Возможно кто то в курсе, бьюсь уже вторую неделю в поисках устройства которое может выполнять нижеприведенные функции:
1.Возможность доступа снаружи к серверу базы данных находящемуся внутри корпоративной сети (порт маппинг).
2.Настраиваемый фаерволл (с возможностью разрешать запрещать работу определенных протоколов)
3.Полностью настраиваемый фильтр пакетов, тут поподробнее объясню: доступ к этому серверу должны иметь только те IP которым это разрешено, т.е. мне нужно чтобы я мог указать диапазон или просто какое N-e количество (но не меньше 255 ) IP адресов которым разрешено доступаться из интернет к этому серверу.
4. Небольшие габариты (посему не предлагать поставить комп с *nix и реализовать это на нем), нужно устройство которое без проблем поместиться в стойку в которой уже совсем мало места.
5. Цена до 1000$
Мной были опробованы 3 Com office connect Secure Router, не подошел потому что в нем можно указать только 10 хостов для доступа. Dlink Dl-804HV в нем данная функция в общем то присутсвует, но крайне неудобно реализована. Если у кого то есть какие то мысли буду рад выслушать.

Могу посоветовать (по надежности) только Cisco (сам некоторое время работал), но факт в том, что реализация на никсах намного дешевле, удобней, надежней... поэтому сам сменил вышеуказанную сиську на фрюху.

Могу посоветовать (по надежности) только Cisco (сам некоторое время работал), но факт в том, что реализация на никсах намного дешевле, удобней, надежней... поэтому сам сменил вышеуказанную сиську на фрюху.

И чем это фряха надежней циски? :unsure:

Могу посоветовать (по надежности) только Cisco (сам некоторое время работал), но факт в том, что реализация на никсах намного дешевле, удобней, надежней... поэтому сам сменил вышеуказанную сиську на фрюху.

Насчет дешевле - согласен. Насчет удобнее, надежнее - нет.

Cisco до 1000$? С двумя Ethernet интерфейсами? не видел таковых.

Это был совет специалиста, а его советы меня никогда не подводили.

Я сейчас точно не помню, а подробно искать не хочу, но cisco pix 501 встанет сущетвенно дешевле $1000.

To Evil:
ТАКИЕ советы тебя никогда не подводили видимо просто по чистой случайности. Но "реализация на фрюхе -- проще и устойчивей чем на циске" -- это бред.

2 storinger
Он соответсвует всем требованиям что я описал?
Особенно интересует
Полностью настраиваемый фильтр пакетов, тут поподробнее объясню: доступ к этому серверу должны иметь только те IP которым это разрешено, т.е. мне нужно чтобы я мог указать диапазон или просто какое N-e количество (но не меньше 255 ) IP адресов которым разрешено доступаться из интернет к этому серверу.

2 storinger
Он соответсвует всем требованиям что я описал?
Особенно интересует
Полностью настраиваемый фильтр пакетов, тут поподробнее объясню: доступ к этому серверу должны иметь только те IP которым это разрешено, т.е. мне нужно чтобы я мог указать диапазон или просто какое N-e количество (но не меньше 255 ) IP адресов которым разрешено доступаться из интернет к этому серверу.

На первый взгляд -- вполне. Это все легко делается через ACL.

Если все же нужны подробности -- смотри сам на cisco.com

2 storinger
Смотрел, толку мало, в основном описаны общие функции. Даже только что позвонил в представительство cisco, только вот внятно они мне ответить не смогли, попросили перезвонить завтра. А для меня именно это очень важно, т.к. девайс в основном и будет использоваться для публикации серверов наружу.

Если правильно помню - какой-то из 50* пикс как-раз для дмз и предназначен. Около 500 зеленых стоил.

Если правильно помню - какой-то из 50* пикс как-раз для дмз и предназначен. Около 500 зеленых стоил.
Это немного не то. DMZ как таковой не будет. У сервера серый адрес и стоит он внутри сети а не в DMZ.

Я тебе еще один вариант могу предложить -- cisco 831 с секьюрным фичасетом. Если никаких VPN не предвидится, то самое оно, по файрвольным фичам не хуже пикса.
http://cisco.com/en/US/products/hw/routers/ps380/products_data_sheet09186a008010e5c5.html

по ценам и по фичам сравнивай сам, проще всего, наверное, через фичанафигатор http://www.cisco.com/go/fn/

Цены мне влом искать -- сам поройся.

Благодарю всех откликнувшихся. Отдельное спасибо storinger. Окончательно с выбором я еще не определился да и поставщик пока молчит о наличии девайсов, но зато стало ясно что это будет cisco pix 501 или cisco 831, благо отличие в цене у них не очень существенное.

Если правильно помню - какой-то из 50* пикс как-раз для дмз и предназначен. Около 500 зеленых стоил.
Это немного не то. DMZ как таковой не будет. У сервера серый адрес и стоит он внутри сети а не в DMZ.
Один фиг. Вся серая сетка таковой станет. Принцип тот-же.

2 storinger
Еще вопрос, у cisco PIX 501 цена зависит от пользовательских лицензий, а у cisco 831 упоминаний про лицензии вообще нет, я в цисках пока разбираюсь слабо, можеш объяснить в чем тут прикол?

Если правильно помню - какой-то из 50* пикс как-раз для дмз и предназначен. Около 500 зеленых стоил.
Это немного не то. DMZ как таковой не будет. У сервера серый адрес и стоит он внутри сети а не в DMZ.
Один фиг. Вся серая сетка таковой станет. Принцип тот-же.
Да нет на самом деле принцип абсолютно не тот.

lingod:
Простенький эксперимент. Засовываем в дмз всю серую сетку. Как изменится принцип с точки зрения железки?

Afa
с точки зрения железки может и не изменится. Но я вообщето всегда считал, что DMZ это адресное пространство сети расположенное между двумя фаерволлами, хосты которого имеют реальные интернет адреса.

Угу. А при наличии одного файрвола дмз распространяется на всю серую сетку.
Как обычно - использование железяки не по назначению, а по функционалу.

Угу. А при наличии одного файрвола дмз распространяется на всю серую сетку.
Как обычно - использование железяки не по назначению, а по функционалу.
Вот я тебе и говорю что в таком случае то что получается в определение DMZ уже не укладывается.

Извините, но $250 - установка и настройка FreeBSD + $750 на подбор одноюнитовой машины необходимого Вам размера для стойки, имхо задача просто таки элементарная.

McUrex
Плюс $100 ежемесячно на отслеживание фиксов/патчей на багтраке админу. Приходящему. За зарплатой. Плюс риск. $750 per year. Плюс зип - $750.
Купить два пикса ~ $1000. В отличие от компов, там движущихся деталей только кулер. Надежность выше.

Извините, но $250 - установка и настройка FreeBSD + $750 на подбор одноюнитовой машины необходимого Вам размера для стойки, имхо задача просто таки элементарная.
Э... где это одноюнитовый сервак стоит 750$????
Мои поставщики дешевле чем за 1500 $ ничего предложить не смогли.
Второй момент девайсов этих скорее всего будет 4 штуки, и 4-е даже одноюнитовых сервера в стойку уже не войдут. Это в дополнение к тем аргументам что привел Afa

McUrex
Плюс $100 ежемесячно на отслеживание фиксов/патчей на багтраке админу. Приходящему. За зарплатой. Плюс риск. $750 per year. Плюс зип - $750.
Купить два пикса ~ $1000. В отличие от компов, там движущихся деталей только кулер. Надежность выше.

Все бы вам ерундой болтать.
1. Что Вы имеет против з/п администратору?
2. А сколько будет стоить работа администратора на "багтраке" для PIX или Вы считаете что в этом нет необходимости?
3. Опять же, судя по задачам Автора можно достаточно просто предположить что круг задач может потребовать дополнительные сервисы, которые не поддерживаются pix-ом в принципе или поддерживаются в более дорогих реализациях этой железки.

ЗЫ: На мой взгляд проблема из пальца высосана, там у Автора уже был этап "подбора и исслеедования рынка" - на основании этого надо уже купит и юзать какой то из девайсов.

McUrex
Плюс $100 ежемесячно на отслеживание фиксов/патчей на багтраке админу. Приходящему. За зарплатой. Плюс риск. $750 per year. Плюс зип - $750.
Купить два пикса ~ $1000. В отличие от компов, там движущихся деталей только кулер. Надежность выше.

Все бы вам ерундой болтать.
1. Что Вы имеет против з/п администратору?
2. А сколько будет стоить работа администратора на "багтраке" для PIX или Вы считаете что в этом нет необходимости?
3. Опять же, судя по задачам Автора можно достаточно просто предположить что круг задач может потребовать дополнительные сервисы, которые не поддерживаются pix-ом в принципе или поддерживаются в более дорогих реализациях этой железки.

ЗЫ: На мой взгляд проблема из пальца высосана, там у Автора уже был этап "подбора и исслеедования рынка" - на основании этого надо уже купит и юзать какой то из девайсов.

1. Против з/п администратору не имею ничего, т.к. сам администратор.
2. Там будет видно
3. Вот это наврядли девайсы покупаются под определенные задачи, и других скорее всего не будет.

Проблемы в общем то и нет, я просто спросил совета людей которые возможно сталкивались с такими устройсвами, потому как я сам с железячными файрволами дело имел очень мало. Просто слава богу времени на выбор достаточно, вот и стараюсь со всех сторон рассмотреть проблему.

McUrex
Плюс $100 ежемесячно на отслеживание фиксов/патчей на багтраке админу. Приходящему. За зарплатой. Плюс риск. $750 per year. Плюс зип - $750.
Купить два пикса ~ $1000. В отличие от компов, там движущихся деталей только кулер. Надежность выше.
Все бы вам ерундой болтать.
1. Что Вы имеет против з/п администратору?
2. А сколько будет стоить работа администратора на "багтраке" для PIX или Вы считаете что в этом нет необходимости?
3. Опять же, судя по задачам Автора можно достаточно просто предположить что круг задач может потребовать дополнительные сервисы, которые не поддерживаются pix-ом в принципе или поддерживаются в более дорогих реализациях этой железки.

ЗЫ: На мой взгляд проблема из пальца высосана, там у Автора уже был этап "подбора и исслеедования рынка" - на основании этого надо уже купит и юзать какой то из девайсов.
Так. Ты - прежде, чем говорить - стоимость владения посчитал? Я тебе предварительный расчет привел. Не учитывая, насколько надежность пикса выше надежности компа.
Второе. Ты первый пост в этой теме внимательно прочитал?
Не надо телепать. У тебя не получается.
И не надо додумывать. Получается еще хуже.
Хорошо?

Народ! Не нужно только устраивать религиозных войн, тем более что выбор уже сделан. Просто каждый использует именно то что ему удобней и наиболее подходит для реализации конечной цели.
Если бы у меня была таковая возможность я вообще все это сделал на одноюнитовых серверах и MS ISA 2004 потому как для меня это самый простой и требующий наименьших усилий выход. Но такой возможности нет, поэтому еще раз спасибо всем тем, кто высказался в теме и тем самым помог мне сделать окончательные выводы. Все таки cisco еще никто не переплюнул по сетевым решениям.

2 storinger
Еще вопрос, у cisco PIX 501 цена зависит от пользовательских лицензий, а у cisco 831 упоминаний про лицензии вообще нет, я в цисках пока разбираюсь слабо, можеш объяснить в чем тут прикол?

Долго рассказывать, а мне некогда и влом :)

Смысл в том, что в пиксе определенная функциональность включается в зависимости от лицензии, а в рутерах (и в 831 в частности) функциональность привносится операционкой (IOS) с определеным набором функций (featureset).
Иосы сами по себе денег стоят в зависимости от фичастости. Но часто оборудование продается бандлами -- то есть железяка с предустановленным иосом с определенным фичасетом, стоит при этом бандл сущетсвенно дешевле, чем то же самое по отдельности. Такие бандлы обычно имеют отдельный партнамбер.

Так что внимательнее изучай прайсы.

А разжевывать мне сейчас действительно некогда.

Извините, но $250 - установка и настройка FreeBSD + $750 на подбор одноюнитовой машины необходимого Вам размера для стойки, имхо задача просто таки элементарная.
Э... где это одноюнитовый сервак стоит 750$????
Мои поставщики дешевле чем за 1500 $ ничего предложить не смогли.
Второй момент девайсов этих скорее всего будет 4 штуки, и 4-е даже одноюнитовых сервера в стойку уже не войдут. Это в дополнение к тем аргументам что привел Afa

Ну, в нормальной стойке этих юнитов обычно аж 42, так что 4 одноюнитовых железки влезть все-таки должны.

К тому же, пикс имеет точно такой же одноюнитовый форм-фактор, что и сервак.

2 storinger
Еще вопрос, у cisco PIX 501 цена зависит от пользовательских лицензий, а у cisco 831 упоминаний про лицензии вообще нет, я в цисках пока разбираюсь слабо, можеш объяснить в чем тут прикол?

Долго рассказывать, а мне некогда и влом :)

Смысл в том, что в пиксе определенная функциональность включается в зависимости от лицензии, а в рутерах (и в 831 в частности) функциональность привносится операционкой (IOS) с определеным набором функций (featureset).
Иосы сами по себе денег стоят в зависимости от фичастости. Но часто оборудование продается бандлами -- то есть железяка с предустановленным иосом с определенным фичасетом, стоит при этом бандл сущетсвенно дешевле, чем то же самое по отдельности. Такие бандлы обычно имеют отдельный партнамбер.

Так что внимательнее изучай прайсы.

А разжевывать мне сейчас действительно некогда.
Сенькс, главное смысл понятен, дальше я сам разберусь.

Народ! Не нужно только устраивать религиозных войн, тем более что выбор уже сделан. Просто каждый использует именно то что ему удобней и наиболее подходит для реализации конечной цели.
Если бы у меня была таковая возможность я вообще все это сделал на одноюнитовых серверах и MS ISA 2004 потому как для меня это самый простой и требующий наименьших усилий выход. Но такой возможности нет, поэтому еще раз спасибо всем тем, кто высказался в теме и тем самым помог мне сделать окончательные выводы. Все таки cisco еще никто не переплюнул по сетевым решениям.

На мой взгляд, "самый простой и требующий наименьших усилий выход" -- это как раз пикс, поскольку там по дефолту ВСЕ ЗАКРЫТО :))) А потом останется только книжку прочитать :)))

а вот кто кого переплюнул по сетевым решениям -- это разговор долгий и здорово выходящий за рамки треда...

Извините, но $250 - установка и настройка FreeBSD + $750 на подбор одноюнитовой машины необходимого Вам размера для стойки, имхо задача просто таки элементарная.
Э... где это одноюнитовый сервак стоит 750$????
Мои поставщики дешевле чем за 1500 $ ничего предложить не смогли.
Второй момент девайсов этих скорее всего будет 4 штуки, и 4-е даже одноюнитовых сервера в стойку уже не войдут. Это в дополнение к тем аргументам что привел Afa

Ну, в нормальной стойке этих юнитов обычно аж 42, так что 4 одноюнитовых железки влезть все-таки должны.

К тому же, пикс имеет точно такой же одноюнитовый форм-фактор, что и сервак.

Угу только в этой стойке уже обородования напихано по самое нехочу. Второе, такой девайс можно и наверх стойки приткнуть, чего с серваком сделать довольно проблематично.

McUrex
Плюс $100 ежемесячно на отслеживание фиксов/патчей на багтраке админу. Приходящему. За зарплатой. Плюс риск. $750 per year. Плюс зип - $750.
Купить два пикса ~ $1000. В отличие от компов, там движущихся деталей только кулер. Надежность выше.
Все бы вам ерундой болтать.
1. Что Вы имеет против з/п администратору?
2. А сколько будет стоить работа администратора на "багтраке" для PIX или Вы считаете что в этом нет необходимости?
3. Опять же, судя по задачам Автора можно достаточно просто предположить что круг задач может потребовать дополнительные сервисы, которые не поддерживаются pix-ом в принципе или поддерживаются в более дорогих реализациях этой железки.

ЗЫ: На мой взгляд проблема из пальца высосана, там у Автора уже был этап "подбора и исслеедования рынка" - на основании этого надо уже купит и юзать какой то из девайсов.
Так. Ты - прежде, чем говорить - стоимость владения посчитал? Я тебе предварительный расчет привел. Не учитывая, насколько надежность пикса выше надежности компа.
Второе. Ты первый пост в этой теме внимательно прочитал?
Не надо телепать. У тебя не получается.
И не надо додумывать. Получается еще хуже.
Хорошо?

1. Тычьте своей бабушке или дедушке.
2. Стоимость владения у любой железки всегда больше, в следствии:
- более быстрого устаревания;
- отсутствия универсализации в использовании;
- завышенными затратами на обслуживание, в связи с наименьшой распространеностью, нежели чем компьютер любой архитектуры.
Реальная выгода и единственная, по сравнению с решениями на базе компьютера, строго в том случае, если речь идет о задачах в разы превосходящих любое дешевое решение на PC. Т.е. масштаб конторы должен быть внушителен по задачам (переводя на русский язык). А речь шла о pix-ах каких то явно начальных уровней. (?!) И уж точно задача по выбору ключевых узлов не должна исходить из "тут должно влезть" или "должно быть не более 5 кулеров" - это клиника. Никто же не запрещает место 4ех 1U компьютеров за $750 долларов купить один 2U за $3000 и на нем решить задачу 4ех или два по 1U или более оптимально подобрать кол-ва к интерфейсам/задачам/размерам.
3. По "телепатизму" :) Уважаемый, не стоит судить по себе. То, что вы определяете, глаголом видимо, "телепать" имеет за собой не малый опыт создания систем схожей тематики гетерогенных сетей масштаба города, вследствии чего и были описаны эти предположения в качестве аргумента по предложению.
4. В "ЗЫ" написан эпикриз. wtf?
5. Как любители Lotus Domino могут судить о таких вопросах вообще?! :)

McUrex
1. Я просил высказать мнения по конкретному вопросу, додумывать действительно не стоит, потому как задача стоит специфическая и если я выбрал именно такой вариант решения вы можете мне поверить он мною был обдуман со всех сторон.
2. Люди высказались и их советы были действительно в тему ибо они исходили из тех предпосылок которые я им дал. В ваших постах я не увидел ничего, кроме попыток выставить мой вопрос не стоящим выеденного яйца, а себя великим гуру сетевых технологий который любой вопрос решает одним щелчком пальцами.
Благодарю покорно, но в таких ответах я не нуждаюсь.

1. Тычьте своей бабушке или дедушке.
2. Стоимость владения у любой железки всегда больше, в следствии:
- более быстрого устаревания;
- отсутствия универсализации в использовании;
- завышенными затратами на обслуживание, в связи с наименьшой распространеностью, нежели чем компьютер любой архитектуры.
Реальная выгода и единственная, по сравнению с решениями на базе компьютера, строго в том случае, если речь идет о задачах в разы превосходящих любое дешевое решение на PC. Т.е. масштаб конторы должен быть внушителен по задачам (переводя на русский язык). А речь шла о pix-ах каких то явно начальных уровней. (?!) И уж точно задача по выбору ключевых узлов не должна исходить из "тут должно влезть" или "должно быть не более 5 кулеров" - это клиника. Никто же не запрещает место 4ех 1U компьютеров за $750 долларов купить один 2U за $3000 и на нем решить задачу 4ех или два по 1U или более оптимально подобрать кол-ва к интерфейсам/задачам/размерам.
3. По "телепатизму" :) Уважаемый, не стоит судить по себе. То, что вы определяете, глаголом видимо, "телепать" имеет за собой не малый опыт создания систем схожей тематики гетерогенных сетей масштаба города, вследствии чего и были описаны эти предположения в качестве аргумента по предложению.
4. В "ЗЫ" написан эпикриз. wtf?
5. Как любители Lotus Domino могут судить о таких вопросах вообще?! :)
Уважаемый сэр не желает общаться неформально? Хорошо. Я услышал.
2. О какой надежности компа можно говорить при наличии в нем НЖМД? У которых период полураспада - полгода. У нас киска без выключений коммерческий трафик 3 года гонит. Как поставили - так и работает. Рутер под фрей - сдох. Через полгода. В менее напряжных условиях. Винт посыпался. И один рабочий день канал лежал. Вот. Уважаемый сэр может попытаться сравнить. Учтя стоимость простоя.
О какой универсализации стоит говорить при решении конкретной задачи? Что вообще можно делать на файрволе? MSSQL поставить?
Завышенные затраты на обслуживание? Платить профессионалу не хочется? Дешевле студента нанять, за 1000р?
По поводу одного и четырех компов. Уважаемый сэр знаком с аббревиатурой SPoF?
3. Уважаемый сэр не телепает? Значит, додумывает.
Нефиг паттерн выдавать было. Знакомый по многолетнему общению. С множеством народа. Welcome to ROC.
4. As you wish.
5. Как человек, не разбирающийся в доминохе - может вообще что-то советовать? Даже - на уровне любителя?

Уважаемый сэр не желает общаться неформально? Хорошо. Я услышал.
2. О какой надежности компа можно говорить при наличии в нем НЖМД? У которых период полураспада - полгода. У нас киска без выключений коммерческий трафик 3 года гонит. Как поставили - так и работает. Рутер под фрей - сдох. Через полгода. В менее напряжных условиях. Винт посыпался. И один рабочий день канал лежал. Вот. Уважаемый сэр может попытаться сравнить. Учтя стоимость простоя.
О какой универсализации стоит говорить при решении конкретной задачи? Что вообще можно делать на файрволе? MSSQL поставить?
Завышенные затраты на обслуживание? Платить профессионалу не хочется? Дешевле студента нанять, за 1000р?
По поводу одного и четырех компов. Уважаемый сэр знаком с аббревиатурой SPoF?
3. Уважаемый сэр не телепает? Значит, додумывает.
Нефиг паттерн выдавать было. Знакомый по многолетнему общению. С множеством народа. Welcome to ROC.
4. As you wish.
5. Как человек, не разбирающийся в доминохе - может вообще что-то советовать? Даже - на уровне любителя?

2. А у меня есть роутер который более 4ех лет выполняет свои ф-ии и на нем уже за 4 года сменилось 3 ветки freebsd соответственно и несколько 10ов задач и версий этих задач. При этом один раз были проблемы с винчестером - его поменяли на больший за меньшие деньги.
У вас свои примеры, а у меня свои с другой стороны, вы бы их не приводили а на основопологающих моментах пояснили бы хоть что-то. Где сказано что "полураспад" на любом винте полгода, покажите? Ведь это опять "болтание ерундой". Если же у вас хватает организационных и административных ресурсов, чтобы приводить канал в суточный простой - мне вас жаль и рутеры аппаратные вас не спасут :(
По оплате труда - вы противоречите сами себе, перечитайте ветку, то вы не хотите платить, теперь оказывается, что платить таки надо и профессионалу...вы для чего в принципе начинаете обсуждение вопроса - ради трафика или самоопределения после работы с чашкой коньяку?
из 2 в 3(плавненько так, не четко). В классическом понимании firewall - это межсетевой пакетный фильтр, который в принципе на сегодняшний момент не способен (60% нижний порог) к адекватной защите широкополосного доступа. Как только вы это осознаете, то вы поймете, что любая железка в данном месте - ущербна по определению, если она не стоит больше $10k. В частности на нашей сети именно такие используются - pix 525 - 2 в строю и еще 2 на резервных точках терминации, но там и клиентов больше 20k на каждый.
4. дык в том то и дело, что не понятно what you wish то?!
5. В 9 случаях из 10 человек способен хорошо и профессионально разбираться (чем и кормиться в свою бытность, что характерно) в одной тематике какой-то, если исключить конечно всякого рода костыли (коей и является продукт компании Lotus или чей он теперь). Если же вы попадаете в эту 1 единицу человеческой размерности и при этом пишете такое кол-во слов, не отличающихся ясным и простым смыслом, то это скорей повод думать об иной значимости этого совпадения.

ЗЫ: Поскольку вопрос для Автора решен, я позволю себе остаться при своем мнении и больше не комментировать ответы, т.к. не вижу в этом смысла в этой ветке, если вопрос важен можно запостить другую ветку и там продолжить по конкретно этому вопросу. В принципе аргументированное выяснение ситуации интересно для ведения коммерческой деятельности всем администраторам, имхо.