LINUX.ORG.RU
ФорумAdmin

Монитор и автоматический фаервол сети IPTABLES, Cisco, Juniper


0

0

Привет всем коллегам! Столкнулся с проблемой выбора апаратного фаервола мониторинга сети, так как есть необходимость шейпить полосу трафика на каждый айпи из сети (их около 1000), также мониторить аномалии пакетов , микро дос и тп. Сейчас используется tc для шейпинга полосы, и IPTABLES в качестве фаервола, однако ввиду большого количества пакетов, иногда достигает 50000 в сек., все это дело начинает тормозить , пинг внутри сети увеличивается в десять раз.

Сейчас смотрю в сторону апаратной защиты в виде Cisco или Juniper , может кто работал , сталкивался, заранее благодарен.

Полоса WAN - 50 Мб\сек.

Ответ на: комментарий от chocholl

>а какой бюджет проекта?

Вроде хохол, а вопросы как у москаля.

А по делу: в таком виде выбора нет, потому как "человеческие" netscreen'ы, которые isg, благополучно EOL и EOS со всеми вытекающими, остались только тяжелые во всех измерениях 5к. Juniper просрал все полимеры.

as33 ★☆☆
()

>пинг внутри сети увеличивается в десять раз

>Полоса WAN - 50 Мб\сек.


эти два утверждения меня смущают
вам железку куда ставить надо?
на аплинк или внутрь сети?

и да, начинать надо с бюджета :)

hizel ★★★★★
()

А что за железо сейчас, может стоить ядро линукса покрутить? памяти оперативной больше поставить, правила подправить

за 3000 уе и циско несовместимы как arm и виндось

dimon555 ★★★★★
()

хм, 50 килопакетов это ещё ни о чём не говорит, но, имхо, не особая нагрузка. Я видел как тачки на гигабитном линке работали, там сотни килопакетов, куча правил в фаерволе и при этом они ещё клиентов обслуживать умудрялись, сотни запросов в секунду.

Хотя, понятное дело, разные модули iptables грузят тачку по-разному.

true_admin ★★★★★
()

Имхо стоит начать с сетевых карточек от интеля за 100$/порт и вменяемого админа. 1000 юзеров и 50 мегабит это вообще не нагрузка. Тормозить там может только кривая конфигурация таблесов.

kilolife ★★★★★
()
Ответ на: комментарий от zaratustrik

на 3000 уе из доступного и поддерживающего все требования вот
1) ASA5510-AIP10-K9
2) SSG-140-SH

второе, на мой взгляд более предпочтительно.

chocholl ★★
()
Ответ на: комментарий от chocholl

Я вот тоже смотрю больше в сторону Juniper , нашел по нормальной цене SSG-520 , без модулей дополнительных, вот инетерсно может кто работал обеспечит ли он защиту от DDOS, флуда, SYN , а также мониторинг и ограничения полос на айпишники в сети без доп модулей ?
С Виду и по параметрам машинка очень грозная и мощная, но вот документация на сайте очень скудная, не совсем понятно, и со ScreenOS думаю разберусь, никогда не работал.

zaratustrik
() автор топика
Ответ на: комментарий от zaratustrik

от доса мало что защитить может, и это точно не железка данной ценовой категории.
а вы хостер чтоли?

у жунипера кстати хорошая документация
http://www.juniper.net/us/en/local/pdf/datasheets/1000143-en.pdf
http://www.juniper.net/customers/support/products/netscreenssg520.jsp

chocholl ★★
()

> на каждый айпи из сети (их около 1000), > большого количества пакетов, иногда достигает 50000 в сек > Полоса WAN - 50 Мб\сек.

Это вообще не нагрузка. Что за машина, где всё это крутится?

paramonov
()
Ответ на: комментарий от chocholl

Я не хостер но работаю в небольшом ДЦ, поетому постоянно боремся с DDOS, флуд, и прочей гадостью сил никаких уже нет и iptables не справляется.... вернее справляется но пинг повышается очень сильно.

To chocholl я так понимаю вы работали с Юнипером, поделитесь впечатлением, стоит ли он своих денег и стоит ли вообще его ставить....

zaratustrik
() автор топика
Ответ на: комментарий от zaratustrik

ну как тебе сказать...

этот вендор очень редко меня разочаровывает, почти все заявленные возможности оборудования работают так как написано.

но не стоит забывать, что одно устройство не панацея. Тем более в таком щепетильном вопросе, как досы. Реализация системы защиты от досов очень сильно зависит от топологии сети, если задача просто обеспечить нормальное прохождение полезного трафика и загасить флуд,так как iptables затыкались, то эта модель жунипера подойдет. Если к тому же еще внешний канал забивается, то нужно смотреть в сторону более тяжелых/дорогих решений.

chocholl ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.