Hlavní navigace

Vlákno názorů k článku Konfigurace firewallu na RouterOS od Mikrotiku od wondra - Autor zrejme nezaznamenal, ze RouterOS je distribuci Linuxu...

  • Článek je starý, nové názory již nelze přidávat.
  • 12. 8. 2011 9:43

    wondra (neregistrovaný) ---.broker.freenet6.net

    Autor zrejme nezaznamenal, ze RouterOS je distribuci Linuxu a konfigurator firewallu je pouze nadstavbou nad linuxovym kernelem. Kuprikladu i graf pruchodu paketu kernelem je tudiz stejny, jenom do nej malokdy nekdo kresli vsechno zaroven.
    Mikrotik totiz do kernelu pridal patchu, co se tam veslo, a nektere z nich budou zrejme i jejich vlastni vyroby. Nevi napriklad nekdo, jak udelat v cistem Linuxu PCQ (per-connection queue)?
    Za druhe bych si vyprosil ty hlasky o vykonu Mikrotikovych krabicek, naprosto nepodlozene jakymkoli merenim. Autor clankem vlastne prohlasuje, ze Mikrotik nelze pouzit v produkcnim prostredi. Proc o nem tedy vubec pise?
    Prosim tedy, aby pristi clanek obsahoval mereni propustnosti nekolika zvolenych Mikrotiku, vcetne tech nejvyssich verzi (s procesorem Atom, tusim), v rovine propustnosti merene s ruzne velkymi pakety a s nasazenim ruznych funkci firewallu (filter, NAT, l7filter, netgrep). "Produkcni prostredi" by se melo definovat a srovnat s namerenymi vysledky.
    Navic jsem videl gramatickou chybu a to me vzdycky vytoci tak, ze musim napsat komentar.
    S uctou, wondra

  • 12. 8. 2011 10:17

    Adam Štrauch

    Autor zaznamenal. Informace o výkonu jsou opodstatněné, protože firewall dokáže výkonem zamotat. Pokud chcete nějaká čísla, tak v síti, kde mi teče 20 Mbitů od 100 uživatelů se zatížení při zapnutí detekce P2P zvedne asi o třetinu, což mi na routeru který jenom při přeposílání paketů hlásí 40% využití procesoru připadá hodně, abych to nechal bez povšimnutí.

    S Mikrotiky vyšší řady jsem nikdy nepracoval a tak nemohu předat žádné zkušenosti. V článku mluvím hlavně o malých RouterBoardech jako 433 nebo 600, které se masivně používají.

    Nepíšu, že RouterBoardy nejdou použít v produkčním prostředí, píšu že se v něm komplikované firewally špatně dělají.

    Je mi líto, že jste na gramatickou chybu narazil. Škoda, že jste neuvedl kde.

  • 12. 8. 2011 10:26

    Martin (neregistrovaný) 89.29.80.---

    Ahojte.

    a) RouterBoard RB 750 GL stojí cca 1000 Kč a výkonově je úplně jinde než 433; zkuste si jej.

    b) ano, s PC s Intel DualCorem nebo 4 jadernym CPU se opravdu rovnat nemůže, ale ten nekoupíte za cca 1000 Kč

    c) je třeba si pohrát s pravidly. Mě se například osvědčilo, dávat pravidla...
    add chain=forward action=accept connection-state=established in-interface=ether1
    add chain=forward action=accept connection-state=related in-interface=ether1
    ... hned jako první, při rozhodování přes ně jde nejvíce paketů a ve vytížené síti to hodně zamává s výkonem procesoru.

  • 15. 8. 2011 18:12

    x (neregistrovaný) ---.tpfree.net

    To by autor musel tusit jak nakofigurovat firewall ;D, ostatne i jeho zminka o "detekci p2p" svedci o provozovani nejakeho toho "garazoveho ISP", ktery neni schopen nakonfigurovat sit. Nevim proc bych mel resit p2p a dalsi L7 kraviny, sit mi vpohode funguje i bez toho, latence i pri "100%" zatizeni jsou kolem 50ms. Staci pouzivat mozek.


    Vubec nemluve o tom, ze kdyz nekomu prodam Mbit, tak je to Mbit a je mi uprdele co si snim bude delat. Pravda, neprodam mu ho za 10Kc.


    BTW: Zakladni pravidla pro jakykoli FW = nejdriv pravidla, pres ktera projde nejvic paketu. Ja napriklad na prvni pozici davam akceptovani provozu na lo ;D. Hned za to vyse zminene. V pripade slozitejsich konfiguraci je pak dobry to rozpadnout na vicero cest jednodussim pravidlem a teprve pak specifikovat podrobnosti, protoze pres to slozitejsi pravidlo pak netece vsechno, ale uz jen predvybrane pakety.

  • 12. 8. 2011 10:30

    Trident (neregistrovaný) ---.tmcz.cz

    Mikrotik je porad jen mikrotik. Dokud tam nebude nejaky filtr/routing na bazi HW, tak nema cenu to nasazovat nekam kde jsou velke datove toky. Tyhle produkty jsou pro nasazeni na okrajove casti siti, pripadne jako nasazeni pro konecneho uzivatele. Jako core router nebo firewall pro gigabitove toky bych je nepouzival. Od toho jsou jine produkty jinych vyrobcu. Mali ISP stejne na velkych datovych tocich zadne sofistikovane l7 filtrovani nepouzivaji protoze proste a) na to nemaji nebo za b) vzhledem k cene konektivity je to zbytecne drahe. To si muze dovolit jenom prdici bublinka:)

  • 12. 8. 2011 13:16

    Jerry12 (neregistrovaný) ---.net.upcbroadband.cz

    Jak rikas. Mikrotiky jsou rekneme spickovy SOHO zarizeni. Na druhou stranu kde sezenete za 1000 gigovej 5xGbit router/switch/atd. s moznosti napajeni pres PoE.
    Nu a kdyby byl nekdo vazne sadista, tak muze vzdycky za par stovek koupil licenci RouterOSu na x86 a za par minut prejit z nestihajiciho RouterBoardu treba na starsi Xenon s 2xGbit co by se vyrazoval. Podle me desivy reseni, ale funguje (videl jsem a nebyl to Xenon, ale rezava P4 na 3Ghz hozena v rohu ... fuj).

  • 12. 8. 2011 14:50

    Trident (neregistrovaný) ---.tmcz.cz

    Takhle routovala(nebo snad jeste routuje) provoz jedna lokalni kabelovka v zapadnich cechach. Nakoupily jete CMTS a zacli nabizet 256-1024kbit per zakaznik. Ovsem pochopitelne zanedlouho byly prevalcovany nabidkou ADSL od O2. A to jak rychlosti tak spolehlivosti ale hlavne cenou.

  • 12. 8. 2011 17:07

    VI (neregistrovaný) ---.scnet.cz

    Různí menší ISP používají RouterOS na x86 strojích naprosto běžně jako hraniční routery pro toky ve stovkách Mb/s.

    Ono moderní x86 platforma s PCIe linkami vyvedenými z CPU, kvalitními síťovými adaptéry, a odpovídajícími ovladači, dokáže na linuxu uroutovat jednotky Gb/s (běžný provoz co se týče distribuce velikosti paketů a jejich počtu). Pokud chceme ještě NAT, a Qos, tak to tolik není, ale Gb/s není nereálný.

    Nelze vycházet ze zkušeností s x86 z doby netburst Xeonů...

    Místní CATV má taky hraniční router na linuxu, špičkový tok kolem 400 Mb/s, a ADSL je rozhodně neválcuje. Taky proč, když mají 8 Mb/s download za nějakých 400/měsíc bez nutnosti smlouvy na X let.

  • 13. 8. 2011 20:52

    Trident (neregistrovaný) ---.tmcz.cz

    Vzhledem k cene l3 switchu uz nejakych x let mi to spis prijde spis jako dojizdeni stareho reseni z doby, kdy jejich cena byla pro maleho ISP jeste astronomicka.
    Dale je otazkou kolik zateze prebira logika tech inteligentnich sitovych karet. Dalsi otazkou je jestli treba latence takoveho paketu je dobre predikovatelna narozdil od hw reseni. Ono se to pri tech tocich nascita.
    Jestlipak vam ti "dobre" sitove karty pri selhani hw pusti tok zkrz? Jestlipak jsou fault tolerant?

    Jedno takove ciste PC reseni take provozuji. Ale ani k malemu ISP bych ho nenasadil. Je to asi proto ze si s pojmem ISP spojuji jinou kvalitu a dostupnost sluzby.
    Inu jsou garazovi ISP kteri jedou na dobre slovo a povetrnostni podminky a pak jsou jini garazovi ISP, kteri diky kvalite reseni jeste prodavaji treba billingovy system vcetne implementace.

    K tomu ISP. Zalezi na nabidce. Pokud jedete dva segmenty jeste na DOCSIS 1.0 a nemate v nabidce ani konkurence schopnou sluzbu s O2, tak se pak neni cemu se divit.Na obranu toho catv maleho providera musim rict, ze nevim o baraku(i nove rodinne domy) kde by kabelovka nebyla zavedena. Jednalo se jeste o tehdejsi investici mesta z pocatku devadesatych let. A dikybohu to neprodali kabelu plus ani upc. Narozdil od debilni UPC, ktera mi ve trech podnajmech v centru Prahy neni schopna poskytnout pripojku a na novostavby vam neposle ani vyjadreni...

  • 13. 8. 2011 23:52

    VI (neregistrovaný) ---.scnet.cz

    Zde je to s CATV obdobné - rozvody financovalo a vlastní město, a prodávat to není proč. Internet řeší firma, která zároveň dělá servis těch rozvodů. Před několika lety se síť částečně rekonstruovala právě s ohledem na internet (rozdělení na více sekcí). Teď je ten internet maximálně konkurenceschopný.

    Ad L3 switche - tihle "ISP" typicky dělají NAT, mají rozsah /24 nebo v lepším případě /22, a to pro všechny nestačí. Tam je L3 switch mimo. Dřív to mělo opodstatnění v shapingu, FUPu atd. Což dnes odpadá (shaping lze dělat přímo na CPE), a nebýt toho NATu, tak by L3 switch i stačil...

    Co se týče redundance, tak ty x86 server není vzhledem k ceně problém mít 2 jako HA cluster nebo to rozložit nějak inteligentněji na síťové úrovni.

  • 14. 8. 2011 10:21

    Trident (neregistrovaný) ---.tmcz.cz

    Na CPE uz se to davno nedela. To bylo kdysi. Je to totiz snadno hackovatelne a to i na tech novych. Na internetu se vali hromada navodu jak hacknout ten ci onen model. Naopak moderni je delat to primo na CMTS. Ty nove maji v sobe i l3 switch.
    Taky je blbe ze diky zamknute limitaci vnutite zakaznikovi do pronajmu maximalne dva ci tri modely na, ktere mate deal s dodavatelem technologie a neumoznite mu vybrat si treba svuj vlastni. Protoze pak si nemuzete zarucit limitaci. Ne. Limitace na CPE je uplne mimozni.

    Muzete argumentovat ze toky sledujete a zakaznika vytahate za krk. Nicmene neni uz lepsi mimo toho sledovaciho systemu implementovat poradny shaping? A krom toho chyba pri shapovani muze nastat i spatnym chovanim CPE. Takove nepodlozene krive obvineni je snadno zalovatelne.

  • 14. 8. 2011 14:10

    VI (neregistrovaný) ---.scnet.cz

    Jasně, já se v tom zas tolik neorientuji. Pokud to umí CMTS, tak je to asi lepší. Že máte jen několik modelů CPE nemusí být tolik na závadu. Kdyby si každý mohl použít "co chce", tak by byl zas problém se pak dohadovat proč něco nefunguje. U nás dávají prostě jeden typ CPE, a byznysu to nějak nepřekáží. Snad nikdo si tu nevybere jiného ISP proto, že na CATV dostane neideální koncové zařízení (jen 1 ethernet). A to jde především.

    Ad hacknutí CPE - také mě to zajímalo, koukal jsem na to zběžně, a našel jsem něco o tom, že je to postaveno na PKI certifikátech, takže by to nemělo být tak snadné hacknout.

    Implementovat pořádný shaping - musíte mít na čem ho dělat, pokud to CMTS zrovna neumí. A shaping na stovkách Mb/s už není tak jednoduchý, co se týče potřebného HW.

  • 12. 8. 2011 11:53

    titanik (neregistrovaný) ---.opera-mini.net

    to je duvod, poc se zruslo hodnoceni clanku, kdyby "redakrori" dostavali placeno podle hodnoceni, tak jdou domu s exkrementem

  • 12. 8. 2011 19:58

    lolek (neregistrovaný) ---.cust.termsnet.cz

    Imho by to bylo lepsi. Takoveto clanky nemaji zadny smysl :-(