Несколько вопросов по Border Manager

Обсуждение технических вопросов по продуктам Novell

Несколько вопросов по Border Manager

Сообщение Larico » 09 апр 2004, 17:12

Бордюр 3.7. Нетварь 6.0сп3, eDir 8.6.2 RW Replica.

1. При загрузке сервера выполняется strtbrd.ncf, который в autoexec-e прописан. Выполняется со следующими ошибками:
4-05-2004 10:30:12 pm: ACLCHECK-3.71-14
ACL License is not installed.
4-05-2004 10:30:12 pm: PROXYCFG-3.70-11
Novell Border Manager License is not installed
Хотя лицензиии есть, в дереве стоят и к серверу привязаны.
Если потом грузить руками, то всё ОК.
В чем трабл?

2. Можно ли ограничить с помощью БМ закачку определенных типов данных? Например разрешить таскать только htm, asp, ... а com, zip, exe, rar запретить загружать в принципе?

3. В поставке с БМ есть SurfControl DataBase. Её можно так пользовать или нужно как-то активировать?
CNA 6 Certified;
Salesperson 2004
Аватара пользователя
Larico
 
Сообщения: 974
Зарегистрирован: 13 май 2003, 13:57
Откуда: Матрице все равно .....

Сообщение Владимир Горяев » 09 апр 2004, 17:55

Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Re: Несколько вопросов по Border Manager

Сообщение Dimerson » 09 апр 2004, 17:56

Larico писал(а):Бордюр 3.7. Нетварь 6.0сп3, eDir 8.6.2 RW Replica.

1. При загрузке сервера выполняется strtbrd.ncf, который в autoexec-e прописан. Выполняется со следующими ошибками:
4-05-2004 10:30:12 pm: ACLCHECK-3.71-14
ACL License is not installed.
4-05-2004 10:30:12 pm: PROXYCFG-3.70-11
Novell Border Manager License is not installed
Хотя лицензиии есть, в дереве стоят и к серверу привязаны.
Если потом грузить руками, то всё ОК.
В чем трабл?

2. Можно ли ограничить с помощью БМ закачку определенных типов данных? Например разрешить таскать только htm, asp, ... а com, zip, exe, rar запретить загружать в принципе?

3. В поставке с БМ есть SurfControl DataBase. Её можно так пользовать или нужно как-то активировать?


на 1. несмотря на то что у меня R/W реплика на сервере с BM, У меня грузится delay.nlm и задержка на 45 секунд для выполнения startbrd.ncf .
в таком виде нет проблем

на 2. можно - допустимо использовать wildcards в ACL для HTTP прокси BM.
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Сообщение Павел Орлов aka XerX » 12 апр 2004, 11:35

SurfControl - триальная.... на месяц по моему (или на 3 ) давно дело было - не помню
CNE 5, 6
Павел Орлов aka XerX
 
Сообщения: 284
Зарегистрирован: 26 июн 2002, 17:17
Откуда: Москва

ПО теме

Сообщение Lab » 05 апр 2005, 19:28

Можно ли заставить HTTP Proxy не кэшировать определенный host (IP адрес ) и как это проверить ?
Lab
 
Сообщения: 196
Зарегистрирован: 08 дек 2003, 13:57
Откуда: Москва

Re: ПО теме

Сообщение Владимир Горяев » 05 апр 2005, 21:40

Шамиль Лабазанов писал(а):Можно ли заставить HTTP Proxy не кэшировать определенный host (IP адрес ) и как это проверить ?
Можно! Заметно сразу, если контент завИсим...
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Lab » 05 апр 2005, 23:53

т.е. в non cacheble URL pattern я ввожу IP адрес и тип протокола (в моем случае HTTPS) . Так ? Смущает , что URL pattern..

проверить к сожалению руками - никак, обращение на адрес прикладной программой (quick)...

Есть еще идеи ? А Transparent и generic proxy, кэшируются?
Lab
 
Сообщения: 196
Зарегистрирован: 08 дек 2003, 13:57
Откуда: Москва

Сообщение Андрей Троценко » 06 апр 2005, 00:44

Шамиль Лабазанов писал(а):...Transparent и generic proxy, кэшируются?...


Transparent HTTP - да, Generic - ес-но нет.
Аватара пользователя
Андрей Троценко
 
Сообщения: 529
Зарегистрирован: 31 июл 2002, 13:54
Откуда: Киев, Украина

а тут что делать ?

Сообщение Lab » 06 апр 2005, 13:22

Ок, спасибо, попробуем.

Еще вопрос. Куча сайтов, например www.km.ru , использует для элементов своих страниц не 80 -ые порты и, соответсвенно, страницы загружаются не целиком (для кусков Gateway time out). Фильтры установлены только стандартный www-http-st.

Как пользующие ВМ решают эту задачу ? Устанавливают исключения для обнаруженных портов? Но так, наверное, всего не переберешь..

Что скажете ? :)
Lab
 
Сообщения: 196
Зарегистрирован: 08 дек 2003, 13:57
Откуда: Москва

Re: а тут что делать ?

Сообщение Владимир Горяев » 06 апр 2005, 14:18

Шамиль Лабазанов писал(а):Ок, спасибо, попробуем.

Еще вопрос. Куча сайтов, например www.km.ru , использует для элементов своих страниц не 80 -ые порты и, соответсвенно, страницы загружаются не целиком (для кусков Gateway time out). Фильтры установлены только стандартный www-http-st.

Как пользующие ВМ решают эту задачу ? Устанавливают исключения для обнаруженных портов? Но так, наверное, всего не переберешь..

Что скажете ? :)
В правилах указать протокол HTTP и не трогать порты.
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Lab » 06 апр 2005, 14:44

так и есть..
Но разве это не фильтрами решается ?
Убрав фильтры все работает...

?
Lab
 
Сообщения: 196
Зарегистрирован: 08 дек 2003, 13:57
Откуда: Москва

Re: а тут что делать ?

Сообщение Андрей Троценко » 06 апр 2005, 15:15

Шамиль Лабазанов писал(а):...Куча сайтов, например www.km.ru , использует для элементов своих страниц не 80 -ые порты и, соответсвенно, страницы загружаются не целиком (для кусков Gateway time out). Фильтры установлены только стандартный www-http-st...


Можно сделать фильтр на диапазон портов (напр., 80-9999), и разрешить на них соединения только с IP сервера с BM.
Аватара пользователя
Андрей Троценко
 
Сообщения: 529
Зарегистрирован: 31 июл 2002, 13:54
Откуда: Киев, Украина

Сообщение Lab » 06 апр 2005, 17:17

да, stateful фильтр, с исходящим адресом = адрес севера ВМ, все работает...

Нет ли аналитика, который бы немного прояснил сам вопрос теории, например зачем так делают сайты, нахрен нужны тога фильтры по умолчанию, и т.д.
?

Как сделано у реальных пользователй ВМ ?
Остались такие ? :)
Lab
 
Сообщения: 196
Зарегистрирован: 08 дек 2003, 13:57
Откуда: Москва

Сообщение Alex-M » 06 апр 2005, 18:08

Как сделано у реальных пользователй ВМ ?
Остались такие ?
- А як же в ж! :D

Зачем делают такие сайты? По дурости в большинстве случаев, в частности - из-за использования "русского Апача"! :evil: Этот так называемый "В..еб сервер" уже столько крови выпил, что просто невмочь!
А если серьёзно, единственное логичное объяснение (кроме использования "РА", по крайней мере для меня) - люди не умеют нормально настраивать host-based virtual servers. Или же у них на хостах все ресурсы/сервисы через задницу раскиданы - вот и приходится по портам разносить. Третьий вариант - хостер имееет только один внешний адрес, но много внутренних - приходится юзать port-to-address translation.

Единственный метод борьбы - в пакетных фильтрах использовать порты TCP/Any - TCP/Any. В ACLках использовать HTTP-proxy на нужный диапазон портов.
Фильтры по умолчанию выкидываются сразу и далеко... :-)
Вагончик тронется, НОВЕЛЛ - останется!!!
Alex-M
 
Сообщения: 298
Зарегистрирован: 21 авг 2002, 16:46
Откуда: Москва, МИД России

Сообщение Владимир Ельников » 06 апр 2005, 20:46

Alex-M писал(а):Как сделано у реальных пользователй ВМ ?
Остались такие ?
- А як же в ж! :D

Зачем делают такие сайты? По дурости в большинстве случаев, в частности - из-за использования "русского Апача"! :evil: Этот так называемый "В..еб сервер" уже столько крови выпил, что просто невмочь!
А если серьёзно, единственное логичное объяснение (кроме использования "РА", по крайней мере для меня) - люди не умеют нормально настраивать host-based virtual servers. Или же у них на хостах все ресурсы/сервисы через задницу раскиданы - вот и приходится по портам разносить. Третьий вариант - хостер имееет только один внешний адрес, но много внутренних - приходится юзать port-to-address translation.

Единственный метод борьбы - в пакетных фильтрах использовать порты TCP/Any - TCP/Any. В ACLках использовать HTTP-proxy на нужный диапазон портов.
Фильтры по умолчанию выкидываются сразу и далеко... :-)


Вариантов почему разные порты используются много - к примеру нет денег на L7 switch - разделить нагрузку от запросов на статичные картинки и генерируемый контент (у нас так любят называть его динамическим :-), хотя изменяется он, судя по опыту в боьшинстве случает редко, и побыть кешированным несколько секунд ему не мешало бы). А "Русский Апач" - бич русского инета (вернее всех идей кеширования в бСССР:-)) он же по умолчанию идет с настройками для броузеров версий 3 или 2 и Lynx - которые понятия не имели о кодировках, однако у нас их "НАДО ПОДДЕРЖИВАТЬ" :-) (только кому и зачем не понятно)
CNA 4.11 :-)
Владимир Ельников
 
Сообщения: 41
Зарегистрирован: 12 мар 2003, 14:38
Откуда: Москва

След.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 68

cron