Форум Kerio-rus

Форум Kerio-rus (http://kerio-rus.ru/forum/index.php)
-   Курилка (http://kerio-rus.ru/forum/forumdisplay.php?f=312)
-   -   Софтверный шлюз VS железка, куда то дальше надо пойти (http://kerio-rus.ru/forum/showthread.php?t=7870)

naliman 05.06.2013 22:29

Софтверный шлюз VS железка, куда то дальше надо пойти
 
подкинули мне тут идею
Juniper - SRX
[Для просмотра данной ссылки нужно зарегистрироваться]

за весьма небольшие деньги в одном устройстве уже всё что надо, и шлюз и роутер и IPS и антивирус трафика и антиспам и ВПН и что только ни что
не циска, понятно, но весьма функциональная железяка, с весьма внушительными пропускными способностями в том числе на шифрованых каналах

возможно я буду не оригинален, однако думаю что на фоне завершения Microsoft-ом линейки ISA\TMG и ухода Kerio от винды - данного типа устройства предлагают весьма внушительный функционал на периметре

я решил взять вот такую модельку примерно, покрутить да и возможно перейти на неё

HOG 06.06.2013 00:07

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 
Цена?? Есть такого-же типа модельки от D-Link, ставили людям, спричем с организацией VPN со всеми филиалами, между филиалами, и.т.д. + VPN сервер на 100 юзеров на каждом из установленных (примерно 10 точек) - третий год, полет без сбоев.

Valery12 06.06.2013 11:18

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 
Цитата:

Сообщение от naliman (Сообщение 118319)
за весьма небольшие деньги в одном устройстве уже всё что надо, и шлюз и роутер и IPS и антивирус трафика и антиспам и ВПН

В свое время передо мной стоял выбор Juniper - SRX или Cisco ASA.
Вроде бы Juniper явно дешевле пока не выяснилось что все эти примочки, кроме базовых платные (при чем лицензии не постоянные а подписка) в результате реальная стоимость увеличивается в 2-3 раза, плюс очень своеобразный язык программирования.
Короче сейчас у меня стоят ASA

EnMan 09.06.2013 11:52

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 
Цитата:

Сообщение от HOG (Сообщение 118320)
Цена?? Есть такого-же типа модельки от D-Link, ставили людям, спричем с организацией VPN со всеми филиалами, между филиалами, и.т.д. + VPN сервер на 100 юзеров на каждом из установленных (примерно 10 точек) - третий год, полет без сбоев.

Около трешки баксов (SRX240). Не, Андрюх, Жунипер от Длинка очень далеко. Очень. Это скорее ближе к циске. Циска кажется дороже долларов на триста. Junos OS понятней RouterOS Микротиковской, честно говоря. Но я пасанул перед ценой взять на поиграться даже SRX100 (около 700$)

А железка охуенная. Да. Говорят крайне капризна к перегреву, в отличии от кошки.

Обращался в начале года в Тринити солюшенс, что бы их сетевики просчитали мне стоимость перехода на жуниперы. Итог с полусотней филиалов и дублем физическим железок в двух головных офисах получилось 44K USD. Могу выложить их расчеты, если интересно.

А в итоге сейчас всерьез рассматриваю вариант самопальных Kerio Control Box в филиалах на вот [Для просмотра данной ссылки нужно зарегистрироваться] платформе и реальных серверов на аплянсе в головных. Сейчас пилотный вариант из Британии приедет, протестирую и чем черт не шутит закажем может полсотни таких девайсов в Российском представительстве Jetway. Чем не решение? :)

naliman 10.06.2013 19:34

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 
Цитата:

Сообщение от Valery12 (Сообщение 118336)
В свое время передо мной стоял выбор Juniper - SRX или Cisco ASA. Вроде бы Juniper явно дешевле пока не выяснилось что все эти примочки, кроме базовых платные (при чем лицензии не постоянные а подписка) в результате реальная стоимость увеличивается в 2-3 раза, плюс очень своеобразный язык программирования. Короче сейчас у меня стоят ASA

спасибо, это важно


Цитата:

Сообщение от HOG (Сообщение 118320)
Цена??

модель типа 100-ки около 30 штук
соответственно более старшые - дороже

HOG 10.06.2013 23:10

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 
Цитата:

Сообщение от naliman (Сообщение 118444)
модель типа 100-ки около 30 штук

Реально смотреть в сторону ASA, ибо у него функционал реально лучше чем все то, что я видел.

Babah22 11.06.2013 09:25

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 
жаль меня здесь не было..... юнипер это не сиська, функционал гораздо богаче и стоит на порядок выше, а потом ещё прогить придётцо, шо тоже бабки, ибо прогеров под юнипер по пальцам можно пересчитать в россии. Задача какая?

naliman 20.06.2013 02:35

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 
Цитата:

Сообщение от Babah22 (Сообщение 118450)
Задача какая?

пока лишь осознать

naliman 25.09.2013 01:29

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 
Описание Mikrotik CCR1036-12G-4S-EM
[Для просмотра данной ссылки нужно зарегистрироваться]

Беспрецедентная мощь и непревзойдённая производительность - это Cloud Core Router, новейшее флагманское устройство от MikroTik. Если Вам требуется обработка миллионов пакетов в секунду - CCR1036-12G-4S-EM станет лучшим выбором. Новая модель, позволяющая осуществлять ещё больший объём задач - размер оперативной памяти увеличен до 16 ГБ!
Сетевой процессор нового поколения - 36 ядер по 1.2 ГГц, суммарно 12 МБ кэша, высокоскоростной механизм шифрования.
Высочайшая производительность - более 8 миллионов пакетов в секунду в режиме standart forwarding, более 24 миллионов пакетов в секунду в режиме fastpath forwarding, пропускная способность до 16 Гбит/с, порты подключены напрямую к процессору.
Дополнительные особенности - стоечный корпус 1U, 12 гигабитных портов, 4 порта SFP, цветной сенсорный дисплей, порт USB.
Управляется устройство фирменной операционной системой от MikroTik - RouterOS V6 64bit максимальной "комплектации" Level6.
[Для просмотра данной ссылки нужно зарегистрироваться]

[ame]http://www.youtube.com/watch?v=RoH1UA0P11A[/ame]

naliman 25.09.2013 01:32

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 
[Для просмотра данной ссылки нужно зарегистрироваться]
Описание Mikrotik RB2011UAS-RM

По сравнению с серией RB2011L, помимо пяти портов Gigabit и пяти Fast Ethernet, RB2011UAS-RM имеет порты SFP и microUSB и увеличенный объём ОЗУ - 128 Мб.
Также предустановлена лицензия RouterOS Level 5 и сенсорный LCD-экран для настройки.
Технические характеристики Mikrotik RB2011UAS-RM:

Процессор Atheros AR9344 600 МГц
Оперативная память 128 МБ
Порты 5x 10/100/1000 Mbit/s Gigabit Ethernet + 5x 10/100 Fast Ethernet с поддержкой Auto-MDI/X + 1x SFP (Mini-GBIC) + 1x microUSB 2.0
Дополнительно Датчики напряжения и температуры платы
Питание: 8-28V DC Jack или 8-28V DC PoE в порт Ether1
Максимальная потребляемая мощность 8 Вт
Корпус: 1U для стойки Размеры: 214 х 86 мм PCB (печатная плата)
Вес: 1200 г
Рабочая температура: -30 .. +70°C
Операционная система: MikroTik RouterOS Level 5

EnMan 25.09.2013 10:09

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 
Я тут за последние месяца четыре наковырялся их вдоволь, после Kerio Control некоторый разрыв шаблонов происходит. Но после понимания философии RouterOS настраивается оно очень легко. Дома теперь тоже [Для просмотра данной ссылки нужно зарегистрироваться]

Цитата:

Сообщение от EnMan (Сообщение 118415)
А в итоге сейчас всерьез рассматриваю вариант самопальных Kerio Control Box в филиалах на [Для просмотра данной ссылки нужно зарегистрироваться]такой платформе

Поставил в одном филиале - прикольная штука, кстати. Сам корпус оказался радиатором охлаждения проца.

naliman 25.09.2013 13:15

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 
Цитата:

Сообщение от EnMan (Сообщение 119673)
Я тут за последние месяца четыре наковырялся их вдоволь, после Kerio Control некоторый разрыв шаблонов происходит. Но после понимания философии RouterOS настраивается оно очень легко. Дома теперь тоже MikroTik RB2011UAS-2HnD-IN

ну есичо - буду дёргать глупыми вопросами
:)

naliman 28.09.2013 17:34

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 
бля не могу правило фаервола сделать
что б трафик публикации пустить
пиздец какой

RouterOS на PC-ке

EnMan, помоги!!!
:)

EnMan 29.09.2013 01:41

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 
Жень, второй день плавно протекает день рождения. Завтра расскажу. А правил нужно два.

naliman 29.09.2013 02:38

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 
аа, у тебя шоле?
с днём варенья!!

naliman 29.09.2013 02:39

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 
подробнее шо нада:
1. разрешить клиентам выход в тырнеты только по определённым протоколам\портам
2. пробросить на внутренний комп RDP с нестандартного порта

правила NAT:
0 chain=srcnat action=masquerade out-interface=WAN

1 chain=dstnat action=netmap to-addresses=192.168.18.5 to-ports=3389 protocol=tcp in-interface=WAN dst-port=8889

правила Firewall filter:
0 chain=forward action=accept protocol=icmp src-address-list=test in-interface=LAN

1 chain=forward action=accept protocol=tcp src-address-list=test in-interface=LAN dst-port=21

2 chain=forward action=accept protocol=tcp src-address=192.168.18.5 in-interface=LAN dst-port=80

3 chain=forward action=accept protocol=tcp src-address-list=test in-interface=LAN dst-port=443

4 chain=forward action=accept protocol=tcp src-address-list=test in-interface=LAN dst-port=3389

5 chain=forward action=accept protocol=tcp dst-address=192.168.18.5 in-interface=WAN dst-port=8889

6 chain=forward action=drop in-interface=LAN

EnMan 29.09.2013 09:58

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 
Для того, что бы достучаться из интернета на RDP через нестандартный порт на 192.168.18.5 необходимы два правила. Первое разрешающее стандартный порт RDP в цепочке forward в /ip firewall filter

add chain=forward dst-address=192.168.18.5 dst-port=3389 in-interface=WAN protocol=tcp

Второе правило в /ip firewall nat

add action=dst-nat chain=dstnat dst-port=8889 in-interface=WAN protocol=tcp to-addresses=192.168.18.5 to-ports=3389

У меня приведены команды, которые нужно выполнить в терминале. Если смотреть через print то правила должны выглядеть так.

/ip firewall filter
chain=forward action=accept protocol=tcp dst-address=192.168.18.5 in-interface=WAN dst-port=3389
/ip firewall nat
chain=dstnat action=dst-nat to-addresses=192.168.18.5 to-ports=3389 protocol=tcp in-interface=WAN dst-port=8889


Т.е. у тебя ошибка в правиле 4 и пятое не нужно вообще. Кажется так. Разницу между netmap и dst-nat я сам понимаю не особо, можно и так и так. netmap используют когда нужно пробрасывать диапазоны адресов 1:1. Но единичные адреса тоже можно нетмапить.

naliman 29.09.2013 13:20

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 
EnMan,ужо разобрался :)

не хватало служебных правил:
Цитата:

[mkt@MikroTik] > ip firewall filter add chain=forward connection-state=invalid
action=drop comment="Drop invalid connection packets"

[mkt@MikroTik] > ip firewall filter add chain=forward connection-state=established
action=accept comment="Allow established connections"


[mkt@MikroTik] > ip firewall filter add chain=forward connection-state=related
action=accept comment="Allow related connections"

второе сразу решило проблему
рылся в тырнетах, нашёл понятные инструкции-примеры
[Для просмотра данной ссылки нужно зарегистрироваться]

теперь всё выглядит так:

Цитата:

[admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Allow established connections
chain=forward action=accept connection-state=established

1 ;;; Allow established connections
chain=input action=accept connection-state=established

2 ;;; Allow related connections
chain=forward action=accept connection-state=related

3 ;;; Allow related connections
chain=input action=accept connection-state=related

4 X ;;; Allow UDP connections
chain=forward action=accept protocol=udp

5 X ;;; Allow ICMP messages
chain=forward action=accept protocol=icmp

6 ;;; Drop invalid connection packets
chain=forward action=drop connection-state=invalid

7 ;;; Drop invalid connection packets
chain=input action=drop connection-state=invalid

8 chain=forward action=accept protocol=icmp src-address-list=test
out-interface=WAN

9 chain=forward action=accept protocol=tcp src-address-list=test
out-interface=WAN dst-port=21,80,443,3389

10 chain=forward action=accept protocol=tcp dst-address=192.168.18.5
dst-port=3389

11 chain=forward action=drop

12 chain=input action=drop in-interface=WAN
0-7 те самые служебные (ка кпо ссылке пишут) правила, только добавил ещё и для цепочки инпут
8 разрешает пинг для списка адресов test
9 разрешает набор портов для списка test
10 разрешает прохождение пакета на внутренний адрес на порт рдп
11 блочит весь остальной форвард
12 блочит весь остальной инпут

ну и правила NAT:
Цитата:

[admin@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=WAN

1 chain=dstnat action=netmap to-addresses=192.168.18.5 to-ports=3389
protocol=tcp dst-address=внешнийIP in-interface=WAN dst-port=8889
0 - маскарадит всё наружу
1 - публикация рдп на нестандартном порта


ЗЫ
до 6 утра, сначала копался, потом читал кучу разного

ЗЗЫ
влюблён в микротик

LAV48 12.06.2014 23:32

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 
Блин. Очень хорош микротик, настроил и забыл. Сука, ЗАБЫЛ! Я забыл чего я там понастроил и как. Вот счас надо создать вторую сетку, в неё не давать интырнетов, но в неё ходить с девайсов в первой сетке. По простому - залочить трафиг в иннет с девайса, но так не хочу, потому как хочу повесить пару шнурков и всякие железки для чистого файлообмена цаплять. Создал второй бридж, взвесил на нём ДХЦП. Бридж с сетки с иннетом пингую, устройство с ровутера через интырфейс бриджа тоже, с устройства бридж не пингую, блять. Чую гдета в фаерволах не то, голову уже паламал... вот как хорошо бывает када всё работает, что аж можно забыть.

naliman 12.06.2014 23:39

Re: Софтверный шлюз VS железка, куда то дальше надо пойти
 
Цитата:

Сообщение от LAV48 (Сообщение 126951)
Блин. Очень хорош микротик, настроил и забыл. Сука, ЗАБЫЛ!

да, юзаю RouterOS на x86
в январе включил, отстроил
и тоже забыл
:)

Winbox пользуешь?

покажи правела?


Текущее время: 05:52. Часовой пояс GMT +3.

Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2021, vBulletin Solutions Inc. Перевод: zCarot