l372un
Senior Member
WAF này nó giới hạn upload không bác? Mình có xài tunnel của CF mà nó ko mở giới hạn upload nên hơi cay. Download này kia thì ổn.
thắc mắc [Nhờ giúp] Optimize network hiện tại
- Thread starter SoulEvilX
- Start date
d3adc3II
Senior Member
Ko bro ạ , chỉ có tunnel mới tính traffic thôi . Còn WAF nó tính theo rule,redirect và số host, mà dùng ko hết đâu Our Plans | Pricing (https://www.cloudflare.com/plans/)
M dùng nó để lấy logs traffic, thống kê , với Geo-Block, vì geo-block mà đặt trên con vps bé tí 1 cpu 1GB ram của mình thì kéo ko nổi , như con vps chỉ có mỗi m truy cập nên mạnh dạn block tất cả country trừ 1 country. Đếu hiểu chúng nó dòm ngó gì con vps của m , 1 ngày block cũng tầm vài trăm , mỹ anh ấn các thứ :v
Mấy con vps bé thì chỉ đặt được kiểu Crowdsec, nhưng nó ko hẳn là WAF mà dạng analyze firewall log rồi dựa vào block list với engine để ra decision block , nói chung cũng ok , nhưng dùng WAF của CF ngon hơn và ko tốn resource gì
Last edited:
l372un
Senior Member
Cái này phải mua hả bro. Mình xài gói free nên ko có thì phải
l372un
Senior Member
Haha. Mình cũng như cơm bữa bác ơi. Nó scan liên tục login vào VPN của mình cơ.
Tường lửa mình cũng bật chặn nhiều thứ rồi nên cũng đỡ lo. Server mình đằng sau cũng chặn theo quốc gia chừa mỗi vài nước mình cần dùng.
d3adc3II
Senior Member
m dùng bản free mà bro, cơ mà domain m mua của CF luôn , ko biết có khác biệt gì ko :/ , nhưng nó nằm ở đây thôi
l372un
Senior Member
À. Cái này làm rồi. Xưa làm cái api bằng python mà bị anh em vào dữ quá làm cái server free của replit toang nên từng dùng cái này giới hạn quốc gia và user-agent
d3adc3II
Senior Member
ừa Geo block chạy trên nó thôi chứ chặn trên vps chắc phải giành 2 core cpu cho việc block mất
l372un
Senior Member
Confirm speed test nó lấy được 2 line để nó test. Nhưng các nơi khác như speed.cloudflare.com thì không nha.
Nhân tiện hỏi fen có dùng NAS làm máy chủ nhận SysLog không? Mình đang dùng nó lấy Log của router để gửi mail thông báo nếu có vấn đề.
SoulEvilX
Senior Member
Tui đang dùng NAS làm syslog , NHƯNG đang chuyển sang xài docker syslog-ng hơn.
l372un
Senior Member
Tối ưu như thần vậy sao lại tìm dịch vụ ông?
SoulEvilX
Senior Member
Tại cần chỉnh chu hơn, chính quy và đúng quy cũ hơn
l372un
Senior Member
Thực sự chả hiểu ông đang muốn kiểu gì. Họ tư vấn ông lại kiểu combat ngược lại bằng cái chân lí cài đặt mà ông theo đuổi. Thế thì dễ gì tối ưu được.
SoulEvilX
Senior Member
Hu hu tui nào dám combat
gato_chuoidong
Senior Member
bạn setup hạ tầng thì trước hết là phải phân vùng mạng, rồi sau đó mới tính coi dịch vụ nào nằm ở đâu, thường thì người ta chia làm ba vùng ở mức cao nhất external wan, internal lan và dmz là nằm ở giữa, ví dụ bạn ko muốn chạy fw giữa ba vùng có thể chạy ba mạng khác nhau rồi chơi acl hay là chạy trên 3 con router khác nhau
đấy mới gọi là setup từ gốc đến ngọn như vậy mới dễ quản lý và đặt dịch vụ
sau đó trong phần internal bạn sẽ chia nhỏ ra thêm ví dụ prod staging dev office rồi db gì đó mỗi thằng là một mạng
còn về phần mạng nầy "thấy" hay ko thấy hay cho phép ko cho phép thì bạn bỏ ra năm phút hỏi gpt về routing bạn sẽ thấy nó đơn giản
ví dụ bạn đặt tất cả các vlans trên một thiết bị (gateway/router) thì nếu ko có acl cấm cửa, tất cả các vlan sẽ "thấy" các vlans còn lại, vì sau? đây gọi là routing table, một con router gw vật lý có một routing table chung do đó nó sẽ biết hết thấy hết nên muốn đi chỗ nào cũng đc (ko nói tới vrf các kiểu)
còn ví dụ, bạn đăt vlan1 ở thiết bị a và vlan 2 ở thiết bị b thì vlan1 và 2 sẽ ko biết nhau vì có hai routing table ở hai thiết bị khác nhau, khi đó thì bạn phải route (chỉ đường) cho hai thiết bị đó với nhau, ví dụ ở vlan2 bạn phải static route trên gw là muốn đi vlan1 phải route packets về thiết bị a (gateway của vlan 1) và làm ngược lại trên thiết bị 1
bạn khi có căn bản mạng thì sẽ dễ chia sơ đồ phân vùng dịch vụ, cộng thêm quản lý truy cập ngăn sông cấm chợ monitoring alerting, mỗi một nhiệm vụ đều có mạng và access hợp lý
còn assign ip thì thường người ta lấy số đầu hoặc cuối làm gateway (trong một mạng) ví dụ thường thấy là /24 thì số đầu là 1 hoặc cuối là 254 để khi định vị gw cho vlan routing các kiểu nó dễ, tôi thì thích 254 vì ai cũng chơi 1, cái thứ hai là né dãi private 192.168 ra vì nó là default cho quá nhiều ko nói là tất cả, nên nhiều khi bị trùng mạng tốt nhất là xài bên dãi 10.x.x.x
cái thứ hai khi bạn assign ip cho client thì client phải có tên, thường thi tên của client cũng chuẩn hoá ví dụ server voz chuyên môn để dùng để đái vô thì ta có thể gọi vozsrtlthcm01 where
voz là tên congty
sr là tắt của server
tlt là bồn cầu
hcm là vị trí
01 là con đầu tiên
à khi có 01 rồi thì ta assign ip nó là 1, client nằm trong một vlan thì nên có unique number để tiện assign, có rất nhiều kiểu bạn nên tham khảo gpt, còn ko thì bạn bỏ vô cmdb cho nó quản lý cung cấp dụ như netbox hay gì đó, và bạn cũng nên làm một pool cho dhcp
đấy là mấy cái cơ bản về hạ tầng và dịch vụ còn bạn làm ở nhà thích thì làm nấy thì sẽ rất khó quản lý khi bạn tơi mức độ nào đó
đấy mới gọi là setup từ gốc đến ngọn như vậy mới dễ quản lý và đặt dịch vụ
sau đó trong phần internal bạn sẽ chia nhỏ ra thêm ví dụ prod staging dev office rồi db gì đó mỗi thằng là một mạng
còn về phần mạng nầy "thấy" hay ko thấy hay cho phép ko cho phép thì bạn bỏ ra năm phút hỏi gpt về routing bạn sẽ thấy nó đơn giản
ví dụ bạn đặt tất cả các vlans trên một thiết bị (gateway/router) thì nếu ko có acl cấm cửa, tất cả các vlan sẽ "thấy" các vlans còn lại, vì sau? đây gọi là routing table, một con router gw vật lý có một routing table chung do đó nó sẽ biết hết thấy hết nên muốn đi chỗ nào cũng đc (ko nói tới vrf các kiểu)
còn ví dụ, bạn đăt vlan1 ở thiết bị a và vlan 2 ở thiết bị b thì vlan1 và 2 sẽ ko biết nhau vì có hai routing table ở hai thiết bị khác nhau, khi đó thì bạn phải route (chỉ đường) cho hai thiết bị đó với nhau, ví dụ ở vlan2 bạn phải static route trên gw là muốn đi vlan1 phải route packets về thiết bị a (gateway của vlan 1) và làm ngược lại trên thiết bị 1
bạn khi có căn bản mạng thì sẽ dễ chia sơ đồ phân vùng dịch vụ, cộng thêm quản lý truy cập ngăn sông cấm chợ monitoring alerting, mỗi một nhiệm vụ đều có mạng và access hợp lý
còn assign ip thì thường người ta lấy số đầu hoặc cuối làm gateway (trong một mạng) ví dụ thường thấy là /24 thì số đầu là 1 hoặc cuối là 254 để khi định vị gw cho vlan routing các kiểu nó dễ, tôi thì thích 254 vì ai cũng chơi 1, cái thứ hai là né dãi private 192.168 ra vì nó là default cho quá nhiều ko nói là tất cả, nên nhiều khi bị trùng mạng tốt nhất là xài bên dãi 10.x.x.x
cái thứ hai khi bạn assign ip cho client thì client phải có tên, thường thi tên của client cũng chuẩn hoá ví dụ server voz chuyên môn để dùng để đái vô thì ta có thể gọi vozsrtlthcm01 where
voz là tên congty
sr là tắt của server
tlt là bồn cầu
hcm là vị trí
01 là con đầu tiên
à khi có 01 rồi thì ta assign ip nó là 1, client nằm trong một vlan thì nên có unique number để tiện assign, có rất nhiều kiểu bạn nên tham khảo gpt, còn ko thì bạn bỏ vô cmdb cho nó quản lý cung cấp dụ như netbox hay gì đó, và bạn cũng nên làm một pool cho dhcp
đấy là mấy cái cơ bản về hạ tầng và dịch vụ còn bạn làm ở nhà thích thì làm nấy thì sẽ rất khó quản lý khi bạn tơi mức độ nào đó
l372un
Senior Member
Nếu quy hoạch thì cái này khuyến khích nè. Đặt tên folder, file cũng nên cần có quy chuẩn riêng để tìm kiếm. Chứ đê vô tội và tìm cũng lòi mặt
SoulEvilX
Senior Member
Bạn có nhận setup dv hem
gato_chuoidong
Senior Member
Bạn có nhận setup dv hem
ko tôi nói thì giỏi lắm ở nhà thì nó một đống bùi nhùi
SoulEvilX
Senior Member
Bạn có idea gì về việc assign IP cho device thì nên theo policy nào k ?
SoulEvilX
Senior Member
Ý là IP chứ k phải naming nha
Similar threads
