатор.

Для серьезной работы, конечно, лучше подходит серия DFL. Но это уже другой ценовой диапазон.
DFL-800 – это вещь! Правда, эта модель уже снята с производства, можно попытаться найти б/у, денег немного попросят, я так думаю.
Ознакомиться с функционалом можно при помощи эмулятора:
http://www.dlink.ru/technical/wizard/DFL-800/index.html
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
alexi
сообщение 29.9.2012, 23:42
Сообщение #13


Прохожий


Группа: Пользователи
Сообщений: 7
Поблагодарили: 0 *
Вставить ник | Цитата

Регистрация: 8.7.2012
Пользователь №: 7003



все таки узял я эту девайсину DSR 250…..взял один…. побоялся два. настраивал три дня. ху!!!!! настроил!!!! вопросов много ни возникло… справился.
Зарегился на Hurricane Electric. поднял IPv6 Tunnel. создал при помощи ихнего DNS сервиса домен, в Managing zone добавил запись AAAA.
;
ipv6net.by. 86400 IN SOA ns1.he.net. hostmaster.he.net. (
10800 ; Refresh
1800 ; Retry
604800 ; Expire
86400 ) ; Minimum TTL
ipv6net.by. 86400 IN NS ns1.he.net.
ipv6net.by. 86400 IN NS ns2.he.net.
ipv6net.by. 86400 IN NS ns3.he.net.
ipv6net.by. 86400 IN NS ns5.he.net.
ipv6net.by. 86400 IN NS ns4.he.net.
ipv6net.by. 86400 IN AAAA 2001:470:1f09:11d4::2c99

на компьютере делаю в командной строке
nslookup -type=any ipv6net.by
получаю в ответ
Нет записей all records (ANY), доступных для ipv6net.by

как сделать так… кабы за роутером юзеры могли ходить по домену….????
СПАСИБО!
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
SuperR
сообщение 30.9.2012, 14:55
Сообщение #14


Знаток
***

Группа: Пользователи
Сообщений: 346
Поблагодарили: 37 *
ICQ: 557266381
Вставить ник | Цитата

Регистрация: 28.5.2010
Из: Витебск
Пользователь №: 4419



Цитата(alexi @ 30.9.2012, 0:42) *
как сделать так… кабы за роутером юзеры могли ходить по домену….????

Очень просто:
Код
ping -6 ns2.he.net
получаем:
ns2.he.net [2001:470:200::2]
В настройках маршрутизатора прописываем этот IP-адрес сервера – вторичным.
В общем, всё равно, очень много подводных камней получится. При таком положении дел для DNS запросов IPv6 становиться приоритетным, теперь пользователи имея и IPv4 и IPv6 адрес DNS запросы будут отсылать именно по IPv6. А вот здесь на сегодня совсем еще сыро, попросту для пользователей могут быть недоступны некоторые сайты. Также внутренние ресурсы гаранта будут доступны не все - придётся ходить по ip-адресам.
Лучший вариант с моей точки зрения это настроить 6to4 на маршрутизаторе и отключить автоматическое назначение адресов IPv6. Сетевые интерфейсы клиентов настроить вручную, при этом адреса DNS-серверов не указывать вовсе, но при условии, что на маршрутизаторе включена опция DNS Relay. Если по ipv6 не будут открываться сайты, или будут выглядеть - как сломаны (некорректно могут работать IPv6 запросы с большими пакетами), то в этом случае надо уменьшить значение MTU до 1280 для IPv6 на компьютерах в локальном сегменте.
Сделать это можно так:
Код
netsh interface ipv6 set subinterface "Подключение по локальной сети" mtu=1280 store=persistent

Нужно выбирать, или гемор с приоритезацией или гемор с ручной настройкой.
И честно сказать, для локальной сети делать .by как-то некошерно. Что нельзя сделать зону .lan? (IMG:style_emoticons/default/smile.gif)
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Спасибо сказали:

Добавить ответ в эту темуОткрыть тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



RSS Текстовая версия Сейчас: 16.10.2019, 2:38


Личный счетчик WS с учетом гостевого входа