Posted By: Xen (Xen) on 'CZinternet'
Title:     Re: VPNka
Date:      Sat Dec 20 18:25:31 2003

Ahoj, 
byt tebou bych si opravdu rozmyslel jestli ti to zato stoji reseni v tom 
prostredi ktery popisujes je nesnadny a prestoze s jednotlivymi kusy mam 
zkusenosti bych do toho nesel za zadny penize. 

Jak Samba tak NFS data nesifruji takze puziti IPSec-u je nevyhnutelne.

Samba stejne jako cela platforma z ktery pochazi stoji za starou belu a nikdy 
nevyuzijes dostupne prenosove pasmo. At jsem delal co jsem delal nedokazal 
jsem se dostat pres 30% na nezatizene lince, na lince ktera je hodne zatizena 
se dostanes ve srovnani s FTP na mene nez 10%. Tohle by se melo dost zmenit u 
te nove verze ktera implementuje novou verzi protokolu ktery prisel s Win2000, 
jestli tusim tak se jmenuje CIFS, to jsem nezkousel.

NFS je velice vykonne, spolehlive a lety overene reseni. Pouzivam ho uz vice 
jak rok pro vzdalene pripojovani disku a k sambe bych se nevratil ani za nic. 
Bezpecnost Linuxove implementace je dle meho nazoru zcela srovnatelna s 
Sambou, rizka jsou vicemene stejna. Samba ma vyhodu v tom ze nepouziva 
dynamicky alokovane porty tudiz se da FW utahnout mnohem lepe. NFS bezi pres 
RPC a portmaper si vybira co je volne, krom toho pouzva UDP takze je ti 
stavovy FW k nicemu. I kdyz posledni verze maji i podporu pro TCP kterou jsem 
netestoval. 

NFS ma minimalni podporu pro premapovani UID/GID takze u komplikovanejsi 
instalace je nutnost zachovavani identickych UID/GID. root nema pres NFS sva 
rootovska prava. Samba pouziva uzivatelska jmena takze ma vyhodu.

V pripade ze jeden z nodu umre tak na soucasnych 2.4 kernelech budes mit dost 
zasadni problemy ho odmountovat. I softwarovy restart muze zustat viset. Tohle 
je bohuzel problem jak NFS tak Samby. 

Osobne bych do toho nesel, pracuji s mnoha pocitaci a proste tam lezu pomoci 
SSH a aplikace nutne pro vyvoj/spravu jsou nainstalovany lokane. Nekteri 
tvrdi ze X aplikace na serveru nemaji co delat. Ja zase ze masina bez XEmacsu 
je k nicemu.. trosku pritazene za vlasy ale vlastne je to stejne jako debatit 
o tom jestli C/C++/Delphi/Perl... ne Python ne! ;) Co se snazim rici je ze by 
jsi spis mel zamyslet nad svymi prac. navyky a jestli by nebylo rozumne je 
preorganizovat. 

Kdyz bych do toho musel jit tak bych pouzil IPSec ktery je k dispozici v std. 
kernelech od 2.4. A FS bych sdilel pomoci NFS kuli jeho spolehlivosti a 
vykonu. Ovsem co steim FreeBSD ktere jsi zminoval to opravdu nevim... ja si na 
tom vyzkousel spravu mail/web serveru a nemam v umyslu to opakovat.


Kdyz by jsi potreboval neco dalsiho tak se tu klidne ptej, ale uz ponekud 
konkretneji. Muzu se pokusit ti poradit, ale za penize ne, neverim ze tohle 
muze spolehlive fungovat a za to nemuzu nic vzit.

Semik

>   Diky, D.
> 
>                          David Navara (kdysi Sky)

Search the boards