菜鸟求教：500台网吧机想用FB做NAT,以前没做过大大们给点经验

zhzgp

原帖由 Mythikal 于 2006-3-31 21:16 发表
不是我泼你冷水，FB做这种网关效果不是太好，这种环境一般都需要限制BT,emule之类和限速，FB实现起来不是很方便。OB就更别说了。

FB做NAT效果不错的.几百台上网一台普通的服务器就可搞定.设置也简单.需要限制BT,emule之类可以用snort搞定.

[ 本帖最后由 zhzgp 于 2006-4-1 08:49 编辑 ]

flyingzf

原帖由 zhzgp 于 2006-4-1 08:47 发表


FB做NAT效果不错的.几百台上网一台普通的服务器就可搞定.设置也简单.需要限制BT,emule之类可以用snort搞定.

请给出一个300台终端的方案

bugwr

原帖由 Mythikal 于 2006-3-31 21:16 发表
不是我泼你冷水，FB做这种网关效果不是太好，这种环境一般都需要限制BT,emule之类和限速，FB实现起来不是很方便。OB就更别说了。

BT,emule 之类的网吧有网管软件限制，应该不是主要考虑的问题吧?

Mythikal

原帖由 bugwr 于 2006-4-1 14:36 发表

BT,emule 之类的网吧有网管软件限制，应该不是主要考虑的问题吧?

BT，emule一般都给用，但一般都需要做限速。这个fb做起来没有linux方便。

modfix

原帖由 zhzgp 于 2006-4-1 08:47 发表


FB做NAT效果不错的.几百台上网一台普通的服务器就可搞定.设置也简单.需要限制BT,emule之类可以用snort搞定.

snort是IDS，怎么用来做限制。

building

OB+PF 万能

鸿羽

原帖由 building 于 2006-4-2 22:26 发表
OB+PF 万能

又一个狂热分子，呵呵，我是辽阳的^_^

loveKDE

原帖由 building 于 2006-4-2 22:26 发表
OB+PF 万能

支持一下OB

hefish

看了楼上同志们的发言，感觉狂热的人还是很多的。

说一下个人的看法。论NAT能力，BSD和linux相差是不大的。一些同学刻意强调BSD的稳定性，本人的实际经验是两者的稳定性差别还没到需要可以强调的地步。

再论包过滤能力，BSD的各种PF/ipfirewall/ipfilter都是被动挨打，忍，我忍。。。
linux的iptables虽然跟ipfilter是同门师兄，感觉iptables要主动些。弄些u32/ttl之类的匹配模式，先过滤掉一批。有些同学认为BSD的polling+PF是解决flood的良药，我实际用下来，效果并没有想象的好，我感觉可能polling+PF更适合多种攻击混杂的情况，iptables+32/ttl扩展还是可以在DOS发生的时候，根据tcpdump的分析，找出攻击包特征，然后将特征包实现过滤。这样对付的实际效果要好些。

1000以内的方案，100M~200M线路 ， 至多 P4 2.4/ 512M内存/intel 82559网卡即可。如果有条件，上intel 82544。
另外，局域网分段是很重要的，可以有效避免广播风暴。

redhacker

一台网关上多加几个网卡,分割VLAN,核心交换也可以省了,呵呵