Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Раздел полезных советов: Подстановка HTTP-трафика определенн..., auto_tips (??), 02-Окт-10, (0) [смотреть все] На предприятиях очень часто в интернет через прокси выходят , Аноним (-), 16:45 , 02-Окт-10, (1) // Да собственно Почему бы не поднять squid вместо вебсервака url_rewrite_prog, pavlinux (ok), 21:52 , 02-Окт-10, (3) наверное подделать популярные зоны в бинде и засунуть розыгрываемого во view был, mitiok (??), 18:20 , 02-Окт-10, (2) // Это требует доступа к bind , Xaionaro (ok), 14:07 , 04-Окт-10, (9) // Да-да Или отдельного полезного совета Подстановка DNS-трафика определенно, Andrey Mitrofanov (?), 15:22 , 04-Окт-10, (11) // Но так или иначе будет применяться скорее всего arp-спуфинг, что приведёт к т, Xaionaro (ok), 15:54 , 04-Окт-10, (12) Ога, главное всё сделать пока админ не пришол P S через подмену ARP-адреса ш, Jordan (?), 23:54 , 02-Окт-10, (4) // Почитайте как работает ARP-кэш Может снизойдет озарение Добавлю только, что п, Дядя Федор (?), 22:21 , 03-Окт-10, (6) How to pwn your corporate network for dummies - , User294 (ok), 00:08 , 04-Окт-10, (7) +1 шлюз будет недоволен, а за ним и админ, Aquarius (ok), 01:30 , 04-Окт-10, (8) В нормально настроенной сети это не провернуть И вообще, мануал из серии как д, keir (ok), 15:13 , 04-Окт-10, (10) // Ну что такое нормально настроенная сеть Есть вот два cisco-выз свитча, в кото, Xaionaro (ok), 15:58 , 04-Окт-10, (13) // Помешает switchport protected За каким чертом двум клиентским компам в рабочей , keir (ok), 20:42 , 04-Окт-10, (16)   // Ну в разных подразделениях разных контор - по-разному Например, в МИФИ нет корп, Xaionaro (ok), 21:03 , 04-Окт-10, (17)   gt оверквотинг удален Извините, но начиналось все с соседа по офису, т е речь, keir (ok), 21:13 , 04-Окт-10, (18)   Это я извиняюсь, забыл некоторые элементы основного сообщения Но пример с моим , Xaionaro (ok), 21:16 , 04-Окт-10, (19)   Откройте для себя L3-уровень И прочитайте - что такое маршрутизация VLAN, как, Дядя Федор (?), 09:18 , 05-Окт-10, (22)   Кстати говоря, хорошо настроенный и отфильтрованный L2 иногда поудобнее L3 бывае, keir (ok), 23:09 , 05-Окт-10, (25)   Я знаю что такое маршрутизация, и знаю где L2, а где L3 И что вы предлагаете З, Xaionaro (ok), 02:19 , 06-Окт-10, (27)   Наверное все-таки терминируемых Ну дык - а в чем тогда проблема Для дост, Дядя Федор (?), 19:08 , 06-Окт-10, (31)   Упс Бывает Перечитал научно-популярного чтива на тему детерминирована ли на, Xaionaro (ok), 09:28 , 09-Окт-10, (36)   Да не в этом дело Можно хоть на каждого сотрудника заводить VLAN И они будут д, Дядя Федор (?), 20:55 , 09-Окт-10, (37)   Только они имеют такое нехорошее свойство - место там заканчиватся почему-то И , User294 (ok), 15:53 , 05-Окт-10, (24) –2   Ну, любой сервер может нагнуться, так что в реальных Ынтерпрайзах приходится з, keir (ok), 23:14 , 05-Окт-10, (26)   Ну у вас и аргументы, уважаемый Не, ну правда - подсистемы хранения сейчас отн, XoRe (ok), 19:16 , 06-Окт-10, (33)   Ну да А потом у таких умников нагибается сервант любая железка может сломаться, User294 (ok), 02:51 , 08-Окт-10, (34)   Чет вас понесло Личный негативный опыт , XoRe (ok), 00:46 , 09-Окт-10, (35)   Ну, как вариант - APR-кэш может быть сформирован статиком Или где-нить в сет, Дядя Федор (?), 16:14 , 04-Окт-10, (14) // Фуууу мой arpwatch тихо и интеллигентно залогирует факт, отправит мне письмо, Аноним (-), 06:30 , 05-Окт-10, (20) // Под словом материться я как раз таки и не имел в виду расстрел на месте , Дядя Федор (?), 09:17 , 05-Окт-10, (21) // Не дядя Фёдор - недостаточно Оно необходимо, но недостаточно Тут нужны более а, Аноним (-), 05:04 , 06-Окт-10, (28) Ну это уже зависит от уровня фашизма админа Во многих случаях вполне обос, Дядя Федор (?), 19:10 , 06-Окт-10, (32) за такие шутки шутник обычно увольняется сходу , splat_pack (ok), 17:53 , 04-Окт-10, (15) +1 // Т е у всего отдела или конторы внезапно пропадет интернет Такого вообще не , XoRe (ok), 11:39 , 05-Окт-10, (23) // шутка удается с первыми лицами предприятия и до них это доходит - админ идет и, d8r8dr (?), 08:54 , 06-Окт-10, (29) // Не совсем так, если первые лица предприятия смогут провернуть такую шутку, админ, Аноним (-), 10:12 , 06-Окт-10, (30) может они просто поменяются местами тогда уж , axe (??), 16:01 , 10-Дек-10, (38) 1,2,4,7,8,10,14,15

Сообщения

[Сортировка по времени | RSS]

	16. "Подстановка HTTP-трафика определенному компьютеру в локально..."	+/–
	Сообщение от keir (ok), 04-Окт-10, 20:42
	Помешает switchport protected. За каким чертом двум клиентским компам в рабочей обстановке общаться между собой? Правильно, незачем. А если файлы друг-другу захотят передать - для этого используется корпоративная почта/ftp.
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Подстановка HTTP-трафика определенному компьютеру в локально..."	+/–
	Сообщение от Xaionaro (ok), 04-Окт-10, 21:03
	> Помешает switchport protected. За каким чертом двум клиентским компам в рабочей обстановке > общаться между собой? Правильно, незачем. А если файлы друг-другу захотят передать > - для этого используется корпоративная почта/ftp. Ну в разных подразделениях разных контор - по-разному. Например, в МИФИ нет корпоративного FTP. Почему? Гос. контора, там всё очень сложно. Вот взять например моё помещение. В моём помещении стоит одна циска, а в помещении напротив - другая. Там и там работают люди из одного отдела и плотно друг с другом взаимодействуют. Дак вот не вижу смысл запрещать заходить по ssh ко мне с соседнего компьютера (только с моего компьютера можно без затрат большого кол-ва времени достучаться до некоторых ресурсов, а бегать между своим компом и соседним помещенгием тоже не хочется). Тем более, т.к. достаточно проблематично выбить сервер, нередко приходится в качестве тестового компьютера использовать свой рабочий, из-за чего он нередко выступает в роли малого тестового _сервера_. Ну или взять общежитие МИФИ. Там студенты свободно обмениваются трафиков. Или вы считаете, что нормальной настройкой студенческой сети - это запретить им общаться друг с другом? Я считаю что это нельзя делать как и из этических соображений, так и из материальных, ибо, например, тот же "retracker.local" в локальной сети экономит нехилый процент канала в Интернет. P.S.: В общежитии на один vlan приходится около 50 студентов.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Подстановка HTTP-трафика определенному компьютеру в локально..."	+/–
	Сообщение от keir (ok), 04-Окт-10, 21:13
	>[оверквотинг удален] > до некоторых ресурсов, а бегать между своим компом и соседним помещенгием > тоже не хочется). Тем более, т.к. достаточно проблематично выбить сервер, нередко > приходится в качестве тестового компьютера использовать свой рабочий, из-за чего он > нередко выступает в роли малого тестового _сервера_. > Ну или взять общежитие МИФИ. Там студенты свободно обмениваются трафиков. Или вы > считаете, что нормальной настройкой студенческой сети - это запретить им общаться > друг с другом? Я считаю что это нельзя делать как и > из этических соображений, так и из материальных, ибо, например, тот же > "retracker.local" в локальной сети экономит нехилый процент канала в Интернет. > P.S.: В общежитии на один vlan приходится около 50 студентов. Извините, но начиналось все с соседа по офису, т.е. речь об организации, которая деньги зарабатывает. Студенческая сеть, конечно, совсем другое дело.
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Подстановка HTTP-трафика определенному компьютеру в локально..."	+/–
	Сообщение от Xaionaro (ok), 04-Окт-10, 21:16
	> Извините, но начиналось все с соседа по офису, т.е. речь об организации, > которая деньги зарабатывает. Студенческая сеть, конечно, совсем другое дело. Это я извиняюсь, забыл некоторые элементы основного сообщения. Но пример с моим рабочим помещением остаётся в силе :)
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Подстановка HTTP-трафика определенному компьютеру в локально..."	+/–
	Сообщение от Дядя Федор (?), 05-Окт-10, 09:18
	> Это я извиняюсь, забыл некоторые элементы основного сообщения. Но пример с моим > рабочим помещением остаётся в силе :) Откройте для себя L3-уровень. И прочитайте - что такое маршрутизация. VLAN, как известно - L2.
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Подстановка HTTP-трафика определенному компьютеру в локально..."	+/–
	Сообщение от keir (ok), 05-Окт-10, 23:09
	Кстати говоря, хорошо настроенный и отфильтрованный L2 иногда поудобнее L3 бывает-с.
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Подстановка HTTP-трафика определенному компьютеру в локально..."	+/–
	Сообщение от Xaionaro (ok), 06-Окт-10, 02:19
	>> Это я извиняюсь, забыл некоторые элементы основного сообщения. Но пример с моим >> рабочим помещением остаётся в силе :) >  Откройте для себя L3-уровень. И прочитайте - что такое маршрутизация. VLAN, > как известно - L2. Я знаю что такое маршрутизация, и знаю где L2, а где L3. И что вы предлагаете? Зарание скажу, что в организации количество клиентов по порядку величины соотвествует десятку тысяч. Тут несколько сотен VLAN-ов в VTP-домене, детерменируемых на шеститысячнике. И "маршрутизация" во всю используется :)
	Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

	31. "Подстановка HTTP-трафика определенному компьютеру в локально..."	+/–
	Сообщение от Дядя Федор (?), 06-Окт-10, 19:08
	> Тут несколько сотен VLAN-ов в VTP-домене, детерменируемых на шеститысячнике. Наверное все-таки "терминируемых". :) >  И "маршрутизация" во всю используется :) Ну дык - а в чем тогда проблема? Для доступа к компьютерам в другом влане используется маршрутизация (SVI или IP unnumbered - не суть важно).
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Подстановка HTTP-трафика определенному компьютеру в локально..."	+/–
	Сообщение от Xaionaro (ok), 09-Окт-10, 09:28
	>> Тут несколько сотен VLAN-ов в VTP-домене, детерменируемых на шеститысячнике. >  Наверное все-таки "терминируемых". :) Упс. Бывает :). Перечитал научно-популярного чтива на тему детерминирована ли наша Вселенная, в то время как термин "терминируемые" относительно vlan-ов использовал в своей жизни считанное кол-во раз :) >>  И "маршрутизация" во всю используется :) >  Ну дык - а в чем тогда проблема? Для доступа к > компьютерам в другом влане используется маршрутизация (SVI или IP unnumbered - > не суть важно). Я честно сказать не цисковод, и что есть перечисленные термины могу представить только смутно. Разве что я так понимаю, это какие-то технологии для объедидения vlan-ов. И честно сказать не очень понимаю смысл таких велосипедов, особенно когда идёт речь о vlan-е сотрудников _одного_ отдела. Тем более как я уже сказал ранее, тут клиенты измеряются тысячами и если в данных технологиях требуется на каждого заводить свой vlan, то эта технология мягко говоря неприемлема, т.к. тут исторически используется единый VTP-домен, а большенство цисок и так уже скоро будут переполнены vlan-ами. Да и адресное пространство, не предётся ли на каждого клиента заводить свою подсеть со своим шлюзом? Опять же, если это так, то это опять же неприемлемо. Да и если уж на то пошло, то есл кто-то и захочет устроить саботаж, то вряд ли ему это помешает (по крайней мере в моём случае, т.к. работаю я в отделе телекоммуникаций хоть и занимаюсь серверами, а не сетью). :) Однако если вам не лень рассказать, я буду рад послушать, что умеют данные технологии и как их можно применить.
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Подстановка HTTP-трафика определенному компьютеру в локально..."	+/–
	Сообщение от Дядя Федор (?), 09-Окт-10, 20:55
	Да не в этом дело. Можно хоть на каждого сотрудника заводить VLAN. И они будут друг друга прекрасно "видеть" по сети. Вот о чем я говорил выше. :) Кстати, технология VLAN per user - используется у нас - я у провайдера местного работаю. Очень надежная технология. Терминация VLAN-IP делается на цисках (6-тонниках и 2950). Если юзверь поменяет себе IP (что актуально в сетях домовых провайдеров) - фиг у него будет сеть работать. :)  Просто и надежно. Хотя и влечет за собой довольно большие накладные расходы - как финансовые (применение только управляемых свичей, ограничение количества VLAN на кошках), так и организационные (необходимо вести базу вланов и назначать их - с последующим прописыванием на цисках).
	Ответить | Правка | Наверх | Cообщить модератору

	24. "Подстановка HTTP-трафика определенному компьютеру в локально..."	–2 +/–
	Сообщение от User294 (ok), 05-Окт-10, 15:53
	> - для этого используется корпоративная почта/ftp. Только они имеют такое нехорошее свойство - место там заканчиватся почему-то. И даже довольно быстро. А если сервак нагибается - вся контора дружно курит бамбук, радуясь халяве. Поэтому обычно в реалных Ынтерпрайзах используются и ресурсы клиенских машин по мере необходимости.
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

	26. "Подстановка HTTP-трафика определенному компьютеру в локально..."	+/–
	Сообщение от keir (ok), 05-Окт-10, 23:14
	>> - для этого используется корпоративная почта/ftp. > Только они имеют такое нехорошее свойство - место там заканчиватся почему-то. И > даже довольно быстро. А если сервак нагибается - вся контора дружно > курит бамбук, радуясь халяве. Поэтому обычно в реалных Ынтерпрайзах используются и > ресурсы клиенских машин по мере необходимости. Ну, любой сервер может нагнуться, так что в "реальных Ынтерпрайзах" приходится заниматься еще и отказоустойчивостью :) В любом случае сервер лучше - через него можно вести реальный контроль кто-что-куда, а не сидеть в ожидании чуда, пока коллеги друг другу вирусы рассылают :)
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Подстановка HTTP-трафика определенному компьютеру в локально..."	+/–
	Сообщение от XoRe (ok), 06-Окт-10, 19:16
	>> - для этого используется корпоративная почта/ftp. > Только они имеют такое нехорошее свойство - место там заканчиватся почему-то. И > даже довольно быстро. Ну у вас и аргументы, уважаемый =) Не, ну правда - подсистемы хранения сейчас относительно дешевы. Если предприятие такое большое, что документы забивают терабайты, то на 4 sas винта в raid10 + контроллер e200 деньги найдутся. А если хочется дешево и сердито, то дешевый рейд10 контроллер и 4 sata винта выходят вообще недорого)
	Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

	34. "Подстановка HTTP-трафика определенному компьютеру в локально..."	+/–
	Сообщение от User294 (ok), 08-Окт-10, 02:51
	> А если хочется дешево и сердито, то дешевый рейд10 контроллер и 4 > sata винта выходят вообще недорого) Ну да. А потом у таких умников нагибается сервант (любая железка может сломаться) и вся контора радостно курит бамбук. Знаем мы эти совковые Ынтерпрайзы, где на эффективность и безгеморность работы сотрудников всем класть с прибором, зато какойнить бзик по части "как бы чего не сперли" или какой там еще фигне. При том кому надо - все-равно успешно все прут, зато  когда централизованный сервак дает дуба - толпа народа радостно курит бамбук а админы срут кирпичами :). ИМХО зависимость работы всей конторы от 1 сервера - зло. Так, глядя на то какой пипец начинается когда сервак подыхает :) Алсо нынче в моде например виртуализация. Представляете себе если програмеры/тестеры/прочий сброд начнут какиенить там временные тестовые виртуалки на много мегазов а то и гигазов каждая на фтпушник лить? И ессно забудут стирать. А на квоты периодически брыкаться когда они работе мешают. И насколько таким макаром места и терпения куль-одминов хватит? :) Вообще, вы имхо по сути извращаетесь, делая из быстрой swiched сети не то что даже более медленную routed, а даже коммутируемую на уровне примерно так L7 сеть. При том "коммутатором" получается фтпушник. Что вообще-то слегка изврат - тормозно и грабельно. Как минимум *удваивается* время на передачу файла по сравнению с шарингом файла напрямую с машины юзера. Для жирных файлов это вообще-то Ж.
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Подстановка HTTP-трафика определенному компьютеру в локально..."	+/–
	Сообщение от XoRe (ok), 09-Окт-10, 00:46
	Чет вас понесло. Личный негативный опыт?)
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема