Muzete zkusit pouzit Shepherd. To jsem psal taky castecne ja Je to sice neprilis pratelsky dokumentovany, ale umi to
delat pekne grafy, malo to zatezuje pocitac i sit a umi
to ty zadosti spojovat a inteligentne schedulovat, takze se
jich posle hodne naraz a ne jedna po druhy. Takze by to mohlo
na tu podivnou sit CZFree bejt mozna i lepsi jak MRTG.
__________________
Neposílejte prosím žádosti o uživatelskou podporu od Ronji na moje PM, ale posílejte je na Ronja mailing list.
> znate nejake nepohodli, zpusobene prekladem adres 1 ku 1?
to je presne to, co chceme delat - pro preklad adres 1:1 vsak musime nejaky ten rozsah mit - pak ho muzeme libovolne menit...
> Routerem jako proxy je mysleno transparentni proxy cachovani...
ne, NAT na nejblizsim routeru, ktery pouze pozadavky na 3128 preklada nejblizsi (bezici) proxy...
> Ad SNMP
SNMP bych pouzival pouze pro sber statistickych informaci - rizeni site pres ssh a klice...
> ... argument, ze "nemuzeme na sebe brat odpovednost za cleny site", to se mi vubec ...
Pokud pouzivas maskaradu a nekdo ze site ti "neco" vyvede, tak koho se pak budou ptat, kdo to byl? Proto chci preklad adres 1:1 ... masakarada neni jen problem s pristupem dovnitr site, je to i problem s identifikaci uzivatelu (samozrejme jde udelat ident, ktery bude vracet treba IP uvnitr site, ci proxy, ktera posila vnitni IP v hlavickach HTTP requestu, ale spousta sluzeb zrovna tohle neloguje)...
> Napr mistni kabelovka pripojuje tisice lidi za maskaradu...
A myslis si, ze je to dobre?
(jen dal delej "zleho muze", jedine tak se tahle diskuze nekam dostane ;)
__________________
: d at n . cz
: PMka nectu, kontaktujte me pouze mailem...
>> znate nejake nepohodli, zpusobene prekladem adres 1 ku 1?
>to je presne to, co chceme delat - pro preklad adres 1:1 vsak musime >nejaky ten rozsah mit - pak ho muzeme libovolne menit...
>
Ok. Sit tim padem ale mozno "defaultne" naadresovat v privatnim rozsahu a preklad delat na kazde gw s internetem.
>> Routerem jako proxy je mysleno transparentni proxy cachovani...
>ne, NAT na nejblizsim routeru, ktery pouze pozadavky na 3128 preklada >nejblizsi (bezici) proxy...
Ok, ale vetsinu zatizeni zrejme nebude delat web, takze bych se jeho cachovanim nezatezoval
>> Ad SNMP
>SNMP bych pouzival pouze pro sber statistickych informaci - rizeni >site pres ssh a klice...
Ok, to je snesitelne - ale nebylo by lepsi udelat to uplne verejne pres http? Statisticka data predpokladam budou zajimat spoustu uzivatelu, generovalo by se to paralelne v nejakem parsovatelnem formatu a do nejake obycejnym browserem prohlizitelne stranky. Nejaky tinny httpd + jedno cgi router zatizeni stejne, jako SNMP.
>> ... argument, ze "nemuzeme na sebe brat odpovednost za cleny site", >to se mi vubec ...
>Pokud pouzivas maskaradu a nekdo ze site ti "neco" vyvede, tak koho >se pak budou ptat, kdo to byl?
Toho, kdo je u dolicne adresy uveden jako zodpovedna osoba u RIPE.
>Proto chci preklad adres 1:1 ... >masakarada neni jen problem s >pristupem dovnitr site, je to i problem >s identifikaci uzivatelu >(samozrejme jde udelat ident, ktery bude >vracet treba IP uvnitr >site, ci proxy, ktera posila vnitni IP v >hlavickach HTTP requestu, >ale spousta sluzeb zrovna tohle >neloguje)...
Ok, NAT 1:1 sem 100% pro, puvodni prispevek sem pochopil, ze blok verejnych IPv4 je minen na zakladni oadresovani site. To by predstavovalo nebezpecnou zavislost na providerovi, ktery by nam jej pridelil. Navic takovy blok, aby se v nem daly adresy pridelovat nejak strukturovane, nedostanem.
>> Napr mistni kabelovka pripojuje tisice lidi za maskaradu...
>A myslis si, ze je to dobre?
Ne, protoze ta maskarada je asi 1000:2, navic asi z tzv. "bezpecnostnich" duvodu zablokovane tracerouty a pod. Ale ze by meli problemy se zaskodniky utocicimi ven si nemyslim - oni v pripade stinost kazdopadne zaujmou stanovisko "my nic, my provider". Coz by udelali i u verejnych adres. Maximalne projevi dobrou vuli a slibi, ze uvedeneho zakaznika kontaktuji.
Jedinny vaznejsi problem je, ze kdyz nekdo prida vnejsi adresy maskarady do deny, odfiltruje celou sit.
Duvodem, proc musi byt odpovednost na jednotlivych clenech, je ten, ze chceme tuto sit postavit na akademickych zakladech a diky tou ziskat pristup i na akademickou sit. V okamziku, kdy by nekdo zacal na pripojeni v czfree.net vydelavat (reklamni bannery na webu, DivX na FTP apod.), tak bud ten dotycny hrisnik ponese odpovednost (tedy statisicove pokuty), nebo to ponese nekdo ze zakladatelu freenetu (jakozto sdruzeni), v nejlepsim pripade nam "jen odriznou" pripojeni.
Nebud optimista co se tyce napojeni na akademickou sit. <P>
Co se tyce ziskani nezavisleho bloku adres a AS, takovou vec jsem schopen ziskat, nicmene v takovem pripade musime mit gebir na ziskani /22 stanic (1024) v nasledujicich 2 mesicich.
<P>
Jina vec je, ze potrebujeme nekoho, kdo se nam bude starat o BGP. Ja to nebudu, nemam na to cas.
BGP umim, delam s nim uz 5 roku. Moc prace to neda. Kdyz nekdo zaridi AS a address space window u RIPE, tak to klidne delat budu. Uvolim se i k tomu delat registrace clenu na RIPE.
Ale v teto fazi si myslim, ze AS je zbytecny. Az bude mit clenska zakladna vice jak 500 clenu, tak to ma cenu udelat.
Co se tyka prekladu 1:1 tak to klidne byt muze, nekteri ISP nam daji cele C-ko. A myslim si, ze dnes cely CZfree.net nema ani tolik clenu, aby cele C-ko uzivil. Je treba si nekde v klidu sednout se zakladateli a cele to prodiskutovat.
Dalsi problem je v tom, ze pokud bude pripojenych clenu odhadem vice jak 300, tak nastane problem s kapacitami na pateri - ty mikrovlny to neunesou a Ronja sice muze pomoci, ale taky ma sve limitace.
Nejvice informaci o siti a potencionalnim rustu ma asi DEU, navrhuji aby DEU svolal nejakou schuzku (jak resit routovani a pripojeni na ISP) vybranych odborniku a vysledek nam zdelili do fora.
Jak tak koukam, tak se czfree zacina specializovat na sharing internetu, kdezto v pocatku jsme mel pocit, ze jde hlavne o intranet a jako vedlejsi produkt by mohlo byt pripojeni k internetu. Co se tyce behani po siti intra na to bych nechal jadro czfree, at si urci standarty, ale co se pripojeni k internetu tyce, to by si mel obslouzit majitel pripojky sam a podle sveho. Napriklad ja mam doma router, ketry se mi o pripojeni stara. Pokud postavim AP pro czfree, dam na to druhej router, ktery bude podle standartu czfree, avsak to co potece z czfree preze mne na internet, budu simply prekladat NATem a jeste prohanet transparentni proxy nebo CBQ (jen kvuli shapingu). Z meho verejneho bloku vydelim 1 IP, na kterou se bude czfree prekladat a tim to pro mne hasne. Nastavim ji nejaky pasmo a hotovo. Pak je jeste moznost domluvy s jednotlivymi uzivateli konkretne na nejake prioritizovane lince. Tam se pak da jednat o nejake symbolicke castce.
01.06.2002 v 12:11
Je to sice neprilis pratelsky dokumentovany, ale umi to
Reakce
