Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

EEEEEE

[es] :: Security :: EEEEEE

[ Pregleda: 5151 | Odgovora: 18 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

YOF

Član broj: 17573
Poruke: 36
*.teol.net



Profil

icon EEEEEE16.12.2003. u 21:26 - pre 217 meseci
Nemam pojma je li ovo pravo mesto da postavim ovo pitanje ali ....kako bude.
da li ISP moze da zabrani internet saobracaj na odredjenom portu?
Naprimer da se ne moze nista raditi na portu 135 ili 139 itd....
 
Odgovor na temu

markom
Marko Milivojević
Network Engineer
Google
Mountain View

Član broj: 18427
Poruke: 4227
*.markom.info

Sajt: https://markom.rs


+16 Profil

icon Re: EEEEEE16.12.2003. u 23:28 - pre 217 meseci
Može i obično radi upravo to :-)

Marko.
 
Odgovor na temu

impaque
Ivan Savčić
YUnet International
Beograd, Zvezdara

Član broj: 717
Poruke: 939
*.verat.net

ICQ: 27215173
Sajt: www.imped.net


Profil

icon Re: EEEEEE16.12.2003. u 23:34 - pre 217 meseci
Može, uz pomoć iptables-a, ipchains-a, pf-a, ipfw-a, u zavisnosti od operativnog sistema unutar ISP-a.

To upotrebi kao ključne reči za Google, ako te baš zanima kako sve to funkcioniše.
 
Odgovor na temu

markom
Marko Milivojević
Network Engineer
Google
Mountain View

Član broj: 18427
Poruke: 4227
*.lina.net

Sajt: https://markom.rs


+16 Profil

icon Re: EEEEEE17.12.2003. u 09:35 - pre 217 meseci
Ovaj... ako ISP koristi to što si naveo da ograničava saobraćaj kroz svoju mrežu i nije neki ozbiljan ISP ...


Marko.
 
Odgovor na temu

impaque
Ivan Savčić
YUnet International
Beograd, Zvezdara

Član broj: 717
Poruke: 939
*.verat.net

ICQ: 27215173
Sajt: www.imped.net


Profil

icon Re: EEEEEE17.12.2003. u 15:38 - pre 217 meseci
Da, pretpostavio sam da će neko uleteti sa takvim komentarom. ;))

Slažem se, mada, što se "naših" ISP-ova tiče... Khm... S druge strane, zašto ne bi gorenavedeno poslužilo? Kakva su tvoja iskustva sa gorenavedenim alatkama, što se performansi i stabilnosti tiče (na primer)?
 
Odgovor na temu

YOF

Član broj: 17573
Poruke: 36
*.teol.net



Profil

icon Re: EEEEEE17.12.2003. u 19:54 - pre 217 meseci
Razlog zbog cega sam postavio ovo pitanje bio je
moje iskustvo sa Essential Nettools-om.
Kad god bih pokusao da otvorim neki racunar
dobio bi samo

Could not access the computer!
Reason: The opration completed sucessfully

da li je to do mog racunara ili zbog te zabrane na NetBios portu?
 
Odgovor na temu

markom
Marko Milivojević
Network Engineer
Google
Mountain View

Član broj: 18427
Poruke: 4227
*.markom.info

Sajt: https://markom.rs


+16 Profil

icon Re: EEEEEE17.12.2003. u 20:50 - pre 217 meseci
Citat:
impaque:
Slažem se, mada, što se "naših" ISP-ova tiče... Khm... S druge strane, zašto ne bi gorenavedeno poslužilo? Kakva su tvoja iskustva sa gorenavedenim alatkama, što se performansi i stabilnosti tiče (na primer)?


Nikakva. Ne verujem da ima taj PC koji bi mogao da rutira par gigabitnih portova i pritom još radi nekakav firewall na tome, a da je po ceni (stabilnosti i sigurnosti) iole približan bilo kom ekvivalentnom ozbiljnom (Cisco, Juniper) ruteru ili L3 switchu.


Marko.
 
Odgovor na temu

impaque
Ivan Savčić
YUnet International
Beograd, Zvezdara

Član broj: 717
Poruke: 939
*.verat.net

ICQ: 27215173
Sajt: www.imped.net


Profil

icon Re: EEEEEE19.12.2003. u 12:13 - pre 217 meseci
mdm:
Pa kad nemaš iskustva sa dotičnim alatkama zašto ih nipodaštavaš?

Prvo, gigabiti... Ko priča o toj količini? YU ISPovi i gigabiti, hah. ;))

Drugo, činjenica je da se ljudi mnogo prže na jako skupa rešenja (evo na primer, moja škola ima Cisco koji im, po mom mišljenju, i ne treba), a da pre svega ne razlože problem na cilj i sredstva/alatke. Priznajem, nisam imao prilike da vidim ta ultra-skupa rešenja uživo, ali reci mi onda ti: šta je toliko "magično" u vezi sa njima što ne bi mogla da odradi neka brza BSD mašina, na primer?

YOF:
Mani se ćorava posla.
 
Odgovor na temu

markom
Marko Milivojević
Network Engineer
Google
Mountain View

Član broj: 18427
Poruke: 4227
*.lina.net

Sajt: https://markom.rs


+16 Profil

icon Re: EEEEEE19.12.2003. u 12:50 - pre 217 meseci
Citat:
Pa kad nemaš iskustva sa dotičnim alatkama zašto ih nipodaštavaš?


Zato što sam savladao tehniku učenja na greškama drugih :-)

Citat:
Prvo, gigabiti... Ko priča o toj količini? YU ISPovi i gigabiti, hah. ;))


Ja pričam o gigabitima, pošto ja svoje viđenje sveta ne svodim na CS ISP-ove. Za početak, ja i nisam u CS, a za kraj, imam multigigabitnu mrežu.

Citat:
Drugo, činjenica je da se ljudi mnogo prže na jako skupa rešenja (evo na primer, moja škola ima Cisco koji im, po mom mišljenju, i ne treba),


Nemoj pogrešno da me shvatiš, ali zašto misliš da je tvoje mišljenje u tom slučaju relevantno? Možda im ne treba, ali im uz jako malo (ništa) administracije, radi posao. Savršeno im radi posao.

Citat:
šta je toliko "magično" u vezi sa njima što ne bi mogla da odradi neka brza BSD mašina, na primer?


Nema apsolutno ništa magično. U ozbiljnom poslu nema magije. Rade posao kome su namenjena. BSD mašine su namenjene da budu serveri, uglavnom ne i ruteri. Istina, ima dobrih high-end rešenja koja su zasnovana na BSD-u (Juniper), ali to nisu PC mašine sa *BSD na njima.

Poenta je, kao što rekoh gore, u administraciji. UNIX mašina, ma koliko stripped down bila, nije optimizovana da radi kao high-end ruter. Performanse servera koji bi radio kao ruter na nekoj od mojih tačaka recimo, bi po ceni i pre svega pouzdanoysti (što zahteva skup i redundantan hardver), verovatno bile iste ili u najboljen slučaju nedovoljno manje od cene rutera koji je pritom optimizovan baš za to. Dakle, odluka šta uzeti se samo svodi na koji model Kviska ;-) (peace Vexi i Juniper je dobar).

Ne zaboravi da u ruteru obično nema pokretnih delova, sem na ventilatorima. Na serveru, bez veće modifikacije samog hardvera, moraš imati bar hard disk. Sve pto se kreće je podložno pregrevanju i crkavanju. U core mreži, to je nešto što ne želiš.

Dakle, ne pljujem ja po alatima sa kojima nemam iskustva, već po konceptu koji se nalazi iza njih. Možda su alati zaista i dobri, ali konceptualno rešenje fundamentalno ne valja za namenu o kojoj smo ovde pričali.

Marko.
 
Odgovor na temu

YOF

Član broj: 17573
Poruke: 36
*.teol.net



Profil

icon Re: EEEEEE20.12.2003. u 11:58 - pre 217 meseci
Svi vi nešto pametujete a
ništa konkretno da kažete....
Velika mi pomoć od vas.
 
Odgovor na temu

Gojko Vujovic
Amsterdam, NL

Administrator
Član broj: 1
Poruke: 13651



+163 Profil

icon Re: EEEEEE20.12.2003. u 13:45 - pre 217 meseci
Što ti ne pročitaš to "pametovanje", video bi da ti je već odgovoreno?

Da ponovim ja odgovor na tvoje pitanje: DA, MOŽE!

Imaš li još neko pitanje?
 
Odgovor na temu

impaque
Ivan Savčić
YUnet International
Beograd, Zvezdara

Član broj: 717
Poruke: 939
*.verat.net

ICQ: 27215173
Sajt: www.imped.net


Profil

icon Re: EEEEEE21.12.2003. u 01:10 - pre 217 meseci
Mda...
 
Odgovor na temu

B o j a n
eCTRL
EU

Član broj: 1178
Poruke: 2925
*.dsl.siol.net

Jabber: bc@default.co.yu
Sajt: default.co.yu/~bc


+1 Profil

icon Re: EEEEEE21.12.2003. u 13:17 - pre 217 meseci
mdm, problem je u tome sto mi svi koji nemamo pristupa "multigigabitnim" mrezama ne mozemo argumentovano da izadjemo sa _konkretnim_ informacijama, tipa: koji pc hardware, koja mrezna kartica, sa kolikim flash diskom, i kada se sve to podvuce i vidi se koliki je bandwith uspeo takav pc da podnese da li je bolji i kvaltetniji od cisco verzije koja je pravljena za takav bandwith i mogucnosti.

ono sto mogu pouzdano da tvrdim jeste da p1 133mhz za 32mb sa fxp0 ( intel karticom ) i jedno 10ak linija u pf.conf moze da podnese 100mbs saobracaj bez problema. ako cemo po toj analogiji ( koja vrlo velike sanse ima da bude netacna ) 10 puta jaca masina bi trebala da izdrzi i gigabit.
in a blink of eye racunici to bi trebalo da bude neki p3 na ~1ghz sa 320mb ram-a i gigabitnom karticom.
pa sada .... ako cemo ici na multigigabite onda dolazis do ne-vise-od par hiljada evra za celokupan hardware.

koliko kosta takav cisco ekvivalent?

"It's okay, I'm just admiring to the shape of your skull!" -- Dr. Gonzo
 
Odgovor na temu

Gojko Vujovic
Amsterdam, NL

Administrator
Član broj: 1
Poruke: 13651



+163 Profil

icon Re: EEEEEE21.12.2003. u 13:54 - pre 217 meseci
I ja sam mislio da može da se ide tom analogijom.. zapravo nije problem toliko u bandwidthu (mada ni to ne može da izdrži pci magistrala i 32bitne mrežne karte), već više glavobolja zadaje broj ethernet frejmova i još gore - ip paketa - koje je potrebno obraditi i izrutirati u sekundi.

Nije isto kada pustiš jedan transfer da ti zauzme tih 100mbita i kad pustiš sve zemaljske linkove jednog provajdera da šibaju ka netu preko nekog na primer 34mbit linka koji deluje manji problem od onog 100mbit koji si ti uspeo navodno da prebaciš preko pc magistrale.. kad krene realan saobraćaj, sve puca na pcju.. i 64bitne karte se jedva drže i neki ih koriste kao baš baš poslednji backup solution kad nema backup kviska za zamenu.

A pođi i drugim putem.. zaboravi na sve te tehnikalije i pc analogije i zamisli se - kako uopšte cisco i sva ostala mrežna industrija uspeva da opstane ako bi bilo moguće da jedan linux na pc kanti zameni bilo kakav ozbiljniji ruter u realnom radu?

Skroz je drugačije kad to radi hardver koji je samo za to pravljen.. bez pokretnih delova kao što markom reče gore.. zatim sa ASIC kolima za sve živo.. pogledaj backplane jednog običnog cisco switcha koliki je, a onda uporedi to sa pci magistralom i biće ti mnogo toga jasno. :(
 
Odgovor na temu

caboom
Igor Bogicevic
bgd

Član broj: 255
Poruke: 1503
*.verat.net

ICQ: 60630914


+1 Profil

icon Re: EEEEEE21.12.2003. u 14:34 - pre 217 meseci
u stvari... postoji i386 baziran hw (sigle-dual PIV xeon) sa fantasticnim mreznim performansama u npr. f5 layer4-7 switch-evima na kojima se vrti zestoko modifikovani netbsd, ali da podvucemo __zestoko__ modifikovana i specijalizovana distribucija netbsd-a sa verovatno solidno modifikovanim kernelom. sve ovo tesko mozemo porediti sa kucno sklopljenim tajvanskim skrndeljom i regularnim linux/*bsd distribucijama. there is no such a thing as a free lunch, pa isto tako tesko da postoji jeftin mrezni hw/sw sa fantasticnim performansama. u npr. gore-pomenutom slucaju f5 layer4-7, tj. takozvanih content switch-eva taj rucak kosta od 40-100k$ (u zavisnosti od sw-a i broja i vrste interfejsa). stoji da je IOS po mnogo stvari mogao biti bolje odradjen (zar ne bi moglo sve?), da su u neku ruku monopolisti i da cisco cesto ima los dizajn hw-a (pocnimo od hladjenja, nekadasnjeg resetovanja nvram-a ako varira napon na ups-u...), ali on radi posao i radi ga jako dobro u dobrim rukama. gojko je naveo samo jedan od razloga zasto je neprimereno koristiti takvu vrstu zbudzi-sklepaj hw/sw kombinacije u nekim iole ozbiljnijim uslovima gde se svaki sekund downtime-a meri stotinama hiljada ili milionima zelenih novcanica.
btw. bojane seti se "something wicked happened" ;)
 
Odgovor na temu

B o j a n
eCTRL
EU

Član broj: 1178
Poruke: 2925
*.dsl.siol.net

Jabber: bc@default.co.yu
Sajt: default.co.yu/~bc


+1 Profil

icon Re: EEEEEE21.12.2003. u 17:13 - pre 217 meseci
Okej drugari, tu ste skroz u pravu sto se tice PC-a, ali zar je moguce da ne postoji neka druga arhitektura racunara koja je pravljena za (gistro) high perfomanse?

Neko mozda upucen oko nekih tajvanskih cisco-like uredjaja/proizvoda?


ps:
cbm, da, sa tom porukom je sve receno i kraj diskusije oko i386 high-speed-whatever router/server/anything linux-a.


=bc
"It's okay, I'm just admiring to the shape of your skull!" -- Dr. Gonzo
 
Odgovor na temu

markom
Marko Milivojević
Network Engineer
Google
Mountain View

Član broj: 18427
Poruke: 4227
*.markom.info

Sajt: https://markom.rs


+16 Profil

icon Re: EEEEEE21.12.2003. u 17:50 - pre 217 meseci
Pa postoji arhitektura, naravno. Prave rutere i drugi, ne samo Cisco. Pravi Juniper, pravio je 3Com. XTREME networks je pravio odlične Summit24/48 switcheve.

Što se kineskotajvanskih klonova tiče, ne znam za high-end stvari, ali ima firma koja se yove nekako Čudno, huyi, hauyi, muayi, tako nešto idiotsko koja BUKVALNO klinira Ciscove rutere. Čak teraju i IOS :-).

Inače, što se tiče samo dela problematike o performansama rutera i probleme koji se javljaju u "high-end" okruženju, preporučujem svima da pročitaj thread u kojem smo Vexi i ja raspravljali na tu temu:

http://www.elitesecurity.org/tema/33064

To je opet samo jedan sitan problem. Kroz thread se spominju fast switching, CEF i slične stvari. To su sve algoritmi koji optimizuju prebacivanje paketa sa jednog na drugi interfejs. Zapravo, ne optimizuju to, već odluku šta tačno treba uraditi sa dolaznim paketom. To je ubedljivo najveći problem na ruterima, odnosno uređajima koji se rutiranjem bave. Možda može neki BSD guru da me prosvetli, da li BSD ima optimizaciju packet switchinga kao što je na primer FasstSwitching ili CEF kod Ciska? Čisto da ne pričamo napamet:

http://www.cisco.com/warp/public/105/20.html

Ono iznad je relativno kratak, ali izuzetno koristan tekst na temu optimizacije switchovanja paketa unutar samog rutera.

Marko.

P.S. A da neko prosvetli nas ostale za ono "something wicked"? Može i na private...
 
Odgovor na temu

caboom
Igor Bogicevic
bgd

Član broj: 255
Poruke: 1503
*.vdial.verat.net

ICQ: 60630914


+1 Profil

icon Re: EEEEEE21.12.2003. u 19:08 - pre 217 meseci
a pa "something wicked happened" je poruka koju je linux kernel 2.2.2x izbacivao kada bi mu procesor izbacio machine exception (vec sam zaboravio koji je tacan kod, bilo je vezano za hladjenje/losu memoriju, zaboravih) i to bi se malo-malo desavalo pri iole vecim opterecenjima na doticnom, hm..., gateway-u. to je ostalo kao interna zajebancija posto takva poruka samo povecava zelju da razlupas takvu kantu i zamenis je necim upotrebljivijim. moras priznati da nije bas ohrabrujuce kada moras da kopas po source-u kernel-a da bi video sta bi moglo da znaci "something wicked happened", srecom pa je syslog "uhvatio" machine exeption kod pre nego sto bi se sve raspalo.
sto se tice packet switching-a, koliko mi je poznato, nema optimizacije, ali... cesto ces naici na custom modifikacije netbsd-a u dosta rutera/upravljivih_switch-eva, tako da je moguce da je neki srodan algoritam upotrebljen u takvom proizvodu. ovo je sve obrni/okreni spekulacija, tako da bi bilo lepo da postuje neko kome je poznat takav proizvod... naravno, ne bih uopste spekulisao i nagadjao koliko je takvo resenje bolje ili losije u odnosu na ono sto nudi cisco.
 
Odgovor na temu

[es] :: Security :: EEEEEE

[ Pregleda: 5151 | Odgovora: 18 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.