Терминальный доступ!

[stomotolog]

ДОбрый день!
Хотел узнать где можно посмотреть по настройке X11 или аналогов.
Задача в следующем. Пользователь чтобы попасть в Инет должен зайти на терминальный сервер, там к примеру запускается FireFox и потом соответсвенно идёт в Инет.
Хотелось всё это поднять на FreeBSD. И соответсвенно терминальный клиент для Windows чтобы попасть на BSD, есть ли он (бесплатен)?
Спасибо!
С Уважением stomotolog.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

давай вначале уточним - зачем такое извращение?

[stomotolog]

Добрый день!
Уточняю!
Дабы вирусы не проникли на машины во внутренней сети. Терминальный сервер будет стоять в DMZ. клиентам будет разрешено к нему коннектиться только по RDC (terminal). НА терминальном сервере антивирусная защита развёрнута. В общем чтобы напрямую в инет из компании никто не попал.
С Уважением!

[Alex Keda]

ну, вообще реализаций иксов под винду - масса.
но сам не пробовал...

[stomotolog]

А по протоколу RDC или аналогу вирусы не пройдуТ!!!
С Уважением!

[Sw%00p]

на вин серваке поставь антивири и подключайся при помощи удалённого рабочего стола
а на юниксах поднивай внс но клиенты под винду платные если не ошибаюсь

[Dmitriy.A]

cygwin бесплатный и прикольный

[Sw%00p]

вот вроде нашёл

http://www.tightvnc.com

[stomotolog]

Спасибо БОЛЬШЕ!!!
Но под ВЫНЬ сделать сие легко и просто... Но только заразы которая не лечиться тоже дофига... Рухнет терминал или заглючит и всё инета нет...
Вот так сооброжаю попробую сделать под БСД... конечно есчё хотелось чтобы тот же FireFox или аналоги умели авторизоваться в домене без запроса пароля... (samba+squid настроил без вопросов)
С Уважением!

[freeman]

Добрый день!
Уточняю!
Дабы вирусы не проникли на машины во внутренней сети. Терминальный сервер будет стоять в DMZ. клиентам будет разрешено к нему коннектиться только по RDC (terminal). НА терминальном сервере антивирусная защита развёрнута.

Даж в фантазии не представлял таких "навороченных" схем, да чтоб реально кто то допустить творить такое.

В общем чтобы напрямую в инет из компании никто не попал.

А какая разница напрямую или через задний ...ход они туда попадут ? Вирус если есть должен быть уничтожен, изолирован, а не надеятся что в "неродной среде" он сам помрёт. Электронные могут без воды и пищи жить дооооллго долго Большинство даже без электричества могут обходится

А по протоколу RDC или аналогу вирусы не пройдуТ!!!
С Уважением!

Ггг. Конечно не пройдут. Юзеры ж не будут скачанные файлы к себе на комп перетягивать, буфером обмена пользоватся да и печать ты им запретишь чтоб по локальные компы на диск С темп файлы не записывались. Чё я там забыл ? Да много чего, но и так всё ясно уже давно )

Спасибо БОЛЬШЕ!!!
Но под ВЫНЬ сделать сие легко и просто... Но только заразы которая не лечиться тоже дофига... Рухнет терминал или заглючит и всё инета нет...

Имхо ты б фигнёй не занимался бы, а поставил бы на шлюзе или том же Виндовом терминале проверку сквозного трафика (НЕ антивирусы которые проверяют то что уже записалось на винт или в память, а именно трафик) и руководству чтоб порадовалось каждый день отчётик с оного присылал - сегодня выловленно хх вирусов таких то с тарфика таким то юзером запрошенного ..
Или переводи клиентов на bsd - там вирусов на порядки меньше , но тож говорят бывают

[stomotolog]

Добрый день!
TO freeman ... спасибо за столь объёмный ответ!
А необходима такая схема птму что, (хоть и идёт проверка всего входящего трафика и стоит корпоративный кашпировский).... всё равно пролез один раз вирус и 500 компов лечили 3 дня ... почти неспали... конторе то надо работать....
Со скачкой конечно проблема но думаю написать скрипт который проеверяет файл на вирус на разрешенный объём файла и потом от отсылает его по почте пользователю...
С Уважением!

Всех перевести на BSD+KDE+OpenOffice = Будет счастье... :-)

[Alex Keda]

одна дырка наружу на мощщной машине - там сквид с c-icap
падуч правда, но после месяца тюнинга у меня стабильно пахал год на 2 юзера

[dvg_lab]

у меня пашет squid + havp, я эту связку поднимаю везде где вижу установленный сквид, падений пока не замечено. Вернее в messages ты их найдешь (форки помирают), а так мастер демон все отслеживает и перезапускает дочерний процесс. Вобщем рекомендую. Ставицо за 5 минут, могу мини статью накатать еси надо :-)

[Alex Keda]

а чё это - havp

[dvg_lab]

Код: Выделить всё

make search name=havp
Port:   havp-0.86
Path:   /usr/ports/www/havp
Info:   HTTP Antivirus Proxy

make install его как говорицца, дальше конфиги,

Код: Выделить всё

#cat havp.config |grep -v "^#"|grep -v "^$"
SERVERNUMBER 10
MAXSERVERS 100
LOG_OKS false
FORWARDED_IP true
BIND_ADDRESS 127.0.0.1
TEMPLATEPATH /usr/local/etc/havp/templates/ru
ENABLECLAMLIB true
CLAMDBDIR /var/db/clamav
ENABLECLAMD false
ENABLEFPROT false
ENABLEAVG false
ENABLEAVESERVER false
ENABLESOPHIE false
ENABLETROPHIE false
ENABLENOD32 false
ENABLEAVAST false
ENABLEARCAVIR false

потом идем в squid.conf и добавляем туды

Код: Выделить всё

cache_peer localhost parent 8080 0 no-query
acl over_parent_proxy proto HTTP
acl over_havp_url url_regex [-i] ^http://.*(\.microsoft|youtube)\.com
never_direct allow over_parent_proxy over_havp_url
always_direct allow !over_parent_proxy

для проверки заходим на eicar.com

В итоге получается что проксик havp встает первым на пути вирусов, проверяет весь контент, а в кеш сквида попадает только проверенное, экономим траффик и вычищаем вирусы. еси поставить наоборот, то можно будет пропускать еще и ftp траффик через havp, но я его предочитаю напрямую юзать, а клиентам/юзерам совсем запретил ftp пусть работают :-)