Сообщений в теме: 268

[d0ct0rfs]

Текс, поделюсь буднями рядового извращенца по раздаче интернета.

1. Поставлена виртуальная машина.
Конфигурация: 2-й пень (300), 254 RAM, HDD 4 gb. 2 сетевые карты.
2. Устанавливается на нее роутерная ось smoothwall-express-3.0-sp3 (сие чудо бесплатно)
в настройках (ясен пень) одна карта смотрит в локалку другая в инет.
Ось очень хорошая, крутится по ядром пингвина v.2.6 , управляется по web интерфейсу с любой машины.
Но много там не хватает для комфортной жизни.
По этому начинаем ее допиливать ручками.
Прикручиваем к ней Full Firewall Control v3.3.2.5 (путевый фаерволл)
лезем в консоль (лучше через Putty)
и набираем:

wget http://stans-smoothw...ss-3.0-i386.run
tar -zxvf fileview-swe3-1.0.tgz -C /
./install-fileview.sh

ага, этот встал.

Едем дальше:
Прокси сервер по умолчанию там убогий, по этому ставим advansed proxy, этот по удобнее и злее, ну в общем удобен для истинного извращенца.
CD TMP
wget http://www.advproxy....xy-3.0.5.tar.gz
tar -xzf swe3-32-advproxy-3.0.5.tar.gz
smoothwall-advproxy/install

......вторая пошла...........

Все бы хорошо, но в ручную писать бан листы, явно не камильфо. Будем бороться с собственной ленью -ее отчаянной культивацией !
Прикручиваем страшного зверя urlfilter !
wget http://www.urlfilter...be-1.7.1.tar.gz
tar -xzf swe3-32-urlfilter-1.7.1.tar.gz
smoothwall-urlfilter/install
текс....... жить уже значительно веселее.

Ну и что бы реально быть в теме ставим Bandwidth Monitor

cd /tmp
wget [url="http://www.oracleguy.ws/projects/bandviewx/bandviewX-110.tar.gz"]http://www.oracleguy...iewX-110.tar.gz[/url]
tar xvfz bandviewX-110.tar.gz -C /
/tmp/install-bandviewx.sh

Теперь на проксике настраиваем порт пользователей и прочее. Ставим галку urlfilter enable.
Лезем в закладку urlfilter, ставим периодичность обновлений, обновляем списки адресов.
И начинаем зверствовать!
Бьем по площадям и складкам местности, например при установки галки в пункте socialnet - убиваем разом все соц сети! Вместе с их зеркалами! Ух ... сколько там пунктов, можно расходящееся косоглазие заработать ....... (анонимные прокси и всякие там переводчики убиваются там же)
Еще в проксике можно разрешить работу с ним определенным браузерам и программам ! Там много чего на самом деле.
Во время настройки с моего рабочего места частенько раздавалось зловещее похахатывание.
Фаерволл тоже достойный. Portmapping в комплекте.
В общем вдруг кому пригодится ........

Как то так ....

[Uzbek]

Продолжение будет? Возможно много доделывалось. Раздаю пока купленным Трафик инспектором. Но хочется чтобы поставил настроил и забыл. Тем более в углу стоит серверок без дела. Можно извращаться сколько угодно, а там где стоит ТИ планируется ставить сервер 1С и все для бухгалтерии.

[iqmaster]

Интернет Контроль Сервер на базе FreeBSD 8.2, есть бесплатная лайт версия на 8 пользователей.

Интернет-шлюз GET-Inet.biz (8 тыс. руб.)

TraffPro, работает под Linux, есть бесплатная версия TraffPro - Small office (лицензия на 6 пользователей).

Дистрибутив pfSense на FreeBSD, описание на русском здесь.

Сервер-шлюз ClearOS. Страница загрузки. Статья.

Дистрибутив Endian Firewall Community, spensource решение, которое спонсируется Endian, производителем аппаратных роутеров/фаерволов.

Выделенный межсетевой экран redWall

[Uzbek]

iqmaster (16 Сентябрь 2012 - 08:22) писал:

Интернет Контроль Сервер на базе FreeBSD 8.2, есть бесплатная лайт версия на 8 пользователей.

Интернет-шлюз GET-Inet.biz (8 тыс. руб.)

TraffPro, работает под Linux, есть бесплатная версия TraffPro - Small office (лицензия на 6 пользователей).

Дистрибутив pfSense на FreeBSD, описание на русском здесь.

Сервер-шлюз ClearOS. Страница загрузки. Статья.

Дистрибутив Endian Firewall Community, spensource решение, которое спонсируется Endian, производителем аппаратных роутеров/фаерволов.

Выделенный межсетевой экран redWall

Ограничение на 8 пользователей уже останавливает. А так как в ИКСах. НИКСах ни в зуб ногой, что-то подобное искать бесполезно, ибо нарваться не на тот продукт что нужен равен 99.9 %.ну т.е установить, настроить под себя дома Убунту в состоянии, но эксперименты и внедрение в жизнь пакета программ для работы не под силу.

Сообщение отредактировал Uzbek: 17 Сентябрь 2012 - 17:03

[citosar]

Что безопаснее и правильнее?:
- aDSL модем - в Инет смотрит IP провайдера, к нам наш IP в котором инетовкская сетка, и выступает для всех подключений общим шлюзом. Т.е. Все пользователи находятся в отдельной сетке /24, в качестве шлюза, для выходя в Инет, ипользуется этот aDSL модем. (как настроен роутером или бриджем не знаю, т.к. не под нами Инет);
- после точки доступа установлен Proxy, NAT или иной интернет шлюз.

И есть у кого рабочие решения, кроме d0ct0rfs ?

[d0ct0rfs]

citosar (23 Сентябрь 2012 - 09:59) писал:

И есть у кого рабочие решения, кроме d0ct0rfs ?

Задумчиво вопрошаю, а почему такая дискриминация бедного меня ?

[iqmaster]

citosar (23 Сентябрь 2012 - 09:59) писал:

Что безопаснее и правильнее?:
- aDSL модем - в Инет смотрит IP провайдера, к нам наш IP в котором инетовкская сетка, и выступает для всех подключений общим шлюзом. Т.е. Все пользователи находятся в отдельной сетке /24, в качестве шлюза, для выходя в Инет, ипользуется этот aDSL модем. (как настроен роутером или бриджем не знаю, т.к. не под нами Инет);
- после точки доступа установлен Proxy, NAT или иной интернет шлюз.

И есть у кого рабочие решения, кроме d0ct0rfs ?

А что именно интересует то? Какой интернет шлюз поставить?

[citosar]

Цитата

Задумчиво вопрошаю, а почему такая дискриминация бедного меня

Нет-нет-нет! Просто Ваше решение уже есть и я linux еще не пробовал, хочется выбора.. мож под ХР есть что применить можно (бесплатное).

Цитата

Какой интернет шлюз поставить?

Организовать более менее грамотную раздачу Инета в сеть (пользователям) и в рамках ведомственных требований: есть точка доступа, обеспечить доступ пользователей в Инет через неё, обеспечить контроль и нарезку трафика, журнал сессий для каждого пользователя, и создать более-менее непробивной щит от доступа супостатов из Инета к компам в сети.
Вот и советуюсь, по какой схеме и с применением чего лучше сделать? Что безопаснее и правильнее?

Сообщение отредактировал citosar: 23 Сентябрь 2012 - 15:00

[iqmaster]

citosar (23 Сентябрь 2012 - 14:58) писал:

Нет-нет-нет! Просто Ваше решение уже есть и я linux еще не пробовал, хочется выбора.. мож под ХР есть что применить можно (бесплатное).
Организовать более менее грамотную раздачу Инета в сеть (пользователям) и в рамках ведомственных требований: есть точка доступа, обеспечить доступ пользователей в Инет через неё, обеспечить контроль и нарезку трафика, журнал сессий для каждого пользователя, и создать более-менее непробивной щит от доступа супостатов из Инета к компам в сети.
Вот и советуюсь, по какой схеме и с применением чего лучше сделать? Что безопаснее и правильнее?

Бесплатных версий под Windows с заявленными требованиями и без ограничений по пользователям и функциональности практически нет. Под *nix-ы я указывал в посте выше.

[citosar]

Цитата

Бесплатных версий под Windows ... нет.

Значит, учитывая финансирование на ПО, будем осваивать *nix-ы. Смотрю в сторону Альт Линукс 5.0 Ковчег или Альт Линукс 6.0 Кентавр, там как бы базовый набор уже есть, для не шибко опытных.
Пару вопросов без ответа пока:
1. Вариант с aDSL модемом, подключенный, как постом выше описано, имет место на существование? Это безопасно?
2. Почему не приветствуется Proxy в ведомственной сетке. Ну чтоб пользователь находился в ведомственной сетке и, при необходимости, мог пользоватья инетом из неё? Или все таки можно?

Сообщение отредактировал citosar: 23 Сентябрь 2012 - 16:08

[iqmaster]

citosar (23 Сентябрь 2012 - 16:02) писал:

Значит, учитывая финансирование на ПО, будем осваивать *nix-ы. Смотрю в сторону Альт Линукс 5.0 Ковчег или Альт Линукс 6.0 Кентавр, нам как бы базовый набор уже есть, для не шибко опытных.
Пару вопросов без ответа пока:
1. Вариант с aDSL модемом, подключенный, как постом выше описано, имет место на существование? Это безопасно?
2. Почему не приветствуется Proxy в ведомственной сетке. Ну чтоб пользователь находился в ведомственной сетке и, при необходимости, мог пользоватья инетом из неё?

Я бы посмотрел в сторону pfSense или ClearOS,так как это специализированные дистрибутивы. Если пробовать Альт Линукс, то если только ALT Linux Server. Если интересно, готовое решение за смешные деньги: http://www.intekom.r...et-gateway.html

[d0ct0rfs]

citosar (23 Сентябрь 2012 - 16:02) писал:

Значит, учитывая финансирование на ПО, будем осваивать *nix-ы. Смотрю в сторону Альт Линукс 5.0 Ковчег или Альт Линукс 6.0 Кентавр, там как бы базовый набор уже есть, для не шибко опытных.
Пару вопросов без ответа пока:
1. Вариант с aDSL модемом, подключенный, как постом выше описано, имет место на существование? Это безопасно?
2. Почему не приветствуется Proxy в ведомственной сетке. Ну чтоб пользователь находился в ведомственной сетке и, при необходимости, мог пользоватья инетом из неё? Или все таки можно?

Альт Линукс - я в общем то крутил долго и вдумчиво.
По факту могу сказать так, что в принципе там все есть , но по чуть-чуть. т.е. придется его допиливать напильником и прямыми руками. Но это не так сложно как кажется.
Мне лично не понравилась громоздкость и достаточно серьезные аппаратные требования .

Теперь по решениям на базе Win.
Крутил много всякого. Безглючного софта не нашел ВООБЩЕ. Так же есть проблемы с реализацией сокетов на протоколах TCPIP . Что постоянно напрягает.
Однако же бесплатные решения все таки есть, но их крайне мало. И опять таки их нужно серьезно пилить напильником.
Лично мне под Win, безумно нравится 3proxy - 300kb - а какие возможности ? Ух. Шедевр однозначно. И что приятно ему глубоко наплевать на версию оси. Ну и ясно дело установки не требует. Просто стартует из exe.

Хотя позволю себе совет. Смотрите в сторону никсов и экспериментируйте с ними на ВИРТУАЛКЕ.

Теперь о прокси, как о явлении. Специалисты ФСТЭК к прокси серверам относятся исключительно положительно и считают данный способ раздачи интернета, наиболее безопасным и наиболее управляемым.
А кто вам сказал , что прокси не приветствуются ???

[iqmaster]

d0ct0rfs (23 Сентябрь 2012 - 17:00) писал:

А кто вам сказал , что прокси не приветствуются ???

Имеется в ввиду, что не приветствуется прокси в качестве шлюза для выхода в интернет из ведомственной локальной сети. Поэтому для 100% защиты от проникновения, для выхода в интернет, как правило, рекомендуется использовать отдельные компьютеры, не имеющие физического доступа в ведомственную локальную сеть. Либо устанавливать шлюзы сертифицированные ФСТЭК, но удовольствие на защиту затратное (по моим прикидкам в среднем около 200 тыс. руб.) и не дает 100% гарантии от проникновения извне.

[d0ct0rfs]

iqmaster (23 Сентябрь 2012 - 18:41) писал:

Имеется в ввиду, что не приветствуется прокси в качестве шлюза для выхода в интернет из ведомственной локальной сети. Поэтому для 100% защиты от проникновения, для выхода в интернет, как правило, рекомендуется использовать отдельные компьютеры, не имеющие физического доступа в ведомственную локальную сеть. Либо устанавливать шлюзы сертифицированные ФСТЭК, но удовольствие на защиту затратное (по моим прикидкам в среднем около 200 тыс. руб.) и не дает 100% гарантии от проникновения извне.

100% защиты дают только страховые компании в рекламе.
Ну а если прокся ПРАВИЛЬНО настроена и Толково админится, пробить ее практически не возможно.
Опять же ЗНАЧИТЕЛЬНО помогает экономить траффик и значительно увеличивает возможности администрирования. Я например только такими способами смог решить проблемы социальных сетей, Ютуба, торрентов и Скайпа (со всякими там Аськами и Майл.ру агентами. Ибо не хрен.

[iqmaster]

d0ct0rfs (23 Сентябрь 2012 - 19:13) писал:

100% защиты дают только страховые компании в рекламе.
Ну а если прокся ПРАВИЛЬНО настроена и Толково админится, пробить ее практически не возможно.
Опять же ЗНАЧИТЕЛЬНО помогает экономить траффик и значительно увеличивает возможности администрирования. Я например только такими способами смог решить проблемы социальных сетей, Ютуба, торрентов и Скайпа (со всякими там Аськами и Майл.ру агентами. Ибо не хрен.

Соц.сети индивидуально рубишь или общий фильтр для всех? А есть службы которые специально мониторят все соц.сети и *tube, а по скайпу общаются с коллегами.