proNovell

Бордюр 3.7. Нетварь 6.0сп3, eDir 8.6.2 RW Replica.

1. При загрузке сервера выполняется strtbrd.ncf, который в autoexec-e прописан. Выполняется со следующими ошибками:
4-05-2004 10:30:12 pm: ACLCHECK-3.71-14
ACL License is not installed.
4-05-2004 10:30:12 pm: PROXYCFG-3.70-11
Novell Border Manager License is not installed
Хотя лицензиии есть, в дереве стоят и к серверу привязаны.
Если потом грузить руками, то всё ОК.
В чем трабл?

2. Можно ли ограничить с помощью БМ закачку определенных типов данных? Например разрешить таскать только htm, asp, ... а com, zip, exe, rar запретить загружать в принципе?

3. В поставке с БМ есть SurfControl DataBase. Её можно так пользовать или нужно как-то активировать?

1. http://nscsysop.hypermart.net/licprobs.html
2. http://www.novell.com/coolsolutions/bor ... es_bm.html
3. Оне вроде платное отдельно.

Larico писал(а):Бордюр 3.7. Нетварь 6.0сп3, eDir 8.6.2 RW Replica.

1. При загрузке сервера выполняется strtbrd.ncf, который в autoexec-e прописан. Выполняется со следующими ошибками:
4-05-2004 10:30:12 pm: ACLCHECK-3.71-14
ACL License is not installed.
4-05-2004 10:30:12 pm: PROXYCFG-3.70-11
Novell Border Manager License is not installed
Хотя лицензиии есть, в дереве стоят и к серверу привязаны.
Если потом грузить руками, то всё ОК.
В чем трабл?

2. Можно ли ограничить с помощью БМ закачку определенных типов данных? Например разрешить таскать только htm, asp, ... а com, zip, exe, rar запретить загружать в принципе?

3. В поставке с БМ есть SurfControl DataBase. Её можно так пользовать или нужно как-то активировать?

на 1. несмотря на то что у меня R/W реплика на сервере с BM, У меня грузится delay.nlm и задержка на 45 секунд для выполнения startbrd.ncf .
в таком виде нет проблем

на 2. можно - допустимо использовать wildcards в ACL для HTTP прокси BM.

SurfControl - триальная.... на месяц по моему (или на 3 ) давно дело было - не помню

Можно ли заставить HTTP Proxy не кэшировать определенный host (IP адрес ) и как это проверить ?

Шамиль Лабазанов писал(а):Можно ли заставить HTTP Proxy не кэшировать определенный host (IP адрес ) и как это проверить ?

Можно! Заметно сразу, если контент завИсим...

т.е. в non cacheble URL pattern я ввожу IP адрес и тип протокола (в моем случае HTTPS) . Так ? Смущает , что URL pattern..

проверить к сожалению руками - никак, обращение на адрес прикладной программой (quick)...

Есть еще идеи ? А Transparent и generic proxy, кэшируются?

Шамиль Лабазанов писал(а):...Transparent и generic proxy, кэшируются?...

Transparent HTTP - да, Generic - ес-но нет.

Ок, спасибо, попробуем.

Еще вопрос. Куча сайтов, например www.km.ru , использует для элементов своих страниц не 80 -ые порты и, соответсвенно, страницы загружаются не целиком (для кусков Gateway time out). Фильтры установлены только стандартный www-http-st.

Как пользующие ВМ решают эту задачу ? Устанавливают исключения для обнаруженных портов? Но так, наверное, всего не переберешь..

Что скажете ?

Шамиль Лабазанов писал(а):Ок, спасибо, попробуем.

Еще вопрос. Куча сайтов, например www.km.ru , использует для элементов своих страниц не 80 -ые порты и, соответсвенно, страницы загружаются не целиком (для кусков Gateway time out). Фильтры установлены только стандартный www-http-st.

Как пользующие ВМ решают эту задачу ? Устанавливают исключения для обнаруженных портов? Но так, наверное, всего не переберешь..

Что скажете ?

В правилах указать протокол HTTP и не трогать порты.

так и есть..
Но разве это не фильтрами решается ?
Убрав фильтры все работает...

?

Шамиль Лабазанов писал(а):...Куча сайтов, например www.km.ru , использует для элементов своих страниц не 80 -ые порты и, соответсвенно, страницы загружаются не целиком (для кусков Gateway time out). Фильтры установлены только стандартный www-http-st...

Можно сделать фильтр на диапазон портов (напр., 80-9999), и разрешить на них соединения только с IP сервера с BM.

да, stateful фильтр, с исходящим адресом = адрес севера ВМ, все работает...

Нет ли аналитика, который бы немного прояснил сам вопрос теории, например зачем так делают сайты, нахрен нужны тога фильтры по умолчанию, и т.д.
?

Как сделано у реальных пользователй ВМ ?
Остались такие ?

Как сделано у реальных пользователй ВМ ?
Остались такие ? - А як же в ж!

Зачем делают такие сайты? По дурости в большинстве случаев, в частности - из-за использования "русского Апача"! Этот так называемый "В..еб сервер" уже столько крови выпил, что просто невмочь!
А если серьёзно, единственное логичное объяснение (кроме использования "РА", по крайней мере для меня) - люди не умеют нормально настраивать host-based virtual servers. Или же у них на хостах все ресурсы/сервисы через задницу раскиданы - вот и приходится по портам разносить. Третьий вариант - хостер имееет только один внешний адрес, но много внутренних - приходится юзать port-to-address translation.

Единственный метод борьбы - в пакетных фильтрах использовать порты TCP/Any - TCP/Any. В ACLках использовать HTTP-proxy на нужный диапазон портов.
Фильтры по умолчанию выкидываются сразу и далеко...

Alex-M писал(а):Как сделано у реальных пользователй ВМ ?
Остались такие ? - А як же в ж!

Зачем делают такие сайты? По дурости в большинстве случаев, в частности - из-за использования "русского Апача"! Этот так называемый "В..еб сервер" уже столько крови выпил, что просто невмочь!
А если серьёзно, единственное логичное объяснение (кроме использования "РА", по крайней мере для меня) - люди не умеют нормально настраивать host-based virtual servers. Или же у них на хостах все ресурсы/сервисы через задницу раскиданы - вот и приходится по портам разносить. Третьий вариант - хостер имееет только один внешний адрес, но много внутренних - приходится юзать port-to-address translation.

Единственный метод борьбы - в пакетных фильтрах использовать порты TCP/Any - TCP/Any. В ACLках использовать HTTP-proxy на нужный диапазон портов.
Фильтры по умолчанию выкидываются сразу и далеко...

Вариантов почему разные порты используются много - к примеру нет денег на L7 switch - разделить нагрузку от запросов на статичные картинки и генерируемый контент (у нас так любят называть его динамическим , хотя изменяется он, судя по опыту в боьшинстве случает редко, и побыть кешированным несколько секунд ему не мешало бы). А "Русский Апач" - бич русского инета (вернее всех идей кеширования в бСССР:-)) он же по умолчанию идет с настройками для броузеров версий 3 или 2 и Lynx - которые понятия не имели о кодировках, однако у нас их "НАДО ПОДДЕРЖИВАТЬ" (только кому и зачем не понятно)