Перейти до змісту

Адмінські посиденьки

Lisovic

Автор Lisovic
В Луцький ІТ-кластер

Рекомендовані повідомлення

Кіліманджаро

Кіліманджаро

Опубліковано
Опубліковано
1 hour ago, Lisovic said:

вихід в інтернет у всіх через ЦО

10 minutes ago, Lisovic said:

Так, ЦО це центральний офіс. Ні, там стоїть проксі сервер. ЦО і філії з'єднуються по впн.

 

Якщо Весь трафік іде через ЦО, то у VPN клієнтах увімкнена опція "Використовувати шлюз по замовченню у віддаленій мережі", а проксі сервер вже фільтрує трафік в ЦО? Якби на VPN клієнтах не була увімкнена опція "Використовувати шлюз по замовченню у віддаленій мережі" то Інтернет трафік йшов би від філій через локальних Інтернет-провайдерів а не через ЦО.

Чи я щось не так розумію?

  • Відповідей 77
  • Створено
  • Остання відповідь
Lisovic

Lisovic

Опубліковано
  • Автор
Опубліковано
1 хвилина тому, Кіліманджаро сказано:

Якщо Весь трафік іде через ЦО, то у VPN клієнтах увімкнена опція "Використовувати шлюз по замовченню у віддаленій мережі", а проксі сервер вже фільтрує трафік в ЦО? Якби на VPN клієнтах не була увімкнена опція "Використовувати шлюз по замовченню у віддаленій мережі" то Інтернет трафік йшов би від філій через локальних Інтернет-провайдерів а не через ЦО.

Чи я щось не так розумію?

Ні, впн побудований між двома маршрутизаторами, вихід в інтернет напряму з філії блокує фаєрвол на маршрутизаторі. На комп'ютерах користувачів через групові політики прописані налаштування проксі сервера, і відповідно весь трафік в інтернет перенаправляється на проксі де і фільтрується.

Кіліманджаро

Кіліманджаро

Опубліковано
Опубліковано
9 minutes ago, Lisovic said:

Ні, впн побудований між двома маршрутизаторами, вихід в інтернет напряму з філії блокує фаєрвол на маршрутизаторі. На комп'ютерах користувачів через групові політики прописані налаштування проксі сервера, і відповідно весь трафік в інтернет перенаправляється на проксі де і фільтрується.

ок, дякую за роз'яснення. А який сенс пропускати весь трафік через ЦО? Чому не налаштувати маршрути, щоб до робочих сервісів трафік йшов через ЦО, а до усього іншого напряму? Той же Zoom немало так трафіка буде споживати...

Bliksss

Bliksss

Опубліковано
Опубліковано
2 годин тому, Кіліманджаро сказано:

Читав, що в США є лікар, який підключив собі додому 10Gb, йому з роботи скидають результати комп'ютерних томографій.

на рахунок томографій - не знаю, але - рентгенівські знімки дуже мало (відносно) займають в цифровому вигляді, і наші - місцеві (луцькі) лікарі вже ой як давно знайомі з інтернетом )) власне, для телемедицини можна мати таку швидкість, але, не вдома, а для "промислового використання"...

P.S. Не читав...бачив.

Lisovic

Lisovic

Опубліковано
  • Автор
Опубліковано
2 хвилин тому, Кіліманджаро сказано:

ок, дякую за роз'яснення. А який сенс пропускати весь трафік через ЦО? Чому не налаштувати маршрути, щоб до робочих сервісів трафік йшов через ЦО, а до усього іншого напряму?

Проксі це один із елементів захисту. Він блокує доступ до небезпечних сайтів чи до сайтів які непотрібні користувачу для роботи, той же ютутб чи фейсбук, частково блокує скачування потенційно небезпечних файлів, і т.д. Також на проксі блокується доступ в інтернет тим, кому такий доступ непотрібний. Ну і дає статистику.

Можна це було зробити і на фаєрволах на філіях, але тоді потрібно їх підключати в клауд, а це додаткові ліцензії, ну і наші фаєрволи не вміють авторизовувати і фільтрувати трафік по сесіям, тільки по ІР, а так як більшість в нас працює на тремінальних серверах, то це відповідно проблема.

Кіліманджаро

Кіліманджаро

Опубліковано
Опубліковано
1 minute ago, Lisovic said:

Проксі це один із елементів захисту. Він блокує доступ до небезпечних сайтів чи до сайтів які непотрібні користувачу для роботи, той же ютутб чи фейсбук, частково блокує скачування потенційно небезпечних файлів, і т.д. Також на проксі блокується доступ в інтернет тим, кому такий доступ непотрібний. Ну і дає статистику.

Можна це було зробити і на фаєрволах на філіях, але тоді потрібно їх підключати в клауд, а це додаткові ліцензії, ну і наші фаєрволи не вміють авторизовувати і фільтрувати трафік по сесіям, тільки по ІР, а так як більшість в нас працює на тремінальних серверах, то це відповідно проблема.

Зрозуміло, дякую!

Кіліманджаро

Кіліманджаро

Опубліковано
Опубліковано
3 minutes ago, Bliksss said:

на рахунок томографій - не знаю

Комп'ютерні томографи будують 3D-моделі знімків і ці знімки разом з програмним забезпеченням для їх перегляду записують на диски. Через це передача таких знімків потребує широкої смуги пропускання.

Bliksss

Bliksss

Опубліковано
Опубліковано
1 хвилина тому, Кіліманджаро сказано:

Комп'ютерні томографи будують 3D-моделі знімків і ці знімки разом з програмним забезпеченням для їх перегляду записують на диски. Через це передача таких знімків потребує широкої смуги пропускання.

технологія - мені відома (теорія), але, щось я сумніваюсь, що серед абонентів ВОМу - знайдеться стільки спеціалістів-радіологів ))

Bliksss

Bliksss

Опубліковано
Опубліковано
24 хвилин тому, Lisovic сказано:

Він блокує доступ до небезпечних сайтів

так само як і приховує твою реальну адресу (не тільки ip), куди заходив, що дивився.... це в часи "моєї молодості" проксі використовувався саме для того - щоб трафік не ганяти(і людей в інтернет пустити), але, тоді і гугла не було, і за трафік шалені гроші платили...;)

MACCEN

MACCEN

Опубліковано
Опубліковано
В 18.08.2021 в 18:41, Lisovic сказал:

Проксі це один із елементів захисту. Він блокує доступ до небезпечних сайтів чи до сайтів які непотрібні користувачу для роботи, той же ютутб чи фейсбук, частково блокує скачування потенційно небезпечних файлів, і т.д. Також на проксі блокується доступ в інтернет тим, кому такий доступ непотрібний. Ну і дає статистику.

Можна це було зробити і на фаєрволах на філіях, але тоді потрібно їх підключати в клауд, а це додаткові ліцензії, ну і наші фаєрволи не вміють авторизовувати і фільтрувати трафік по сесіям, тільки по ІР, а так як більшість в нас працює на тремінальних серверах, то це відповідно проблема.

Бредятіна блокувати сайти які типу не стосуються роботи, це власники якісь кхм якісь не далекі від життя, або це якесь гетто чи тюрма, скільки працював адміном завжди був проти блокувань сайтів, блокувались автоматом тільки підозрілі сайти, також виключав завжди статистику хто де бродив, був проти слідкування за користувачами. 

MACCEN

MACCEN

Опубліковано
Опубліковано
В 18.08.2021 в 15:55, Bliksss сказал:

х*йовий заводік....забити гігабітний канал - як 2 пальці....головне - щоб в цьому був сенс.

 

Чогось не могли забити, назви мені ресурси де віддача клієнту буде більше чим 100 мегабіт? Поділись лпйфхаком раз вже кажеш що два пальці забити 500 мегабітний канал.

Bliksss

Bliksss

Опубліковано
Опубліковано
46 хвилин тому, MACCEN сказано:

Поділись лпйфхаком раз вже кажеш що два пальці забити 500 мегабітний канал.

є сенс? сам думай... не лайфхак, в кожного - своя робота ;)

Bliksss

Bliksss

Опубліковано
Опубліковано
55 хвилин тому, MACCEN сказано:

також виключав завжди статистику хто де бродив, був проти слідкування за користувачами. 

добре подумав?

Lisovic

Lisovic

Опубліковано
  • Автор
Опубліковано
1 година тому, MACCEN сказано:

Бредятіна блокувати сайти які типу не стосуються роботи, це власники якісь кхм якісь не далекі від життя, або це якесь гетто чи тюрма, скільки працював адміном завжди був проти блокувань сайтів, блокувались автоматом тільки підозрілі сайти, також виключав завжди статистику хто де бродив, був проти слідкування за користувачами. 

А ще бредятіна, обмежувати користувачам можливість запуску екзешників, скріптів, самим ставити програми собі. А по факту, термінальна ферма близько 50 користувачів на сервер, з них 5 запустить ютуб, ще 10 дивлять ролики на фесбуці і решта користувачів починають дуже "радуватись" як швидко в них все працює. А статистика треба не для того шоб слідкувати хто де лазить, вона потрібна для аналізу використання мережі і часто допомагає в перевірці і пошуку скомпроментованих вузлів в мережі.

MACCEN

MACCEN

Опубліковано
Опубліковано
7 часов назад, Lisovic сказал:

А ще бредятіна, обмежувати користувачам можливість запуску екзешників, скріптів, самим ставити програми собі. А по факту, термінальна ферма близько 50 користувачів на сервер, з них 5 запустить ютуб, ще 10 дивлять ролики на фесбуці і решта користувачів починають дуже "радуватись" як швидко в них все працює. А статистика треба не для того шоб слідкувати хто де лазить, вона потрібна для аналізу використання мережі і часто допомагає в перевірці і пошуку скомпроментованих вузлів в мережі.

Вже не треба утрірувати по типу блокування встановлення програм користувачами і т.д.

Термінальна ферма для 50 користувачів як на мене не доцільна, хіба як інші сервери розподілені по іншим датацентрам для того якщо один відвалиться всі побіжать на інший.

Lisovic

Lisovic

Опубліковано
  • Автор
Опубліковано
11 хвилин тому, MACCEN сказано:

Термінальна ферма для 50 користувачів як на мене не доцільна, хіба як інші сервери розподілені по іншим датацентрам для того якщо один відвалиться всі побіжать на інший.

Канєш недоцільна, лучше ж овер 200 отдєльностоящих компов, та ще й по філіях, і жутко тормозяща 1С бо сєрвера з базой на датацентрі, і бекапити оцю орду тоже ну дуже зручно.

По факту користувачів на фермі не 50 а вже чуть більше 200, і серверів в фермі не один. Ну і як показує практика, навіть локальний термінальний сервер на 5-10 людей значно краще як в плані затрат на обслуговування так і по надійності роботи.

MACCEN

MACCEN

Опубліковано
Опубліковано
49 минут назад, Lisovic сказал:

Канєш недоцільна, лучше ж овер 200 отдєльностоящих компов, та ще й по філіях, і жутко тормозяща 1С бо сєрвера з базой на датацентрі, і бекапити оцю орду тоже ну дуже зручно.

По факту користувачів на фермі не 50 а вже чуть більше 200, і серверів в фермі не один. Ну і як показує практика, навіть локальний термінальний сервер на 5-10 людей значно краще як в плані затрат на обслуговування так і по надійності роботи.

Все залежить від задач, та доцільність оприділяє сисадмін, та бюджет.

 

Якби компанія платила за ліцензії і т.д. то було б ще більше все оптимізовано :)

 

Жутко тормозящая 1Ска це питаня до 1С програміста впершу чергу треба йому задавати запитання чому тупить.

 

 

Bliksss

Bliksss

Опубліковано
Опубліковано
1 година тому, MACCEN сказано:

Я вів тільки загальну статистику не по конкретному користувачу. 

Деколи - тільки так можна виявити проблему, коли працював адміном - якось було по*уй чи люди працюють (чим на роботі займаються), це - не мої проблеми. Але, коли "хтось заїкнувся" що в них проблеми через IT - вирубив все що можна (назовні), крім корпоративної пошти. Проблеми - "як рукою зняло".

P.S. А не зустрічали "мамочок", яким синок дає флешку, яку вставити і "все буде працювати"? І ця мамця, приносить на підприємство цю "флешку"...от і скажи, що не потрібно за ними дивитись.

MACCEN

MACCEN

Опубліковано
Опубліковано
6 минут назад, Bliksss сказал:

Деколи - тільки так можна виявити проблему, коли працював адміном - якось було по*уй чи люди працюють (чим на роботі займаються), це - не мої проблеми. Але, коли "хтось заїкнувся" що в них проблеми через IT - вирубив все що можна (назовні), крім корпоративної пошти. Проблеми - "як рукою зняло".

P.S. А не зустрічали "мамочок", яким синок дає флешку, яку вставити і "все буде працювати"? І ця мамця, приносить на підприємство цю "флешку"...от і скажи, що не потрібно за ними дивитись.

Все оприділяється доцільністю та політиками безпеки, можна настроїти так безпеку що навіть іншого виробника гарнітура працювати не буде.

Bliksss

Bliksss

Опубліковано
Опубліковано
25 хвилин тому, MACCEN сказано:

Все оприділяється доцільністю та політиками безпеки, можна настроїти так безпеку що навіть іншого виробника гарнітура працювати не буде.

По-перше, я казав не про зараз, а - "коли- я працював", а тоді - навіть андроїда не було (це щоб мав уяву - з якими динозаврами працювалось), зараз - питання кількох хвилин, а спробуй на NT4 - політикою зайнятись....
 

MACCEN

MACCEN

Опубліковано
Опубліковано
2 минуты назад, Bliksss сказал:

По-перше, я казав не про зараз, а - "коли- я працював", а тоді - навіть андроїда не було (це щоб мав уяву - з якими динозаврами працювалось), зараз - питання кілької хвилин, а спробуй на NT4 - політикою зайнятись....
 

мірятись я думаю не будем хто коли починав і т.д.

Нажал в тому ж Луцьку хто хоче бути адміном досвіду мало де є отримати, а якщо застрягнеш на якісь фірмі де всього 50 компів - це рахуй знання та досвіду на рівні енікеая так і залишиться.

Bliksss

Bliksss

Опубліковано
Опубліковано
9 хвилин тому, MACCEN сказано:

Нажал в тому ж Луцьку хто хоче бути адміном досвіду мало де є отримати, а якщо застрягнеш на якісь фірмі де всього 50 компів - це рахуй знання та досвіду на рівні енікеая так і залишиться.

так отож, це давно "пройденый этап" )) дуже давно.

Заархівовано

Ця тема знаходиться в архіві та закрита для подальших відповідей.

Перейти до списку тем


Ваш акаунт

Підтримка board.lutsk.ua

 


Monobank

 

Інформація

×
×
  • Створити...