Перейти до

Собрать 40Gbps на DL560 4x E5-4650 V2 + pfSense


Рекомендованные сообщения

Мне интересно теоретически разобраться в пакетах и мощностях CPU/сетевухи считается ли решение колхозом, и в чем преимущества дорогих джуниперов экранов. 

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 101
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

его пропускная никак не зависит от цпу, вы явно с железом не работали ни дня в своей жизни зависит она от бекплейна и используемых линейных карт   софт роутеру похеру какого размера п

Это вам здесь сказали ?

В большинстве случаев DDOS убивает внешние КАНАЛЫ, потом ИНОГДА падает железо. Фиксится не фильтрами, а вганянием IP под DDOS-ом в BGP blackhole (собственно он ничем больше и не лечится). Ид

Posted Images

4 минуты назад, Bogdan.Lukashov сказал:

8М = упирается в 8Гб памяти, я так понимаю 

States

Connections

стейтфул фаервол сделает обработку трафика ещё медленее за счет хранения стейтов и на каждый пакет заглядывания в эту таблицу

и чем больше она, тем всё хуже

 

цифры просто абы какие, увидел зависимость 8м = 8гб и поверил в нее, не так это считается от слова совсем

Ссылка на сообщение
Поделиться на других сайтах
Только что, Bogdan.Lukashov сказал:

Мне интересно теоретически разобраться в пакетах и мощностях CPU/сетевухи считается ли решение колхозом, и в чем преимущества дорогих джуниперов экранов. 

Плюсов нет совсем. Любая крутая защита ТОЛЬКО на x86. Джун разве что под блок удп годится.

Ссылка на сообщение
Поделиться на других сайтах
4 минуты назад, l1ght сказал:

бляха, хоть в ютубе про очистку трафика, ддос митигейшн и прочие вещи поищи

Для чего бесполезная прослойка в виде джуна нужна?
В сервер воткнул опту, анонснул бгп, защиту подрубил - тупо дропнул удп на прероуте или аплинке, для сина - синкуки включил и забываешь о ддосах
Для синкуки 40мппс это смех

Почитай пример https://beget.com/ru/articles/syncookied

Ссылка на сообщение
Поделиться на других сайтах
7 минут назад, LOXUA сказал:

Ого правила на блок спуфа? Научишь?
Как надо было изнасиловать серв чтобы он на 2мппс умирал

https://www.juniper.net/documentation/en_US/junos/topics/example/port-security-protect-from-arp-spoofing.html - подойдет? 

А Вы покажите больший pps на линуксе.

Ссылка на сообщение
Поделиться на других сайтах
Только что, masters сказал:

https://www.juniper.net/documentation/en_US/junos/topics/example/port-security-protect-from-arp-spoofing.html - подойдет? 

А Вы покажите больший pps на линуксе.

Так это защита от атак внутри сети, видно уровень твоих знаний

1 минуту назад, masters сказал:

https://www.juniper.net/documentation/en_US/junos/topics/example/port-security-protect-from-arp-spoofing.html - подойдет? 

А Вы покажите больший pps на линуксе.

https://beget.com/ru/articles/syncookied

Нагрузка, создаваемая фильтрацией трафика 12.755pps (теоретический предел при размере пакета 74 байта + 4 байта заголовок ethernet)
Фактически 10 ядер процессора Intel Xeon E5-2680v3 могут обрабатывать до 10 гигабит трафика. Один физический сервер способен обрабатывать более 40 гигабит трафика.

Тот серв что у автора при нормальном тюнинге 40+mpps пережует как нефиг делать

Ссылка на сообщение
Поделиться на других сайтах
3 минуты назад, LOXUA сказал:

Так это защита от атак внутри сети, видно уровень твоих знан

Видно Ваш уровень знаний, судя по чуши - которую пишете. Видно что атак Вы и в глаза не видели. 

По поводу спуфинга - какой вопрос, такой и ответ. Снаружи, изнутри, arp, ip? У нас в ДЦ изнутри он чаще даже встречается, чем снаружи. 

Ссылка на сообщение
Поделиться на других сайтах
5 минут назад, masters сказал:

Видно Ваш уровень знаний, судя по чуши - которую пишете. Видно что атак Вы и в глаза не видели. 

По поводу спуфинга - какой вопрос, такой и ответ. Снаружи, изнутри, arp, ip? У нас в ДЦ изнутри он чаще даже встречается, чем снаружи. 

Видно уровень дц, помойка которую берут школьники чтобы поддосить с неё и никто в здравом уме не ставит свои проекты а то в бекхол сразу улетит
Так расскажи как на джуне заблокировать спуф который снаружи идет тогда

Відредаговано LOXUA
Ссылка на сообщение
Поделиться на других сайтах
3 минуты назад, masters сказал:

По поводу спуфинга

urpf (и любые другие названия, суть то та же) везде и всюду спас бы от внешних спуфингов, но к сожалению это утопия и если его внедрили хотя бы 10% операторов то это уже победа

12 минут назад, LOXUA сказал:

Фактически 10 ядер процессора Intel Xeon E5-2680v3 могут обрабатывать до 10 гигабит трафика

это всё зависит от того как глубоко надо пакет анализировать и от количества правил, можно передать привет линейной обработке правил в фаерволах классических

Ссылка на сообщение
Поделиться на других сайтах
8 часов назад, Bogdan.Lukashov сказал:

 

что за тазик был и что за сетевуха?

2 Xeon e5-4620 v4

Сетевухи Intel x520 в транке

По https://www.andrisoft.com/software/wanguard

7 часов назад, LOXUA сказал:

Так расскажи как на джуне заблокировать спуф который снаружи идет тогда

По сигнатуре например.

Відредаговано masters
Ссылка на сообщение
Поделиться на других сайтах
7 часов назад, Bogdan.Lukashov сказав:

Мне интересно теоретически разобраться в пакетах и мощностях CPU/сетевухи считается ли решение колхозом, и в чем преимущества дорогих джуниперов экранов. 

 

В большинстве случаев DDOS убивает внешние КАНАЛЫ, потом ИНОГДА падает железо.

Фиксится не фильтрами, а вганянием IP под DDOS-ом в BGP blackhole (собственно он ничем больше и не лечится).

Идея "40 гиг наверно выдержит" не совсем верная.

DDOS стоит копейки и если "кому то нужно", он купит DDOS на 200гиг и 100% положит твою сороковочку.

 

Система которую ты проектируешь, может зачищать трафик, интересна чисто теоретически.

Например, у конторы загрузка 200 мегабит, после зачистки остается 60.

Да это прикольно - где деньги Зин?

Зачистка интересна на внешней части, "у кого то", пусть он платит за каналы и тратит расчетные ресурсы, но таких дураков нет, а те кто это предоставляют, там 100 мегабит стоит десять чтук гривастых.

И эти 10 штук не "просто так", они идут на покрытие издержек.

 

Навесить на себя издержки, подарить клиенту стерильную соточку за бычок, ну тут на любителя.

В большинстве случаев пользователь этих потуг даже не оценит, клиент и покупает 200 мегабит, именно потому что его, его же вирусы и достали, но "фиксить это дороже и не факт что поможет".

 

 

Відредаговано pavlabor
  • Like 2
Ссылка на сообщение
Поделиться на других сайтах
1 час назад, pavlabor сказал:

Фиксится не фильтрами, а вганянием IP под DDOS-ом в BGP blackhole (собственно он ничем больше и не лечится).

Гуманней - flowspec, чем тоже пользуемся - если наших ресурсов (каналов) уже не хватает. Но аплинки часто за него хотят денег.

Ссылка на сообщение
Поделиться на других сайтах
3 минуты назад, masters сказав:

Гуманней - flowspec, чем тоже пользуемся - если наших ресурсов (каналов) уже не хватает. Но аплинки часто за него хотят денег.

 

Ну дык и я о том...

1 час назад, pavlabor сказав:

Зачистка интересна на внешней части, "у кого то", пусть он платит за каналы и тратит расчетные ресурсы, но таких дураков нет, а те кто это предоставляют, там 100 мегабит стоит десять чтук гривастых.

 

А чел хочет это соорудить, чтобы не парицца и

1 час назад, pavlabor сказав:

Навесить на себя издержки, подарить клиенту стерильную соточку за бычок, ну тут на любителя.

 

Возможно я ошибаюсь и он выставить клиентам ценник, но это не реально в разрезе текущей конкуренции.

Такая практика сто пудов появится..., лет так через 5-10, но она должна пойти массово у всех провов.

Ссылка на сообщение
Поделиться на других сайтах
12 часов назад, masters сказал:

Вы как никогда правы, под антиддос сервак не годится. Ох и не любят они большой pps. Его можно даже гигабитом трафика мелкими пакетами убить в хлам.

От школьников - может немного и поможет, а от средних атак - уже нет. 

Мне нравится когда человек ни когда не видел и не тестировал оборудование, и орет о каком то pps

Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, deltatelecom сказал:

Мне нравится когда человек ни когда не видел и не тестировал оборудование, и орет о каком то pps

Выше писал, на чем мы работали. Для наших атак - не подошел.

Достаточно убедительно?

ddos.jpg

Ссылка на сообщение
Поделиться на других сайтах

хз, смотря что и от кого Вы собираетесь защищать. 

Моя практика показывает, что основная масса атак идет UDP/ICMP или другие проколы, от 1 до 2 Гбит/с. Тупо забивают канал.

Но попадаются атаки и пожирнее, например одна из последних 48Mpps и 220Gbps. Такую уж точно не выйдет отбить на тазике с сеткой в 40Гбит.

 

Відредаговано foreverok
Ссылка на сообщение
Поделиться на других сайтах

Поправьте меня если я не прав, а то тут все говорят уже от сотнях гб атаках.

 

DDoS начинается всегда с прощупивания сервера, если фаервол вовремя отрежет забекхолит пару подсетей откуда валит ддос, он не будет нарастать ведь.

 

Другими словами при обнаружение аномального трафика скажем с китайской подсети мы отрезаем весь Китай ддос будет угасать моментально т/е даже если там 100Гб атака но пустили 20Гб первых мы порезали дальше могут они даже не пускать ддос он будет бесполезен, так как все подсети Китая будут в бане.

 

Зачем тогда держать syn флуд сотнями гигбит? вот на счет UDP согласен могут влупить с подменой DNS Amplification но тоже вроде решается закрытием UDP, ICMP.

 

Меня интересует webfiltering больше сейча ботнеты и порезка подсетей или даже стран Firewall. Помню мы отрезали у Serverius просто тупо страны галочками и ддос был неэффективен. Да там стоял Huawei Firewall аппартаный (но опять же в любом фаерволе стоит линукс, или фрии. и софт) вопрос теперь на сколько софт там удобный для фильтрации и умный. А железку можно в красивую обложку завернуть любой везде ведь CPU/Memory/NVMe или еще что то быстрое стоит. 

 

Я хочу только сравнить серваки мощные с камнями с этими железками. В чем разница брат?   50k стоит фаервол супер пупер с платами в пол шкафа, или сервак в пределах 5к мощности и E7 CPU v4 на 4 камня или 8 камней такой что в NASA используют для запуска ракет ) На AI интелект хватит. суперкомпьютера.)

Чем он хуже красивого Джуна, Кошечки класа бизнеса. 

Ссылка на сообщение
Поделиться на других сайтах
59 минут назад, Bogdan.Lukashov сказав:

Поправьте меня если я не прав, а то тут все говорят уже от сотнях гб атаках.

 

DDoS начинается всегда с прощупивания сервера, если фаервол вовремя отрежет забекхолит пару подсетей откуда валит ддос, он не будет нарастать ведь.

 

Другими словами при обнаружение аномального трафика скажем с китайской подсети мы отрезаем весь Китай ддос будет угасать моментально т/е даже если там 100Гб атака но пустили 20Гб первых мы порезали дальше могут они даже не пускать ддос он будет бесполезен, так как все подсети Китая будут в бане.

 

Зачем тогда держать syn флуд сотнями гигбит? вот на счет UDP согласен могут влупить с подменой DNS Amplification но тоже вроде решается закрытием UDP, ICMP.

 

Меня интересует webfiltering больше сейча ботнеты и порезка подсетей или даже стран Firewall. Помню мы отрезали у Serverius просто тупо страны галочками и ддос был неэффективен. Да там стоял Huawei Firewall аппартаный (но опять же в любом фаерволе стоит линукс, или фрии. и софт) вопрос теперь на сколько софт там удобный для фильтрации и умный. А железку можно в красивую обложку завернуть любой везде ведь CPU/Memory/NVMe или еще что то быстрое стоит. 

 

Я хочу только сравнить серваки мощные с камнями с этими железками. В чем разница брат?   50k стоит фаервол супер пупер с платами в пол шкафа, или сервак в пределах 5к мощности и E7 CPU v4 на 4 камня или 8 камней такой что в NASA используют для запуска ракет ) На AI интелект хватит. суперкомпьютера.)

Чем он хуже красивого Джуна, Кошечки класа бизнеса. 

 

А каким способом ты собираешься "мы отрезаем весь Китай"?

И сколько стоит сервак "DL560 4x E5-4650 V2", можешь ссылку бросить?

Ссылка на сообщение
Поделиться на других сайтах
13 минут назад, pavlabor сказал:

 

А каким способом ты собираешься "мы отрезаем весь Китай"?

И сколько стоит сервак "DL560 4x E5-4650 V2", можешь ссылку бросить?

Тут можно собрать https://server-shop.ua/server-hp-proliant-dl-560-g8-5x25-sff-srv31.html?product_options=msal_6531%2Cmsal_6703%2Cmsal_6549%2Cmsal_6159%2Cmsal_6219%2Cmsal_6381%2Cmsal_6304%2C

Ссылка на сообщение
Поделиться на других сайтах
В 16.04.2020 в 5:13 PM, Bogdan.Lukashov сказав:

У меня вопрос к сисадминам, хотим реализовать 40Gbps Firewall на мощном серваке на 40 ядер + 40 потоков итого 80 CPU.   

DL560 G8 4x E5-4650 V2 + 192Gb DDR + NVMe. + 40Gbps карту 2х портовую поставить посвежее. 

 

Шо то не сходится, тут 8 ядер по 3.30 GHz, цена за проц "Recommended Customer Price $2108.00"

Не факт но слышал, что такого класса серваки в 50 килобакс не вкладываются.

 

По любому, стоит собрать на простеньком тазике, потестить и сделать выводы подойдет или нет.

Если оправдает надежды, то стоит покупать.

 

Опыт растет пропорционально бестолку купленному железу.

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах
55 минут назад, pavlabor сказал:

Шо то не сходится

Надо учиться пользоваться гуглем, и все сойдется. Сервер такой можно за 2к собрать, платформа то относительно старая.

Ссылка на сообщение
Поделиться на других сайтах

Коллеги, вы зацепились с защитой от ддос с ребятами, которые даже в диалоге не понимают сути, путают CPU, RAM, роутинг и прочее.

Ещё веселее, когда сравнивают маршрутизаторы с сетевыми экранами и так далее.

Итак, защита от ддос как услуга состоит из двух частей:

1) избыточные каналы связи

2) оборудование, которое позволяет выявлять и фильтровать атаки

 

Каналы связи чем больше ёмкости, тем больше валюметрических атак вы выдерживаете. Например, UDP Dns амплификатор. Все просто - купил 3-4 порта по 100G и более менее нормально.

 

Но эти порты нужно куда то принять и чем то обработать. Тут начинается как в ситуации: "у каждой хозяйки свой борщ". Можно идти по пути дорогому, крайне дорогому. Например Radware, BigIP F5, Arbor Networks и так далее. А можно городить многокомпонентные решения из анализаторов, фронтендов, сетевых экранов и так далее. 

 

Но самый главный компонент - это глубокое понимание что ты делаешь. 

В случае когда вы хотите на сервере, даже самом мощном, с самыми крутыми сетевыми картами и запущенным IDS Snort с кучей надстроек и сигнатур решить все ваши задачи - не получится.

Помню в начале 2000 был мультик Масяня и там была серия - у нее была кнопка, которую нажимала и все становилось хорошо - тут так не прокатит)))

За очищенный от основных видов атак трафик стоит десятки тысяч грн, ну или тысячи долларов. Это цена не с потолка.

 

P.S. но если вам это в кайф и нравится копаться и смотреть что будет, то поддерживаю - прикольно и интересно))) покупайте сервак с сетевушками и ставьте Snort

Відредаговано LENS
  • Like 1
  • Thanks 1
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від hellion1986
      Допоможіть організувати локальні мережі найбільш оптимальним способом. Маємо двох провайдерів, один з яких надає дінамічну, а другий, відповідно, статичну IP-адреси. Також є локальна мережа користувацьких машин та окрема мережа для серверів. В якості файєрволла та маршрутизатора стоїть pfSense з 4-ма інтерфейсами. На даний час все побудовано по схемі, наведеній на малюнку, та поки що працює наступним чином - трафік від USERS LAN йде на wan_dhcp, а від SERV LAN відповідно на wan_static. Трафік між USERS LAN та SERV LAN регулюється відповідними правилами
       

       
      Питання наступне. Чи є така схема в данному випадку найоптимальнішою? Чи слід так робити, або, якщо ні, то як би ви порадили зробити?
    • Від OstJoker
      Новий міні-ПК, в заводській упаковці. В наявності 2 шт. Фото актуального товару.
      Повністю пасивне охолодження через металевий корпус. Чудовий варіант для побудови роутера, фаєрвола, сервера IoT і т.д. Помірне споживання електроенергії.
      Короткі характеристики:
      Процесор: 4 ядра  Intel® Atom® processor E3940 (9.5W, 4C)
      Оперативна память:  Up to 8GB Unbuffered non-ECC SO-DIMM, DDR3L-1866MHz, in 1 DIMM socket (опції нижче)
      SSD: 1 SATA 3.0 for 7mm 2.5" SATA SSD OR1 M.2 B-Key 2242 for SATA SSD (опції нижче)
      Мережа: 5 LAN with Intel® Ethernet Controller I210-IT RJ45 Gigabit Ethernet
      Інше: 2xHDMI, Audio, 2xUSB2.0, 2xUSB3.0, COM, TPM, M.2
      Зовнішній БЖ в комплекті 40W 12V 3.33A, AC to DC lockable power adapter.
      Детальна специфікація, фото, даташит на офіційному сайті супермікро: 
      https://www.supermicro.com/en/products/system/Box_PC/SYS-E50-9AP-N5.cfm
      Ціна: 4440 грн.
      Додаткові опції: 
      1. Новий ССД Samsung PM883 240GB SATA3 - 770 грн. 
      2. Б.в. оперативна пам"ять 2Gb PC3L-12800s (1.35В 1600Мгц) - 60 грн.
      3. Б.в. оперативна пам"ять 4Gb PC3L-12800s (1.35В 1600Мгц) - 120 грн.









    • Від r_28
      Потрібен фахівець для віддаленої допомоги/консультування щодо поглибленого налаштування ПО PFSENSE.  
      Тема  BGP,DualWAN,NAT та інш.
      Не безкоштовно.
       
      Подробиці у приват.
       
    • Від Пантелеймон
      Здравствуйте! Подскажите пожалуйста, настроил captive portal по мануалу, но не могу понять каким образом должен отключаться интернет должникам. Вроде бы это должно регулироваться атрибутами NAS и сервисами PoD CoA, но как точно не знаю.. 
       
    • Від ydahaa
      Здравствуйте. Имеется небольшая сеть, на основе pfsense, pppoe server небольшой поднял. Заинтересовался ubilling поставил на сервачок) а как связать pfsense и ubilling хз, документашку читаю на сайте но что то не вижу ответа
      Подскажите пожалуйста

×
×
  • Створити нове...