Причины запрета установки в разрыв

Skip to end of metadata
Go to start of metadata

Какое-то время в Carbon Reductor имелась опция "вести себя как маршрутизатор". Она меняла policy в FORWARD на ACCEPT и добавляла MASQUERADE.

Это очень общий вариант и подходит только для тестирования фильтрации разработчиками на виртуальных машинах без настройки зеркалирования трафика.

Поскольку её использовали, несмотря на пометку "только для разработчиков" и с ней возникали проблемы, она была удалена.

Для продакшна такая схема не подходит ни в коем случае и по проблемам при её использовании и настройке техническая поддержка не оказывается 

  1. Мы не берём на себя ответственность по обеспечению хорошей пропускной способности, потому что это не является задачей продукта
  2. Любые дополнительные промежуточные узлы в сети - это лишний источник (пусть и небольших) задержек в сети.
  3. Поскольку через Carbon Reductor в таком случае идёт трафик всех абонентов, то он становится потенциальной точкой отказа. В случае схемы с зеркалированием никакие сбои не сказываются на доступе абонентов в Интернет.
  4. Carbon Reductor обновляется в среднем раз в два-три дня. Перед обновлением весь файрвол чистится и в это время никакой трафик через Reductor не проходит.
  5. Всё поведение Carbon Reductor расчитано на то, что трафик через него не проходит и изменяется также исходя из этого. Дополнительные надстройки после обновления могут стать несовместимы с новой логикой и перестать работать.
  6. Схема в разрыв не является более надёжной в плане фильтрации, чем с зеркалированием трафика при использовании нормальных сетевых карт и свитчей.
Введите метки, чтобы добавить к этой странице:
Please wait 
Ищите метку? просто начните печатать.