Использование FreeBSD

[GREAT]

народ, смысл воопще паритса с безопастностью на L2, если на L3 есть IPSec?... брр

[Diozan]

Разъясните дураку, что такое L2 и L3?

[grezet]

что такое L2 и L3?

похоже речь об уровнях модели OSI

http://citforum.ru/nets/switche/osi.shtml

Уровень 1, физический
Уровень 2, канальный
Уровень 3, сетевой
Уровень 4, транспортный
Уровень 5, сеансовый
...

[Diozan]

А я ненароком подумал, что речь идет о маршрутизации 2-го, 3-го уровня, и что сейчас нас с CISCO сравнивать будут.

[GREAT]

о маршрутизации 2-го уровня и шла речь, - ты сам тему создавал

[Diozan]

о маршрутизации 2-го уровня и шла речь, - ты сам тему создавал

Там и про NAT речь шла, а это уже 3-й уровень.

[nemo]

а про 16 286 уровень ни кто ничего не слыхал

прочитали название темы, и будьте добры по теме, а для ОСОБО одаренных строка ниже

Господа, а ни пойти ли Вам в новую тему - Беседа ОСОБО ОДАРЕННЫХ людей

[piligrim]

Попытаюсь кратко расказать, для чего, собственно, можно использовать эту замечательную, на мой взгляд, операционную систему. Перечислю только то, с чем я непосредственно работал, или собираюсь заняться в обозримой перспективе.
Серверные приложения:
DHCP и BOOTP сервер: выдача динамических IP адресов, удаленная загрузка
DNS сервер: трансляция сетевых имен в IP адреса
SMTP сервер: исходящая почта
POP, IMAP сервера: входящая почта
FTP сервер: передача файлов
WEB сервер: Интернет-странички
SMB/CIFS, NFS сервер: доступ к файлам
PPP сервер: удаленный доступ по модему
VPN сервер: виртуальная сеть
RADIUS сервер: удаленная аутентификация
NTP сервер: синхронизация времени
Сервера баз данных (MySQL, PostgreSQL и др.)
Само собой разумеется, что доступны такие функции, как маршрутизация, NAT, пакетные фильтры, межсетевые экраны, мосты.
Продолжение следует...

Вообще странно читать такое, FreeBSD изначально предполагалась под серверные задачи, удивительно было бы если б она не могла это делать!

[piligrim]

Лучше б, написал про естандартные решения.

[piligrim]

прикольно. а рази в w2000 это нет? ))

GREAT, стоит задача: предоставить доступ в Интернет 5-ти машинам. В сервер пихается 5 карточек, для них, и еще 1 смотрит в Интернет. Все 5 карточек работают в режиме моста, причем подсоединенные к ним компьютеры друг друга видеть не должны. На сервере работает DHCP, кэширующий DNS, SMTP- POP-сервер, FTP-сервер, доступ осуществляется средствами nat через VPN, трафик фильтруется межсетевым экраном, трафик мониторится и считается, необходимо обеспечить забор почты с внешних mail-серверов. Подо все выделяется 133-й пентиум с 32-мя мегабайтами памяти. HDD большой, т.к. FTP. Кстати, слотов свободных нет, AGP тоже нет, так что видеоадаптер выкидывается и на его место втыкается сетевая карточка. Возьмешся организовать мне это на Windows? Магарыч с меня.

1. Зачем DHCP? Выделять ip адреса 5-и клиентам? Бред, полный причем.
2. Насколько я помню видимость/невидимость подсеток решается путем маршрутизации и резания траффика фаерволом
3. насчет мониторинга и подсчета траффика - ничего сложного для 5 ip, тока лучше статические ip использовать, кстати если кто не в курсе, если машина А получила по DHCP некий ip и по истечении времени лизинга (при следующим обращении к серверу) ip не занят др машиной она получит старый  ip при таком раскладе у вас все равно ip будет один.
4.Насчет доступа к сервисам - фаервол
5. Далее обсуждалась покадровая фильтрация - в задаче я о ней не услышал. Я так думаю если нагрузить 133 пень всем что тут описано, воткнуть фильтрацию пакетов то машина сдохнет если кто-то начнет серьезный серфинг по инету.
6. Чтоб машины не видели друг-друга запрети icmp фаером на гейте
На винде решается это так: win2003SBS+свич на 6 портов , тока конечно тут потребуется машина посильнее...
И еще а где ты нашел пень 133 и 32 метра оперативки? И где ты нашел контору которая повелась на такое решение? И чей больной мозг придумал такое ТЗ?

[piligrim]

Да кстати, вчера консультировался с гуру по винде - поставленную задачу можно и на ней реализовать штатными средствами, конечно комп помощнее будет. Если интересно поподробнее опишите закину вопрос - распишут как

[Diozan]

1. Зачем DHCP? Выделять ip адреса 5-и клиентам? Бред, полный причем.

Адреса статически привязываются к MAC адресу сетевой карточки DHCP сервером. Это, чтоб пользователи адресами не баловались. Там еще и ARP табличку статическую делаю. Не без хулиганов.

2. Насколько я помню видимость/невидимость подсеток решается путем маршрутизации и резания траффика фаерволом

Подсетка одна, 172.16.77.xx. Машины совершенно разных людей, поэтому и необходима их полная изоляция, что бы не знали друг о друге и траффик не ловили. На счет файреволла я в курсе.

3. насчет мониторинга и подсчета траффика - ничего сложного для 5 ip, тока лучше статические ip использовать, кстати если кто не в курсе, если машина А получила по DHCP некий ip и по истечении времени лизинга (при следующим обращении к серверу) ip не занят др машиной она получит старый  ip при таком раскладе у вас все равно ip будет один.
4.Насчет доступа к сервисам - фаервол

Америка уже 400 лет как открыта.

5. Далее обсуждалась покадровая фильтрация - в задаче я о ней не услышал. Я так думаю если нагрузить 133 пень всем что тут описано, воткнуть фильтрацию пакетов то машина сдохнет если кто-то начнет серьезный серфинг по инету.

Блин, 2-й год никак не сдохнет. А она еще и FTP сервером работает.

6. Чтоб машины не видели друг-друга запрети icmp фаером на гейте

Это только пинги резать будет. Для диагностических целей пинги я как раз и оставил.

На винде решается это так: win2003SBS+свич на 6 портов , тока конечно тут потребуется машина посильнее...

266-й пень и 64 мега? Свич покупать надо, а карточки валялись мертвым грузом нахаляву. Так что 300 руб. лучше отдам голодным детям Гонолулу.

И еще а где ты нашел пень 133 и 32 метра оперативки?

В углу стоял покрытый пылью. А тут в дело пустил, и всем от этого хорошо, и 300 руб. на покупке свича сэкономил голодным детям Замбези

И где ты нашел контору которая повелась на такое решение? И чей больной мозг придумал такое ТЗ?

А контора не из тех, что пальцы гнет. Из небогатых. Им было нужно надежное, недорогое решение, и я им его предоставил. И админю его сидя дома, хотя делать это приходится очень нечасто. Так, заглянешь для приличия -  все-ли там в порядке и все.

[piligrim]

:-)
насчет надежности - вылетает у тебя седня память чего делать будешь? там небось симы стоят?
Насчет секьюрности - не говори никому про то что ты тда нечасто лазишь: у нас на работе админ отвечающий за веб, на фре апач держал, тоже хвастался что нечасто лазил - в НГ опустили по полной программе, посносили весь контент сцуки, он 3-го на работу вышел, а все из-за того что апач старый был, не пропатченый. А так конечно да, в принципе если конторе инет нужен чтоб 5 человек порнуху лили то нормально..

[piligrim]

Адреса статически привязываются к MAC адресу сетевой карточки DHCP сервером. Это, чтоб пользователи адресами не баловались. Там еще и ARP табличку статическую делаю. Не без хулиганов.

в некоторой литературе по винде это называется автоматическим распределением ip.  А клиенты на чем сидят?

[GREAT]

на стульях вероятно