Софтверный шлюз VS железка, куда то дальше надо пойти
 

подкинули мне тут идею
Juniper - SRX
[Для просмотра данной ссылки нужно зарегистрироваться]

за весьма небольшие деньги в одном устройстве уже всё что надо, и шлюз и роутер и IPS и антивирус трафика и антиспам и ВПН и что только ни что
не циска, понятно, но весьма функциональная железяка, с весьма внушительными пропускными способностями в том числе на шифрованых каналах

возможно я буду не оригинален, однако думаю что на фоне завершения Microsoft-ом линейки ISA\TMG и ухода Kerio от винды - данного типа устройства предлагают весьма внушительный функционал на периметре

я решил взять вот такую модельку примерно, покрутить да и возможно перейти на неё

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 

Цена?? Есть такого-же типа модельки от D-Link, ставили людям, спричем с организацией VPN со всеми филиалами, между филиалами, и.т.д. + VPN сервер на 100 юзеров на каждом из установленных (примерно 10 точек) - третий год, полет без сбоев.

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 

В свое время передо мной стоял выбор Juniper - SRX или Cisco ASA.
Вроде бы Juniper явно дешевле пока не выяснилось что все эти примочки, кроме базовых платные (при чем лицензии не постоянные а подписка) в результате реальная стоимость увеличивается в 2-3 раза, плюс очень своеобразный язык программирования.
Короче сейчас у меня стоят ASA

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 

Около трешки баксов (SRX240). Не, Андрюх, Жунипер от Длинка очень далеко. Очень. Это скорее ближе к циске. Циска кажется дороже долларов на триста. Junos OS понятней RouterOS Микротиковской, честно говоря. Но я пасанул перед ценой взять на поиграться даже SRX100 (около 700$)

А железка охуенная. Да. Говорят крайне капризна к перегреву, в отличии от кошки.

Обращался в начале года в Тринити солюшенс, что бы их сетевики просчитали мне стоимость перехода на жуниперы. Итог с полусотней филиалов и дублем физическим железок в двух головных офисах получилось 44K USD. Могу выложить их расчеты, если интересно.

А в итоге сейчас всерьез рассматриваю вариант самопальных Kerio Control Box в филиалах на вот [Для просмотра данной ссылки нужно зарегистрироваться] платформе и реальных серверов на аплянсе в головных. Сейчас пилотный вариант из Британии приедет, протестирую и чем черт не шутит закажем может полсотни таких девайсов в Российском представительстве Jetway. Чем не решение? :)

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 

спасибо, это важно


модель типа 100-ки около 30 штук
соответственно более старшые - дороже

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 

Реально смотреть в сторону ASA, ибо у него функционал реально лучше чем все то, что я видел.

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 

жаль меня здесь не было..... юнипер это не сиська, функционал гораздо богаче и стоит на порядок выше, а потом ещё прогить придётцо, шо тоже бабки, ибо прогеров под юнипер по пальцам можно пересчитать в россии. Задача какая?

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 

пока лишь осознать

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 

Описание Mikrotik CCR1036-12G-4S-EM
[Для просмотра данной ссылки нужно зарегистрироваться]

Беспрецедентная мощь и непревзойдённая производительность - это Cloud Core Router, новейшее флагманское устройство от MikroTik. Если Вам требуется обработка миллионов пакетов в секунду - CCR1036-12G-4S-EM станет лучшим выбором. Новая модель, позволяющая осуществлять ещё больший объём задач - размер оперативной памяти увеличен до 16 ГБ!
Сетевой процессор нового поколения - 36 ядер по 1.2 ГГц, суммарно 12 МБ кэша, высокоскоростной механизм шифрования.
Высочайшая производительность - более 8 миллионов пакетов в секунду в режиме standart forwarding, более 24 миллионов пакетов в секунду в режиме fastpath forwarding, пропускная способность до 16 Гбит/с, порты подключены напрямую к процессору.
Дополнительные особенности - стоечный корпус 1U, 12 гигабитных портов, 4 порта SFP, цветной сенсорный дисплей, порт USB.
Управляется устройство фирменной операционной системой от MikroTik - RouterOS V6 64bit максимальной "комплектации" Level6.
[Для просмотра данной ссылки нужно зарегистрироваться]

[ame]http://www.youtube.com/watch?v=RoH1UA0P11A[/ame]

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 

[Для просмотра данной ссылки нужно зарегистрироваться]
Описание Mikrotik RB2011UAS-RM

По сравнению с серией RB2011L, помимо пяти портов Gigabit и пяти Fast Ethernet, RB2011UAS-RM имеет порты SFP и microUSB и увеличенный объём ОЗУ - 128 Мб.
Также предустановлена лицензия RouterOS Level 5 и сенсорный LCD-экран для настройки.
Технические характеристики Mikrotik RB2011UAS-RM:

Процессор Atheros AR9344 600 МГц
Оперативная память 128 МБ
Порты 5x 10/100/1000 Mbit/s Gigabit Ethernet + 5x 10/100 Fast Ethernet с поддержкой Auto-MDI/X + 1x SFP (Mini-GBIC) + 1x microUSB 2.0
Дополнительно Датчики напряжения и температуры платы
Питание: 8-28V DC Jack или 8-28V DC PoE в порт Ether1
Максимальная потребляемая мощность 8 Вт
Корпус: 1U для стойки Размеры: 214 х 86 мм PCB (печатная плата)
Вес: 1200 г
Рабочая температура: -30 .. +70°C
Операционная система: MikroTik RouterOS Level 5

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 

Я тут за последние месяца четыре наковырялся их вдоволь, после Kerio Control некоторый разрыв шаблонов происходит. Но после понимания философии RouterOS настраивается оно очень легко. Дома теперь тоже [Для просмотра данной ссылки нужно зарегистрироваться]

Поставил в одном филиале - прикольная штука, кстати. Сам корпус оказался радиатором охлаждения проца.

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 

ну есичо - буду дёргать глупыми вопросами
:)

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 

бля не могу правило фаервола сделать
что б трафик публикации пустить
пиздец какой

RouterOS на PC-ке

EnMan, помоги!!!
:)

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 

Жень, второй день плавно протекает день рождения. Завтра расскажу. А правил нужно два.

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 

аа, у тебя шоле?
с днём варенья!!

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 

подробнее шо нада:
1. разрешить клиентам выход в тырнеты только по определённым протоколам\портам
2. пробросить на внутренний комп RDP с нестандартного порта

правила NAT:
0 chain=srcnat action=masquerade out-interface=WAN

1 chain=dstnat action=netmap to-addresses=192.168.18.5 to-ports=3389 protocol=tcp in-interface=WAN dst-port=8889

правила Firewall filter:
0 chain=forward action=accept protocol=icmp src-address-list=test in-interface=LAN

1 chain=forward action=accept protocol=tcp src-address-list=test in-interface=LAN dst-port=21

2 chain=forward action=accept protocol=tcp src-address=192.168.18.5 in-interface=LAN dst-port=80

3 chain=forward action=accept protocol=tcp src-address-list=test in-interface=LAN dst-port=443

4 chain=forward action=accept protocol=tcp src-address-list=test in-interface=LAN dst-port=3389

5 chain=forward action=accept protocol=tcp dst-address=192.168.18.5 in-interface=WAN dst-port=8889

6 chain=forward action=drop in-interface=LAN

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 

Для того, что бы достучаться из интернета на RDP через нестандартный порт на 192.168.18.5 необходимы два правила. Первое разрешающее стандартный порт RDP в цепочке forward в /ip firewall filter

add chain=forward dst-address=192.168.18.5 dst-port=3389 in-interface=WAN protocol=tcp

Второе правило в /ip firewall nat

add action=dst-nat chain=dstnat dst-port=8889 in-interface=WAN protocol=tcp to-addresses=192.168.18.5 to-ports=3389

У меня приведены команды, которые нужно выполнить в терминале. Если смотреть через print то правила должны выглядеть так.

/ip firewall filter
chain=forward action=accept protocol=tcp dst-address=192.168.18.5 in-interface=WAN dst-port=3389
/ip firewall nat
chain=dstnat action=dst-nat to-addresses=192.168.18.5 to-ports=3389 protocol=tcp in-interface=WAN dst-port=8889


Т.е. у тебя ошибка в правиле 4 и пятое не нужно вообще. Кажется так. Разницу между netmap и dst-nat я сам понимаю не особо, можно и так и так. netmap используют когда нужно пробрасывать диапазоны адресов 1:1. Но единичные адреса тоже можно нетмапить.

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 

EnMan,ужо разобрался :)

не хватало служебных правил:
второе сразу решило проблему
рылся в тырнетах, нашёл понятные инструкции-примеры
[Для просмотра данной ссылки нужно зарегистрироваться]

теперь всё выглядит так:

0-7 те самые служебные (ка кпо ссылке пишут) правила, только добавил ещё и для цепочки инпут
8 разрешает пинг для списка адресов test
9 разрешает набор портов для списка test
10 разрешает прохождение пакета на внутренний адрес на порт рдп
11 блочит весь остальной форвард
12 блочит весь остальной инпут

ну и правила NAT:
0 - маскарадит всё наружу
1 - публикация рдп на нестандартном порта


ЗЫ
до 6 утра, сначала копался, потом читал кучу разного

ЗЗЫ
влюблён в микротик

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 

Блин. Очень хорош микротик, настроил и забыл. Сука, ЗАБЫЛ! Я забыл чего я там понастроил и как. Вот счас надо создать вторую сетку, в неё не давать интырнетов, но в неё ходить с девайсов в первой сетке. По простому - залочить трафиг в иннет с девайса, но так не хочу, потому как хочу повесить пару шнурков и всякие железки для чистого файлообмена цаплять. Создал второй бридж, взвесил на нём ДХЦП. Бридж с сетки с иннетом пингую, устройство с ровутера через интырфейс бриджа тоже, с устройства бридж не пингую, блять. Чую гдета в фаерволах не то, голову уже паламал... вот как хорошо бывает када всё работает, что аж можно забыть.

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 

да, юзаю RouterOS на x86
в январе включил, отстроил
и тоже забыл
:)

Winbox пользуешь?

покажи правела?