Перейти до

Собрать 40Gbps на DL560 4x E5-4650 V2 + pfSense


Рекомендованные сообщения

20 часов назад, l1ght сказал:

iq500 detected

 

а если по делу, то если фортик заставить лезть в трафик и форвардить трафик, который хардвардно не может офлоадится (читать надо доки на лимиты того что и как там работает), то перфоманс там печальный

1200D может легко отъехать от 500 мбит трафика который пришлось жевать CPU с нашим набором правил на нем 

Что за правила такие?

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 101
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

его пропускная никак не зависит от цпу, вы явно с железом не работали ни дня в своей жизни зависит она от бекплейна и используемых линейных карт   софт роутеру похеру какого размера п

Это вам здесь сказали ?

В большинстве случаев DDOS убивает внешние КАНАЛЫ, потом ИНОГДА падает железо. Фиксится не фильтрами, а вганянием IP под DDOS-ом в BGP blackhole (собственно он ничем больше и не лечится). Ид

Posted Images

Защита от амплификаций:
 DNS-амплификации: блокировка всего трафика с 53 порта (UDP и TCP); разрешен доступ только к нашим DNS серверам;
 SNMP-амплификации: блокировка трафика с портов 161 и 162, трафик SNMP закрыт полностью
 SSDP-амплификации: блокировка трафика с порта 1900
 NTP-амплификации: закрыт доступ к службе времени по протоколу NTP
Блокировка фрагментированного трафика и нулевых портов:
 блокировка UDP и ICMP фрагментированного трафика
 пакеты с/на неправильный порт 0 заблокированы
ICMP (ping):
 ограничение ICMP по размеру пакета до 64 байт
 ограничение полосы пропускания для ICMP до 2Мбит/сек

Пример простой защиты которая спасет от большенства мощных атак

  • Thanks 1
  • Haha 1
Ссылка на сообщение
Поделиться на других сайтах
39 минут назад, LOXUA сказав:

Защита от амплификаций:
 DNS-амплификации: блокировка всего трафика с 53 порта (UDP и TCP); разрешен доступ только к нашим DNS серверам;
 SNMP-амплификации: блокировка трафика с портов 161 и 162, трафик SNMP закрыт полностью
 SSDP-амплификации: блокировка трафика с порта 1900
 NTP-амплификации: закрыт доступ к службе времени по протоколу NTP
Блокировка фрагментированного трафика и нулевых портов:
 блокировка UDP и ICMP фрагментированного трафика
 пакеты с/на неправильный порт 0 заблокированы
ICMP (ping):
 ограничение ICMP по размеру пакета до 64 байт
 ограничение полосы пропускания для ICMP до 2Мбит/сек

Пример простой защиты которая спасет от большенства мощных атак

 

Это вам здесь сказали ? :)

  • Like 1
  • Haha 3
Ссылка на сообщение
Поделиться на других сайтах
В 20.04.2020 в 18:13, LOXUA сказал:

Сума сошел?? там же intel xeon он больше 10г никогда не потянет

Знімок екрана (294).png

 Думаю, если почитать Datasheet то можно понять что он может

Відредаговано used_net_ua
  • Confused 1
Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, used_net_ua сказал:

 Думаю, если почитать Datasheet то можно понять что он может

Есть то что написано, а есть то, что будет реально. 

Брали мы на тест линейку juniper srx для датацентров. Ложится от tcp/ack без проблем. FPC в полке и трафик не ходит. Отдали обратно 

  • Haha 1
Ссылка на сообщение
Поделиться на других сайтах
22 минуты назад, LENS сказал:

Есть то что написано, а есть то, что будет реально. 

Брали мы на тест линейку juniper srx для датацентров. Ложится от tcp/ack без проблем. FPC в полке и трафик не ходит. Отдали обратно 

Ну оно и понятно 2 ядра 2 гига нормальные атаки на асиках не отбить, разве что дроп по порту / длине / протоколу
А другой клоун в этом топике вообще блокировал син атаки по сигнатуре))))) 

Відредаговано LOXUA
Ссылка на сообщение
Поделиться на других сайтах
3 часа назад, LENS сказал:

Есть то что написано, а есть то, что будет реально. 

Брали мы на тест линейку juniper srx для датацентров. Ложится от tcp/ack без проблем. FPC в полке и трафик не ходит. Отдали обратно 

как и почти любой стейтфул фаервол в прочем 

Ссылка на сообщение
Поделиться на других сайтах
Только что, l1ght сказал:

как и почти любой стейтфул фаервол в прочем 

У джуна 2 ядра у чела в топике 80 потоков, разница в призводительности огромная даже можно тупо в контрак средние син атаки забивать и пережует 
У меня так на e3 каком то 8 поточном 1мппс сина в контрак шло и работало без особоых проблем

  • Thanks 1
Ссылка на сообщение
Поделиться на других сайтах
  • 1 month later...

Провайдер Воля зазнав хакерської атаки

"DDoS атаки були масивними і добре організованими. Тип атаки - UDP флуд і переповнення ємності каналів з трафіком обсягом понад 200 Гб. UDP - це протокол, який використовується для онлайн потокових сервісів - стрімінг, телефонія, відеоконференції і т.д. Атака здійснювалась з десятків тисяч різних IP адрес по всьому світу - США, Малайзія, Тайвань, В'єтнам", - повідомили в компанії.
 

Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, pavlabor сказал:

Провайдер Воля зазнав хакерської атаки

"DDoS атаки були масивними і добре організованими. Тип атаки - UDP флуд і переповнення ємності каналів з трафіком обсягом понад 200 Гб. UDP - це протокол, який використовується для онлайн потокових сервісів - стрімінг, телефонія, відеоконференції і т.д. Атака здійснювалась з десятків тисяч різних IP адрес по всьому світу - США, Малайзія, Тайвань, В'єтнам", - повідомили в компанії.
 

Если эти 200гбит поделить на каждый айпи провайдера чтоб на отдельно взятый прилетало 10-200мбит, то это закрытие провайдера в 99.99% случаях.. Но пока всем везет и так не атакуют, но это думаю вопрос времени 

Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, pavlabor сказал:

Провайдер Воля зазнав хакерської атаки

"DDoS атаки були масивними і добре організованими. Тип атаки - UDP флуд і переповнення ємності каналів з трафіком обсягом понад 200 Гб. UDP - це протокол, який використовується для онлайн потокових сервісів - стрімінг, телефонія, відеоконференції і т.д. Атака здійснювалась з десятків тисяч різних IP адрес по всьому світу - США, Малайзія, Тайвань, В'єтнам", - повідомили в компанії.
 

Это жалкая отмазка. 

Ссылка на сообщение
Поделиться на других сайтах
годину тому, sanyadnepr сказав:

Это жалкая отмазка. 

29.05.2020 "Укртелеком" сообщает о техническом сбое в сетях по всем регионам Украины

 

29.05.2020 У оператора Vodafone Украина масштабный сбой сети
Голосовая связь мобильного оператора «Vodafone Украина» частично не работает в ряде городов, абоненты оператора также сообщают о перебоях с мобильным интернетом. Представители компании официально подтвердили проблемы со связью, но пока не готовы назвать сроков возобновления нормальной работы.

21 мая, 15:05 "Киевстар" обещает компенсации своим клиентам, которые пострадали от масштабного сбоя в сети мобильного оператора 21 мая.

 

 

Ссылка на сообщение
Поделиться на других сайтах
13 минут назад, pavlabor сказал:

29.05.2020 У оператора Vodafone Украина масштабный сбой сети
Голосовая связь мобильного оператора «Vodafone Украина» частично не работает в ряде городов, абоненты оператора также сообщают о перебоях с мобильным интернетом. Представители компании официально подтвердили проблемы со связью, но пока не готовы назвать сроков возобновления нормальной работы.

"В компании пока не объясняют, чем вызваны сбои в услугах, однако ранее Vodafone Украина анонсировала, что с 25 до 31 мая будет проводить плановые работы по модернизации оборудования в ряде областей."

 

14 минут назад, pavlabor сказал:

21 мая, 15:05 "Киевстар" обещает компенсации своим клиентам, которые пострадали от масштабного сбоя в сети мобильного оператора 21 мая.

У многих работало "ни единого разрыва". КС просто красиво прогнулся.

 

Воля с 31 мая по 02 июня это совсем другая история. 

 

Ссылка на сообщение
Поделиться на других сайтах

Епт.. какие сервера с линуксом и фаерволом ??)) Какие сигнатуры ?) Вы о чем ?)))

Да хоть 16 процов V5 поставь, оно сдохнет что на линухе, что на фряхе.

Ну реально, почитайте как бегают пакеты и как они обрабатываются в операционках, а потом задавайте вопросы.

Или вы думаете что самый умный на земле и один додумались на проце V2 фильтровать 40 гиг ? ))))))))))))))

 

Почитайте хотя бы про дорогие DPI на х86 на трафик > 10Г и на чем они это делают, а потом про железные DPI, и желание заниматься онанизмом пропадет )

И еще - подсетка всего \24 ?)) да ее заддосят за 10 минут и все 254 ип будут в блэкхоле у аплинков )) и никакой fortinet, juniper и arbor  не помогут  

Ссылка на сообщение
Поделиться на других сайтах
15 минут назад, martin сказал:

Ну реально, почитайте как бегают пакеты и как они обрабатываются в операционках, а потом задавайте вопросы.

почитайте хотябы про ntuple чтоль....

Ссылка на сообщение
Поделиться на других сайтах
  • 3 months later...
В 21.04.2020 в 23:03, LOXUA сказал:

NTP-амплификации: закрыт доступ к службе времени по протоколу NTP

Навіщо закривати доступ до ntp ?

Ссылка на сообщение
Поделиться на других сайтах
В 03.06.2020 в 15:56, martin сказал:

Епт.. какие сервера с линуксом и фаерволом ??)) Какие сигнатуры ?) Вы о чем ?)))

Да хоть 16 процов V5 поставь, оно сдохнет что на линухе, что на фряхе.

Ну реально, почитайте как бегают пакеты и как они обрабатываются в операционках, а потом задавайте вопросы.

Или вы думаете что самый умный на земле и один додумались на проце V2 фильтровать 40 гиг ? ))))))))))))))

 

Почитайте хотя бы про дорогие DPI на х86 на трафик > 10Г и на чем они это делают, а потом про железные DPI, и желание заниматься онанизмом пропадет )

И еще - подсетка всего \24 ?)) да ее заддосят за 10 минут и все 254 ип будут в блэкхоле у аплинков )) и никакой fortinet, juniper и arbor  не помогут  


80 гбит нагрузка 10%, проц один epyc 7742

fgeVtgH.png

Відредаговано Бульба
Ссылка на сообщение
Поделиться на других сайтах
10 минут назад, Бульба сказал:

Бесплатно 

 

Ок, вам выделен 40G внешний аплинк басплатно. Это супер, повезло ?

Скажу свое личное мнение, возможно у вас другие вводные данные, но мы когда защищались именно так считали.

 

Те, кто платит за трафик, чтобы защитить себя от ддос, при этом без деградации защищаемых сервисов, должны ежемесячно покупать каналы с емкостью 40/100 и более гигибит.

Например у меня потребление 30гигабит, но чтоб защититься от ддос атаки мне надо покупать в разы с запасом. А также надо поставить маршрутизатор и коммутатор, которые способны перемолоть такой трафик, затем поставить сервера, которые это фактически подавят.

Разовые затраты - а это десятки тыс долларов, мы не считаем, ладно.
Ежемесячные затраты - это от 10 тыс долларов переплаты за возможность защитить себя своими силами.

Ну и плюс персонал.

 

Я бы рассмотрел вариант купить VLAN или туннель до специализированной конторы, которая даст все инструменты, поможет с настройкой flow коллекторов и т.д.
Разовые затраты - до 1000 долларов,
Ежемесячно от 1000 до 2000 долларов, за защиту от аттак хоть в 1 терабит

В предложенной мною схеме все будет автоматизировано, коллектор автоматически анонсирует сети по BGP - время сработки до 10 секунд. Компании только развивать свой бизнес.

 

Ваш путь достаточно тяжелый и не дешевый (но тоже возможен) с единой точкой отказа - вами, как специалисте. Вы уволитесь и уйдете на повышение, а контора будет бегать и не знать что делать, так как все процессы были на opensource разработках и ваших собственных навыках.

Ссылка на сообщение
Поделиться на других сайтах
31 минуту назад, LENS сказал:

 

Ок, вам выделен 40G внешний аплинк басплатно. Это супер, повезло ?

Скажу свое личное мнение, возможно у вас другие вводные данные, но мы когда защищались именно так считали.

 

Те, кто платит за трафик, чтобы защитить себя от ддос, при этом без деградации защищаемых сервисов, должны ежемесячно покупать каналы с емкостью 40/100 и более гигибит.

Например у меня потребление 30гигабит, но чтоб защититься от ддос атаки мне надо покупать в разы с запасом. А также надо поставить маршрутизатор и коммутатор, которые способны перемолоть такой трафик, затем поставить сервера, которые это фактически подавят.

Разовые затраты - а это десятки тыс долларов, мы не считаем, ладно.
Ежемесячные затраты - это от 10 тыс долларов переплаты за возможность защитить себя своими силами.

Ну и плюс персонал.

 

Я бы рассмотрел вариант купить VLAN или туннель до специализированной конторы, которая даст все инструменты, поможет с настройкой flow коллекторов и т.д.
Разовые затраты - до 1000 долларов,
Ежемесячно от 1000 до 2000 долларов, за защиту от аттак хоть в 1 терабит

В предложенной мною схеме все будет автоматизировано, коллектор автоматически анонсирует сети по BGP - время сработки до 10 секунд. Компании только развивать свой бизнес.

 

Ваш путь достаточно тяжелый и не дешевый (но тоже возможен) с единой точкой отказа - вами, как специалисте. Вы уволитесь и уйдете на повышение, а контора будет бегать и не знать что делать, так как все процессы были на opensource разработках и ваших собственных навыках.

Знаешь что сейчас налить 10 гбит могут в порт 100 гбит? И эти 100 гбит можно нагружать 36 часов в месяц

Відредаговано Бульба
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від copster
      Доброго дня усім!

      Шукаю inventory management open source для обліку складу.
      Можливо хтось може підказати хороші системи бажано ВЕБ? (як приклад snipe-it, OCS)
    • Від hellion1986
      Допоможіть організувати локальні мережі найбільш оптимальним способом. Маємо двох провайдерів, один з яких надає дінамічну, а другий, відповідно, статичну IP-адреси. Також є локальна мережа користувацьких машин та окрема мережа для серверів. В якості файєрволла та маршрутизатора стоїть pfSense з 4-ма інтерфейсами. На даний час все побудовано по схемі, наведеній на малюнку, та поки що працює наступним чином - трафік від USERS LAN йде на wan_dhcp, а від SERV LAN відповідно на wan_static. Трафік між USERS LAN та SERV LAN регулюється відповідними правилами
       

       
      Питання наступне. Чи є така схема в данному випадку найоптимальнішою? Чи слід так робити, або, якщо ні, то як би ви порадили зробити?
    • Від OstJoker
      Новий міні-ПК, в заводській упаковці. В наявності 2 шт. Фото актуального товару.
      Повністю пасивне охолодження через металевий корпус. Чудовий варіант для побудови роутера, фаєрвола, сервера IoT і т.д. Помірне споживання електроенергії.
      Короткі характеристики:
      Процесор: 4 ядра  Intel® Atom® processor E3940 (9.5W, 4C)
      Оперативна память:  Up to 8GB Unbuffered non-ECC SO-DIMM, DDR3L-1866MHz, in 1 DIMM socket (опції нижче)
      SSD: 1 SATA 3.0 for 7mm 2.5" SATA SSD OR1 M.2 B-Key 2242 for SATA SSD (опції нижче)
      Мережа: 5 LAN with Intel® Ethernet Controller I210-IT RJ45 Gigabit Ethernet
      Інше: 2xHDMI, Audio, 2xUSB2.0, 2xUSB3.0, COM, TPM, M.2
      Зовнішній БЖ в комплекті 40W 12V 3.33A, AC to DC lockable power adapter.
      Детальна специфікація, фото, даташит на офіційному сайті супермікро: 
      https://www.supermicro.com/en/products/system/Box_PC/SYS-E50-9AP-N5.cfm
      Ціна: 4440 грн.
      Додаткові опції: 
      1. Новий ССД Samsung PM883 240GB SATA3 - 770 грн. 
      2. Б.в. оперативна пам"ять 2Gb PC3L-12800s (1.35В 1600Мгц) - 60 грн.
      3. Б.в. оперативна пам"ять 4Gb PC3L-12800s (1.35В 1600Мгц) - 120 грн.









    • Від r_28
      Потрібен фахівець для віддаленої допомоги/консультування щодо поглибленого налаштування ПО PFSENSE.  
      Тема  BGP,DualWAN,NAT та інш.
      Не безкоштовно.
       
      Подробиці у приват.
       
    • Від Пантелеймон
      Здравствуйте! Подскажите пожалуйста, настроил captive portal по мануалу, но не могу понять каким образом должен отключаться интернет должникам. Вроде бы это должно регулироваться атрибутами NAS и сервисами PoD CoA, но как точно не знаю.. 
       

×
×
  • Створити нове...