XoRe

2Zerbog: Имхо, где-то вы чего-то не так прописали в vbs скрипте. Ось случаем не vista? )

53 - днс 123 - ident 5554,5555 - stg 33434-33500 - traceroute (*nix версия traceroute использует по умолчанию UDP протокол с этими портами) Если сервер на FreeBSD, то ещё 49152-65535 для исходящий соединений (хз, какой диапазон под это в linux). Хотя о чем мы говорим... 2Slon: Поднимите свой DNS сервис и откройте с локалки хоть все UDP порты на свой сервер, но не дальше.

2Goblin: Path: /usr/ports/net/tcping Info: Do a TCP connect to the given IP/port combination Path: /usr/ports/net/hping Info: Network auditing tool По ssh бывают задержки при коненкте, когда sshd не может определить хост по ип адресу, т.е. сделать обратный resolve. Может быть используемый pop3 сервис имеет ту же проблему. А может pop3 сервис просто падает ) Попробуй проверять порты с другой точки.

Согласен, можно и так... если будет выделен отдельный комп под файлопомойку )

2Sanito: Если переустановка не подходит, то может подойдет восстановление винды Акронисом? А так... экспорт реестра до, экспорт реестра после Ну и сравнивать ) Как получить это "после": сделать дамп реестра у себя и бегать по сетке с криками "я открыт, атакуйте меня" ) Можно выложить на сайте программку, которая при установке прописывает себя в автозагрузку. А при запуске делает бекапы реестра. И сказать всем юзерам, что это для защиты от нового вируса ) Это, кстати, мало грешит против истины, т.к. действительно поможет найти, что в реестре трется.

2AAS: Советую перечитать боян) Утрированно конечно, но в целом верно ) Для начала давай представим, что у нас все официально, на уровне и т.д. И подсчитаем во сколько десятков тысяч зелени обойдутся курсы по: + постоянное самообучение с целью поддержать свои знания на должном уровне. IT мир-то на месте не стоит ) Сертифицированный специалист по указанному списку работ, потративший на сертификацию немалую сумму денег, будет долго плеваться, когда ему предложат 200-400$ в месяц )) О чем это я? О том, что, так называемые "1-годовалые спецы IT" могут мнить себя именно таким сертифицированным специалистом ) В целом я более согласен, чем несогласен насчет сравнения "1 год натаскивания - 1 год ПТУ". Но есть один момент, который нужно учитывать. Работа админом - это интеллектуальный и ответственный труд. Водитель - это водитель, но не начальник автопарка. Тоже самое можно сказать про машиниста. и т.д. Среди врачей не все глав. врачи. А у админа ответственность за все компы, за всю IT инфраструктуру. И если у человека такая ответственность, основанная на уникальных (среди работников компании ) знаниях, то он может хотя бы рассчитывать на достойную зарплату. Если он может предложить заявленные знания с ответственностью ) Правда, это все без учета конкуренции Ну а если есть перенасыщение рынка труда такими спецами, то это уже другой вопрос. И я согласен с тем, что этот пункт может серьёзно повлиять на планку зарплаты ) Нам остается только постоянно учиться и практиковаться, чтобы были какие-то основания на высокую зарплату )

При установке из портов при установке имеем файлик: /usr/local/etc/rc.d/verlihub.sh На форумах советуют прописать в нем (в начале файла): # REQUIRE: mysql # REQUIRE: apache Чтоб он стартовал перед mysql (т.к. юзает БД) и перед apache (т.к. почему-то БД не успевает загрузиццо и без этого verlihub все равно падает). Поставил из портов последний verlihub-0.9.8.d.r1_1,1 + имеющиеся в портах плагины к нему + vhcp (веб статистика + админка). Для нормальной работы пришлось поставить mysql5 (а с ним и php5) и переделать все БД под cp1251 ) И вот, после всех мытарств и конских апгрейдов ПО на продакшн сервере все заработало ) Так же можно сделать свой дистрибутив клиентской программы на основе, например, StrongDC 2.05. Можно настроить на подключение к своему серверу, указать все промежуточные настройки, русифицировать. А потом убрать из файла конфига строчки, отвечающие за пути к папкам и за ник. В этом случае при запуске программы сразу будет вылетать окно настроек и надо будет писать ник. А пути все будут проставляться по умолчанию. И можно полученную клиентскую программу свернуть инсталятором, например Inno Setup Compiler и раздавать. Я у себя в сети сделал именно так. В результате юзерам вообще не надо ничего в настройках править. Все уже настроено до них ) Кстати, кто будет ставить mysql5 на фряхе, не собирайте его с linuxthreads. А то потом нужно будет много лишних телодвижений, чтоб из портов собрать verlihub. Лучше собрать с lpthreads. А так же рекомендую перед всеми делами по установке ПО на сервер обновить порты. Ибо последняя версия verlihub-0.9.8.d.r1 появилась там сравнительно недавно. P.S. Так и не нашел толковый скрипт для антимата. Если кто покажет или даст сцылку, буду благодарен ) P.P.S. Из web ресурссов в добавок ко всем ссылкам могу посоветовать форум: http://forum.proc.ru/index.php?showforum=24

Стоит что-то подобное. юзеры - шлюз1 - шлюз2(биллинг) - инет. Со шлюза №2 каждые 11 минут шлется файл с привязкой мак адресов ) На шлюзе №1 каждые 15 минут эта привязка обновляется ) #!/usrl/bin/perl use DBD::mysql; use DBI(); use Time::Local; use Socket; $debug = 0; foreach $i ('192.168.0', '192.168.1', '192.168.2', '192.168.3', '192.168.4' ) { foreach $k (0..255) { undef @mama; @mama[0] = lc sprintf ('%X', 250);; foreach $o (0..5) { srand; $n = lc sprintf ('%X', int(rand 255)); @mama[$o] = $n; } $arps{"$i.$k"} = "@mama[0]:@mama[1]:@mama[2]:@mama[3]:@mama[4]:@mama[5]"; } } # Инициализация переменных UTM open (CONFIG, "/usr/local/netup/utm5/etc/utm5.cfg"); @config = <CONFIG>; close (CONFIG); foreach $line (@config) { if ($line =~ m/^([^#].+?)=(.*)$/) { $$1 = $2; }; }; # Подключение к БД if ($database_type eq "mysql") { $DBI_data="DBI:$database_type:database=$database;host=$database_host;mysql_socket=$database_sock_path;"; } elsif ($database_type eq "postgres") { $DBI_data="DBI:$database_type:dbname=$database"; } else { print "Unknown database $database_type! Stopped. \n"; exit (1); }; $dbh = DBI->connect("$DBI_data","$database_login","$database_password",{'RaiseError' => 1}); $query = "select u.login from users u, users_accounts ua, accounts a where u.id = ua.uid and ua.account_id = a.id and a.is_blocked = 0 and u.is_deleted = 0 and a.is_deleted = 0 and ua.is_deleted = 0;"; $sth = $dbh->prepare($query); $rv = $sth->execute(); while ($ref = $sth->fetchrow_hashref()) { $on{$ref->{'login'}} = 1; } $sth->finish(); $query = "select u.login login, inet_ntoa(ip.ip&0xffffffff) ip, ip.mac mac from ip_groups ip, service_links sl, iptraffic_service_links isl, users u where ip.ip_group_id = isl.ip_group_id and isl.id = sl.id and sl.user_id = u.id and sl.is_deleted = 0 and isl.is_deleted = 0 and ip.is_deleted = 0 and u.is_deleted = 0 and u.login in ( select u.login from users u, users_groups_link ug where u.id = ug.user_id and ug.group_id = 1001 and u.is_deleted = 0 );"; $sth = $dbh->prepare($query); $rv = $sth->execute(); while ($ref = $sth->fetchrow_hashref()) { if($on{$ref->{'login'}} > 0) { $arps{$ref->{'ip'}} = $ref->{'mac'}; } } $sth->finish(); # Disconnect from the database. $dbh->disconnect(); open ARP, '< /usr/local/system/etc/arp.table'; while($line = <ARP>) { #ip mac name chomp $line; next if ($line =~ /^[\s\t\#]+/); ($line) = (split /\#/, $line, 2)[0]; ($a, $ = split (/[\s\t]+/, $line) or next; $arps{$a} = $b; } close ARP; $empty = ''; $file = ''; $tmp_dir = '/tmp'; $file_name = "$$.$$.file"; $empty_name = "$$.$$.empty"; foreach $ip (sort keys %arps) { next if ($arps{$ip} =~ /no/i); if ($arps{$ip} ne '') { $file .= "$ip $arps{$ip} pub\n"; } } open TEMP, "> $tmp_dir/$file_name"; print TEMP $file; close TEMP; chdir $tmp_dir; `echo put $file_name ethers | /usr/bin/ftp ftp://[b]юзер:пасс\@1.1.1.1(шлюз1)[/b]/`; unlink "$tmp_dir/$file_name"; Думаю, переделать под себя будет нетрудно )

2Cell: Обратите внимание на сию мою фразу. Если хочется хорошей балансировки, один адрес на все каналы очень желателен. Поясню на примере: 1. Если тупо рассылать исходящие пакеты по разным каналам, то это приведет к тому, что нормально работать будут только web сайты, и то не все. Все сайты, где идет авторизация, кукисы и прочая, будут выдавать ошибку, когда ip адрес клиента будет постоянно меняться. Все остальные сервисы работать не будут вообще. Представим, что есть точка с 2 внешними ip адресами 1.1.1.1 и 2.2.2.2. Устанавливает она соединение от адреса 1.1.1.1 до компа 3.3.3.3. Потом приходит компу 3.3.3.3 пакет от 2.2.2.2. 3.3.3.3 шлет ему RST или "port unreachable" какой-нить. И правильно, ведь 3.3.3.3 соединился с 1.1.1.1, а не с 2.2.2.2. Ну и получит наш узел разрывы соединения, причем постоянные. 2. Если шлюз запоминает, до какого адреса пакеты через какой канал ушли, и шлет пакеты только через него, ситуация получше. Хотя есть всякие сервисы типа mail.ru, yandex.ru, где используется несколько ip адресов на один домен (yandex.ru: 87.250.251.11, 213.180.204.11), а так же у разных доменов разные ip адреса (mail.ru: 194.67.57.26, win.mail.ru: 194.67.57.50). А кукисы у таких систем одни. А так же вполне могут быть проверки ip адреса клиента во время сессии. Например у webmoney.ru такие проверки полюбому есть. И если маршруты до разных ип адресов одного портала раскидаются по разным каналам, у юзеров будут вылезать ошибки доступа к сайтам, к почте на mail.ru, к кошелькам на webmoney. Поэтому своя AS, BGP и (как следствие) 1 адрес внешний через все каналы адрес очень желательны. Насчет http://gazette.linux.ru.net/rus/articles/lartc/index.html: Это балансировка исходящийх запросов с запоминанием маршрута, т.е. описанный мной 2 пункт. Вот цитата из той статьи: Т.е. во первых получаем все плюшки описанного мной второго варианта. Хотя можно как-то создать систему выбора маршрута и "обучить" её, например, при выборе маршрута для одного адреса mail.ru, пускать через тот же маршрут все остальные адреса. Т.е. что-то типа постоянно обучаемой экспертной системы ) Во вторых, качество балансировки зависит от того, насколько удачно расползутся маршруты по каналам. Стоит учесть, что скачиваемый трафик во многом подчинается правилу 80/20. Т.е., грубо говоря, 80% трафика скачивается с 20% посещенных адресов. И возможна ситуация, когда трафикогенерирующие адреса соберутся на одном канале. Или на другом ) Я к тому, что хорошая балансировка будет там, где будет распределение не только запросов, но и ответов. Потом. Это не совсем балансировка, это раскидывание юзеров по каналам. У этого есть название Policy Based Routing. Об нем можно почитать тут: http://www.nestor.minsk.by/sr/2003/04/30412.html В принципе, это можно назвать балансировкой, но имхо афтору темы нужно несколько другое. А теперь, собственно, мое имхо: На безрыбьи пойдет и балансировка запросов, описанная тут: http://gazette.linux.ru.net/rus/articles/l...l#LOADBALANCING =) Там кстати есть ссылка на патчи для ядер linux: http://www.ssi.bg/~ja/#routes Если честно, суть патчей я не понял ) 2Foster: Не подскажешь ли, как называется прием, описанный в п.4.2.1: http://gazette.linux.ru.net/rus/articles/l...tml#SPLITACCESS Police Based Routing или Source Routing ? Просто я давно использую такой прием на серверах и всегда думал, что это PBR. Или это называется Source Routing ?

На сервере сделай это: chown -R ftp:operator /home/ftp chmod 755 /home/ftp echo "teper probuy!" =)

2metaltuman: Вопрос к вам. Какое устройство хотите иметь шлюзом: комп или что-то типа микротика. Кто будет админить устройство. И что этот "кто" умеет админить. Т.е. какие железки и операционные системы этот "кто" умеет админить. Если админ знает только windows, то лучше всего воткнуть 2003 сервер, ну или на худой конец xp. И раздавать инет ТраффикИнспектором или юзергейтом. Если админ знает какой-нить юникс-линукс, то лучше ставить этот юникс-линукс и поднимать на нем биллинг типа stargazer или ещё чего-нить другое. Или реальная альтернатива - взять микротик, тогда не нужен будет отдельный комп. Почитать что-нить отсюда: http://pcrouter.ru/ipb/index.php?showforum=3 Например тут: http://pcrouter.ru/ipb/index.php?showforum=19 даже есть готовые статьи. Один раз настроить и радоваться )

В mrtg можно делать так: Target[traf]: `/usr/local/stat/traf/log.sh traf` Скрипт должен возвращать 4 строчки: - одно число (например входящий) - второе число (например исходящий) - строчку (у меня возвращает 0) - строчку (у меня возвращает название) Важны первые 2 строчки. А скрипт может брать данные с фаерволла.

Галочки есть в ghostwall. Сам его юзал на х64 машине, когда wipfw поддерживал только х32. Хотя и до сих пор юзаю... )

Asterisk+Jabber - хмм... реально рабочая связка?

Поиском по форуму вы себя не утруждаете ) Моё описание FileZilla: http://local.com.ua/forum/index.php?showto...indpost&p=59327

Тож верно. Но сие надо ещё админить. И опять платить человеку ? А FileZilla на винде работает, не падает )

Улыбнул текст со статьи: В правильном направлении мыслите, товарищ! Если дело с бизнесом пахнет жареным, пора этот бизнес кому-нибудь втюхивать ) Если честно, я ожидал увидеть отчеты о том, как вы уже проложили пару километров кабеля и подключили n-ное число человек. А так одни рекламные трюки. Конечно никто не запрещает написать хоть "в сети уже 100 человек (пока отключенных)". А так же написать "интернет бесплатно!" и внизу шрифтом-двойкой приписать "раз в сутки с 00:00 до 00:10". И ничего не предъявишь. Но пользователям-то пофигу на хитрые соблюдения рекламной корректности. Будут говорить друзьям, что это липа и все ) Юзеры и про честно рабочие локалки нехорошие слухи пускают. Бывает несколько дней борешься с камким-то глюком, сеть глючит, а потом это ещё месяц-два аукается. А уж про нерабочую быстро плохое мнение разлетится ) Точнее быстро разлетится правда. О том, что юзеров не 15, интернет не всегда 1 коп за мб. И т.д. P.S. Если хотите побыстрее перестать быть пионером и стать спецом, может быть начнете прислушиваться к словам спецов? Хотя, если вы любите самому узнавать, что бывает когда наступаешь на грабли, то, конечно, дело ваше. Но с такими условиями "за месяц, да без помощи других, да с бюджетом в 1000$" вы себе выбрали грабли железные, шипованные, да ещё и с гидроусилителем ) P.P.S. Себя к спецам сетестроения не причисляю, я больше по настройке серверов )

Без содействия провайдера - никак. Можно взять свою AS, настроить bgp, получишь систему, доступную одновременно с разных каналов. А так же ты сможешь переключить основной канал на резервный и у народа не оборвутся соединения, т.к. ип адрес у тебя будет один, хоть и через разные каналы. Можно фаерволлом или ещё какой-то тулзой пулять пакеты по разным каналам в режиме round robin, т.е. каждый пакет в другой канал по очереди. Можно даже настроить приоритеты, т.е. по тому каналу пускать 70% запросов, а по тому 30%. НО. Это будет только балансровка запросов. А теперь подумай, как тебе будут приходить ответы. Маршрут ответного пакета строится не на том, через какой канал пришел запрос. А на том, что за ип адрес у твоей машины. Ип адрес у твоей машины один, следовательно ответные пакеты будут приходить к тебе через один маршрут, который на тот момент будет основным. То есть даже в этом случае ты получишь балансировку запросов по разным каналам. И ответы, приходящие по одному каналу. И пока провайдер не настроет у себя балансировку ответных пакетов по каналам, разруливания трафика по каналам ты не получишь. Хотя можно попробовать такой путь. Договариваешься о vpn соединении с чуваком, у которого широкий канал в интернет. Он инициирует со своей машины vpn соединения на все твои внешние адреса. Именно он, потому что как тебе сделать соединение с разных каналов до 1 адреса - хз. А так можно будет воспользоваться технологией Policy Based Routing. И ты пускаешь весь свой трафик через vpn соединения. Можешь даже у себя настроить балансировку запросов. А чувак на своем сервере настраивает балансировку ответов по vpn каналам. Таким образом от сервера чувака (и до него) трафик будет идти с 1 адреса (и приходить на 1). А трафик между тобой и чуваком можно будет разруливать по vpn каналам. Т.е. каким-то образом раскидывать пакеты по каналам так, чтоб забивать их с нужной тебе пропорцией.

И за это хотят деньги? FileZilla - На скорости 5 Мбайт/с ест максимум 10-15% 2гигогерцового процессора, 5-10 мбайт оперативки. А тормоза чувствуются, когда качают в несколько потоков на такой скорости, и происходят по вине толи жесткого, толи мамки (мамке года 2-3). Когда качают в 1 поток, усиленная работа жесткого ощущается, но комп сохраняет жизнеспособность. Да, вспомнил, сейчас у меня стоит 1 жесткий и наблюдается такая картина. Когда стояло 2 жестких (на одном система и своп, а на другом открытые ресурсы), комп вообще не тупил даже на скоростях 7-10 мбайт/с. На количество потоков было по барабану. Поэтому несколько хороших винтов на хорошей мамке и файлы будут просто летать с фтп сервера FileZilla Server )

Угу. WebMoney. Через неё оплачиваешь работу специалиста, который тебе все настроит =)

Первым ОЧЕНЬ хорошим шагом будет скачивание и установка всех обновлений под твой виндовс, которые вышли на текущий момент. Это позволит закрыть все известные дырки. Очень важный и очень эффективный шаг. Потом поставить фаерволл, который дает возможность заблокировать левые порты. Из бесплатных и простеньких знаю wipfw и ghostwall. И закрыть нахрен все лишние порты. Антивирус... на файлсервер... мысль хорошая, но надо будет попотеть с настройкой, чтоб он не вызывал диких тормозов ) Из антивирусов я бы посоветовал касперского, последние версии. Хотя быть может nod32 будет тут более выигрышным вариантом, если он и правда шустрее ксперского. Потом вырубить все ненужные службы. По важности сначала идет обновление windows, потом антивирус. А потом все остальное ) Ещё я бы посоветовал использовать в качестве открытия файлов не виндовую шару, а ftp сервер, такой как FileZilla Server. Тогда можно будет полностью закрыть все виндовые сервисы (135-139 и 445 порты, через которые обычно и ломают).

skype ) Ещё, помнится, есть ventrilo, только не помню, чтобы у него был текстовый чат + он клиент-серверный. Советую глядеть в сторону клиент-серверных продуктов. Тогда будет возможность банить крикунов.

Учитывая ширину канала, я бы увеличил минимальные требования с "пентиум один" до "пентиум два" или даже "пентиум три" ) Хотя это только с точки зрения пересылки пакетов. Не знаю требования NoDeny, поэтому если хотите покупать, а не использовать старый, берите какой-нить P4 2ГГц, хватит с головой, и будут мощностЯ на вырост. Ну а дальше тюнинг ОСи, тюнинг ПО и т.д. Ибо софтверным тюнингом можно увеличить быстродействие в разЫ. Особенно на таком канале.

Смахивает на законспирированный стёб

Сначала отвечу на вопрос "как развести юзеров по каналам, да так, чтобы это по разному считалось в стг". 1. Жестко прописывать "вася на этом канале", "петя на том" с помощью маршрутизации, ната и фаерволла. Выбор канала можно завязать на тариф. На каком тарифе, через такой канал и пойдешь. 2. Запустить два прокси, один ходит через быстрый канал, другой через медленный. А в СТГ порты проксей проставить в разную цену. Чтобы юзеры ходили на украину напрямую (или через какой-нибудь третий прокси), и юзерам не нужно было прописывать исключения, можно воспользоваться технологией "сценарий автоматической настройки" в параметрах браузера. Имееся выбор, чего дальше делать: - Настроить технологию "автоматическое определение параметров прокси сервера" (в настройках IE ) Чтобы была полная автоматизация. Тогда юзерам не нужно будет лезть в настройки для указания прокси сервера. Но и прокси они менять не смогут. Но там есть возможность настроить так, чтобы юзеру назначался определенный прокси сервер. Т.е. васе - дешевый, пете - дорогой. То есть это разновидность первого пункта, только тут разруливание по каналам идет ещё и прокси сервером. - Или можно предоставить юзерам выбор, какой прокси юзать. Захотели дешевый - залезли в настройки, прописали адрес дешевого. Захотели дорогой - прописали дорогой. Вообще объединить каналы без действий со стороны провайдера не получится. Максимум, чего можно достичь - распределения нагрузки. С распределением можно поиграться так, чтобы распределение шло в нужных пропорциях. Но и распределением нагрузки это можно назвать условно. Скорее это распределение исходящих запросов. Хотя на линуксе (в отличие от фряхи) вроде бы возможно прописывать несколько dafault gateway'ев. И может быть что-то путное из этого можно наваять. Вот только, как считать стг трафик через разные каналы по разному (для клиентов) - хз.