|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Yuri PQ 2:5010/2.2 26 Apr 2004 15:43:50
To : Vassily Kiryanov
Subject : Создание firewall на базе FreeBSD. Требования к железу.
--------------------------------------------------------------------------------
Ку!
[040424] Vassily Kiryanov (2:5054/36) Д> Yuri PQ
VK>>> Проник в сервак DMZ и вся внутренняя сеть перед тобой, и никому
VK>>> не помешает то, что она на серых адресах.
YP>> как ты себе представляешь это "проникновение" через PAT ?
VK> Если порты сервиса торчат наружу, пусть и через PAT, а сам сервис не
VK> есть идеально написанная прога, то возможность залесзть в сервак, на
ну хорошо, да, есть возможность залезть через единственный порт торчащий
наружу...
YP>> бриджи хороши на спец.железках, а на универсальных железках - это
YP>> неоправданная трата ресурсов.
VK> Hикакой чрезмерной траты ресурсов это не вызывает. Да и оправданость
VK> упрощением сети вполне достаточна.
значит списываем на разные понятия о простоте...
YP>> циско более заточены под работу в качестве сетевого устройства. и
YP>> бриджинг на них осуществляется более эффективно, чем на PC.
VK> Ага, циско заточены под сети, а FreeBSD под них заточена гораздо
VK> менее. Мне кажется, что FreeBSD может перезатачиваться под что угодно,
может. но cisco заточено изначально.
VK> и, для бриджинга, фря годится куда лучше цисок (за исключением
VK> коммутаторов циско). Кстати, циско - понятие сильно растяжимое. Давай
конечно, бриджинг - это коммутаторы. :)
VK> не будем обсуждать сферическую циску в вакууме, а ты скажешь, какую
VK> кокретно циску (и за какие деньги) ты посоветуешь мне купить, чтобы я
VK> сэкономил (3..5)% загрузки сервака, которые тратятся сейчас на
VK> бриджинг и фильтрацию в бридже.
я не собираюсь кого-то агитировать за cisco, тем более, если у тебя есть
работающая система.
YP>> не хочешь показывать серые адреса - сделай тоннель. и вообще, в
YP>> данном случае речь была не про конкретный случай, а про
YP>> использование белых адресов под служебные линки...
VK> Речь шла про маршрутизацию. Ты знаешь, как просто сделать
VK> маршрутизацию не использующую белые адреса и не показывающую наружу
VK> серые?
речь не шла про "решение на чистой маршрутизации". как раз сравнивалось
преимущество NAT для конкретной задачи. это ты уже потом придумал про "нехорошо
показывать серые адреса в трейсе". если это вот первоочередная задача, то и
подход должен быть другой, естественно.
YP>> ты писал про бриджинг... я же предлагаю его избежать.
VK> Ага, я писал что лучше - воткнуть третью сетевуху и этот сегмент
VK> цеплять лучше через бриджинг, а не через роутинг. Это и белых адресов
VK> не займёт и ни тоннели, ни pptp поднимать не заставит.
т.е. смысл сводится к альтернативе: или бриджинг на тачке с 3мя сетевухами, или
NAT. решать что проще - автору вопроса...
YP>> кошки = pptp ? люблю, пару лет уже использую. прихожу домой,
YP>> включаю тачку... а вот зачем нужен pptp на сервере, у которого
YP>> uptime несколько сотен суток - этого я не пойму никогда, наверное.
VK> Давай ты расскажешь, как между виндой и фрюхой поднять статический
VK> туннель и сделать это проще и ставя меньше программ, чем для pptp, и
VK> тогда я с тобой соглашусь.
не знаю что такое винды. извини...
Ку! 8*{PQ}
--- GoldED 1.1.5-030118
* Origin: навязанное добро - это зло (2:5010/2.2)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
