SKFREE

Software - Filtrovanie prilis vysokeho poctu packetov
kiwi - 21.10.2004 - 19:48
Post subject: Filtrovanie prilis vysokeho poctu packetov
Potreboval by som pomocov iptables urobit nejaky filter, ktory zabrani tomu, aby z jednej IP odchadzalo viac ako 5 packetov za sekundu (hlavne ked je komp zavireny)

nasiel som nieco taketo

iptables -N syn_flood
iptables -A INPUT -i eth0 -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 5 -j RETURN
iptables -A syn_flood -j DROP

ale neviem ci je to prave orechove, poprosim nejake koments, pripadne zlepsenia

dik
majko036 - 21.10.2004 - 20:50
Post subject:
imho toto limituje pocet spojeni ni pocet paketov za s
eXplorer - 21.10.2004 - 20:52
Post subject:
Toto limituje pocet paketov so SYN flagom cize je mozne obmedzit pocet spojeni ale len pri TCP protokole, UDP protokolu sa to netyka ... Navyse to neznamena 5 paketov za sekundu ale 1 paket za sekundu s tym ze v spicke to dovoli 5.

Pokial to chces natvrdo 5 paketov z jednej IP za sekundu tak to uprav takto :

iptables -A INPUT -i eth0 -s 192.168.1.10 -m limit --limit 5/s --limit-burst 5 -j ACCEPT

a tiez

iptables -A FORWARD -i eth0 -s 192.168.1.10 -m limit --limit 5/s --limit-burst 5 -j ACCEPT

V kazdom pripade ale 5 paketov za sekundu je malo Laughing
kiwi - 23.10.2004 - 09:09
Post subject:
jedna sa mi o to, ze ked ma niekto zavireny komp, tak dokaze poslat 50 - 200 pckts za sekundu

chcel by som aby sa tie packety nedostali dalej ako po router, nehovoriac o tom, ze ked sa niekto pokusa floodovat
kiwi - 25.10.2004 - 23:50
Post subject:
mozete mi vysvetlit preco sa neda obmedzit posielanie udp packetov z konkretnej IP na max. pocet, tak ako je to pri tcp?
eXplorer - 25.10.2004 - 23:58
Post subject:
Pocet paketov (za sekundu) obmedzit mozes, rovnako ako pri TCP (paket ako paket v tomto pripade), pocet spojeni uz ale nie (pri UDP), pretoze UDP protokol pojem spojenie nepozna ...
kiwi - 26.10.2004 - 08:01
Post subject:
aka je vyhoda pri obmedzeni spojeni oproti poctu packetov?

toto ak sa nemylim je jednoduche obmedzenie poctu packetov
iptables -A FORWARD -i eth0 -s 192.168.1.10 -m limit --limit 5/s --limit-burst 5 -j ACCEPT

a toto by malo byt spojeni
iptables -N syn_flood
iptables -A INPUT -i eth0 -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 5 -j RETURN
iptables -A syn_flood -j DROP


je tak?
jmi - 27.10.2004 - 02:21
Post subject:
vyhoda ci nevyhoda? to co potrebujes to pouzijes..

cez obmedzovanie poctu spojeni si viem predstavit napr. to, ze zakazes napr. z jednej ipcky sosat paralelne 2 fajly ked oba dosiahnu nejaku velkost (obmedzovanie poctu spojeni som nepouzil ani nestudoval, teda sorry ak to v skutocnosti neni mozne .. ale malo by to ist cez connbytes a nasledne cez connlimit ci ako sa to vola)

obmedzenie poctu paketov si viem predstavit akurat tak pre UDP alebo ICMP. Pri tcp je zrejme shaping rozumnejsi
chilli - 27.10.2004 - 20:38
Post subject:
da sa toto pouzit ako trafic shaper?
mgx - 27.10.2004 - 23:06
Post subject: to tazko
to tazko Smile
si - 27.10.2004 - 23:59
Post subject:
mgx: preco, da... vies aku mozes mat maximalnu velkost packetov, vies kolko ich maximalne za sekundu pustis, ked to prenasobis, mas maximalny traffic co sa s tym da spravit Very Happy
chilli - 28.10.2004 - 00:01
Post subject:
no tak nejako som to myslel
mgx - 28.10.2004 - 21:46
Post subject: traffic shaper
jasne, ak by si v nejakom pomere presne nastavil, kolko packets/sek prejde pre urcite zariadenie, mozes tym nastavit priepustnost (bandwith management), ale to je zial vsetko.

Shaper by tak podla definicie urcite vznikol, pretoze by si obmedzil vytazenie urciteho zdroja, ale ma to oproti specializovanym packetovym schedulerom nejaku vyhodu?
kiwi - 29.10.2004 - 00:30
Post subject:
podla mna je nezmyselne sa natahovat o shapingu pomocou limitovania poctu packetov.

Skor by ma zaujimalo, ze ake mozu byt priciny toho, ze napriek aplikacii

iptables -A FORWARD -i wlan0 -s 10.203.1.107 -m limit --limit 15/s --limit-burst 20 -j ACCEPT

kde wlan0 je vstupny interface (AP) pre klienta, nedochadza k znizeniu mnozstva packetov prechadzajucich routrom
mathew - 29.10.2004 - 00:47
Post subject:
Hi,
jedná sa ti o zavírené počítače ?

trošku odveci ale predsa:
prečo ho rovno nevypneš na routri a budeš mať pokoj ?

No as pýtam sa teraz ja: ))

Ked DROPnem usera na routri potrebujem do IPTABLEs dopísať riadok, ktorý sice drpne všetko ale predsa usra keď použije nejaký prehliadač odpálkuje na moj WEB server a tam bude nejaký oznam (napr. máte zavírený comp, nezaplatili ste atď ) hod te sem please nejaký riadok jak to má vyzerať, dík.

Mat
jmi - 29.10.2004 - 00:52
Post subject:
otazka je co nasleduje ako dalsie pravidlo.. accept ti ten paket povoli a uz nekontroluje dalsie pravidla
teda za tymto pravidlom musis mat nejake ktore si zabije vsetky pozadovane pakety (uz sa nemusis bat ze by zabilo daky ktoremu si dal hentym pravidlo accept .. ten je proste navzdy dovoleny a uz ho nic nezabije
mathew - 29.10.2004 - 00:58
Post subject:
no ja len na routri zadam napr: iptables -t mange -A POSTROUTING -s 192.168.22.22 -j DROP samo aj pre prerouting tým ho odpálkujem do večných lovíšť no len aký je zápis pre to čo si napísal ?
jmi - 29.10.2004 - 14:12
Post subject:
ja zo zasady robim filtering len vo filter tabulke .. v mangle len nastavujem flagy
kiwi - 07.11.2004 - 21:16
Post subject:
Hi,

uspesne som pochopil limitovanie poctu paacketov pomocou iptables, ale chcel by som sa opytat, ze ci maju odchadzajuce packety, ktore potvrdzuju prijatie packetu nejaku vlastnost (asi Flag), ktora by ich odlisovala od odchadzajucihc packetov, ktore otvaraju konekciu (napriklad packety ktore odosiela virus na rozne IPs)

Inymi slovami, ked obmedzim pocet odchadzajucich packetov na 15, tak maximalny download je okolo 250 kbit, co mi nevyhovuje, tzn. potrebujem, aby tie packety ktore potvrdzuju prijatie packetu bolo mozne odoslat bez obmedzeni, ale naopak, packety ktore odosle virus, alebo nejaky trojan, aby spadali do inej kategorie a teda bud boli zahodene, alebo povolene len v istej miere.

Moze mi niekto tak zbezne vysvetlit co znamenaju tie flagy (ja viem ze si to mam pozriet na googli, ale keby sa nahodou niekomu chcelo, urcite by som nebol sam kto by sa potesil) Smile

V pripade, ze existuju este ine typy flags, ktore nie je dobre filtrovat, dajte mi vediet Smile.

Dik
jmi - 07.11.2004 - 23:09
Post subject:
tak toto mam ten pocit nebude take easy

nexces predsalen pouzit shaping tak ako vacsina ludi?
zimors - 10.11.2004 - 15:40
Post subject:
kiwi nevyznam sa v tom, ale nemalo by to byt nastavene na odchodzi $IFACE ? teda nie na wlan0, ale na druhe?
mgx - 10.11.2004 - 22:29
Post subject:
pre matt:

#!/bin/bash
# verzia 2.0

echo "Disable ->2.0"
export INTERNET_STRING=1.2.3.4 #IP adresa kde bezi tvoj WWW server
echo $INTERNET_STRING;

DISABLED="`grep disabled /etc/hosts | cut -f 1 | cut -f 2 --delimiter=" " `";
echo -n "Disconnected clients: "
for ONEIP in $DISABLED; do
echo -n "$ONEIP ";
/sbin/iptables -I PREROUTING -t nat -s $ONEIP -p tcp -j DNAT --to-destination $INTERNET_STRING:999
done
echo "";

UPLOAD="`grep upload /etc/hosts | cut -f 1 | cut -f 2 --delimiter=" "`";
echo -n "Upload warning clients: "
for ONEIP in $UPLOAD; do
echo -n "$ONEIP ";
/sbin/iptables -I PREROUTING -t nat -s $ONEIP -p tcp -j DNAT --to $INTERNET_STRING:998
done
echo "";

NEPLATIC="`grep neplatic /etc/hosts | cut -f 1 | cut -f 2 --delimiter=" "`";
echo -n "Neplatici clients: "
for ONEIP in $NEPLATIC; do
echo -n "$ONEIP ";
/sbin/iptables -I PREROUTING -t nat -s $ONEIP -p tcp -j DNAT --to $INTERNET_STRING:997
done
echo "";

WARNING="`grep warning /etc/hosts | cut -f 1 | cut -f 2 --delimiter=" "`";
echo -n "Warning clients: "
for ONEIP in $WARNING; do
echo -n "$ONEIP ";
/sbin/iptables -I PREROUTING -t nat -s $ONEIP -p tcp -j DNAT --to $INTERNET_STRING:996
done

/etc/hosts moze vyzerat nasledovne:

10.x.x.1 klient1 shared32
10.x.x.1 klient2 shared32
10.x.x.3 klient3 disabled
10.x.x.4 klient3 neplatic

na IP adrese treba mat rozbehnut WWW server, ktory na portoch 999,998,997 zobrazuje prislusne hlasky pre neplaticov Smile
Miso - 26.03.2006 - 10:51
Post subject:
A co v pripade ze pouzijem

iptables -A FORWARD -i wlan0 -s 10.203.1.0/24 -m limit --limit 15/s --limit-burst 20 -j ACCEPT

Bude pocet packetov obmedzeny pre cely pool IPciek alebo pre kazdu IPcku z tohoto poolu? Rozumejte tak, ze kazda IPcka z triedy 10.203.1.0 bude obmedzena na 15pckt/sec alebo spolocne vsetky IPcky budu zdielat obmedzenie 15pckt/sec a v pripade ze jeden zhltne vsetko, na ostatnych nezostane nic?
si - 26.03.2006 - 11:03
Post subject:
Miso: bude to obmedzovat cely rozsah 10.203.1.0/24 na dokopy 15 pps
neos - 26.03.2006 - 14:33
Post subject:
trochu odbocim:

izolacia klientov na AP zabrani aj tomu, aby nejaky klient udeloval dhcp? nemam to kde vyskusat zatial
si - 26.03.2006 - 14:37
Post subject:
neos: ano, kedze nedokaze poslat ani prijat packety od inych klientov Smile
LaCosta - 26.03.2006 - 15:27
Post subject:
2kiwi: ono to je docela problem, presne ako vravis limit odchadzajucich limituje prichodzie (logicke Smile) .. ak by sa jednalo o trojany viruse standartne ide o SMTP (25) takze limit spojeni ako u nas na jednotku casu ( tusim pol hodinu). Ak by to bolo globalne tak je mozne ze normalne nepojde napr FTP a pod. na WWW sa dala vynimka. Celkovo by to ani nevadilo ale dava to strasny zahul CPU Sad

Zatial nejake univerzalne riesenie neexistuje ...
p.s. dalo by sa spravit presmerovanie na web ze ma limit spojeni, ze ma virus atd ...
andreas4all - 18.05.2006 - 23:34
Post subject:
pozeral som tieto nastavenia.. ale neviem presno kolko mam povolit packetov za sek. zatial na sebe testujem --limit 50/s --limit-burst 75, ale vydi sa mi to vela, ale do netu mam max rychlost potom 1mbps, kolko max packetov doporucujete??? potrebujem to kvoli zavirenym kompom a podobne...
si - 19.05.2006 - 07:07
Post subject:
na to aby uzivatel aspon cisto teoreticky vedel dosiahnut 1 mbit/s musis povolit: 1024/8 = 128kB/s * 1024 = 131072B/s / 1500B/packet (alias MTU) = 87.38pps -> pokial mu teda povolis 87 packetov za sekundu a vsetky packety budu velkosti 1500B (co v reali budu mensie) tak sa dokaze dopracovat k rychlosti 1 mbit/s
andreas4all - 19.05.2006 - 10:40
Post subject:
ja som nevedel ako to prepocitat, tak som trochu testoval.. ked to mam takto tak do netu (meral som cez web) to ide cca 1mbit. ale zmiatlo ma to, ze hore bolo spominane nejake floodovanie a ze odosielalo nejakych 50-200packetov, tak preto sa mi to videlo vela... ok este trochu potestujem a uvidim ako to pojde...
uvedzam este kompletny zapis vo firewalli na staros, limit spojeni a IP vs MAC:
iptables -A FORWARD -s 192.168.0.23 -m limit --limit 50/s --limit-burst 75 -m mac --mac-source MM:AA:CC:MM:AA:CC -j ACCEPT

este jedna vec> ako presmerujem takyto traffic na inu IP, teda na iny StarOS keby tam je povedzme dalsie pripojenie... predpokladam ze sa to da cez PREROUTING ale neviem syntax. dik
Aman - 25.01.2010 - 09:06
Post subject:
zdravim
vie niekto ako sa da obmedzit pocet paketov za sekundu v MK?
pocet spojeni na jednu ip mi je jasny, ale pocet paketov za sekundu sa mi nejak nedari nastavit...
mam tu par zavirenych pc v sieti a tie dokazu zazraky. niektore posielaju aj 3000-5000 paketov za sekundu siet a ze co to robi so sietou nemusim ani hovorit...
kotol - 25.01.2010 - 10:05
Post subject:
kiwi wrote: ›jedna sa mi o to, ze ked ma niekto zavireny komp, tak dokaze poslat 50 - 200 pckts za sekundu

chcel by som aby sa tie packety nedostali dalej ako po router, nehovoriac o tom, ze ked sa niekto pokusa floodovat


ja len tolko ze 50-200 pps je smiesne cislo...

u nas mal rekorder 50000pps
Anton - 25.01.2010 - 10:53
Post subject:
Aman wrote: ›zdravim
vie niekto ako sa da obmedzit pocet paketov za sekundu v MK?
pocet spojeni na jednu ip mi je jasny, ale pocet paketov za sekundu sa mi nejak nedari nastavit...
mam tu par zavirenych pc v sieti a tie dokazu zazraky. niektore posielaju aj 3000-5000 paketov za sekundu siet a ze co to robi so sietou nemusim ani hovorit...


dnes som odhlalil napodobny problem Wink takze pomoc by sa hodila .. taktiez MK


dik
zelmar - 25.01.2010 - 15:09
Post subject:
Nie som sice mikrotik master , ale urcite je tam polozka ze limit aj s burstom vo firewalle.
Aman - 25.01.2010 - 15:15
Post subject:
zelmar wrote: ›Nie som sice mikrotik master , ale urcite je tam polozka ze limit aj s burstom vo firewalle.


no to je, ale ako optimalne nastavit tieto dve hodnoty na to, aby ludia mohli dosahovat rychlosti cca 3-5 pripadne 10 mbit

vyssie v clanku som cital, ze to obmedzuje aj celkovu rychlost, tak preto sa pytam...
zelmar - 25.01.2010 - 18:17
Post subject:
Aman wrote: ›
zelmar wrote: ›Nie som sice mikrotik master , ale urcite je tam polozka ze limit aj s burstom vo firewalle.


no to je, ale ako optimalne nastavit tieto dve hodnoty na to, aby ludia mohli dosahovat rychlosti cca 3-5 pripadne 10 mbit

vyssie v clanku som cital, ze to obmedzuje aj celkovu rychlost, tak preto sa pytam...


No ved jednoducha matika na dosiahnutie 10Mbps bude potrebovat minimalne 666 pps ked ratame s idealnou velkostou paketu 1500B. Cim mensi tym viac pps na danu rychlost.
Aman - 25.01.2010 - 19:01
Post subject:
no hej, ale su tam dve moznosti... limit a burst. co kam dat. uz si pripadam ako debil, ale nefunguje mi to. vie niekto hodit export pravidla?
421 - 27.01.2010 - 03:28
Post subject:
kiwi ak som to dobre pochopil, na konci by malo vzniknut univerzalne pravidlo, podla ktoreho dokazes nastavit siet tak, aby povedzme v prvom rade nemohol zavireny pocitac kydat do siete pakety a zaroven na druhej strane za dobrou pripojkou nemohl sikovny chlanisko urobit malu privatnu siet, na ktorej si privyraba?
zelmar - 27.01.2010 - 18:46
Post subject:
na zamedzenie zdielania exustuje 2 jednoduche podmienky obmedzit pocet spojeni a TTL nastavit na 1 ked nema router doma
mashinepistole2 - 27.01.2010 - 22:16
Post subject:
Aman wrote: ›no hej, ale su tam dve moznosti... limit a burst. co kam dat. uz si pripadam ako debil, ale nefunguje mi to. vie niekto hodit export pravidla?


Trosku som sa s tym zo zaujimavosti hral a +- to aj funguje , aspon v qtre to neprekracovalo 300 paketov , takze sa zda ze to fakli Very Happy

add action=accept chain=forward comment="" disabled=no dst-address=192.168.108.23 in-interface=WAN limit=300,300
add action=drop chain=forward comment="" disabled=no dst-address=192.168.108.23 in-interface=WAN limit=1000000,1000000
gyro - 27.01.2010 - 22:21
Post subject:
zelmar wrote: ›na zamedzenie zdielania exustuje 2 jednoduche podmienky obmedzit pocet spojeni a TTL nastavit na 1 ked nema router doma

kazdy druhy router za 15 eur ti vie TTL incrementovat, pripadne aj upravit na nastavenu hodnotu.
Tento problem je velmi tazko riesitelny, my mame na to svoj system, ale myslim ze je tak dobry ze nie je hodny na zverejnenie zadarmo na "free" cenzurovanom fore. Vyvyjali sme ho v podstate 7 rokov.
zelmar - 28.01.2010 - 20:41
Post subject:
gyro wrote: ›
zelmar wrote: ›na zamedzenie zdielania exustuje 2 jednoduche podmienky obmedzit pocet spojeni a TTL nastavit na 1 ked nema router doma

kazdy druhy router za 15 eur ti vie TTL incrementovat, pripadne aj upravit na nastavenu hodnotu.
Tento problem je velmi tazko riesitelny, my mame na to svoj system, ale myslim ze je tak dobry ze nie je hodny na zverejnenie zadarmo na "free" cenzurovanom fore. Vyvyjali sme ho v podstate 7 rokov.


No pocet spojeni je dost tazko ojebatelne ...
gyro - 29.01.2010 - 10:21
Post subject:
zelmar wrote: ›
gyro wrote: ›
zelmar wrote: ›na zamedzenie zdielania exustuje 2 jednoduche podmienky obmedzit pocet spojeni a TTL nastavit na 1 ked nema router doma

kazdy druhy router za 15 eur ti vie TTL incrementovat, pripadne aj upravit na nastavenu hodnotu.
Tento problem je velmi tazko riesitelny, my mame na to svoj system, ale myslim ze je tak dobry ze nie je hodny na zverejnenie zadarmo na "free" cenzurovanom fore. Vyvyjali sme ho v podstate 7 rokov.


No pocet spojeni je dost tazko ojebatelne ...


To ano.
andreas4all - 29.01.2010 - 10:45
Post subject:
gyro > ano, ttl vie zmenit pomaly kazdy router... ale ktoreho bezneho usra to napadne?
gyro - 29.01.2010 - 12:42
Post subject:
andreas4all wrote: ›gyro > ano, ttl vie zmenit pomaly kazdy router... ale ktoreho bezneho usra to napadne?

Ktory bezny user zdiela internet dalej za peniaze ?
andreas4all - 29.01.2010 - 14:05
Post subject:
ja osobne viem o 2 u nas... osobne to neriesim.
zelmar - 29.01.2010 - 14:53
Post subject:
gyro wrote: ›
andreas4all wrote: ›gyro > ano, ttl vie zmenit pomaly kazdy router... ale ktoreho bezneho usra to napadne?

Ktory bezny user zdiela internet dalej za peniaze ?


By si sa cudoval kolky provideri tu z skfree teraz rychlo googlia co je to TTL...
andreas4all - 29.01.2010 - 16:28
Post subject:
to zelmar > tak to je ten najhorsi pripad... to sa neoplati ani dalej komentovat...
Radoko77 - 31.01.2010 - 01:19
Post subject:
kiwi: mna by zaujimalo ak do iptables pri 500mbit trafiku zadas 1 riadok, ktory ma riesit 1 IP adresu, laicky som tomu porozumel ze ten jeden riadok musi prechadzat uplne cely trafik aby z neho vytiahol len ten ktory prislucha tej IP a aplikoval na nu to pravidlo

cize ak tam zadam 30 riadkov tak to musi klaknut do kolien ak sa ma takyto trafik rozoberat
kiwi - 31.01.2010 - 08:33
Post subject:
chlapci, otazku som polozil v roku 2004

odvtedy som to uz poriesil Smile

co sa tyka iptables Smile, tak pri 500mbit trafficu ho treba pekne porozdelovat, tzn. prvych 30 riadkov iptables je /24, tymto roztriedim vsetok traffic 30 riadkami a az na tieto subnetiky applikujem dalsie pravidla

takze by to slo bez problemu Smile, pretoze traffic okolo 600mbit firewallujem podobnym sposobom pod 0.1 load
zelmar - 31.01.2010 - 10:05
Post subject:
kiwi wrote: ›chlapci, otazku som polozil v roku 2004

odvtedy som to uz poriesil Smile

co sa tyka iptables Smile, tak pri 500mbit trafficu ho treba pekne porozdelovat, tzn. prvych 30 riadkov iptables je /24, tymto roztriedim vsetok traffic 30 riadkami a az na tieto subnetiky applikujem dalsie pravidla

takze by to slo bez problemu Smile, pretoze traffic okolo 600mbit firewallujem podobnym sposobom pod 0.1 load


Tymi prvymi 30 dosiahneme , ze sa budeme pozerat iba na pakety na ktore sa chceme naozaj pozriet a nebudu sa sypat stromom vsetky...je to taka mala obdoba HASH tabuliek. Aj Cisca routre by sa posrali keby nerobili HASH tabulky a ine uchlnosti, ktore maximalizuju efektivnost zariadenia.
kubiik - 31.01.2010 - 11:08
Post subject:
no pani akurat som prezil DDoS
140k+ paketov na interfejsi MK natovacej masiny nie je moc sranda.
logicky pomohla len filtracia u nadradeneho operatora aby sa to znormalizovalo.

je uchvatne riesit tieto veci ked je clovek mimo dosahu vlastnej siete a musi sa hrat na detektiva....

asi bude zasa treba zmenit/ predradit nejaky filtrovaci hardware...
krtko - 31.01.2010 - 11:59
Post subject:
140k p/s to je taky bejby dos Smile ale x86 riesenia jasne na tom zacnu umierat.
kubiik - 31.01.2010 - 15:41
Post subject:
krtko wrote: ›140k p/s to je taky bejby dos Smile ale x86 riesenia jasne na tom zacnu umierat.


no kedze mavam mozno 25k ten narast bol na dany system enoromny. predradime asi nejake to cisco nech nam do buducna bude vediet pekne hardwerovo filtrovat traffic....

a ked uz tak hovoris bejby dos, ak ste mali/mavate kolko paketikov sa vam valilo najviac na uplinkovy interfejs
krtko - 31.01.2010 - 16:11
Post subject:
niekde okolo 300k to peakovalo, plus minus Smile ale aj to je v podstate nic. s takymito utokmi si to cisco hravo poradi.
kiwi - 31.01.2010 - 17:18
Post subject:
kubik neblaazni ze cisco fw, staci ti tam dat switch ktory vie acl

aj na tigrovi zablokujes jednym hlupym aclko milionpps ak su male a nevyhulia ti celku linku
421 - 01.02.2010 - 08:35
Post subject:
kiwi si to vobec nepochopil, tu nejde o to, ze to dokaze tiger alebo ina masina, tu ide o to, ze musis mat cisco...ak nemas cisco nie si ISP. Ja ISP som, ja som na polane vyhral 10kove cisco, cize na mna sa uz nic nechyta Smile a keby cisco nestihalo na poslednom stretku som dostal od Gyra TP-link, stohovatelny s tym ciscom, a pani mozem vyhlasit kludne sutaz...do toho tp-linku sa nenabura ani najvacsi guru
kubiik - 01.02.2010 - 10:45
Post subject:
akoze ziadna ASA ci ine speci FW riesenie od cisca ani nic podobne;

uz davnsjsie som sa pohraval s nejakym s sofistikovanejsim riesenim uplinku, kebyze mi moja GW u mna vykape.

myslim tym len prehnat to cez nejaku 3550, ktoru tam tak ci tak mam....
pixall - 01.02.2010 - 11:17
Post subject:
421 wrote: ›kiwi si to vobec nepochopil, tu nejde o to, ze to dokaze tiger alebo ina masina, tu ide o to, ze musis mat cisco...ak nemas cisco nie si ISP. Ja ISP som, ja som na polane vyhral 10kove cisco, cize na mna sa uz nic nechyta Smile a keby cisco nestihalo na poslednom stretku som dostal od Gyra TP-link, stohovatelny s tym ciscom, a pani mozem vyhlasit kludne sutaz...do toho tp-linku sa nenabura ani najvacsi guru


moje nesympatie k ciscu (kvoli extremnej cene v pomere k vykonu) su viacmenej asi zname, napriek tomu musim uz konstatovat ze s ciscom ma clovek znacnu mieru istoty ze ked uz za to vygrcal tolko penazi, tak je to aspon vyladene a ze to pobezi... pripad z minuleho tyzdna, mali sme na dost vytazenej casti backbonu tigerswitch, a co sa nestalo, klaklo mu webrozhranie na nedostatok pamate, a zaroven s tym mu klakol aj multicast z toho isteho dovodu... a kedze tamadial tecie OSPF, tak klakol subezne s tym aj routing na sieti... a to su prosim pekne veci ktore si na backbone vyprosim, aby mi tam vypadavali nejake posr8te switche... tak sme tam dali namiesto toho tigra L3kove cisco a som rad ze som rad. sice to cisco mam v prevadzke zopar dni ale chovam voci nemu daleko vacsiu mieru dovery, nez k hocijakemu sikmookemu onemu.
kiwi - 01.02.2010 - 12:46
Post subject:
welcome to the club ...
Radoko77 - 02.02.2010 - 19:25
Post subject:
hehe
All times are GMT
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits