дайте совет(раздача интернета)

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
sanek2000
рядовой
Сообщения: 10
Зарегистрирован: 2009-04-26 16:05:07

дайте совет(раздача интернета)

Непрочитанное сообщение sanek2000 » 2009-11-18 0:11:48

Здравствуйте
Есть сетка и 46 человек, которых нужно вывести в инет. Сейчас юзаю ТИ, лицензии на нем кончаются, а люди с интернетом все прибавляются. Решил перебраться на FreeBSD, есть две схемы реализации:
1. Настроить NAT с распознаванием юзверей по MAC-адресу + подсчет трафика, фильтры от порнухи и одноклассников. Как это сделать, squid и iptables? Очень хороший способ для админа, т.к. не надо никуда ходить, просто в АД прописать шлюз и добро пожаловать. Нового юзверя ввести через Питти или web-gui, если есть конечно.
2. Клиент подсоединяется к серверу посредством PPPoE с авторизацией по логину и паролю + подсчет трафика, фильтры от порнухи и одноклассников. Но вот можно ли так сделать в локальной сети, по-моему нет? А если можно, то какие настройки должны быть на фряхе? Эта схема тоже хорошая, лучше чем чистый proxy, т.к. не нужно настраивать каждую прогу отдельно на этот проксик или ставить левые проксификаторы у клиента.
Просьба сильно не пинать :pardon: (наверняка это уже 1000 раз спрашивали, просто побыстрее надо) и дать наиболее развернутый ответ в виде схемы (ставишь прогу№1-ставишь прогу№2-...-ставишь прогу№n -> наслаждаешься результатом). Заранее спасибо за дельные советы.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: дайте совет

Непрочитанное сообщение terminus » 2009-11-18 0:25:12

Так не бывает.

Как только начинаются заморочки с "юзерами из АД", то сразу появляется вселенский геморой и неопределенность. Все что вы перечислили в готовом и бксплатном виде, наверное, нигде нет...

Посмотрите на разные проекты типа pfsense, monowall, etc. Может какой-нить подойдет на 80% под описание. А руками такое собирать - убиться.

Еще вариант - купить готовое решение. Я тут недавно воевал с продукцией компании FotiNet, с их хардварным фаерволом FortiGate. Плевался, матерился и еще так и не закончил его настраевать (так как в процессе настройки все время вылезали новые и новые грабли), но в целом я его заборол. Так вот фишка данного продукта в том, что у него нет лицензирования по количеству юзеров - просто покупается железка с годовой подпиской на антивирус, антиспам и web фильтры, настраевается и ставиться в качестве рутера между сетью и интернетом. Она делает 95% из того, что вы хотите (можно обьеденить с АД, но я не пробовал). Наверняка есть аналогичные решения других производителей с аналогичным функционалом.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

ivan__
сержант
Сообщения: 234
Зарегистрирован: 2009-08-11 15:48:32
Откуда: Питер

Re: дайте совет

Непрочитанное сообщение ivan__ » 2009-11-18 0:40:12

Тебе наверно сюда http://www.lissyara.su/?id=1808

sanek2000
рядовой
Сообщения: 10
Зарегистрирован: 2009-04-26 16:05:07

Re: дайте совет

Непрочитанное сообщение sanek2000 » 2009-11-18 9:38:50

2terminus
да у меня с АД соприкосновений почти нет (вариант 1), юзеры оттуда только IP шлюза берут, авторизацию через АД я пока не думал, наверное стоит. Меня вот больше интересует второй вариант, как это провайдеры делают? Неужели только готовые решения?
2ivan__
спасибо, посмотрю

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: дайте совет

Непрочитанное сообщение Alex Keda » 2009-11-18 9:44:28

провайдеры берут большой драчёвый напильник и рихтуют под себя.
что именно рихтовать - в общем не важно. напильником всё можно сделать.
Убей их всех! Бог потом рассортирует...

sanek2000
рядовой
Сообщения: 10
Зарегистрирован: 2009-04-26 16:05:07

Re: дайте совет

Непрочитанное сообщение sanek2000 » 2009-11-18 9:49:51

а где раздобыть такой напильник? :smile:

Аватара пользователя
dmins
рядовой
Сообщения: 42
Зарегистрирован: 2009-11-10 14:13:56

Re: дайте совет

Непрочитанное сообщение dmins » 2009-11-18 11:12:25

Ставишь squid, настраиваешь. В конфиге которого легко реализовываеца фильтр нежелательныъх сайтов, запрет на скачку определенных форматов файлов и другое.
Врубаешь поддержку ipfw (файрвол), настраиваешь.
Ставишь sarg для учета траффика по пользователям(ip адресам) с веб мордой.
Ставишь trafd с веб мордой для учета ВСЕГО (включая почтовый) траффика.

Если тебе нужно присвоить каждому юзеру логин и пароль для доступа в нет, то могу посоветовать простеньку но функциональную приблуду - STC (Squid Traffic Counter) в свое время ей пользовался. Есть веб интерфейс, можно добавлять траффик, заводить пользователей через него. + отключает доступ по привышению лимита пользователя и .т.д + не требует Базы Данных. Вообщем для твоей реализации (вывести в нет 46 юзеров) этого будет более чем достаточно и нечего выдумывать. ИмХо
наше государство, нас же и е*ет...

sanek2000
рядовой
Сообщения: 10
Зарегистрирован: 2009-04-26 16:05:07

Re: дайте совет

Непрочитанное сообщение sanek2000 » 2009-11-18 11:57:32

1.ну вот если чистый squid ставить (NAT отключен?), то на клиентских машинах к нему как цепляться? в каждую прогу проксю писать? 46-это пока, число алчущих растет.
2.firewall в самом конце настраивать?

Аватара пользователя
---nebo---
старшина
Сообщения: 424
Зарегистрирован: 2008-11-01 21:06:23
Откуда: Киев
Контактная информация:

Re: дайте совет

Непрочитанное сообщение ---nebo--- » 2009-11-18 16:02:46

ну вот если чистый squid ставить (NAT отключен?), то на клиентских машинах к нему как цепляться? в каждую прогу проксю писать? 46-это пока, число алчущих растет.
у вас аутентификация по логину и паролю, значит прозрачный не подойдет. Значит - дрочь :smile: .

Я бы на вашем месте чета такое сделал http://www.lissyara.su/?id=1987. Будет нормально смотреться :smile:
firewall в самом конце настраивать?
до него еще дожить нужно :smile: , во время настройки и отладки он незачем.
...участки под застройку в живописном месте Интернет

sanek2000
рядовой
Сообщения: 10
Зарегистрирован: 2009-04-26 16:05:07

Re: дайте совет

Непрочитанное сообщение sanek2000 » 2009-11-18 17:45:53

2---nebo---
ОООО! походу оно. спасибо, буду копать.

А4
проходил мимо

Re: дайте совет

Непрочитанное сообщение А4 » 2009-11-19 8:42:18

у меня AD+SQUID(ntlm)+SAMS+REJIK

все отлично работает!!

Аватара пользователя
---nebo---
старшина
Сообщения: 424
Зарегистрирован: 2008-11-01 21:06:23
Откуда: Киев
Контактная информация:

Re: дайте совет

Непрочитанное сообщение ---nebo--- » 2009-11-19 16:52:11

А4 писал(а):у меня AD+SQUID(ntlm)+SAMS+REJIK

все отлично работает!!
:smile:
Можно на внешнем инерфейсе только нат поставить и тоже отлично будет работать.
Есть большая разница между проксей и ВПНкой. Если на работе вконтактеров резать - лучше поставить проксю и не парить мозги, а если нужно людям дать нормальный интернет - лучше постараться сделать максимально приблеженно к фен шуй.
...участки под застройку в живописном месте Интернет

Аватара пользователя
dmins
рядовой
Сообщения: 42
Зарегистрирован: 2009-11-10 14:13:56

Re: дайте совет

Непрочитанное сообщение dmins » 2009-11-19 18:28:09

sanek2000 писал(а):1.ну вот если чистый squid ставить (NAT отключен?), то на клиентских машинах к нему как цепляться? в каждую прогу проксю писать? 46-это пока, число алчущих растет.
2.firewall в самом конце настраивать?
Зачем в кажду машинку писать проксю??? Для этого существуют Групповые политики в Active directory. Настраиваешь политику для группы юзеров в которой указываешь настройки браузера и при загрузке у юзверей настройки применяются автоматичесски. Другой вопрос если у тебя куча софта который необходимо править (в плане вводить проксю и порт) то это не вариант.
наше государство, нас же и е*ет...

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: дайте совет(раздача интернета)

Непрочитанное сообщение reLax » 2009-11-19 19:35:29

Для того, чтобы только резать контактеров не нужно ничего у клиентов прописывать. Достаточно редирект на том-же ipfw сделать на Squid. А уж самим Squid'ом правила доступа и разруливать.

Аватара пользователя
dmins
рядовой
Сообщения: 42
Зарегистрирован: 2009-11-10 14:13:56

Re: дайте совет(раздача интернета)

Непрочитанное сообщение dmins » 2009-11-20 10:24:01

+100500
наше государство, нас же и е*ет...