LINUX.ORG.RU
ФорумTalks

Функции межсетевого экрана и маршрутизатора


0

2

Привет, ЛОР
Помоги составить список тех функций, которые должны выполнять МСЭ и маршрутизатор(2 раздельные железки) и софта, который поможет в этом.
Пока приходит на ум только:
МСЭ - разграничение траффика между подсетями - iptables
Маршрутизатор - роутинг траффика - iptables
Смысл вопроса в том, чтобы решить, нужен ли всякий QoS, httpd, nfsd или нет. И попробовать аргументированно объяснить вышестоящему начальству почему.

Deleted

iptables к роутингу имеет очень слабое отношение.

Black_Shadow ★★★★★ ()
Ответ на: комментарий от Black_Shadow

ты что, это надо выключать!! (С) пользователи широкораспространенной альтернативной ОС

dib2 ★★★★★ ()
Ответ на: комментарий от Yustas

Есть некоторая железка. На ее основе хотят сделать МСЭ и маршрутизатор. Нужно найти для этого софт, настроить софт и запилить тесты.
Получилось уговорить начальство сперва точно определить требуемые функции, которые должны выполнять железки, чтобы мне не пришлось делать лишнюю работу. И потом я пришел сюда.

Deleted ()

Смысл вопроса в том, чтобы решить, нужен ли всякий QoS, httpd, nfsd или нет

nfsd и httpd, естественно, не нужны - у тебя же не network appliance. Возможно, понадобится HTTP proxy.

tailgunner ★★★★★ ()
Ответ на: комментарий от Black_Shadow

iptables к роутингу имеет очень слабое отношение.

Согласен, тут глупость сказал, да.

естесственно, QoS нужен на обоих девайсах

Чтобы приоритизировать траффик от более важных узлов сети, например?
Так же в голову приходит вариант предложить туда водрузить что-то вроде аудитора и логгера. Но, все же, МСЭ и маршрутизатор может работать и без них.

Deleted ()

Помоги составить список тех функций, которые должны выполнять МСЭ и маршрутизатор

помогаю: надо вдумчиво читать модель OSI, расставить железки по уровням, выделить требуемый функционал.

вкратце - маршрутизатор сидит на сетевом уровне и ведает топологией узлов, мсэ на сеансовом и знает взаимоотношения субъектов. Но функции слегка пересекаются ;-)

Роутер должен (максимально)быстро пересылать пакеты, переключать каналы и следить за изменениями топологии. достаточно zebra/quagga

МСЭ поддерживает сессии и тут вам и socks,squid и прочие proxy, ldap/samba-клиент kerberos,radius/diameter и антивирусы и прочая-прочая.

где-то между ними ещё и VPN :-) чьи функции можете возложить как на роутер так и на МСЭ

ps. IMHO у них разные аппаратные требования и на одинаковым железе получится недо-роутер и недо-МСЭ

MKuznetsov ★★★★★ ()
Ответ на: комментарий от Deleted

Чтобы приоритизировать траффик от более важных узлов сети, например?

Применений может быть много. ВКС, IP-телефония...

Ты расскажи, что за задача стоит.

Black_Shadow ★★★★★ ()
Ответ на: комментарий от Black_Shadow

Вызывает товарищ полковник и говорит: «планируем фаервол и маршрутизатор сделать, вот, какой софт у нас есть: <жуткая мешанина из всякого линуксового софта типа nfsd, httdpd, tftp, и тд. Арбайтен.>». Я офигеваю и уговариваю его детально обговорить, какие функции какая железка должна исполнять, чтобы не делать лишнюю(для меня) работу.

Deleted ()
Ответ на: комментарий от MKuznetsov

Запиши в свой список для FW еще антиспуфинг, контроль соединений (проверка правильности TCP-handshake), возможность работы совместно с IPS/IDS, обнаружение сканирования, DoS/DDoS-атак, всевозможные варианты отчетности, которые должен уметь FW appliance...

А еще можно вспомнить, что многие вендоры уже пилят NG-firewall, которые умеют кучу своих плюшек, в которых я еще не разобрался.

Так что, стоит для начала определиться, а какого уровня будет решение - SOHO, mid, Enterprise?

CaveRat ★★ ()

С данными задачами справится Microtik RouterOS, проприетарная.

sunny1983 ★★★★★ ()
Ответ на: комментарий от CaveRat

Предполагается, что это будет интерпрайзное решение. Но весь тот список фич, которые уже перечислили тут, нагоняет некоторую тоску.

Deleted ()
Ответ на: комментарий от CaveRat

Вопрос в том, насколько это замороченно будет организовывать на линуксах(выбор и настройка софта) и как оно будет работать на предполагаемых железках. Но большое спасибо за наводку.

Deleted ()
Ответ на: комментарий от Deleted

Ну, Stonegate и Fortigate работают под Linux. Допиленным (Stonegate - поменьше, Fortigate - побольше), но линуксом.

У Palo-Alto какая-то своя ось (PanOS - они сами, чесслово!), не готов сказать, откуда у нее ноги растут.

Про железки - у enterprise-решений производительность является немаловажным фактором. Чуть ли не все вендоры, которых я назвал, делают многопроцессорные hw-appliance - т.е. несколько портов обслуживаются одним специализированным микропроцессором, и за счет этого достигается высокая скорость работы.

CaveRat ★★ ()
Ответ на: комментарий от CaveRat

Если у тебя такие хорошие познания в фаерволах-маршрутизаторах, может, сможешь подсказать сходу еще и тесткейсы, которыми стоит продемонстрировать работу этих железок? Исходя из того,что задача стоит «мы хотим сделать фаервол/маршрутизатор. ты, раб, настраивай софт и делай тесты.»

Deleted ()
Ответ на: комментарий от Deleted

Прежде, чем делать тесткейсы, надо определиться с тем, что у тебя входит в состав МЭ :) Потому что, если у тебя большое и серьезное решение, то придется делать управлялку. У меня на обслуживании, к примеру, около 50 одних только МЭ - и будет еще больше. Без единой консоли управления - я бы повесился, тем более, что у нас и бранчи не мертвые, постоянно что-то приходится делать.

Вообще, если хотите сделать по уму - надо в первую очередь определиться с требованиями. Просто выдумать какие-то фичи - этого мало. Вообще, большой и длинный разговор, лучше тыкни меня в скайп/жабер вечером, сейчас времени особо нет, а вечером уже смогу развернуто ответить.

CaveRat ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.