Несколько вопросов по Border Manager

Обсуждение технических вопросов по продуктам Novell

Сообщение Владимир Горяев » 06 апр 2005, 22:11

Alex-M писал(а):Фильтры по умолчанию выкидываются сразу и далеко... :-)
Непременно.
Самый простой вариант: - на интерфейсы разрешить все самим на себя. Сервисы прокси зарботают сразу. Ежели что не нравиться- -закручивать гайки дальше.
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Alex-M » 07 апр 2005, 14:24

Владимир Горяев писал(а):Самый простой вариант: - на интерфейсы разрешить все самим на себя. Сервисы прокси зарботают сразу. Ежели что не нравиться- -закручивать гайки дальше.


Ага, точно, так и живём... Всё через прокси, оставшееся бесконечно малое - через статик НАТ.
Последний раз редактировалось Alex-M 07 апр 2005, 17:31, всего редактировалось 1 раз.
Вагончик тронется, НОВЕЛЛ - останется!!!
Alex-M
 
Сообщения: 298
Зарегистрирован: 21 авг 2002, 16:46
Откуда: Москва, МИД России

Сообщение Lab » 07 апр 2005, 15:25

Я, было, почти разобрался, и тут на тебе :) Придется изучать/тестить дальше.. Хотя, если честно, я запутался..

Т.е. приоритет отдан Acces rule- ям, если надо запретить что, так ?

Еще вопрос, кэшируется ли HTTPS трафик, и как это проверить ?
Некто К. Джонсон, говорит, что HTTPS автоматически не кэшируется..
Lab
 
Сообщения: 196
Зарегистрирован: 08 дек 2003, 13:57
Откуда: Москва

Сообщение Alex-M » 07 апр 2005, 17:43

Шамиль Лабазанов писал(а):Я, было, почти разобрался, и тут на тебе :) Придется изучать/тестить дальше.. Хотя, если честно, я запутался..
Т.е. приоритет отдан Acces rule- ям, если надо запретить что, так ?
Еще вопрос, кэшируется ли HTTPS трафик, и как это проверить ?
Некто К. Джонсон, говорит, что HTTPS автоматически не кэшируется..


А в чём запутанность то? ;-) Да, приоритет отдан ACLкам - ибо прахтисськи всё ходит через прокси. ACLки есть и на allow, и на deny. Правила построения в общем те же, что и для МЭ - более общие взад, более частные - вперёд... :-) Deny, как правило, выше Allow (для правил, относящихся к одному сервису/диапазону). Ну и прочее подобное...

Насчёт HTTPS не скажу - не интересовался. А что - беспокоит в плане безопасности? По идее - всё, что идёт вовнутрь через HTTP-proxy, кэшируется (за исключением явно указанного в Non-Cacheable Patterns, динамических объектов, содержащих cgi, "?" и прочее подобное, а также объектов с явным заголовком "не кэшировать"). Но может быть для HTTPS сделано исключение - можно посмотреть в кэше.
Вагончик тронется, НОВЕЛЛ - останется!!!
Alex-M
 
Сообщения: 298
Зарегистрирован: 21 авг 2002, 16:46
Откуда: Москва, МИД России

Сообщение Lab » 12 апр 2005, 10:14

Ок.
Надо закругляться :) но еще вопрос, почему в форумах не любят майл прокси?. Мне надо забирать почту снаружи, (хотя это нестандартно немного) выбор между фильтрами, собственно майл прокси, и траспарент прокси.. Вроде как :) в траспарент обнаружен баг (он окрывает порты и на внешнем интерфейсе) , майл прокси ругают..
Что скажете?
Lab
 
Сообщения: 196
Зарегистрирован: 08 дек 2003, 13:57
Откуда: Москва

Сообщение Владимир Занадворов » 12 апр 2005, 10:27

Шамиль Лабазанов писал(а):Ок.
Надо закругляться :) но еще вопрос, почему в форумах не любят майл прокси?. Мне надо забирать почту снаружи, (хотя это нестандартно немного) выбор между фильтрами, собственно майл прокси, и траспарент прокси.. Вроде как :) в траспарент обнаружен баг (он окрывает порты и на внешнем интерфейсе) , майл прокси ругают..
Что скажете?


Падучий он, мейлпрокси этот. :)
--
Аватара пользователя
Владимир Занадворов
 
Сообщения: 167
Зарегистрирован: 09 фев 2005, 13:28
Откуда: Москва

Сообщение Lab » 12 апр 2005, 10:32

Владимир Занадворов
:)
ну и рекомендуемая альтернатива ? :)
Lab
 
Сообщения: 196
Зарегистрирован: 08 дек 2003, 13:57
Откуда: Москва

Сообщение Владимир Занадворов » 12 апр 2005, 11:15

Шамиль Лабазанов писал(а):Владимир Занадворов
:)
ну и рекомендуемая альтернатива ? :)


Такс, а нафига собственно mail proxy, если почта забирается снаружи? Он работает в другую сторону

У нас сделано через десяток generic проксей, на основные внешние мыльницы.
--
Аватара пользователя
Владимир Занадворов
 
Сообщения: 167
Зарегистрирован: 09 фев 2005, 13:28
Откуда: Москва

Сообщение Lab » 12 апр 2005, 12:34

Владимир Занадворов
Ну во первых, так можно сделать. Во вторых, при изменении наружного адреса, ничего не надо перестраивать внутри.. Наверное еще есть моменты..

Т.е. на каждый внешний почтовый сервер свой generic прокси с нестандартными портами, так ?
Lab
 
Сообщения: 196
Зарегистрирован: 08 дек 2003, 13:57
Откуда: Москва

Сообщение Владимир Занадворов » 12 апр 2005, 12:37

Шамиль Лабазанов писал(а):Владимир Занадворов
Ну во первых, так можно сделать. Во вторых, при изменении наружного адреса, ничего не надо перестраивать внутри.. Наверное еще есть моменты..

Т.е. на каждый внешний почтовый сервер свой generic прокси с нестандартными портами, так ?


У нас так, да.

Ну и ACL естественно, на всё это дело.
--
Аватара пользователя
Владимир Занадворов
 
Сообщения: 167
Зарегистрирован: 09 фев 2005, 13:28
Откуда: Москва

Сообщение Alex-M » 12 апр 2005, 14:29

Шамиль Лабазанов писал(а):Ок.
Надо закругляться :) но еще вопрос, почему в форумах не любят майл прокси?. Мне надо забирать почту снаружи, (хотя это нестандартно немного) выбор между фильтрами, собственно майл прокси, и траспарент прокси.. Вроде как :) в траспарент обнаружен баг (он окрывает порты и на внешнем интерфейсе) , майл прокси ругают..
Что скажете?


Мэйл-прокси зело глюкав (правда каков он сейчас, в 3.8, не знаю). Падает при большом числе коннектов, при большом письме, при некорректном обрыве SMTP-сессии. Иногда зависают письма на выходе. Не всегда нормально работает multiple MX lookup. Но повторюсь - это я говорю насчёт 3.5 и при большой почтовой нагрузке...
Транспарент плох даже не указанной особенностью (она легко лечится пакетными фильтрами), а тем, что создаёт большую нагрузку на процессор. Ведь проксе надо мониторить _весь_ проходящиё трафик, вплоть до буковки... :-) У меня на старом сервере, на dual PIII-933 с версией БМ 3.5, при включении транспарента на 25-й порт нагрузка сразу подскакивала с 30% до 70%...

Альтернативы - generic-TCP и static-NAT. Последний в основном для ситуаций с внутренним почтовиком, который надо выпустить наружу.

Но по мэйл-прокси грущу, ибо он зело хорош для руления антиспамом и ACLями на почтовые адреса/домены... :-)
Вагончик тронется, НОВЕЛЛ - останется!!!
Alex-M
 
Сообщения: 298
Зарегистрирован: 21 авг 2002, 16:46
Откуда: Москва, МИД России

Всего никогда не понять.. :)

Сообщение Lab » 19 апр 2005, 13:58

Alex-M
А что скажете про Socks Proxy ?

Есть задачка, когда нужен прокси для доступа изнутри наружу к нескольким наружним серверам (программа ATON-LINE. Она переключается на порт другого доступного сервера если есть какие то проблемы с текущим )..

Generic Proxy не позволяет :) указывать сразу несколько внешних серверов; через HTTP прокси не получается.. Вот остался рекомендованный socks или отслеживать доступность серверов "вручную"

Не хочется его (сокс) поднимать не услышав тех, кто с ним реально работает/работал...
Lab
 
Сообщения: 196
Зарегистрирован: 08 дек 2003, 13:57
Откуда: Москва

Re: Всего никогда не понять.. :)

Сообщение Alex-M » 19 апр 2005, 14:29

Шамиль Лабазанов писал(а):Alex-M
А что скажете про Socks Proxy ?

Generic Proxy не позволяет :) указывать сразу несколько внешних серверов; через HTTP прокси не получается.. Вот остался рекомендованный socks или отслеживать доступность серверов "вручную"

Не хочется его (сокс) поднимать не услышав тех, кто с ним реально работает/работал...


Ничего не скажу, ибо не юзал. :-) Но, по слухам, неплох... Опять же варианты - Transparent Proxy или Static NAT.
А почему через HTTP-proxy не работает? Аська-то работает, да и нечто вроде HTTPort привинтить можно...
Вагончик тронется, НОВЕЛЛ - останется!!!
Alex-M
 
Сообщения: 298
Зарегистрирован: 21 авг 2002, 16:46
Откуда: Москва, МИД России

Re: Всего никогда не понять.. :)

Сообщение Владимир Занадворов » 19 апр 2005, 14:37

Alex-M писал(а):да и нечто вроде HTTPort привинтить можно...


А чем оный при нескольких серверах поможет?
--
Аватара пользователя
Владимир Занадворов
 
Сообщения: 167
Зарегистрирован: 09 фев 2005, 13:28
Откуда: Москва

Re: Всего никогда не понять.. :)

Сообщение Ковалев Артем » 19 апр 2005, 16:06

Шамиль Лабазанов писал(а):Alex-M
А что скажете про Socks Proxy ?

Есть задачка, когда нужен прокси для доступа изнутри наружу к нескольким наружним серверам (программа ATON-LINE. Она переключается на порт другого доступного сервера если есть какие то проблемы с текущим )..

Generic Proxy не позволяет :) указывать сразу несколько внешних серверов; через HTTP прокси не получается.. Вот остался рекомендованный socks или отслеживать доступность серверов "вручную"

Не хочется его (сокс) поднимать не услышав тех, кто с ним реально работает/работал...


Я пользуюсь. Работает, авторизуется так же через SSO. Есть правда залеты, например, eMule через него так и не пошел. Не на вход, не на выход - почему, бес его знает. Миранда работает замечательно, еще некоторые приложения живут.
берем картину мироздания и тупо смотрим - что к чему...
Аватара пользователя
Ковалев Артем
 
Сообщения: 924
Зарегистрирован: 29 мар 2004, 11:44
Откуда: Москва

Пред.След.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 60

cron