Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#26  2015-02-16 10:46:40

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: retencja danych - logowanie

@djjanek:
a) czy klient wie że wymuszasz użycie swojego dns-a i czy to masz w umowie?
b) co jeśli chcę skorzystać z innego (np. sprawdzić czy mój bind w atmanie serwuje prawidłowe rekordy bezpośrednio po zmianie?
c) co z ruchem tunelowanym (np. freenet6) i dns-ami 6only?


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#27  2015-02-16 10:54:08

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: retencja danych - logowanie

Nie jestem ISP zatem nie obowiązują mnie przepisy :) a łącze dziele pomiędzy kilku znajomymi i wiedzą że cały ruch zapisywany jest w logach na wszelki wypadek. Z tego co wiem wystarczą logi z samego iptables, ale mogę się mylić.

Offline

 

#28  2015-02-16 11:09:09

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: retencja danych - logowanie

Panowie, nie zamulajcie wątku.

Offline

 

#29  2015-02-16 11:26:51

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: retencja danych - logowanie

Z punktu widzenia ISP sensownymi rozwiązaniami wydają  się być:

ULOG + (-m state --state NEW) + SYSLOG/SQL
xt_DNETMAP  + SYSLOG/SQL

Offline

 

#30  2015-02-16 12:09:49

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: retencja danych - logowanie

dnetmap to raczej dla hotspotów - ja swego czasu jak się w isp bawiłem miałem wszystkich klientów ładnie statycznie zmapowanych.
poza tym przy 10k klientów (tyle ma dziś firma w której wtedy adminiłem) ten sposób chyba nie byłby najlepszy biorąc pod uwagę wydajność.


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#31  2015-02-16 13:20:28

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: retencja danych - logowanie

10K to nie jest jakaś przerażająca cyfra, ale przy takiej skali wątpię, aby to się mialo kisić na jednej natownicy :)

Nawet jeśli, to DNETMAP nie będzie wąskim gardłem, bo  tyle samo zeżre NETMAP, a już na pewno więcej będą kosztować pojedyncze regułki dla każdego IP.

DNETMAP gwarantuje odwzorowanie 1:1, przy okazji nie marnując adresów na nieaktywne końcówki.

Offline

 

#32  2015-02-16 14:14:07

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: retencja danych - logowanie

ale po co hakiś (x)map jeśli klienci są mapowani statycznie?


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#33  2015-02-16 14:26:48

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: retencja danych - logowanie

Bo masz (dużo) więcej klientów niż IP i nie zamapujesz ich statycznie 1:1.
Jeżeli nicram miałby nadmiar adresów, to zwyczajnie każdy dostałby swój adres i nie byłoby tego wątku.

Offline

 

#34  2015-02-16 15:08:18

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: retencja danych - logowanie

Ależ zmapuję - mając x adresów zewnętrznych dla nata i n*x adresów klientów, mogę sobie statycznie przypisać klienta iksiński do adresu 1.2.3.7 (i tak dalej). W tym momencie odpadają jakieś dynamiczne przydziały - klient jest przypisany do danej trasy i koniec. Owszem - do danego IP przypisanych jest więcej klientów - ale to mi daje komfort pt. "do adresu a.b.c.d przypisany był Kowalski, Nowak i Jebiedenko" i nie muszę się zastanawiać jakim IP wychodził przedwczoraj Jebiedenko.
Trochę mniej w logach ;)


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#35  2015-02-16 15:20:33

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: retencja danych - logowanie

Logować musisz wtedy każde połączenie, a mógłbyś tylko zmiany adresów IP.
To Twoje logi bardziej spuchną niż moje (o kilka rzędów wielkości).

//edit

Jacek, wybuchnałem Twojego posta niechcący :)

Offline

 

#36  2015-02-16 15:54:52

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: retencja danych - logowanie

@złyzwierz:
coś ci się pokićkało. to ty musisz logować zmiany adresów IP - ja nie mam zmian adresów więc nic nie loguję. W każdej chwili na podstawie bazy danych i historii mogę powiedzieć, jakim adresem IP wychodził Jebiedenko w zeszłym miesiącu, oraz jacy klienci wychodzili adresem x.y.z.11 (do tego logi mi nie potrzebne).
A połączenia owszem trzeba logować...

(...) //edit by zwierz

(sorry, to było do wybuchniętego posta - zwierzu, albo przywróć posta albo usuń część mojego) :)

Ostatnio edytowany przez ethanak (2015-02-16 15:56:03)


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#37  2015-02-16 16:02:18

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: retencja danych - logowanie

ethanak napisał(-a):

@złyzwierz:
coś ci się pokićkało. to ty musisz logować zmiany adresów IP - ja nie mam zmian adresów więc nic nie loguję. W każdej chwili na podstawie bazy danych i historii mogę powiedzieć, jakim adresem IP wychodził Jebiedenko w zeszłym miesiącu, oraz jacy klienci wychodzili adresem x.y.z.11 (do tego logi mi nie potrzebne).
A połączenia owszem trzeba logować...

Przeciwnie.

Na podstawie swoich danych wiesz tylko tyle, że jednym adresem IP wychodziło Ci trzech klientów.

Przy rządaniu wydania danych prokurator nie pyta o adres pana Jebiedenko. Pyta za to o człowieka za adresem x.y.x.11, który w piątek 13-go 2014 oglądał porno z dzieciakami - nie logując wszystkich połączeń - nie wiesz czyje dane podać.

Offline

 

#38  2015-02-16 16:08:12

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: retencja danych - logowanie

A Ty skąd wiesz jeśli nie logujesz wszystkich połączeń? Czyżbyś miał mapowanie 1:1 (czyli dokładnie jeden klient w danym momencie przypisany jest do IP)?
Nawet jeśli tak masz - to i tak musisz logować połączenia (choćby po to aby stwierdzić, że w tym momencie z danego adresu klient Jebiedenko pisał wredny paszkwil na urzędującego przezydenta i w związku z tym nie mógł oglądać porno z dzieciakami).

Zauważ: mówimy tu o natownicy.

Ostatnio edytowany przez ethanak (2015-02-16 16:08:56)


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#39  2015-02-16 16:14:07

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: retencja danych - logowanie

ethanak napisał(-a):

A Ty skąd wiesz jeśli nie logujesz wszystkich połączeń? Czyżbyś miał mapowanie 1:1 (czyli dokładnie jeden klient w danym momencie przypisany jest do IP)?

Bingo - to robi xt_DNETMAP

Nawet jeśli tak masz - to i tak musisz logować połączenia (choćby po to aby stwierdzić, że w tym momencie z danego adresu klient Jebiedenko pisał wredny paszkwil na urzędującego przezydenta i w związku z tym nie mógł oglądać porno z dzieciakami).

Zauważ: mówimy tu o natownicy.

Nie muszę, bo nikt inny poza panem Jebiedenko nie miał w danym oknie czasowym jego adresu IP.

Offline

 

#40  2015-02-16 16:23:41

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: retencja danych - logowanie

ethanak napisał(-a):

@jacekalex: jak sobie wyobrażasz zabezpieczenie 10k adresów IPv4? Wiem ile było problemów z dostaniem klasy C, a Ty mi pierdzielisz o dziesięciu tysiącach...

Wyobrażam sobie, o tym, że adresów będzie brakowało, prasa branżowa pisała już w 2006 roku.
Od tego czasu mój ISP zdążył wymienić kila razy  cały sprzęt, bo łącza u niego z 256 i 512 kb/s urosły do 100 Mbit/s.

Jeśli kupił jakieś graty, które nie obrabiają IPv6, to jest sam sobie winien.

6to4 też nie jest problemem, bo na takie połączenia jest specjalnie wydzielona klasa adresowa:

2002::/24 – adresy typu 6to4. Są to adresy wygenerowane na podstawie istniejących, publicznych adresów IPv4, dostępne dla każdego użytkownika.

I każdy średnio rozgarnięty router IPv6 powinien sobie poradzić z usługą 6to4.

Oczywiście piszę o jednym ISP, którego sieć znam nieźle, a który ma około 6-7k pacjentów, a nie o całym kraju.

Ale skoro wg najnowszych danych, w Belgii już prawie 30% ruchu to IPv6, w USA już 20%, w Rumunii już ponad 3%, a w Polsce 1%, to nikt mi nie wmówi, że "się nie da"

Oczywiście mój ISP jest o tyle pocieszny, ze mają super pro admina, który tak skutecznie wyciął port 25/smtp (ograniczenie spamu), że prawie całą sieć i tak wisi na spamhausie, bo jak ktoś blokuje przychodzące połączenia z zewnątrz na port 25, ale wychodzące z sieci zostawia otwarte, to spam i tak leci w takich ilościach, że się switche zapychają.

I podejrzewam, że każdy ISP, który takich "adminów" zatrudnia, potem ma problem z Ipv6, to akurat naturalne.

Wśród ISP jedynym poważnym problemem powinna być wymiana niekompatybilnego sprzętu, którego nie da się zaktualizować do IPv6, ale widzę, że psychologia (zwykły strach) jest tutaj większym problemem.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#41  2015-02-16 16:29:23

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: retencja danych - logowanie

Jacek, zostań ISP.

Twoja zajebistość jest potrzeba w tej branży.
Serio brakuje nam takich pełnych pasji perfekcjonistów.

Offline

 

#42  2015-02-16 16:48:00

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: retencja danych - logowanie

Czy ktoś chciałby jeszcze dodać coś w temacie renencji danych i logowania ruchu w skali ISP na potrzeby realizowania ustawowych obowiązków ?

Offline

 

#43  2015-02-16 16:49:37

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: retencja danych - logowanie

zlyZwierz napisał(-a):

Jacek, zostań ISP.

Twoja zajebistość jest potrzeba w tej branży.
Serio brakuje nam takich pełnych pasji perfekcjonistów.

Nie zajebistość, ja po prostu jak się za coś biorę, to po to, żeby było zrobione,
a nie po to, żeby za kwadrans  wysuszyć piwo.

O stały adres Ipv6 rok temu pisałem do ISP, i odp nie mam do dziś, poza ustnym "będzie wtedy, kiedy będzie".

Pomijam fakt, że jak równocześnie działa adresacja Ipv6 i Ipv6, to można spokojnie przeprowadzić migrację, a jeśli np za miesiąc FB wyłączył dostęp po Ipv4, to mój ISP będzie miał sądny dzień.
No chyba, ze u niektórych ISP admini i szefowie  nie wiedzieli, o IPv6, bo np nie czytali tego drobiazgu:
http://www.uke.gov.pl/stanowisko-prezesa-uke-w-sprawie-ipv6-7448

Ja np już w 2012 cały sprzęt w domu przystosowałem do IPv6, i we wszystkich robotach i fuchach też radzę zrobić przegląd w tym zakresie.

Prędzej czy później IPv6 będzie koniecznością, a wtedy nagła migracja będzie dla każdego zapóźnionego wyglądała jak  zjazd na dupie po schodach.

Pozdro

Ostatnio edytowany przez Jacekalex (2015-02-16 16:55:29)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#44  2015-02-16 17:10:31

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: retencja danych - logowanie

<span mode="menda">i przez trzy lata nie nauczyłeś się jak działa ra?</span>

BP,MSPANC


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)