Адмінські посиденьки

[Кіліманджаро]

1 hour ago, Lisovic said:

вихід в інтернет у всіх через ЦО

10 minutes ago, Lisovic said:

Так, ЦО це центральний офіс. Ні, там стоїть проксі сервер. ЦО і філії з'єднуються по впн.

 

Якщо Весь трафік іде через ЦО, то у VPN клієнтах увімкнена опція "Використовувати шлюз по замовченню у віддаленій мережі", а проксі сервер вже фільтрує трафік в ЦО? Якби на VPN клієнтах не була увімкнена опція "Використовувати шлюз по замовченню у віддаленій мережі" то Інтернет трафік йшов би від філій через локальних Інтернет-провайдерів а не через ЦО.

Чи я щось не так розумію?

[Lisovic]

1 хвилина тому, Кіліманджаро сказано:

Якщо Весь трафік іде через ЦО, то у VPN клієнтах увімкнена опція "Використовувати шлюз по замовченню у віддаленій мережі", а проксі сервер вже фільтрує трафік в ЦО? Якби на VPN клієнтах не була увімкнена опція "Використовувати шлюз по замовченню у віддаленій мережі" то Інтернет трафік йшов би від філій через локальних Інтернет-провайдерів а не через ЦО.

Чи я щось не так розумію?

Ні, впн побудований між двома маршрутизаторами, вихід в інтернет напряму з філії блокує фаєрвол на маршрутизаторі. На комп'ютерах користувачів через групові політики прописані налаштування проксі сервера, і відповідно весь трафік в інтернет перенаправляється на проксі де і фільтрується.

[Кіліманджаро]

9 minutes ago, Lisovic said:

Ні, впн побудований між двома маршрутизаторами, вихід в інтернет напряму з філії блокує фаєрвол на маршрутизаторі. На комп'ютерах користувачів через групові політики прописані налаштування проксі сервера, і відповідно весь трафік в інтернет перенаправляється на проксі де і фільтрується.

ок, дякую за роз'яснення. А який сенс пропускати весь трафік через ЦО? Чому не налаштувати маршрути, щоб до робочих сервісів трафік йшов через ЦО, а до усього іншого напряму? Той же Zoom немало так трафіка буде споживати...

[Bliksss]

2 годин тому, Кіліманджаро сказано:

Читав, що в США є лікар, який підключив собі додому 10Gb, йому з роботи скидають результати комп'ютерних томографій.

на рахунок томографій - не знаю, але - рентгенівські знімки дуже мало (відносно) займають в цифровому вигляді, і наші - місцеві (луцькі) лікарі вже ой як давно знайомі з інтернетом )) власне, для телемедицини можна мати таку швидкість, але, не вдома, а для "промислового використання"...

P.S. Не читав...бачив.

[Lisovic]

2 хвилин тому, Кіліманджаро сказано:

ок, дякую за роз'яснення. А який сенс пропускати весь трафік через ЦО? Чому не налаштувати маршрути, щоб до робочих сервісів трафік йшов через ЦО, а до усього іншого напряму?

Проксі це один із елементів захисту. Він блокує доступ до небезпечних сайтів чи до сайтів які непотрібні користувачу для роботи, той же ютутб чи фейсбук, частково блокує скачування потенційно небезпечних файлів, і т.д. Також на проксі блокується доступ в інтернет тим, кому такий доступ непотрібний. Ну і дає статистику.

Можна це було зробити і на фаєрволах на філіях, але тоді потрібно їх підключати в клауд, а це додаткові ліцензії, ну і наші фаєрволи не вміють авторизовувати і фільтрувати трафік по сесіям, тільки по ІР, а так як більшість в нас працює на тремінальних серверах, то це відповідно проблема.

[Кіліманджаро]

1 minute ago, Lisovic said:

Проксі це один із елементів захисту. Він блокує доступ до небезпечних сайтів чи до сайтів які непотрібні користувачу для роботи, той же ютутб чи фейсбук, частково блокує скачування потенційно небезпечних файлів, і т.д. Також на проксі блокується доступ в інтернет тим, кому такий доступ непотрібний. Ну і дає статистику.

Можна це було зробити і на фаєрволах на філіях, але тоді потрібно їх підключати в клауд, а це додаткові ліцензії, ну і наші фаєрволи не вміють авторизовувати і фільтрувати трафік по сесіям, тільки по ІР, а так як більшість в нас працює на тремінальних серверах, то це відповідно проблема.

Зрозуміло, дякую!

[Bliksss]

3 хвилин тому, Lisovic сказано:

Проксі це один із елементів захисту.

Не всі ж - так вважають 

[Кіліманджаро]

3 minutes ago, Bliksss said:

на рахунок томографій - не знаю

Комп'ютерні томографи будують 3D-моделі знімків і ці знімки разом з програмним забезпеченням для їх перегляду записують на диски. Через це передача таких знімків потребує широкої смуги пропускання.

[Bliksss]

1 хвилина тому, Кіліманджаро сказано:

Комп'ютерні томографи будують 3D-моделі знімків і ці знімки разом з програмним забезпеченням для їх перегляду записують на диски. Через це передача таких знімків потребує широкої смуги пропускання.

технологія - мені відома (теорія), але, щось я сумніваюсь, що серед абонентів ВОМу - знайдеться стільки спеціалістів-радіологів ))

[Кіліманджаро]

del

[Bliksss]

24 хвилин тому, Lisovic сказано:

Він блокує доступ до небезпечних сайтів

так само як і приховує твою реальну адресу (не тільки ip), куди заходив, що дивився.... це в часи "моєї молодості" проксі використовувався саме для того - щоб трафік не ганяти(і людей в інтернет пустити), але, тоді і гугла не було, і за трафік шалені гроші платили...

[MACCEN]

В 18.08.2021 в 18:41, Lisovic сказал:

Проксі це один із елементів захисту. Він блокує доступ до небезпечних сайтів чи до сайтів які непотрібні користувачу для роботи, той же ютутб чи фейсбук, частково блокує скачування потенційно небезпечних файлів, і т.д. Також на проксі блокується доступ в інтернет тим, кому такий доступ непотрібний. Ну і дає статистику.

Можна це було зробити і на фаєрволах на філіях, але тоді потрібно їх підключати в клауд, а це додаткові ліцензії, ну і наші фаєрволи не вміють авторизовувати і фільтрувати трафік по сесіям, тільки по ІР, а так як більшість в нас працює на тремінальних серверах, то це відповідно проблема.

Бредятіна блокувати сайти які типу не стосуються роботи, це власники якісь кхм якісь не далекі від життя, або це якесь гетто чи тюрма, скільки працював адміном завжди був проти блокувань сайтів, блокувались автоматом тільки підозрілі сайти, також виключав завжди статистику хто де бродив, був проти слідкування за користувачами. 

[MACCEN]

В 18.08.2021 в 15:55, Bliksss сказал:

х*йовий заводік....забити гігабітний канал - як 2 пальці....головне - щоб в цьому був сенс.

 

Чогось не могли забити, назви мені ресурси де віддача клієнту буде більше чим 100 мегабіт? Поділись лпйфхаком раз вже кажеш що два пальці забити 500 мегабітний канал.

[Bliksss]

46 хвилин тому, MACCEN сказано:

Поділись лпйфхаком раз вже кажеш що два пальці забити 500 мегабітний канал.

є сенс? сам думай... не лайфхак, в кожного - своя робота 

[Bliksss]

55 хвилин тому, MACCEN сказано:

також виключав завжди статистику хто де бродив, був проти слідкування за користувачами. 

добре подумав?

[Lisovic]

1 година тому, MACCEN сказано:

Бредятіна блокувати сайти які типу не стосуються роботи, це власники якісь кхм якісь не далекі від життя, або це якесь гетто чи тюрма, скільки працював адміном завжди був проти блокувань сайтів, блокувались автоматом тільки підозрілі сайти, також виключав завжди статистику хто де бродив, був проти слідкування за користувачами. 

А ще бредятіна, обмежувати користувачам можливість запуску екзешників, скріптів, самим ставити програми собі. А по факту, термінальна ферма близько 50 користувачів на сервер, з них 5 запустить ютуб, ще 10 дивлять ролики на фесбуці і решта користувачів починають дуже "радуватись" як швидко в них все працює. А статистика треба не для того шоб слідкувати хто де лазить, вона потрібна для аналізу використання мережі і часто допомагає в перевірці і пошуку скомпроментованих вузлів в мережі.

[MACCEN]

8 часов назад, Bliksss сказал:

добре подумав?

Я вів тільки загальну статистику не по конкретному користувачу. 

[MACCEN]

7 часов назад, Lisovic сказал:

А ще бредятіна, обмежувати користувачам можливість запуску екзешників, скріптів, самим ставити програми собі. А по факту, термінальна ферма близько 50 користувачів на сервер, з них 5 запустить ютуб, ще 10 дивлять ролики на фесбуці і решта користувачів починають дуже "радуватись" як швидко в них все працює. А статистика треба не для того шоб слідкувати хто де лазить, вона потрібна для аналізу використання мережі і часто допомагає в перевірці і пошуку скомпроментованих вузлів в мережі.

Вже не треба утрірувати по типу блокування встановлення програм користувачами і т.д.

Термінальна ферма для 50 користувачів як на мене не доцільна, хіба як інші сервери розподілені по іншим датацентрам для того якщо один відвалиться всі побіжать на інший.

[Lisovic]

11 хвилин тому, MACCEN сказано:

Термінальна ферма для 50 користувачів як на мене не доцільна, хіба як інші сервери розподілені по іншим датацентрам для того якщо один відвалиться всі побіжать на інший.

Канєш недоцільна, лучше ж овер 200 отдєльностоящих компов, та ще й по філіях, і жутко тормозяща 1С бо сєрвера з базой на датацентрі, і бекапити оцю орду тоже ну дуже зручно.

По факту користувачів на фермі не 50 а вже чуть більше 200, і серверів в фермі не один. Ну і як показує практика, навіть локальний термінальний сервер на 5-10 людей значно краще як в плані затрат на обслуговування так і по надійності роботи.

[MACCEN]

49 минут назад, Lisovic сказал:

Канєш недоцільна, лучше ж овер 200 отдєльностоящих компов, та ще й по філіях, і жутко тормозяща 1С бо сєрвера з базой на датацентрі, і бекапити оцю орду тоже ну дуже зручно.

По факту користувачів на фермі не 50 а вже чуть більше 200, і серверів в фермі не один. Ну і як показує практика, навіть локальний термінальний сервер на 5-10 людей значно краще як в плані затрат на обслуговування так і по надійності роботи.

Все залежить від задач, та доцільність оприділяє сисадмін, та бюджет.

 

Якби компанія платила за ліцензії і т.д. то було б ще більше все оптимізовано :)

 

Жутко тормозящая 1Ска це питаня до 1С програміста впершу чергу треба йому задавати запитання чому тупить.

 

 

[Bliksss]

1 година тому, MACCEN сказано:

Я вів тільки загальну статистику не по конкретному користувачу. 

Деколи - тільки так можна виявити проблему, коли працював адміном - якось було по*уй чи люди працюють (чим на роботі займаються), це - не мої проблеми. Але, коли "хтось заїкнувся" що в них проблеми через IT - вирубив все що можна (назовні), крім корпоративної пошти. Проблеми - "як рукою зняло".

P.S. А не зустрічали "мамочок", яким синок дає флешку, яку вставити і "все буде працювати"? І ця мамця, приносить на підприємство цю "флешку"...от і скажи, що не потрібно за ними дивитись.

[MACCEN]

6 минут назад, Bliksss сказал:

Деколи - тільки так можна виявити проблему, коли працював адміном - якось було по*уй чи люди працюють (чим на роботі займаються), це - не мої проблеми. Але, коли "хтось заїкнувся" що в них проблеми через IT - вирубив все що можна (назовні), крім корпоративної пошти. Проблеми - "як рукою зняло".

P.S. А не зустрічали "мамочок", яким синок дає флешку, яку вставити і "все буде працювати"? І ця мамця, приносить на підприємство цю "флешку"...от і скажи, що не потрібно за ними дивитись.

Все оприділяється доцільністю та політиками безпеки, можна настроїти так безпеку що навіть іншого виробника гарнітура працювати не буде.

[Bliksss]

25 хвилин тому, MACCEN сказано:

Все оприділяється доцільністю та політиками безпеки, можна настроїти так безпеку що навіть іншого виробника гарнітура працювати не буде.

По-перше, я казав не про зараз, а - "коли- я працював", а тоді - навіть андроїда не було (це щоб мав уяву - з якими динозаврами працювалось), зараз - питання кількох хвилин, а спробуй на NT4 - політикою зайнятись....
 

[MACCEN]

2 минуты назад, Bliksss сказал:

По-перше, я казав не про зараз, а - "коли- я працював", а тоді - навіть андроїда не було (це щоб мав уяву - з якими динозаврами працювалось), зараз - питання кілької хвилин, а спробуй на NT4 - політикою зайнятись....
 

мірятись я думаю не будем хто коли починав і т.д.

Нажал в тому ж Луцьку хто хоче бути адміном досвіду мало де є отримати, а якщо застрягнеш на якісь фірмі де всього 50 компів - це рахуй знання та досвіду на рівні енікеая так і залишиться.

[Bliksss]

9 хвилин тому, MACCEN сказано:

Нажал в тому ж Луцьку хто хоче бути адміном досвіду мало де є отримати, а якщо застрягнеш на якісь фірмі де всього 50 компів - це рахуй знання та досвіду на рівні енікеая так і залишиться.

так отож, це давно "пройденый этап" )) дуже давно.