Hello! On Mon, Jun 02, 2008 at 09:50:03AM +0300, Vladimir Litovka wrote:
OpenBSD/pf/pfsync/carp - уже есть в конфигурации. Теперь бы хотелось это все заставить реагировать на аномалии и фильтровать их, как это умеет detector/guard в автоматическом режиме :) ну detector/guard наверное потому и стоят денег, что умеют делать много чего в автоматическом режиме :-) это мне напоминает весьма похожую переписку здесь же несколько лет назад - "а посоветуйте коммутатор, чтобы делал то же, что и Catalyst, и чтобы не горел. Только чтобы был дешевле" :-)
Ну я думаю что detector/guard прежде всего этих стоят денег потому что это Cisco :) Я не ищу подешевле и чтобы не горел, я ищу попроще и, соответственно, подешевле. Собственно, это даже не мне. Попросили посоветовать что-то для SMB-сегмента. Посмотрел на текущий GPL, guard/detector что standalone, что модулями обойдется под 100k$ на 1Gbit. А мне бы найти что-то в 10 раз пропорционально меньшее по обоим параметрам :) Допускаю, что таких и не существует в природе, но на всякий случай спросил.
1) отслеживать и обрывать half-opened TCP сессии непосредственно на файрволле (т.е. 3-way handshaking делает не конечное устройство, а сначала - файрволл, который потом передает это уже на конечное устройство) 2) UDP/ICMP - установить hard limit на пропускную полосу по принципу per-IP. IMHO разумное ограничение - ~0Kbps ICMP per IP-address (т.е. не запрещать полностью, но и практически не давать полосы) и 64-128Kbps UDP per IP-address. В идеале - ввести параметр границы параметра receive/send (что типа 0.1 - 10, точных цифр я не знаю), при выходе за которые фильтровать трафик нафик. Я думаю, что если задачу свести к таким требованиям, то соответственно требования к оборудованию тоже существенно упрощаются.
Да, это все делается средствами OpenBSD+pf. И вероятно так и будет делатся. Но лично мне нравится как работает d/g, только вот для small business сегмента решение слишком большое и дорогое. Хотя SMB SMBу рознь, конечно :) -- WBR, Alexander Burnos =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message