» Флейм для сисадминов (часть IV)

Valmondya
ну почему нереально ...статические шейперы существуют - а вот динамических ....увы !

Хм - вот что нарыл


Lan2net Traffic Shaper распределяет скорость загрузки данных и ширину канала индивидуально или равномерно между пользователями, что позволяет выделить приоритетных пользователей. Существует возможность выделять более значимые протоколы. Это обеспечивает постоянную доступность важных сервисов при высокой загрузке канала.

Таким образом, оптимизируя нагрузку на канал, Lan2net Traffic Shaper позволяет, для тех же потребностей, использовать канал значительно меньшей полосы пропускания.

Lan2net Traffic Shaper построен на принципах дифференцированного обслуживания, разделяет весь проходящий через него трафик на классы, и к каждому классу применяет индивидуальное нормирование параметров трафика.

В Lan2net Traffic Shaper реализовано три типа регуляторов:

!!! вот это интересно как реализовано

Hierarchical Token Bucket (HTB) - динамически распределяет загрузку канала по иерархии классов. Позволяет задать гарантированную и максимальную скорости передачи данных для каждого класса.
Token Bucket Filter (TBF) - ограничивает скорость передачи проходящего через него сетевого трафика пользователям.
Deficit Round Robin (DRR) - разделяет трафик на классы одного уровня, и равномерно распределяет загрузку канала между всем активными классами.

grumm
статическими сам пользуюсь, но хотелось бы реализовать что-нить поинтереснее.
думаю менять Ось, курю мануалы)

Valmondya
В свое время лет пять назад встал вопрос, выбор был вообще небольшой - купили Etinc - доволен как слон но он под Лин ...крутится виртуальной - шейпит на 5+

Valmondya
Проще микротик под вмваре плеером например..

goletsa

Цитата:

Проще микротик

А когда это он бесплатным стал? Человек же именно БЕСПЛАТНЫЙ просил...

andrejvb
бесплатый-в том числе ломаемый, с существующим неглюченым лекарством.
Это, так сказать, для собственного потребления
Чтоб мозг не скучал

Цитата:

А когда это он бесплатным стал?

Тихо спи...л и ушёл - называется "нашёл"

Valmondya
Тю... Так тогда выбор значительно ширшее И Керио и ТИ и микротик.
И нефиг народ в непонятки вводить, задавая дюже узкие рамки допустимого.

andrejvb
Любой фри роутер дистрибутив под вируталкой тогда.
Та же vyatta например

Расскажите мне нубу как на стоичные сервера без привода ОСи ставят? Собираемся купить HP ProLiant DL165 G7.
Они изначально пустые? Ось загоняют на USB?(вариант покупки USB-DVD как-то не очень) Серверные винды норм на флешку залазят через WinSetupFromUSB?
Как там с драйверами будет дело обстоять под win2k8 и под Debian Linux.
Debian действительно только на эти сервера встает или на любой можно поставить без плясок с бубном?

Alukardd

Цитата:

Расскажите мне нубу как на стоичные сервера без привода ОСи ставят?

При наличии правильного IPMI со встроенным IPKVM можно в клиенте смонтировать исошку как бы если вы вставили усб-сдром с диском. Я так ставил FreeBSD удаленно на Intel SR2600UR платформу.
Ну или классические netinstall\pxeboot\usbflash и иже с ним.

Цитата:

Собираемся купить HP ProLiant DL165 G7.
Они изначально пустые?

Фиг знает, к продукции HP изначально какоето негативное отношение.

Цитата:

Ось загоняют на USB?

можно

Цитата:

вариант покупки USB-DVD как-то не очень

а вот зря, вещь с хозяйстве мегаполезная.

Цитата:

Серверные винды норм на флешку залазят через WinSetupFromUSB?

2008R2 можно официальной тулзой на флешку закинуть

Цитата:

Как там с драйверами будет дело обстоять под win2k8 и под Debian Linux.

Надо курить HCL и начинку железяки.

Цитата:

Debian действительно только на эти сервера встает или на любой можно поставить без плясок с бубном?

Все зависит от начинки, если так какойто мегахитрый контролер будет то может потребоваться бубен.

Цитата:

Фиг знает, к продукции HP изначально какоето негативное отношение.

за последний год три устройства сломались

andrejvb
просто я и керио юзал и ТИ. Все оно хорошо. Но только статический шейпер там. А мне надо динамика. Или хотябы понимание приорететов к пакетам или локальным адресам, зарезание скорости по определенному протоколу и только некоторые пакеты, остальные же пакеты по тому же протоколу не трогать. И еще масса всего. Дать приоретет на серфинг, прирезать скачки с торентов и других прямых раздач с неоганиченым данлоадом.
В идеале конечно какой нить синтез шейпер-микротик, билинг к примеру хоть тот же ТИ!
НО приорететной задачей является ШЕЙПЕР

Alukardd
Обычный DVD-привод и USB-IDE/SATA адаптер.

Цитата:

статическими сам пользуюсь, но хотелось бы реализовать что-нить поинтереснее.
думаю менять Ось, курю мануалы)

Цитата:

НО приорететной задачей является ШЕЙПЕР

Быстрый старт нужен? Гляньте pfsense. И другая ось, и бесплатен, и шейпер толковый, и для начала пачки сигарет покурить с их сайта хватит.

goletsa
Цитата:

Фиг знает, к продукции HP изначально какоето негативное отношение.

d0r0fey

Цитата:

за последний год три устройства сломались

что порекомендуете? Dell?

Alukardd
Я использую платформы от интел. Вполне сносное качество и цена не сильно накручена.

[spam]

Alukardd
при последней покупке взяли сервер на платформе intel.

d0r0fey, goletsa вы сговорились или у Intel действительно качественные сервера? И по прежнему вопрос, у них в "полной совместимости" есть помимо форточек, RHEL и SuSE LES. Я конечно не против RHEL, но платить $349 в год, то же обломно и не факт, что пойдут на это... К тому же придется и мне втыкать в структуру и особенности RH.

Alukardd
У меня 8 серверов на этой платформе.
За 4 года в двух серверах пришлось только апгрейдить материнки до более новых (чтобы C2Q9550 засунуть).
В одном сервере пришлось заменить материнку изза подозрений в неполадках SATA\RAID контролера (диски отваливались но есть подозрение что банально несовместимость наплатного рейда с дисками вд).
На 7 серверах чтоит FreeBSD (в списке поддерживаемых ОС ее нету). На одном Debian начиная с etch, сейчас думаю до squeede обновить с lenny.

Серьезные проблемы были только с сервером где отваливались диски, все остальное решается обновлением FW.

goletsa
спасибо будем смотреть тогда в сторону Intel продукции, просто у меня есть некоторая любовь к AMD процам...

Озадачили меня. Есть компьютер win xp надо его проверить не подключается ли к нему удаленно кто-то. От интернета отключить компьютер нельзя . Призадумался я и не знаю, как полностью быть уверенным, что к компьютеру нет подключений и не будет. Есть же масса способов, как подключиться, уверен, что знаю далеко не все. Интересны Ваши мнения по поводу этого вопроса.

niko7
Что значит "подключается ли к нему удаленно" ? Ставим файер, тот же Оутпост, прописываем правила. Второй вариант: ставим роутер с натом, если порты не проброшены - все гуд. Правда, вариант вирей и чего-то, похожего на TeamView, все равно остается. Тут только вариант разрешения запуска строго определенных приложений (через реестр), вариант "киоск" и т.д. Без конкретики трудно судить.

niko7
Удаленно через интернет или по локалке? Доменный админ по локалке может все
Лично я бы проверил.
1) отключен ли Гость?
2) Есть ли программы удаленного доступа?
3) Выключенны ли (или у них должно быть состояние вручную) службы:
Диспетчер подключений удаленного доступа
Диспетчер сеанса справки для удаленного рабочего стола
Удаленный реестр
NetMeeting Remote Desktop Sharing
Telnet
Службы терминалов

andrejvb
Цитата:

Правда, вариант вирей и чего-то, похожего на TeamView, все равно остается.

Вот именно это непонятно, что с этим делать, как отследить весь набор.
Цитата:

Тут только вариант разрешения запуска строго определенных приложений (через реестр), вариант "киоск" и т.д.

Расскажите поподробней об этом. Про "киоск" вообще ничего не слышал.
Mushroomer
Цитата:

Удаленно через интернет или по локалке?

Любого подключения, домена нет. Есть роутер на котором есть только нужные мне правила. Роутер не спасает от TeamView и его аналогов.

Цитата:

2) Есть ли программы удаленного доступа?

Не знаю, как наверняка все отследить. Опасаюсь именно стороннего, скрытого софта которого никогда не встречал.

Цитата:

как полностью быть уверенным, что к компьютеру нет подключений и не будет

Ответ прост: раз и навсегда - никак. Ибо завтра найдут новую уязвимость и все ваши усилия пойдут прахом.
Посему как советовал andrejvb ставим между инетом и этой машинкой маршрутизатор и бросаем в лог всё что можно. Затем анализируем этот хлам и думаем, думаем, думаем.
А если нет такой возможности, то не будьте параноиком. Всегда можно заказчику сказать "у вас всё о`key!" Вряд ли у него там неопубликованная информация для викиликс находится.

urodliv
Цитата:

ставим между инетом и этой машинкой маршрутизатор и бросаем в лог всё что можно.

Какой маршрутизатор умеет вести такие логи? Посмотрел настройки asus 520gu не нашел такой возможности.
Цитата:

Всегда можно заказчику сказать "у вас всё о`key!"

Часто видел людей которым так говорили .

Цитата:

Какой маршрутизатор умеет вести такие логи? Посмотрел настройки asus 520gu не нашел такой возможности.

Посмотрите вкладку системный журнал. Только не обольщайтесь: объём трафика может быть бооольшим и маршрутизатору не резон у себя всё это хранить, ибо негде. Поэтому сервачок для логов надо поднимать, надо...
Если с официальной прошивкой не проканает это, то гляньте в сторону dd-wrt.


Цитата:

Часто видел людей которым так говорили .

"Умному достаточно"

niko7

Цитата:

Вот именно это непонятно, что с этим делать, как отследить весь набор.

А не надо его отслеживать. Ставим любой персональный файер, тот же Оутпост, настраиваем правила для легитимных коннектов и включаем политику "Запретить все остальное", устанавливаем пароль на настройки. Все, ничего левого в Инет не выйдет, юзер, не знающий пароля, ничего не изменить не сможет. Отбираем права у юзера по-максимуму, теперь создать ВПН или диал-ап подключение, воткнуть 3g мопед он не сможет. Запрещаем ICQ и ему подрбное, запрещаем отсылку внешней почты, запрещаем FTP. Запрещаем загрузку в БИОСе с других носителей, ставим пароль. Отключаем USBStorage, отключаем запись на диски. Отключаем шаринг (можно просто погасить службу server), отключаем Гостя, ставим сложные пароли и т.д, и т.п.
Ну что я тебе буду прописные истины-то озвучивать, сам это знаешь...
Цитата:

Расскажите поподробней об этом. Про "киоск" вообще ничего не слышал

Киоск , ShadowUser , запрет левого софта
Еще раз повторяю, без внятного описания "хотелок" заказчика, понять, каким методом стоит воспользоваться (и стоит ли вообще, может его проще послать в пешее эротическое?) - не возможно. А пообсуждать возможные метОды обеспечения безопасности, применительно к сферическому коню в вакууме - лень.