標題: [操作疑難] 自學緊網絡架構, 想問下有關屋企set server既問題 [打印本頁]

---

作者: Reguna    時間: 2022-5-18 01:36     標題: 自學緊網絡架構, 想問下有關屋企set server既問題

小弟而家自學緊砌server. 屋企即將會有3部server機, 全部會裝Proxmox
有D野我想24小時放出街用
例如Jellyfin, Terraria game server, Nextcloud (淨係放D比外人既野), firefly iii (記帳app), 一個簡單既web server 等等
研究左下, 大概有個咁既圖

                         v=>  (LAN)      NAS, Database, 其他家用野 (只能VPN入)
WAN <=> pfSense
                         ^=> (DMZ?)   RHEL VM 行docker services放出街

咁pfSense就會port forward DMZ入面RHEL 既docker service port出街,
LAN就只放NAS既SMB port比DMZ讀寫Data (SMB port只比DMZ既VM access到)

想問下咁樣佈局有冇得改善?
上網睇好似DMZ同LAN中間有多一個Network做中間人會更好?
但如果要搞就好似要買Managed Switch了 都唔平 (我最少要8port)

---

作者: Reguna    時間: 2022-5-18 01:41

睇到Amazon最熱門隻Switch係TP-Link TL-SG108E
聲稱support VLAN
香港都係賣250$
但我見鬼佬話佢個VLAN有security問題
https://www.amazon.com/review/R3DZ73OOUR5Y9Y/

我仲學緊VLAN所以唔係好清楚

---

作者: 肥矢    時間: 2022-5-18 02:12

你咁design都ok, 留意返如果你dmz全部都係放响vm,可以唔使買managed switch, 只要vm隻vswitch直接駁住pfsense其中一隻腳就ok, 你分2個subnet又要經過 d switch先要用vlan分

---

作者: Reguna    時間: 2022-5-18 08:22



明白，不過我而家lan port唔夠用 基本上一定要買switch
巴打知唔知二手switch買唔買得過？可以既話我想買二手
而家暫時得一部機要放dmz 但可能之後要擴展 所以想買個有vlan功能既

---

作者: 肥矢    時間: 2022-5-18 09:44

回覆 4# Reguna


    平平地買qnap qhora router當switch/ap用都得既, 佢有10g port x2, 1g port x4

---

作者: dwight    時間: 2022-5-18 10:16

玩DMZ最好分兩隻switch或用managed switch, 個rhel vm直拮pfSense 的話日後想插多部pc落DMZ做troubleshooting 都難.

我自己就用managed switch行vlan, Netgear GS116Ev2, 16port香港行貨都係$750唔算好貴.

via HKEPC IR Pro 3.6.1 - Android(3.3.1)

---

作者: javacomhk    時間: 2022-5-18 10:19

DMZ 你都用真勇敢。

---

作者: Reguna    時間: 2022-5-18 10:34



其實所謂DMZ我理解係將D放出街既Service放曬係一個地方
唔出街就放番LAN
唔咁做咪乜都放一齊 唔係更唔安全咩

---

作者: Reguna    時間: 2022-5-18 10:38



可唔可以從LAN connect去DMZ做troubleshoot?
我想買switch都係第時插多部機上DMZ
或者介多個VLAN做DMZ同LAN既緩衝區

---

作者: javacomhk    時間: 2022-5-18 10:40



你咪試下囉，跟住講個 IP 比人知喎。

---

作者: Reguna    時間: 2022-5-18 10:57



巴打點睇用cloudflare tunnel？
好似可以放野出街 同時又唔洗暴露ip (不過就依賴cloudflare

---

作者: dwight    時間: 2022-5-18 11:00


一開始可能連DMZ個vm都connect 唔到network, 要troubleshoot 係pfSense 定vm問題冇第二部機响DMZ會比較難

via HKEPC IR Pro 3.6.1 - Android(3.3.1)

---

作者: javacomhk    時間: 2022-5-18 11:56


如果淨係 webserver 都得嘅，不過佢要你有 domain name 喎， ddns 好似唔得喎。

---

作者: 觀星是答案    時間: 2022-5-18 12:19

係網路安全方面出發 , 人手做 Port Forward 好過行 DMZ

---

作者: dwight    時間: 2022-5-18 12:23


起DMZ要識set firewall rules分隔DMZ同LAN先有用, 就咁分兩個segments 但俾佢route通哂係冇用

via HKEPC IR Pro 3.6.1 - Android(3.3.1)

---

作者: Reguna    時間: 2022-5-18 12:36


可能我理解錯左DMZ
我諗住係有兩個subnet 一個放出街service 一個放私人野
然後出街個邊就用reverse proxy放d service出街 (唔會全部port開曬
咁分兩個 就算出街subset比人hack左 都冇咁大損失

---

作者: 肥矢    時間: 2022-5-18 12:36

回覆 14# 觀星是答案


    應該唔係, 要睇你點set, dmz都可以做port forward/mapping, 同埋dmz係另一個subnet for external access, 用remote desktop做例子, 如果port forward去LAN rdp機, 如果比人hack左,成個LAN都比外面經rdp機access到, 因為同subnet firewall control唔到, 但分左dmz多左另一個subnet, 外面hack左入部rdp機(dmz), 都淨係可以access到dmz個subnet既機, 去LAN既就可以用firewall block. 所以dmz一定要加埋firewall rule block

---

作者: Reguna    時間: 2022-5-18 12:37



會做的 LAN只會放必要port比DMZ(NAS SMB port)

---

作者: evantkh    時間: 2022-5-18 12:37




雖然感覺安全左，但如果你個application本身有漏洞，加reverse proxy都未必有用。

---

作者: Reguna    時間: 2022-5-18 12:37



好似係
一係租個vps做proxy  但都係要比錢
研究下先

---

作者: 肥矢    時間: 2022-5-18 12:40

回覆 16# Reguna


    你無理解錯, 只係dmz有唔同玩法, 一般router d dmz係簡化左, 唔使做port forward. Firewall 既dmz有好多玩法, 可以set 另一個subnet, 甚至係直接assign public落去d機都得, 放firewall前面都得, 睇你想點玩啫

---

作者: Reguna    時間: 2022-5-18 12:45



係  所以就想分開DMZ
咁就算被hack都可以盡量減低損失
最安全永遠係VPN Only

---

作者: kofz    時間: 2022-5-18 12:45


唔駛講

Ip段日日有"有心人"scan

揾到你有漏洞就"做野"

via HKEPC IR Extreme 4.2.3 - Android(4.2.0)

---

作者: evantkh    時間: 2022-5-18 12:50



我的意思是攻擊有可能穿過隻reverse proxy直接對入面的application做成破壞，因為個request始終都會入去。
但有一個case會有用，例如個proxy會明白個protocol幫助去堵塞一個舊的軟件的漏洞。不過又有另一個問題，如果你明知有漏洞為何不是選擇修復而是加reverse proxy(甚至是IPS)。

關於IPS︰例如你加入一個規則禁止用root登入，為何你會依賴這個rule而不是直接在伺服器關掉root登入？

---

作者: fakeman    時間: 2022-5-18 13:40




    佢嘅 VLAN 網上都見人話有問題，不過更大問題係 link aggregation....冇記錯唔 support LACP.....

---

作者: fakeman    時間: 2022-5-18 13:41




    買 Mikrotik 果 d.....平平哋 ok 嘅

---

作者: fakeman    時間: 2022-5-18 13:42




    Cloudflare tunnel OK 嘅，但注意唔可以玩 streaming 嘢（免費 plan 的話）

---

作者: fakeman    時間: 2022-5-18 13:47




    其實係有分別嘅

你講得無錯，明知有漏洞最根本應該 fix server 問題，但 IDS/IPS 係靠 pattern 去分析，有時你未必知道 server 有嘢錯咗。而 hacking 嘅對方一般要想辦法知道你行咩 system/services 先可以判斷點用已知漏洞，reverse proxy 由於隔咗一嘢所以對家唔會即刻知道你咩 system，另外就係，reverse proxy 可以只 forward 合理嘅 request，咁例如你 server 對於某奇怪 request 本身會有反應，reverse proxy 由於唔會轉發所以又避開咗個問題

---

作者: Reguna    時間: 2022-5-18 14:06

我上carousell見到二手Zyxel GS2210-8HP 賣500 (新機賣2200
又或者netgear gs750e 賣350 (新機賣2500
平到係覺得有伏

---

作者: fakeman    時間: 2022-5-18 14:07




    Netgear switch 好多都俾人話如果你轉駁第二隻牌子 switch 的話 VLAN 會通唔到，應該係 firmware bug 唔知改咗未

我買隻 Mikrotik 24 port 都係百幾蚊美金......唔會考慮呢 d 二手

---

作者: evantkh    時間: 2022-5-18 18:13



但如何定義合理也是另一個問題，reverse proxy本身也未必會明白個program本身個business logic，有漏洞一樣可以導致其他損失。

---

作者: evantkh    時間: 2022-5-18 18:16



如果IPS/IDS認到已知漏洞，理論上軟件方面也應該知道，也應該是fix server才對(如果唔計misconfiguration)。

---

作者: Reguna    時間: 2022-5-18 19:41



我會保持D package係最新既
不過諗左幾下 可能最後都係VPN算
需要比人用再放

---

作者: evantkh    時間: 2022-5-18 20:16



或者評估過個application係internet safe也可以

---

作者: fakeman    時間: 2022-5-18 20:21




    第一，所有野都有 time gap......custom server fix 未必係即時可以做到，咁 IDS/IPS 可以幫手填補時間空缺。

第二，IDS/IPS 有 d 係可以借助某 d pattern 去估係咪受攻擊，呢個擺係 server side 嘅話咪每部 server 都要 implement 一次？

---

作者: fakeman    時間: 2022-5-18 20:22




    所有野擺得去 public access 就有一定風險，而家咪就係講緊減低風險啫，邊有可能 100% 擋住

---

作者: evantkh    時間: 2022-5-18 21:30




   

關於Time gap問題，如果真有zero-day，就算更新IDS/IPS個pattern都要時間，要睇邊個快。如果是自己個business logic出問題，應該都冇辦法用出面pattern。如果有特別原因係唔想patch個server，例如擔心其他營運問題想要多啲時間做測試，甚至根本唔想patch，或者唔想花時間人力，個人認為這是政治問題多過技術問題。

如果要估是否受攻擊，可以照裝個IDS在防火牆內或外做個research用嘅setup。這樣就出現另一個考慮，用戶本身想做research還是只想保護server？如果只係想留證據，也可以按需要在server/application做access log、action log等。

回到風險問題，這個要對應需要保護的資產或內容來看。例如自己家裏、非經營性的內部使用，你未必會想故意購買DDoS防禦。到最後還是政治問題多過技術問題。

---

作者: wunit    時間: 2022-5-18 21:38



你冇錯, 係有D師兄以為DMZ只係家用Router個"DMZ" option (姐係All Port Forward)

DMZ只係一個isolation的概念......

---

作者: fakeman    時間: 2022-5-18 21:58




    咁講喇，patch 點落，係要時間消化，如果本身你套嘢係跟足原裝（例如人地 fix Apache，你本身都係用緊 vanilla Apache）咁咪容易。但有好多嘢係改來改去，例如同樣係 Samba，S 牌個 samba 都唔可能自己寫 100%，佢係基於某版本去改，咁 official patch 係唔 work 㗎喎。廠商要時間去 fix，呢個就係 time gap。另外落 patch 都要做 testing，屋企玩下冇所謂，commercial 唔係話 patch 即裝，有機會有問題㗎嘛（M$ 俾人插過唔少次 patch 完之後整死機，前排 Q 記 deadlock 單嘢，佢 force 用戶 remote update 後大把人本身 implement 咗嘅嘢炒晒），所以都唔可能有 patch 就諗都唔諗直上

IDS 正路應該要同 application 分開，同埋頭先我都講喇，如果我 firewall 後面有 10 個 web server，唔通 10 個都自己做IDS/IPS? 梗係出面一部機守龍門喇。

不過話分兩頭，一般家用就真係無咩需要 IDS 嘅，唔值得花時間做

---

作者: dwight    時間: 2022-5-18 22:06

之前睇過firewall log一排, 只要block咗香港以外ip, 同埋唔好放80, 443 & 22呢啲高危port, 基本上冇乜人會搞, 放出街都唔係咁危險.

via HKEPC IR Pro 3.6.1 - Android(3.3.1)

---

作者: Reguna    時間: 2022-5-18 22:25

本帖最後由 Reguna 於 2022-5-18 22:42 編輯


巴打有冇大概數字?(例如每月平均有幾次比人搞
我都有諗係pfSense裝pfBlockerNG去block香港以外ip

btw 如果要玩reverse proxy係唔係一定要放443?

---

作者: evantkh    時間: 2022-5-18 22:53




   

reverse proxy只是一個概念，有個proxy可以放在server前面負責接connection，例如做load balancing等。

---

作者: dwight    時間: 2022-5-18 23:09


未封香港以外ip之前差不多係隔幾日就有, 都係主攻嗰三個port, 封咗之後未見過.

via HKEPC IR Pro 3.6.1 - Android(3.3.1)

---

作者: evantkh    時間: 2022-5-18 23:18

本帖最後由 evantkh 於 2022-5-18 23:26 編輯



   

到最後，放唔放IDS/IPS都係有個成本同目標嘅問題。

如果係經營業務，common的application漏洞才"有得防"，理論上你自己個business logic理論上出面個IDS/IPS應該係冇辦法分晰。入面嘅user activity都係要靠個app自己log(大概就是audit log嘅意思)。如果用web server為例，為何不直接用唔同web server application做load balancer分散風險或者直放個WAF？不過放完WAF都係未必可以理解用戶的自定business logic。

如果只是internal use，按application本身個安全性決定是否要加個VPN或者IP access control就已經可以解決到外部風險。防唔防internal threat個人認為仍然是政治問題多過技術問題。

如果server只放具有公開性或非關鍵內容例如部分file share，靜態的公司官網，放security是否真有benefit也是疑問(因為沒有需要保護的內容)。Server直接唔放internal access睇落會簡單啲。

到最後又係回到投資額同目標/價值嘅方向多過技術考慮，並非真的要"安全"。甚至用戶根本未必真係appreciate"安全性"。

---

作者: Reguna    時間: 2022-5-18 23:31

本帖最後由 Reguna 於 2022-5-18 23:48 編輯


巴打有冇推介
最好係無扇既 8port以上 1Gbps已夠
我唔係好識揀switch
而家睇中左carousell某個UniFi Switch 8 (US-8-150W) $650

---

作者: evantkh    時間: 2022-5-18 23:38

其實會唔會可以考慮用Hypervisor提供的virtual switch？入面自己做traffic filtering。

---

作者: Reguna    時間: 2022-5-18 23:45



本身D port都唔夠用了 點都要買個switch

---

作者: evantkh    時間: 2022-5-18 23:59

本帖最後由 evantkh 於 2022-5-19 00:07 編輯


買switch要考慮port speed，packet forwarding rate、bandwidth、有冇link aggregation等。

TL-SG108E果類會唔會合適？如果唔想用TP-Link可以用華為果啲園區交換機，或者買個AR路由器。

---

作者: KinChungE    時間: 2022-5-19 00:33



其實係睇造工 + 你要咩功能

US-8-150W, 你有需要PoE?
唔需要既話, 呢個價錢已經買到其他全新Managed Switch

---

作者: Reguna    時間: 2022-5-19 01:10



650蚊買到好野? 我見好似好多smart switch都有伏

---

作者: Reguna    時間: 2022-5-19 01:11



原本我都想買
不過睇到D鬼佬話佢個VLAN唔secure
https://www.amazon.com/review/R3DZ73OOUR5Y9Y/

---

作者: KinChungE    時間: 2022-5-19 02:03



就算貪平, 我都只會揀Netgear, 唔會諗TP-Link
TP-Link最多買佢cheap cheap unmanaged switch

---

作者: KinChungE    時間: 2022-5-19 02:04



https://www.price.com.hk/product.php?p=520978
$450

---

作者: fakeman    時間: 2022-5-19 09:14




    我咪話 Mikrotik......我自己用緊隻 passive cooling 嘅.....

---

作者: fakeman    時間: 2022-5-19 09:25




    IDS/IPS 一般都係【防外】

另外，business logic 其實關係唔大，個重點在於你以咩 service/protocol 同外界連接，例如你你個 application 係 web based，即係行 port 80/443 啦，咁唔理你咩 business logic，任何同 port 80/443 嘅漏洞都有機會影響到。再講而家好少人會真係 start from scratch，即係話例如我個 application 行 HTTP，我唔會真係自己由頭寫一個 HTTP server 出來，反而係會基於現有嘅 HTTP open source 嘢改下或直接用。

IDS/IPS 仲有一種係 anomaly analysis based，即係佢唔係好似 check 病毒咁用已知攻擊模式去睇，而係透過分析 network access 有冇奇怪嘢去做判斷，咁呢 d 會幫到分析 d 未知嘅攻擊方式

---

作者: Reguna    時間: 2022-5-19 10:56



https://www.amazon.com/gp/customer-reviews/RZK1C6U30C5BT
呢個鬼佬話咩port都去到management interface
其實係唔係好大問題？

---

作者: evantkh    時間: 2022-5-19 12:22




有問題，如果要安全，data plane係唔應該入到management plane。我有隻華為AR路由器係跟物理接口，而唔係跟VLAN。

---

作者: evantkh    時間: 2022-5-19 12:29




正常TLS encrypted係冇得睇，除非你用IPS/IDS做TLS termination point，但用戶係咪對隻IPS/IDS完全信任？這些都是政治問題。
不過都係解釋唔到為何要用IDS/IPS而唔直接放WAF。

---

作者: fakeman    時間: 2022-5-19 13:48




    其實 TLS 與否根本唔係重點

有人係街外 connect，IPS/IDS 係去睇各種連線方式去分析係咪攻擊，由頭到尾都唔關 connection content 事

---

作者: Reguna    時間: 2022-5-19 16:52

本帖最後由 Reguna 於 2022-5-19 17:21 編輯


巴打多謝你提醒
用proxmox可以用virtual switch做vlan tagging (但要張nic support
想問下普通unmanaged switch會唔會影響vlan？定還是都要用番managed switch

---

作者: evantkh    時間: 2022-5-19 18:29



如果咁講就更加睇唔到個意義，如果唔inspect content（唔做DPI）咁你又防緊甚麼？亂入port、connection tracking數量做限制照計firewall都可以就咁drop曬佢唔使理。如果抗DoS、DDoS要在upstream做而不是自己做。除非特别想留證據，變相做緊access log做支援或者法律用途。

---

作者: fakeman    時間: 2022-5-19 23:43




    防乜？我要開 SMTP/POP3 (例子）因為有個 mail server，咁你講既咩 block port 唔通 block 咗唔俾人入？但我開 IDS/IPS，可以做到例如你亂咁 send d 指令意圖想 chok 漏洞，IDS/IPS 就可以分析出面既人係咪玩野而決定要唔要放行

如果你講到咩都可以俾返 server 自己處理，咁其實企業都冇需要買 firewall 啦，咩都俾晒佢做味得

---

作者: evantkh    時間: 2022-5-20 00:06



SMTP指令就已經是connection content(TCP connection content)，但你之前在#59就話唔關connection content事。TLS encrypt曬根本冇得scan。

---

作者: evantkh    時間: 2022-5-20 00:29




   

至於冇開嘅port，根本可以就咁drop曬佢唔需要scan。

---

作者: fakeman    時間: 2022-5-20 00:37




    呢個啱呀，冇用既 port scan 來做咩？閘咗就得啦。我一直講既 IPS/IDS 都係針對你有需要而開嘅 port 之嘛

---

作者: fakeman    時間: 2022-5-20 00:42




    其實呢，唔一定要係【指令層面】。你開嘅任何 port，總有人會咩都試撞，撞嘅唔一定係指令，可以係 TCP connection handshake 之類，port scanning，ddos 嘅都唔一定同 d 指令有關

---

作者: evantkh    時間: 2022-5-20 07:55



下層問題一樣可以加唔同proxy分散風險，上層encrypt左冇得scan已經失去大量作用。用IDS做TLS endpoint個IDS又會變埋做attack vector。

---

作者: fakeman    時間: 2022-5-20 09:11




   我一直都冇講過要用 IDS 做 TLS，而且冇必要，上面我講嘅 attack 根本同 application protocol 冇關係，你 d proxy 點應付?

---

作者: evantkh    時間: 2022-5-20 12:42




Proxy/load balancer只需要係唔同implementation分散到後面的漏洞風險就已經達到目的(包含internet->DMZ的第一個防火牆及DMZ->internal的第二個唔同vendor防火牆)，如果真想scan埋HTTP request(我在這個post都會視為application content一部分)，為何唔放個WAF、ALG？後面資產protect到為何又要理會出面係咪attack？出面再加IDS/IPS又可以做多幾多野？到底你係想找attack、log attack還是純粹塞漏洞保護資產？以上還未計隻IDS/IPS的管理成本。如果真有咁敏感/貴重的資料為何還要放在同一個server出街而唔加VPN/專線入？

放隻IDS/IPS都要同個資產對應到才有用。如果放番落自用case和/或壞patch導致的downtime的風險及後果少，keep it patched分分鐘容易過放隻IDS/IPS。例如店舖裝CCTV開remote access，被人hack了裏面只有公眾地方的錄影，係咪真係需要咁緊張？所以我才一直話係政治問題多過技術問題。

---

作者: fakeman    時間: 2022-5-20 13:50




   大哥呀，我由頭到尾都冇話一定/只得 HTTP 要處理，你有冇睇我講既 DDoS，syn flood 嘅問題?

WAF/ALG 係可以 deploy 嘅嘢但唔代表 IDS/IPS 冇用，真正 security 嘅層面從來都係 multi layer 係有利，同埋我係好前面嘅 case 已經講左 IDS/IPS 係 home use 冇咩作為啦

管理成本當然有，只要佢有佢嘅作用，就有需要管理，就係咁。再再再講，behind firewall/IDS/IPS 之後，可以係 multiple servers，有人講過 IDS/IPS 只能保護一部機？

我唔知你做咩咁執著咩政治問題，我而家只係講，IDS/IPS 有佢一定嘅作用，你覺得佢係你講來講去果幾樣嘢入面冇作用唔緊要，有其他地方用到，value 就唔係 0。作用有限？係呀，每樣野既作用都有限㗎啦，咪整幾件撈埋佢增加 coverage 囉，好難明？

放唔放出街，呢個係睇需要，即係咁，我打開門做生意要擺 website 擺 email 唔通叫個客登記個 VPN 先入來用？呢個唔係政治問題，呢個係現實既需要

---

作者: evantkh    時間: 2022-5-20 18:57



DDoS：這個係要upstream做，你自己就算drop到都已經佔用左bandwidth。

整咁多野，user真係appreciate？可能都係計利潤最重要。甚至啲野整完，可能都只係為交課，未必會真係去正確地去setup同maintain。出false alarm、set錯野封錯左個正常嘅用戶，反而要承擔support個risk。之前講的政治問題，意思就是與人有關嘅問題。

---

作者: evantkh    時間: 2022-5-20 19:03

本帖最後由 evantkh 於 2022-5-20 19:05 編輯


最好你要肯定個behaviour，如果是全VM你可以考慮Hypervisor直接連firewall。這樣你就可以一個VM host同時放兩個VLAN嘅server。

---

作者: fakeman    時間: 2022-5-20 19:43

本帖最後由 fakeman 於 2022-5-20 19:44 編輯




IDS/IPS 好多都真係 integrate firewall 一齊係 upstream 做
bandwidth 係 processing power 相關，肯俾錢做快 d 就有得快

  BTW 唔好拉咁遠啦好冇？我一直只係講，IDS/IPS 做得到野，有佢用得著嘅地方，係你一直講到佢係垃圾完全可以被取代。去到後面拗唔到你又要講咩 cost 問題人嘅問題，真係唔知你想點。總之件嘢係做到佢應該做嘅嘢，cost 係咪 effective 唔係我討論嘅範圍，增加可能只係 dddd 嘅保護性對於一 d 人或機構係重要，咁已經表明佢係有用，period，我已經冇興趣再同你講落去

---

作者: 普羅    時間: 2022-5-20 20:09

IDS IPS最小都搵隻fortigate做，年年買足subscription 先好放機出街

---

作者: fakeman    時間: 2022-5-20 20:19




    一定要比較大 processing power 啦，因為咩都要頂

---

作者: evantkh    時間: 2022-5-20 20:46

本帖最後由 evantkh 於 2022-5-20 20:50 編輯



我說Upstream的意思是ISP-level，不是指放自己network用自己resource做filtering果啲。例如100M DIA對應2G的DDoS流量就算你有能力drop曬，本來的application可能都已經因為網絡問題down左，未有達到保護目的。
觀感上安全左或者有其他目的，同技術上安全左係兩回事，有人買來用只代表有市場價值有需求，係咪真係技術上安全左係另一回事。我並冇限制IDS/IPS唔可以做其他用途。

---

作者: messi_m71    時間: 2022-5-20 21:56

提示: 作者被禁止或刪除 內容自動屏蔽

---

作者: litter7sky    時間: 2022-5-20 23:03


強帖留名
我睇到尾架，完全同意你嘅觀點，quote 呢個 message 係想方便日後搵番個牌子名．

---

作者: Reguna    時間: 2022-5-20 23:17



咩黎

---

作者: 觀星是答案    時間: 2022-5-20 23:26


Data Center

---

作者: Reguna    時間: 2022-5-20 23:42



D硬件都買齊了
而家先去租data center就唔太好了

---

作者: t101    時間: 2022-5-21 00:01

本帖最後由 t101 於 2022-5-21 00:04 編輯

以我理解，attack有唔同層次，有volumetric attack，亦有application designed specific attack，同low and slow attack等。其實我好少搞security。

問題係，樓主個用途有幾critical？假如hack左，有幾大損失？有乜補救方法？或者，DMZ被進入，結果會點？點樣保護重要data？呢D要考慮swiss cheese model

如果只係試下，玩下，無乜所謂，求其啦，等人attack下都係好經驗。

如果真有money involved業務，就有唔同考慮，比如搵個cloud vendor做backup plan。

---

作者: 普羅    時間: 2022-5-21 10:37

本帖最後由 普羅 於 2022-5-21 10:39 編輯

樓主屋企條BB係咪行fix IP商業寬頻, 如唔係 唔洗搞落去
家用BB人地寬頻公司見你有大量connection 有機會比人cut返轉頭, 睇清份合約

---

作者: Reguna    時間: 2022-5-21 17:03


唔肯定 我係netvigator 1000M  冇特意check過ip
不過我都唔諗住有大量connection (只放比熟人用

---

作者: evantkh    時間: 2022-5-21 17:17

本帖最後由 evantkh 於 2022-5-21 17:22 編輯


多隻DHCP同埋dynamic IP感覺上變數多左，technical角度睇感覺比較複雜。反而set fixed IP果啲設定條線直接出到果個IP，機樓通就上得果種會唔會好啲？

---

作者: Reguna    時間: 2022-5-21 17:22



我諗住duckdns
所以有冇fixed ip應該冇乜分別

---

作者: evantkh    時間: 2022-5-21 17:27

本帖最後由 evantkh 於 2022-5-21 17:31 編輯


我係諗本身dynamic因素較多，會唔會有機會DHCP異常或者其他異常而導致連接失效或攞唔到IP(未必完全壞，可能reboot modem會得番果種)。部分Fixed IP除左唔需要改dynamic DNS，也不需要依賴DHCP派IP，即是ISP提供好WAN link同埋IP資料(或需入BGP等動態路由設定)果種機樓通就上得果種行static configuration。

---

作者: evantkh    時間: 2022-5-21 17:37



另外，留意轉IP的時候係會斷線。

---

作者: dwight    時間: 2022-5-21 21:59

响屋企起app server 自己試玩下無妨, 真係要攞嚟用或者想學嘢的話上cloud好過

via HKEPC IR Pro 3.6.1 - Android(3.3.1)

---

作者: Reguna    時間: 2022-5-22 02:57



我個前上司都叫我去考amazon cert
唔知香港多唔多呢種工做

---

作者: dwight    時間: 2022-5-22 09:17


DevOps之下cloud已經係基本嘢, 淨做cloud infra既工種一定少因為dev team都識

via HKEPC IR Pro 3.6.1 - Android(3.3.1)

---

作者: Reguna    時間: 2022-5-25 01:25

本帖最後由 Reguna 於 2022-5-25 01:36 編輯

[attach]2321913[/attach]

研究左幾日 有左呢個network diagram
畫完先知要多過8個port

而家諗住買ZyXEL GS-1900-16  (我見公司都有用)
Price.com個價係$1,069
想問下呢個價位有冇更好選擇? 冇就今個周末去買了

---

作者: fakeman    時間: 2022-5-25 09:29




    N 個 post 之前我咪講咗 Mikrotik 囉

我隻 CSS326 係 24 port + 2 x 10G SFP+ 都係千鬆 d.....

---

作者: Reguna    時間: 2022-5-25 09:47



唔識揀嘛 你講mikrotik我都唔知揀邊款
我再睇下你推薦呢款

---

作者: erickobiz    時間: 2022-5-25 14:51

Mikrotik 既 switch 係超高手先用得掂
唔同model 經唔同chip 有唔同set 法
你睇下呢份ｍｅｎｕ　先再決定
https://wiki.mikrotik.com/wiki/Manual:Basic_VLAN_switching

我會淘隻 h3c s5130s-28s-li     <1200 人仔