Софтверный шлюз VS железка, куда то дальше надо пойти

[naliman]

подкинули мне тут идею
Juniper - SRX


за весьма небольшие деньги в одном устройстве уже всё что надо, и шлюз и роутер и IPS и антивирус трафика и антиспам и ВПН и что только ни что
не циска, понятно, но весьма функциональная железяка, с весьма внушительными пропускными способностями в том числе на шифрованых каналах

возможно я буду не оригинален, однако думаю что на фоне завершения Microsoft-ом линейки ISA\TMG и ухода Kerio от винды - данного типа устройства предлагают весьма внушительный функционал на периметре

я решил взять вот такую модельку примерно, покрутить да и возможно перейти на неё

[HOG]

Цена?? Есть такого-же типа модельки от D-Link, ставили людям, спричем с организацией VPN со всеми филиалами, между филиалами, и.т.д. + VPN сервер на 100 юзеров на каждом из установленных (примерно 10 точек) - третий год, полет без сбоев.

[Valery12]

Цитата:

Сообщение от naliman

за весьма небольшие деньги в одном устройстве уже всё что надо, и шлюз и роутер и IPS и антивирус трафика и антиспам и ВПН

В свое время передо мной стоял выбор Juniper - SRX или Cisco ASA.
Вроде бы Juniper явно дешевле пока не выяснилось что все эти примочки, кроме базовых платные (при чем лицензии не постоянные а подписка) в результате реальная стоимость увеличивается в 2-3 раза, плюс очень своеобразный язык программирования.
Короче сейчас у меня стоят ASA

[EnMan]

Цитата:

Сообщение от HOG

Цена?? Есть такого-же типа модельки от D-Link, ставили людям, спричем с организацией VPN со всеми филиалами, между филиалами, и.т.д. + VPN сервер на 100 юзеров на каждом из установленных (примерно 10 точек) - третий год, полет без сбоев.

Около трешки баксов (SRX240). Не, Андрюх, Жунипер от Длинка очень далеко. Очень. Это скорее ближе к циске. Циска кажется дороже долларов на триста. Junos OS понятней RouterOS Микротиковской, честно говоря. Но я пасанул перед ценой взять на поиграться даже SRX100 (около 700$)

А железка охуенная. Да. Говорят крайне капризна к перегреву, в отличии от кошки.

Обращался в начале года в Тринити солюшенс, что бы их сетевики просчитали мне стоимость перехода на жуниперы. Итог с полусотней филиалов и дублем физическим железок в двух головных офисах получилось 44K USD. Могу выложить их расчеты, если интересно.

А в итоге сейчас всерьез рассматриваю вариант самопальных Kerio Control Box в филиалах на вот [Для просмотра данной ссылки нужно зарегистрироваться] платформе и реальных серверов на аплянсе в головных. Сейчас пилотный вариант из Британии приедет, протестирую и чем черт не шутит закажем может полсотни таких девайсов в Российском представительстве Jetway. Чем не решение?

[naliman]

Цитата

Сообщение от Valery12

В свое время передо мной стоял выбор Juniper - SRX или Cisco ASA. Вроде бы Juniper явно дешевле пока не выяснилось что все эти примочки, кроме базовых платные (при чем лицензии не постоянные а подписка) в результате реальная стоимость увеличивается в 2-3 раза, плюс очень своеобразный язык программирования. Короче сейчас у меня стоят ASA

спасибо, это важно

Цитата:

Сообщение от HOG

Цена??

модель типа 100-ки около 30 штук
соответственно более старшые - дороже

[HOG]

Цитата:

Сообщение от naliman

модель типа 100-ки около 30 штук

Реально смотреть в сторону ASA, ибо у него функционал реально лучше чем все то, что я видел.

[Babah22]

жаль меня здесь не было..... юнипер это не сиська, функционал гораздо богаче и стоит на порядок выше, а потом ещё прогить придётцо, шо тоже бабки, ибо прогеров под юнипер по пальцам можно пересчитать в россии. Задача какая?

[naliman]

Цитата:

Сообщение от Babah22

Задача какая?

пока лишь осознать

[naliman]

Описание Mikrotik CCR1036-12G-4S-EM
[Для просмотра данной ссылки нужно зарегистрироваться]

Беспрецедентная мощь и непревзойдённая производительность - это Cloud Core Router, новейшее флагманское устройство от MikroTik. Если Вам требуется обработка миллионов пакетов в секунду - CCR1036-12G-4S-EM станет лучшим выбором. Новая модель, позволяющая осуществлять ещё больший объём задач - размер оперативной памяти увеличен до 16 ГБ!
Сетевой процессор нового поколения - 36 ядер по 1.2 ГГц, суммарно 12 МБ кэша, высокоскоростной механизм шифрования.
Высочайшая производительность - более 8 миллионов пакетов в секунду в режиме standart forwarding, более 24 миллионов пакетов в секунду в режиме fastpath forwarding, пропускная способность до 16 Гбит/с, порты подключены напрямую к процессору.
Дополнительные особенности - стоечный корпус 1U, 12 гигабитных портов, 4 порта SFP, цветной сенсорный дисплей, порт USB.
Управляется устройство фирменной операционной системой от MikroTik - RouterOS V6 64bit максимальной "комплектации" Level6.


[ame]http://www.youtube.com/watch?v=RoH1UA0P11A[/ame]

[naliman]

Описание Mikrotik RB2011UAS-RM

По сравнению с серией RB2011L, помимо пяти портов Gigabit и пяти Fast Ethernet, RB2011UAS-RM имеет порты SFP и microUSB и увеличенный объём ОЗУ - 128 Мб.
Также предустановлена лицензия RouterOS Level 5 и сенсорный LCD-экран для настройки.
Технические характеристики Mikrotik RB2011UAS-RM:

Процессор Atheros AR9344 600 МГц
Оперативная память 128 МБ
Порты 5x 10/100/1000 Mbit/s Gigabit Ethernet + 5x 10/100 Fast Ethernet с поддержкой Auto-MDI/X + 1x SFP (Mini-GBIC) + 1x microUSB 2.0
Дополнительно Датчики напряжения и температуры платы
Питание: 8-28V DC Jack или 8-28V DC PoE в порт Ether1
Максимальная потребляемая мощность 8 Вт
Корпус: 1U для стойки Размеры: 214 х 86 мм PCB (печатная плата)
Вес: 1200 г
Рабочая температура: -30 .. +70°C
Операционная система: MikroTik RouterOS Level 5

[EnMan]

Я тут за последние месяца четыре наковырялся их вдоволь, после Kerio Control некоторый разрыв шаблонов происходит. Но после понимания философии RouterOS настраивается оно очень легко. Дома теперь тоже [Для просмотра данной ссылки нужно зарегистрироваться]

Цитата:

Сообщение от EnMan

А в итоге сейчас всерьез рассматриваю вариант самопальных Kerio Control Box в филиалах на [Для просмотра данной ссылки нужно зарегистрироваться]такой платформе

Поставил в одном филиале - прикольная штука, кстати. Сам корпус оказался радиатором охлаждения проца.

[naliman]

Цитата:

Сообщение от EnMan

Я тут за последние месяца четыре наковырялся их вдоволь, после Kerio Control некоторый разрыв шаблонов происходит. Но после понимания философии RouterOS настраивается оно очень легко. Дома теперь тоже MikroTik RB2011UAS-2HnD-IN

ну есичо - буду дёргать глупыми вопросами

[naliman]

бля не могу правило фаервола сделать
что б трафик публикации пустить
пиздец какой

RouterOS на PC-ке

EnMan, помоги!!!

[EnMan]

Жень, второй день плавно протекает день рождения. Завтра расскажу. А правил нужно два.

[naliman]

аа, у тебя шоле?
с днём варенья!!

[naliman]

подробнее шо нада:
1. разрешить клиентам выход в тырнеты только по определённым протоколам\портам
2. пробросить на внутренний комп RDP с нестандартного порта

правила NAT:
0 chain=srcnat action=masquerade out-interface=WAN

1 chain=dstnat action=netmap to-addresses=192.168.18.5 to-ports=3389 protocol=tcp in-interface=WAN dst-port=8889

правила Firewall filter:
0 chain=forward action=accept protocol=icmp src-address-list=test in-interface=LAN

1 chain=forward action=accept protocol=tcp src-address-list=test in-interface=LAN dst-port=21

2 chain=forward action=accept protocol=tcp src-address=192.168.18.5 in-interface=LAN dst-port=80

3 chain=forward action=accept protocol=tcp src-address-list=test in-interface=LAN dst-port=443

4 chain=forward action=accept protocol=tcp src-address-list=test in-interface=LAN dst-port=3389

5 chain=forward action=accept protocol=tcp dst-address=192.168.18.5 in-interface=WAN dst-port=8889

6 chain=forward action=drop in-interface=LAN

[EnMan]

Для того, что бы достучаться из интернета на RDP через нестандартный порт на 192.168.18.5 необходимы два правила. Первое разрешающее стандартный порт RDP в цепочке forward в /ip firewall filter

add chain=forward dst-address=192.168.18.5 dst-port=3389 in-interface=WAN protocol=tcp

Второе правило в /ip firewall nat

add action=dst-nat chain=dstnat dst-port=8889 in-interface=WAN protocol=tcp to-addresses=192.168.18.5 to-ports=3389

У меня приведены команды, которые нужно выполнить в терминале. Если смотреть через print то правила должны выглядеть так.

/ip firewall filter
chain=forward action=accept protocol=tcp dst-address=192.168.18.5 in-interface=WAN dst-port=3389
/ip firewall nat
chain=dstnat action=dst-nat to-addresses=192.168.18.5 to-ports=3389 protocol=tcp in-interface=WAN dst-port=8889


Т.е. у тебя ошибка в правиле 4 и пятое не нужно вообще. Кажется так. Разницу между netmap и dst-nat я сам понимаю не особо, можно и так и так. netmap используют когда нужно пробрасывать диапазоны адресов 1:1. Но единичные адреса тоже можно нетмапить.

[naliman]

EnMan,ужо разобрался

не хватало служебных правил:

Цитата

[mkt@MikroTik] > ip firewall filter add chain=forward connection-state=invalid
action=drop comment="Drop invalid connection packets"

[mkt@MikroTik] > ip firewall filter add chain=forward connection-state=established
action=accept comment="Allow established connections"

[mkt@MikroTik] > ip firewall filter add chain=forward connection-state=related
action=accept comment="Allow related connections"

второе сразу решило проблему
рылся в тырнетах, нашёл понятные инструкции-примеры
[Для просмотра данной ссылки нужно зарегистрироваться]

теперь всё выглядит так:

Цитата

[admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Allow established connections
chain=forward action=accept connection-state=established

1 ;;; Allow established connections
chain=input action=accept connection-state=established

2 ;;; Allow related connections
chain=forward action=accept connection-state=related

3 ;;; Allow related connections
chain=input action=accept connection-state=related

4 X ;;; Allow UDP connections
chain=forward action=accept protocol=udp

5 X ;;; Allow ICMP messages
chain=forward action=accept protocol=icmp

6 ;;; Drop invalid connection packets
chain=forward action=drop connection-state=invalid

7 ;;; Drop invalid connection packets
chain=input action=drop connection-state=invalid

8 chain=forward action=accept protocol=icmp src-address-list=test
out-interface=WAN

9 chain=forward action=accept protocol=tcp src-address-list=test
out-interface=WAN dst-port=21,80,443,3389

10 chain=forward action=accept protocol=tcp dst-address=192.168.18.5
dst-port=3389

11 chain=forward action=drop

12 chain=input action=drop in-interface=WAN

0-7 те самые служебные (ка кпо ссылке пишут) правила, только добавил ещё и для цепочки инпут
8 разрешает пинг для списка адресов test
9 разрешает набор портов для списка test
10 разрешает прохождение пакета на внутренний адрес на порт рдп
11 блочит весь остальной форвард
12 блочит весь остальной инпут

ну и правила NAT:

Цитата

[admin@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=WAN

1 chain=dstnat action=netmap to-addresses=192.168.18.5 to-ports=3389
protocol=tcp dst-address=внешнийIP in-interface=WAN dst-port=8889

0 - маскарадит всё наружу
1 - публикация рдп на нестандартном порта


ЗЫ
до 6 утра, сначала копался, потом читал кучу разного

ЗЗЫ
влюблён в микротик

[LAV48]

Блин. Очень хорош микротик, настроил и забыл. Сука, ЗАБЫЛ! Я забыл чего я там понастроил и как. Вот счас надо создать вторую сетку, в неё не давать интырнетов, но в неё ходить с девайсов в первой сетке. По простому - залочить трафиг в иннет с девайса, но так не хочу, потому как хочу повесить пару шнурков и всякие железки для чистого файлообмена цаплять. Создал второй бридж, взвесил на нём ДХЦП. Бридж с сетки с иннетом пингую, устройство с ровутера через интырфейс бриджа тоже, с устройства бридж не пингую, блять. Чую гдета в фаерволах не то, голову уже паламал... вот как хорошо бывает када всё работает, что аж можно забыть.

[naliman]

Цитата

Сообщение от LAV48

Блин. Очень хорош микротик, настроил и забыл. Сука, ЗАБЫЛ!

да, юзаю RouterOS на x86
в январе включил, отстроил
и тоже забыл


Winbox пользуешь?

покажи правела?