Сообщений в теме: 268

[d0ct0rfs]

ТехникЛИУ (02 Ноябрь 2013 - 01:33) писал:

Нда. Вопрос довольно актуальный - "как заводить инет в ЛВС учреждения"... Самое прикольное, что все знают, что нельзя "физически" подключать раздающую проксю (а иной раз и вообще - инет роутер), а практически у всех так и забабахано. Ибо нет доп средств на лишнюю бухту витухи и пачку коннекторов, ибо куча машин в сети, кому нужно и то и то (и ведомственная и инет), ибо если всё-таки так сделать, то получится ещё более убого... Это мнение с "земли", но точно знаю, что во многих ТО точно так же.
P.S. Что касаемо выбора между Unix и Microsoft - на деле все знают, что линь и бесплатен и надёжен, но из-за плохого знакомства с бесплатным зверем опять же, у большинства продукт к системам мелкомягких (и в большинстве случаев "леченый"). Если у кого-то всё не так плохо, как мною описано - отпишитесь, поделитесь своими решениями (ну, или, похвастайтесь мат. достатком).

Я писал уже, что на самом деле, схема "всё в одном" прекрасно работает и довольно безопасна, если НОРМАЛЬНО администрируется.
Все загвоздка именно в администрировании.
У меня работает дикая связка, роутер ------ ФриБздя (в режиме черной дыры) -------- Smootwall SP3 с контектсными фильтрами.--------- UserGate под Win, ибо ЛИЦЕНЗИЯ с сертификатом ФСТЭК.
Прошлую проверку, они посмотрели и прониклись. Посчитали не то , что приемлимым, а даже местами, избыточным.
ФриБздя -- так вообще их порадовала, ибо их спецы не знали, что машина в сети может не иметь ВООБЩЕ IP адресов, но при этом исправно работать как фаерволл. Детишки ранний DOS не знают просто .......
Пришлось рассказывать и показывать, как такое можно замутить ....

Но повторюсь, наша сеть в такой компоновке, прошла ВСЕ проверки ФСТЭК.

[iqmaster]

d0ct0rfs (02 Ноябрь 2013 - 08:37) писал:

.................
У меня работает дикая связка, роутер ------ ФриБздя (в режиме черной дыры) -------- Smootwall SP3 с контектсными фильтрами.--------- UserGate под Win, ибо ЛИЦЕНЗИЯ с сертификатом ФСТЭК.
..............

Думаю, если вот это все на одном физическом сервере повесить внутри ESXi, нормально пойдет? А перед всем этим как раз маршрутизатор воткнуть. Или фряху пропустить?

P.S. Неохота рыться, кто нибудь подскажет на вскидку, нужна такая штука, выходит человек в инет, а ему сначала страница авторизации всплывает, авторизуется и вперед серфить. Браузер закрыл, соответственно вышел. Желательно с личным кабинетом (трафик, время и т.п.) и бесплатно

[лоер]

iqmaster (02 Ноябрь 2013 - 09:02) писал:

Неохота рыться, кто нибудь подскажет на вскидку, нужна такая штука, выходит человек в инет, а ему сначала страница авторизации всплывает, авторизуется и вперед серфить. Браузер закрыл, соответственно вышел. Желательно с личным кабинетом (трафик, время и т.п.) и бесплатно

в свое время было много таких решений для компьютерный клубов
видел, но не юзал)

[d0ct0rfs]

iqmaster (02 Ноябрь 2013 - 09:02) писал:

Думаю, если вот это все на одном физическом сервере повесить внутри ESXi, нормально пойдет? А перед всем этим как раз маршрутизатор воткнуть. Или фряху пропустить?

P.S. Неохота рыться, кто нибудь подскажет на вскидку, нужна такая штука, выходит человек в инет, а ему сначала страница авторизации всплывает, авторизуется и вперед серфить. Браузер закрыл, соответственно вышел. Желательно с личным кабинетом (трафик, время и т.п.) и бесплатно

1. Именно так и зделано.
2. Под винды ничего такого нет - безплатного.
А вот в линуксовом Smootwall это есть, вроде как в АЛТ Линуксе, еще такое обещали. Но не знаю, сделали или нет.

[aihgii]

Относительно недавно работаю в системе, и интернет-шлюз, это первое с чем мне пришлось столкнуться на этой работе. Стояла хрюша с юзергейтом на старом слабеньком сервере. Система с нагрузкой не справлялась, повисала несколько раз в день. Полная переустановка системы им не помогла, ну и отдали мне в распоряжение как первое задание. Мол, делай что хочешь, лишь бы работало. Так что данная тема для меня близка в качестве первых впечатлений на новой работе) С лирикой всё, собственно, система:
Ось - Gentoo Linux. Не хотелось бы холиваров на тему какой дистрибутив лучше. Моё мнение - тот что больше нравится. Хотя бы потому, что ядро остается неизменным, а всё остальное и призвано обеспечивать нам комфорт пользования системой.
Кэширующий прокси - SQUID. Поставил такой даже дома в прозрачном режиме - кэш заметно ускоряет серфинг.
SquidGuard для фильтрации. Блэклист регулярно обновляется скриптом со специализированного сайта. Адресов тысячи, поэтому он разбит на категории, которые можно в разных вариациях выставлять группам пользователей. Так же есть свои черный и белый списки для ручной корректировки.
NAT реализован средствами iptables.
Ну и самое интересное - списки контроля доступа (ACL) в сквиде реализованы весьма топорно для авторизации по MAC-адресу (EUI48), которая мне была необходима. Частично эту проблему можно решить скриптами, через механизм external_access_control_list предоставляемый сквидом. Мне нужны были еще пару фич, но реализацию решено было полностью сделать на C++, вместо внесения изменений в скрипты. Ибо кода для скрипта нарисовывалось уже многовато. Фича за фичей, ну и понесло меня)
В результате база пользователей ведется на сервере MySQL. Каждый пользователь имеет уникальный ID не повторяющийся в пределах существующей базы после его удаления. Активность пользователей фиксируется в логах по этим ID. Также каждый пользователь входит в определенную группу. По-умолчанию, при формировании базы существует только одна группа, в которую автоматически добаляются все новые пользователи, если не указана иная. Группы позволяют, во-первых, устанавливать ограничение максимальной скорости соединения для входящих в них пользователей, во-вторых, устанавливать для них правила фильтрации контента. Ну и присутствует простая консольная утилита для редактирования базы. В дальнейшем планируется веб-интерфейс, но это отдельная тема.
Отходя от темы. Оказалось, что проект получился интересным не только для меня, поэтому через некоторое время будет уже под GPL. Если кого заинтересует, присоединяйтесь, буду рад - github.com/aihgii/seacl

Почтовый сервер не так примечателен, классическая уже связка - FreeBSD, Postfix, Courier-IMAP. PostfixAdmin в качестве веб-интерфейса.

Планируется VoIP сервер на Asterisk. Пока стоит тестовый, а взяться за телефонию всё руки не доходят. В перспективе планирую ещё второй такой для видео-конференций с учреждениям.

Вроде бы больше ничего интересного пока...

[aihgii]

Ах да, биллинга на проксе пока нет как такового. Так как и острой необходимости пока вроде бы нет. Но со временем этот вопрос всё равно нужно решать, конечно.

[iqmaster]

aihgii (21 Ноябрь 2013 - 12:03) писал:

Ах да, биллинга на проксе пока нет как такового. Так как и острой необходимости пока вроде бы нет. Но со временем этот вопрос всё равно нужно решать, конечно.

Советую еще обратить внимание на Zentyal (есть поддержка русского языка), основанн на Ubuntu. В связке с BandwidthD (мониторинг трафика) вполне неплохая штука. Есть русскоязычный форум.

Возможности:

Сетевой фильтр и роутер
Фильтрация
NAT и перенаправление портов
VLAN 802.1Q
поддержка нескольких шлюзов PPPoE и DHCP
Правила для нескольких шлюзов, балансировка нагрузки и автоматический перехват управления при отказе
Распределение трафика (shaping), в том числе на уровне приложений
Мониторинг трафика с графическими отчётами
Механизм детектирования вторжений в сеть
Клиент Dynamic DNS

DHCP-сервер
NTP-сервер
DNS-сервер
Динамические обновления через DHCP
Сервер RADIUS
Поддержка VPN
Автоматическая конфигурация динамических правил роутинга
HTTP-прокси
Интернет-кэш
Пользовательская аутентификация
Фильтрация контента (со списками категорий)
Прозрачная антивирусная проверка
Delay pools
Система детектирования вторжений
Почтовый сервер
Виртуальные домены
Квоты
Поддержка SIEVE
Восстановление внешних аккаунтов
POP3 и IMAP с SSL/TLS
Фильтрация спама и антивирусная проверка
грейлистинг, черные и белые списки адресатов
Прозрачный фильтр POP3-прокси
Аккаунт Catch-all
Webmail
Web-сервер
Виртуальные хосты
Авторизация на основе сертификатов
Рабочие группы
Централизованное управление пользователями и группами
Поддержка иерархии (Master/slave)
Синхронизация с Windows Active Directory
Windows PDC
Политики паролей
Поддержка клиентов на базе Windows 7
Общий доступ к сетевым ресурсам
Файл-сервер
Антивирус
Корзина
Print-сервер
Groupware: календарь, адресная книга, webmail, wiki и др.
VoIP-сервер
Голосовая почта
Комнаты для конференций
Звонки через внешнего провайдера
Трансферные звонки
Удержание звонков
Музыка при удержании
Квоты
Логи
Сервер Jabber/XMPP
Комнаты конференций
Zentyal User Corner for self users info updating
Отчёты и мониторинг
Панель управления (Dashboard) для централизованного доступа к сервисной информации
Мониторинг CPU, загрузки, дискового пространства, температуры, памяти
Использование дисков и состояние RAID
Полный отчёт по состоянию системы
Отправка уведомлений администратору по электронной почте, через RSS или Jabber
Обновления программного обеспечения
Резервное копирование (включая конфигурацию и удалённые/remote данные)


Сейчас гоняю Stargazer, тоже прикольная штука. Авторизации и учет трафика в сетях. Система построена по клиент-серверной технологии, В качестве сервера выступает машина с ОС Linux или FreeBSD, в качестве клиентов могут выступать машины как на Windows, так и клиенты с ОС Linux или FreeBSD.

[aihgii]

Погуглил. Походу, невероятно удобная вещь для быстрого развертывания. Хотя, список возможностей можно и подсократить. "корзина" - улыбнуло))
Я, правда, фанатик минимализма - запарюсь потом удалять ненужное))

[iqmaster]

aihgii (21 Ноябрь 2013 - 12:39) писал:

Погуглил. Походу, невероятно удобная вещь для быстрого развертывания. Хотя, список возможностей можно и подсократить. "корзина" - улыбнуло))
Я, правда, фанатик минимализма - запарюсь потом удалять ненужное))

В Zentyal нужные компоненты выбираются в процессе установке.

[aihgii]

Вплоть до корзины?) Ну а если серьезно, я так понимаю - при установке конфигурируются серверные и сопутствующие пакеты в зависимости от функционального назначения сервера. Многие серверные дистрибутивы ставятся подобным образом, разве что, видимо, выбор опций не так богат, как в данном случае. Когда же я говорил о "лишнем", я имел ввиду менее серьезные вещи. Кто-то не обращает внимания на эти мелочи, а меня это раздражает. Та же убунту для меня - сущая помойка. Не в обиду убунтоводам - я ведь уже упомянул, что я фанатик в этом вопросе)

Собственно поэтому я и дистрибутивы предпочитаю из разряда "на любителя" - в основном gentoo, да arch.

Сообщение отредактировал aihgii: 21 Ноябрь 2013 - 13:29

[iqmaster]

aihgii (21 Ноябрь 2013 - 13:28) писал:

Вплоть до корзины?) Ну а если серьезно, я так понимаю - при установке конфигурируются серверные и сопутствующие пакеты в зависимости от функционального назначения сервера. Многие серверные дистрибутивы ставятся подобным образом, разве что, видимо, выбор опций не так богат, как в данном случае. Когда же я говорил о "лишнем", я имел ввиду менее серьезные вещи. Кто-то не обращает внимания на эти мелочи, а для меня это раздражает. Та же убунту для меня - сущая помойка. Не в обиду убунтоводам - я ведь уже упомянул, что я фанатик в этом вопросе)

Собственно поэтому я и дистрибутивы предпочитаю из разряда "на любителя" - в основном gentoo, да arch.

Корзины не видел, да и нужна она если организуется файловый сервер.

А так почитайте первые шаги

[aihgii]

Попробую как-нибудь для общего развития. Вообще я не большой любитель решений всё-из-коробки. Идеи обычно хорошие, а цели благие, но опыт показывает, что эффективностью слишком часто жертвуют в угоду удобству. Но это ИМХО, конечно.

[d0ct0rfs]

iqmaster (21 Ноябрь 2013 - 13:30) писал:

................ про совокупности ...........

Спасибо камрад, с интересом ковыряю ........

[d0ct0rfs]

ATENTION !!!

Вчера столкнулся.
В магазинах винчестеры уже стали продаваться с защитой GPT.

Сволочи, окромя 7-ки и 8-ки уже ничего не поставить.

Лекарство конечно есть, но для тех кто изуродован DOS.
10 секунд примерно ......

Лезем в консоль.
Реикорнируем древнюю "diskpart"
Выбираем диск.
И командой "Clean" убиваем нахрен на нем всю логику .......

З.ы. НУЖНО ПОМНИТЬ ИСТОКИ !!!!!!
Консоль победить нельзя ......

[aihgii]

d0ct0rfs (23 Ноябрь 2013 - 12:26) писал:

Вчера столкнулся.
В магазинах винчестеры уже стали продаваться с защитой GPT.

В смысле, харды на машинках с предустановленной виндой?