Титла: NAT or not to NAT that is the question
Публикувано от: VladSun в Mar 09, 2005, 21:52
Започването на тази нова тема е продиктувано от създалит се напоследък спорове във форума за това, дали трябва или не трябва (във всички аспекти) да се прави NAT на потребителите към ISP.
Нека сега само почна темата с линк:
http://www.tcpipguide.com/free....ges.htm
ПП: Не иска да се получи тема за заяждане, искам спор, в който да се открие истината, доколкото това е възможно.
Нека сега само почна темата с линк:
http://www.tcpipguide.com/free....ges.htm
ПП: Не иска да се получи тема за заяждане, искам спор, в който да се открие истината, доколкото това е възможно.
Титла: NAT or not to NAT that is the question
Публикувано от: ohubohu в Mar 09, 2005, 23:28
Без да искам да се заяждам, но каква ти е идеята? Защото има потребители и потребители? Не разбирам как една "микро" или "мини" фирма си взема публични адреси за машините си или една организация ("собственик" на 9.х.х.х) се отказва от нея.
Затова, би ли разяснил идеята?
Затова, би ли разяснил идеята?
Титла: NAT or not to NAT that is the question
Публикувано от: VladSun в Mar 09, 2005, 23:53
Въпросът в основата ми е - трябва ли на всяка цена всички потребители да имат публични (реални) IP адреси или едно доста сигурно решение с НАТ е по-доброто.
@ ohubohu
И аз не се заяждам, ама, честно, нищо не разбрах от твоя post.
@ ohubohu
И аз не се заяждам, ама, честно, нищо не разбрах от твоя post.
Титла: NAT or not to NAT that is the question
Публикувано от: zarhi в Mar 10, 2005, 09:46
Ако си ISP абсолютно задължително! В противен случай имаш проблеми. Имам пресен случай: следователи от н-то районно се изсипаха при мен да търсят мой потребител. Донесоха ми на листче НАТ ип зад което са над 200 юзера. С много мъки споделиха че ип-то го имат от български IRC сървър. И съответно ми се наложи да прекарам няколко безсънни нощи да дъмпя целия трафик докато засека комбинацията ип на irc сървъра + ника на юзера. Изключително неприятна случка въпреки че ставаше въпрос за не особено сериозен случай, хлапетата се скарали в irc-то, срещнали се в някой интенет клуб и си раздали по няколко шамара. Съвсем реално следващия път може причината да търсят някого може да е много по-сериозна.....
Истерията с "липсата" на ип-та е измислена. RIPE дават много лесно ип-та, стига да прочетеш внимателно няколко от техните документи и да си направиш грамотно заявката. А цената на ИП-тата я пише официално в сайта на RIPE и не е тайна за никого. Пример: Medium LIR е нормално да разполага с 128 до 256 клас С мрежи и плаща годишна такса на RIPE 3150 евро http://ripe.net/ripe/docs/billing2005.html. Сметката е елементарна: 3150 / ( 256*256 ) = 0.05 евро за ип/годишно. Естествено има доста допълнителни разходи ( ддс, данъци, преводи, техника и заплати за персонала ) но даже и по 20 да се умножи цената пак излиза около 2 лв/годишно за 1 ип.
RIPE искат да се описва всяка дадена на клиент мрежа по-голяма от /30, което може да направи само LIR-а. А причината за описването е точно проблеми от описания по-горе тип. Който работи както трябва няма проблеми с взимането на ип-та. Аз например попаднах в другата крайност: поисках преди няколко дни от RIPE renumbering на /20 от един към друг български LIR. За огромна моя изненада RIPE разрешиха renumbering от /20 към /19 без да съм искал допълнители ип-та. Всичко стана с 4 майл-а.
Истерията с "липсата" на ип-та е измислена. RIPE дават много лесно ип-та, стига да прочетеш внимателно няколко от техните документи и да си направиш грамотно заявката. А цената на ИП-тата я пише официално в сайта на RIPE и не е тайна за никого. Пример: Medium LIR е нормално да разполага с 128 до 256 клас С мрежи и плаща годишна такса на RIPE 3150 евро http://ripe.net/ripe/docs/billing2005.html. Сметката е елементарна: 3150 / ( 256*256 ) = 0.05 евро за ип/годишно. Естествено има доста допълнителни разходи ( ддс, данъци, преводи, техника и заплати за персонала ) но даже и по 20 да се умножи цената пак излиза около 2 лв/годишно за 1 ип.
RIPE искат да се описва всяка дадена на клиент мрежа по-голяма от /30, което може да направи само LIR-а. А причината за описването е точно проблеми от описания по-горе тип. Който работи както трябва няма проблеми с взимането на ип-та. Аз например попаднах в другата крайност: поисках преди няколко дни от RIPE renumbering на /20 от един към друг български LIR. За огромна моя изненада RIPE разрешиха renumbering от /20 към /19 без да съм искал допълнители ип-та. Всичко стана с 4 майл-а.
Титла: NAT or not to NAT that is the question
Публикувано от: ohubohu в Mar 10, 2005, 10:48
| Цитат (VladSun @ Март 10 2005,00:53) |
| Въпросът в основата ми е - трябва ли на всяка цена всички потребители да имат публични (реални) IP адреси или едно доста сигурно решение с НАТ е по-доброто. @ ohubohu И аз не се заяждам, ама, честно, нищо не разбрах от твоя post. |
Точно в тази посока беше и въпроса ми.
Говорейки за относително малки фирми или частни лица, по мое скромно мнение, не. Не се оправдават разходите. Ако трябва да изграждат сървер(и) - пак е по-ефтино при специализираните компании, отколкото собствени такива.
За големите компании, нещата са различни - доста по-скъпо е да ползват външни услуги.
Отделно, влияние оказват необходимата/изискваната сигурност, специфичните за една организация software/harware ...
Това се сещам за сега, но въпроса наистина има смисъл, поне за хората имащи отношение към материята.
Лек ден на всички!
Титла: NAT or not to NAT that is the question
Публикувано от: VladSun в Mar 10, 2005, 15:10
@ zahri - това беше интересно
между другото, какъв connection logging софтуер използваш - в смисъл нали има такова законово изискване към ИСП-тата?
Нека и аз разкажа един случай - един потребител поиска да мине на публично (реално) ИП. Точно след два дена трябваше да обясняваме на мъжа й, в САЩ, че MSN съобщенията пратени до него и съдържащи думички, които не са за тоя форум, не са от нея. Месинджърът й беше хакнат.
Така че, темата се разширява още малко - трябва ли, дори при публични адреси, да се филтрират портове ?
@ ohobohu - не съм напълно съгласе, че така на малките фирми им излиза по-евтино - особено, ако използват лицензиран софтуер
. Говоря за сигурността и необходимостта от защитни стени на всеки компютър.
между другото, какъв connection logging софтуер използваш - в смисъл нали има такова законово изискване към ИСП-тата?
Нека и аз разкажа един случай - един потребител поиска да мине на публично (реално) ИП. Точно след два дена трябваше да обясняваме на мъжа й, в САЩ, че MSN съобщенията пратени до него и съдържащи думички, които не са за тоя форум, не са от нея. Месинджърът й беше хакнат.
Така че, темата се разширява още малко - трябва ли, дори при публични адреси, да се филтрират портове ?
@ ohobohu - не съм напълно съгласе, че така на малките фирми им излиза по-евтино - особено, ако използват лицензиран софтуер
. Говоря за сигурността и необходимостта от защитни стени на всеки компютър.Титла: NAT or not to NAT that is the question
Публикувано от: ohubohu в Mar 10, 2005, 16:11
| Цитат (VladSun @ Март 10 2005,16:10) |
| @ ohobohu - не съм напълно съгласе, че така на малките фирми им излиза по-евтино - особено, ако използват лицензиран софтуер . Говоря за сигурността и необходимостта от защитни стени на всеки компютър. |
Уфф, явно нещо не пиша както трябва
Ще опитам отново
За малките фирми е по-ефтино да използват специализираните услуги на специализирани компании, а не самите те да изграждат сърверите си, например.
Това ми беше идеята!
Титла: NAT or not to NAT that is the question
Публикувано от: Bogo в Mar 10, 2005, 21:12
Ползването на публичен ИП адрес е отговорност и не е за всеки обикновен потребител. Веднъж се опарих гогато без да се усетя станах жертва на спамъри които релейваха през мен. Стара версия на sendmail в RedHat 6.0 беше openrelay по подразбиране 
DNS-ите трябва да са правилно конфигурирани за да не цапат мрежата и др.
Да не говориме за виндосите които гъмжът от вируси
DNS-ите трябва да са правилно конфигурирани за да не цапат мрежата и др.
Да не говориме за виндосите които гъмжът от вируси
Титла: NAT or not to NAT that is the question
Публикувано от: VladSun в Mar 10, 2005, 21:40
@ ohobohu
По принцип аутосорсинга е печеливша политика за всяка компания, чието основна дейност НЕ е предметът на аутсорсинга - даже БТК оутсорсва доста неща, които са доста близки до тяхната дейност.
@Bogo
Въпреки това ВСИЧКИ искат публични адреси, защото са чули от някъде, че иначе било по-лошо (в което естествено има много вярно) и се чувстват "прецакани". Никой, обаче, не им казва, че може и да има и по-лошо
По принцип аутосорсинга е печеливша политика за всяка компания, чието основна дейност НЕ е предметът на аутсорсинга - даже БТК оутсорсва доста неща, които са доста близки до тяхната дейност.
@Bogo
Въпреки това ВСИЧКИ искат публични адреси, защото са чули от някъде, че иначе било по-лошо (в което естествено има много вярно) и се чувстват "прецакани". Никой, обаче, не им казва, че може и да има и по-лошо
Титла: NAT or not to NAT that is the question
Публикувано от: zarhi в Mar 12, 2005, 11:05
| Цитат (VladSun @ Март 10 2005,16:10) |
| @ zahri - това беше интересно между другото, какъв connection logging софтуер използваш - в смисъл нали има такова законово изискване към ИСП-тата? Така че, темата се разширява още малко - трябва ли, дори при публични адреси, да се филтрират портове ? |
Никакъв. Просто не ми е необходим. Базата данни с потребителите ми е достатъчна да "тракна" всяко ип в минало време точно кога, точно от кой потребител е ползвано. Повече от ISP-то не се иска.
А за портовете е малко по-сложен проблема: Всички би трябвало да филтрират windows-ките портове: 135-139 и 445 входящо и изходящо. Допълнително и 1900 udp. Който иска да си вижда фирмения win сървър винаги може да го направи през VPN.
Титла: NAT or not to NAT that is the question
Публикувано от: angel_st в Mar 12, 2005, 12:05
Според мен НАТ-а си е добро решение за малка фирма - например имаме вътрешна мрежа с 4-20 PC-ta на WinXX ...
В този случай една машинка със Slackware имаща реален адрес поема функциите на DNS,Mail,WWW server и един Squd в transparent-proxy mode, VPN сървър за отдалечено свързване и т.н. с НАТ-а се осигуряват другите необходими услуги за ICQ,MSN и т.н. При мен с тези фунции е натоварена една PII-266 с 128 RAM и slackware 10 (всичко това на цена около $45). От както съм го конфигурирал и настроил - не съм имал проблеми. Имам доста горчив опит при използване на специализирани за целта фирми ... излиза и по-скъпо, 1 път ми затриха DNS-a заради тях а и като се наложи да се променя нещо става истинска мъка ...
Така че аз съм за принципа - Реален Адрес само там където е необходим - за останалото НАТ върши отлична работа.
В този случай една машинка със Slackware имаща реален адрес поема функциите на DNS,Mail,WWW server и един Squd в transparent-proxy mode, VPN сървър за отдалечено свързване и т.н. с НАТ-а се осигуряват другите необходими услуги за ICQ,MSN и т.н. При мен с тези фунции е натоварена една PII-266 с 128 RAM и slackware 10 (всичко това на цена около $45). От както съм го конфигурирал и настроил - не съм имал проблеми. Имам доста горчив опит при използване на специализирани за целта фирми ... излиза и по-скъпо, 1 път ми затриха DNS-a заради тях а и като се наложи да се променя нещо става истинска мъка ...
Така че аз съм за принципа - Реален Адрес само там където е необходим - за останалото НАТ върши отлична работа.