Proxy Server небольшой локалки на FreeBSD

[Volkoff]

Всем привет, поставил себе для пробы FreeBSD и заразился Возникло желание заменить часть мелкософтовых серверов в конторе, но не хватает общих знаний после виндусовой мышиной идеологии. Хотелось бы получить общее представление, в какую сторону копать: нужен кэширующий защищенный прокси этак на 50-100 пользователей, с NTLM авторизацией и доступом по группам в AD(win2003), со сбором статистики и возможностью формировать отчеты в Винде, также интересует возможность организовывать PPTP VPN c другим виндовым доменом (центральный офис)
Что лучше пробовать использовать на тестовой машинке, при условии, что опыта в UNIX почти нет.

1) операционка 7.0???ради багфиксов и вообще прогресса
2) прокси наверно Squid(экспериментировал со SquidNT)
3) статистика с возможностью формирования отчетов по заданным параметрам и чтения их в винде???
4) у Squid вроде нет функций фаирволла - надо ставить IPFW или PF, что лучше(легче настраивать)? или можно обойтись Squid? Как правило прокси под винду совмещают функции...
5) авторизация и связь с AD - достаточно Samba?
6) VPN - достаточно в правилах разрешить GRE по 1723 порту для определенных адресов, или надо что то еще ставить из софта?
Спасибо.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[manefesto]

начни читать http://www.lissyara.su/?id=1003
Там ты найдешь все ответы, повторно пересказывать в форуме не особо то и охота

[Volkoff]

Там сказано КАК сделать, а мне надо знать ЧТО сделать т.е. какой софт ставить для моих задач. Спасибо, статьи там отличные, но для человека из мира виндусов не сразу понятно, какая задача стояла перед автором, и что он получил в конце...

[n60]

Volkoff

Незнаю вот, чисто по имхо (я не особый спец в этом). У меня приблизительно вот так:

2. Squid. Настройку смотри на этом сайте в разделе "статьи"
3. Наверное Sarg, хоть он и врёт немного. Но если тебе надо быстро и без гемора тупо считать трафик по принципу кто/куда/когда и сколько, то сначала ставь Squid а потом Sarg. В разделе сайта есть отличная статья для установки. Коротко и понятно.
Вооще, считалок масса, причем более суръезных чем я предложил, но для меня делать пирамиды с mysql тяжеловато (на уровне стереотипа, наверное).

4. Для того, чтобы ты мог созерцать логи Squid в удобочитаемой форме, тебе надо ставить web-сервер Apache. С ним же идет утилита htpasswd (вроде так называццо), она как раз таки делает авторизацию на проксе squid методом Логин+Пароль, а Sarg потом обрабатывает логи с учетных записей. Это вобщем то не совсем правильно, но для моих нужд вполне хватает. У нас какеров нетуть..одни тётки

5. Файерволл по идее нужен, если не хочешь чтобы тебя разбомбили из-вне. Я сам с ним не разобрался до конца, поэтому изучаю местную статью по настройке ipfw.

6. По AD ничего тебе не скажу - ибо у меня контроллера домена нет. Правда стоИт samba и используется в основном для хранения всякой херни.

7. По vpn к сожалению тоже..

[Volkoff]

2 n60 спасибо, но вариант с авторизацией на базе Апача не подойдет, клиенты все равно в домене сидят, вести 2 базы пользователей не очень хорошая идея...
Да, вопрос по VPN некорректно поставлен - однозначно нужно ставить сервер VPN доступа, нашел тут http://www.lissyara.su/?id=1073 статью по PoPToP, спасибо Lissyara, вопрос сможет ли этот сервак авторизовывать и сам авторизоваться на RRAS Win2k3 используя доменные учетки?

[princeps]

1) Версия пох какая.
2) squid
3) sarg тебе, наверное, хватит для всего. Заводится с полпинка, статистику выгружает в html, так что пофиг с какой операционки ее смотреть.
4) pf или ipfw - в общем-то, пох, кого из них. Обсуждение на тему кто из них лучше обычно перерастает в холивар. Я использую и тот и другой - для небольшого офиса с обычными задачами оба равны. То, что прокси под винду совмещают свои функции с фаерволом - это их большой косяк , помню этот кошмар по черной эпохе администрирования MS ISA Server.
5) Что ты имеешь в виду? Если для сквида, то он умеет аутентифицироваться в AD по ntlm, статей на эту тему масса. Нужно будет, кажется, kerberos, samba и openldap-клиент.
6) не знаю

Там сказано КАК сделать, а мне надо знать ЧТО сделать т.е. какой софт ставить для моих задач.

Собственно, ЧТО сделать я тебе написал, кроме VPN. Это, как я понимаю, обычный набор, навряд ли тебе посоветуют что-то принципиально другое. Так что теперь читай - КАК

[Volkoff]

2 princeps спасибо, как раз то что нужно
Начну потихоньку ваять, кстати из антивирей к этому можно прикрутить только ClamAV?(FTP антивирь не нужен)

кстати, зря ты так про ISA, даже 2000 работает беспроблемно, 2004(2006) гораздо проще в конфигурировании - наконец то правила обьединили в 1 экран, минусы - до сих пор не умеет ограничивать канал на пользователей и рубить соединения при перерасходе траффика, ну ещё не бесплатна она и все к ней приблуды (биллинг, баннерорезалки и тд) но это по барабану - контора платит.

[princeps]

кстати, зря ты так про ISA, даже 2000 работает беспроблемно, 2004(2006) гораздо проще в конфигурировании

Вот когда сможешь не подглядывая в man пробрасывать порты за нат в pf, тогда и поговорим о простоте конфигурирования До сих пор не понимаю логику работы этой чертовой ИСы.

кстати из антивирей к этому можно прикрутить только ClamAV?

ClamAV - точно можно Другие, наверное, тоже, я не интересовался. Тут на сайте есть про NOD32 на юниксе, только вот можно ли заворачивать на него трафик из сквида - хз. DrWeb есть для фри. Каспер тоже есть для freebsd и умеет ставиться на шлюз и фильтровать проходящий трафик - но на какой именно шлюз и как фильтровать - я не интересовался. Я обычно в конторе на клиентские компы\файловые сервера ставлю каспера, а на шлюзы и вот теперь еще и на почту - clamav. Я так думаю, если каспер лоханется и не занесет вирь в базы, это сделает clamav, ну и наоборот соответственно, т.е. дополняют друг друга.

[Volkoff]

не, только не DrWeb, оно у меня стояло на древнем солярисе с сендмайлом, прикрученное через milter, отваливалось каждый день
А по поводу ISA - вот там точно можно вообще не читая мануалы настроить с нуля за пару часов и пробросить любые порты

[manefesto]

поделки M$ отстой

[koffu]

Советовал-бы начать с базовой настройки FreeBSD, разобраться в терминологии, конфигурации сети, управлением пакетами, портами ну и прочего барахла, потом приклутить squid, потом apache и sarg или lightsquid(я пользуюсь этим). Сам перевожу в локалке на фрю всё до чего доберусь))

[Volkoff]

Да я уже поднял 7-ку с ipfw+nat, правда на машине с иксами, и пустил только свою виндовую машину через нее, сейчас читаю про squid и понимаю, что такая связка будет считать только http траффик Кроме того неудобное управление - http доступом можно управлять через доменные группы, а вот остальной траффик через список IP в конфиге фаирволла...
Посмотрел статью по NeTAMS, вроде бы то что нужно, непонятно только что еще к нему надо, связка ipfw+squid+netams будет работать? То есть netams заменит nat? И еще вопрос, для netamsa придется поднимать RADIUS (IAS win2k3) в локалке, чтобы получить учет траффика по доменным учеткам?
В общем такое ощущение, что я собираюсь изобрести велосипед Наверняка этот вопрос решен у многих, ведь FreeBSD часто используют в качестве гейта в инет...

[princeps]

А какой еще трафик, кроме hhtp\ftp ты собираешься считать и зачем?

[Volkoff]

Если я правильно понял, схема ipfw+nat+squid+sarge, будет делить исходящий траффик на 2 потока - хттп запросы 80, 443 порт будут уходить на squid, там обрабатываться на предмет можно\нельзя и статистика сохраняться в sarge. Все остальные запросы - аська, игры в конце концов ,банк-клиенты и FTP пойдет через NAT и будет рулиться уже не через группы в АД, а статической таблицей в ipfw.rules, и, соответственно про статистику можно забыть...

[princeps]

Ftp тоже надо направить через прокси. Из всех остальных - аську тоже можно направить через прокси, но трафик у нее смешной. Игры в корпоративной сети либо нах, либо не светить . Фильтровать pop3\imap и банк-клиенты по группам в AD - по-моему, бессмысленно. Разве нет?

[Volkoff]

по перенаправлению траффика вопрос снят.

[Volkoff]

2 princeps спасибо за ответы...

[Volkoff]

На данный момент поднял Squid c авторизацией в домене, nat+ipfw, и редирект порта с помощью socket, пробрасывал RDP, средствами nat переадресация в 7.0 не получилась.
Всплыл вопрос - для установки Sarge или lightsquid нужен Apache, так вот с какими опциями его ставить? Всякие PHP-CGI ставить я полагаю не надо, я ведь не хостинг настраиваю а всего лишь статистику смотреть хочу?

[reLax]

Народ, а что вы так привязались к этому старью - Sarg ? По моему есть отличная ему альтернатива, появившаяся сравнительно недавно - Free-SA называется. Намного лучше вещь.
А Апаче можно и с опциями по умолчанию ставить, для просмотра отчетов более чем достаточно будет.

[princeps]

Альтернатив - масса. У каждого свои плюсы-минусы. Например, здесь как-то обсуждались сравнительные характеристики sarg и calamaris. В итоге пришли к выводу, что один подходит для одних задач, другой для других. Сарж прост в установке.

А Апаче можно и с опциями по умолчанию ставить, для просмотра отчетов более чем достаточно будет.

А я вообще апач не ставлю - мне удобней заходить в папку и щелкать там index.html

[Volkoff]

А я вообще апач не ставлю - мне удобней заходить в папку и щелкать там index.html

А можно поподробнее? это надо шарить папку на фрюхе, или вы заходите с самой машины со squid-ом?

[princeps]

Если тебе надо коннектиться с винды, то выхода два:
1) попроще, зато менее надежный: командой

Код: Выделить всё

mount -t smbfs //user@server/shared_folder /mnt/dir

монтируешь расшаренную на server папку sgared_folder и потом говоришь саржу складывать логи в /mnt/dir.
2) Немного более замороченный: Ставишь на freebsd самбу и самбой расшариваешь нужную папку. Однако если у тебя виндовый домен, то, чтоб не вводить каждый раз пароль, по-правильному надо будет ставить еще heimdal kerberos client, open-ldap client, дружить самбу с виндой. Т.е. проще апач поставить Мне все равно надо было самбу ставить на этот комп, так что я ее и заюзал.

[Volkoff]

блин не катит - нет mount_smbfs

Код: Выделить всё

/sbin/>ll | grep mount
-r-xr-xr-x   1 root  wheel      17036 24 фев 20:51 mount
-r-xr-xr-x   1 root  wheel       8812 24 фев 20:51 mount_cd9660
-r-xr-xr-x   2 root  wheel      14284 24 фев 20:51 mount_mfs
-r-xr-xr-x   1 root  wheel      10192 24 фев 20:51 mount_msdosfs
-r-xr-xr-x   2 root  wheel      20316 24 фев 20:51 mount_nfs
-r-xr-xr-x   2 root  wheel      20316 24 фев 20:51 mount_nfs4
-r-xr-xr-x   1 root  wheel      10488 24 фев 20:51 mount_ntfs
-r-xr-xr-x   1 root  wheel       6564 24 фев 20:51 mount_nullfs
-r-xr-xr-x   1 root  wheel       7472 24 фев 20:51 mount_udf
-r-xr-xr-x   1 root  wheel       7124 24 фев 20:51 mount_unionfs
-r-xr-xr-x   1 root  wheel      14476 24 фев 20:51 umount

Самба на машине стоит, но только с поддержкой winbind-a, делал по статье http://www.lissyara.su/?id=1375

[tango]

блин не катит - нет mount_smbfs

ядро надо пересобрать с опциями:

Код: Выделить всё

options 	SMBFS
options 	NETSMB
options 	NETSMBCRYPTO
options 	LIBMCHAIN
options 	LIBICONV

P.s. для просмотра сквидовых логов LightSquid лучше чем sarg.. (ИМХО)

[princeps]

Если у тебя седьмая фря, то mount_smbfs и не покатит. Я ж тебе специально поэтому написал mount -t smbfs Если самба стоит, то и расшаривай ею доступ.