Шлюз небольшой организации

[fizuch]

Приветствую всех. Не сосчитать сколько раз я обращался к этому резурсу за дополнительной информацией. Огромная благодарность участникам и создателям за этот кладезь информации.

Работал я себе спокойно в филиале одной конторы. Стояло там чудо на ХР с ломаным керио в качестве шлюза и почтовика. Потом с головного прислали маленький серверок с фряхой. И небольшую брошюрку - где что в этом чуде перезагрузить если что-то отвалилось.

И было там следующее:

ipfw для того что бы натить и защищать.
mpd5 - для организации связи с головным предприятием, пппое интернетом и что бы админ мог из дома посмотреть если что не пашет.
Squid с авторизацией в домене - что бы пользователям давать доступ в ограниченый инет без музыки порно и однокашников.
Почта - собственно почта. Пользователи домена с прописанным параметром "адрес электронной почты" автоматом получали ящик с адресом юзер@домен.предприятие.ру

В общем штука хорошая и самое главное надежно работала и не требовала покупать лицензии или обновления. Но проблемы случались и приходилось обкладываясь мануалами и гуглом что бы понять что сделать если провайдер меняет прямой доступ на ПППоЕ или как все поднять если развалился рейд и остался только бекап. В общем разобрался с сборкой ядра, работой IPFW и даже дома поставил фряху на домашний шлюз с воткнутым свистком безлимитки от мегафона.

Так получилось что филиал закрыли а всех сократили. На новой работе 50 машин, шлюза нет и инет через АДСЛ.


Вот собственно и амбула. Поставил фрю на лишний старенький комп. Воткнул пару сетевушек. Настроил IPFW что бы хоть как-то дать людям инет. А что делать дальше.... Что бы получить такой же универсальный шлюз как в старой конторе... То есть например первый вопрос - провайдер дает динамический IP. Как с ним настроить IPFW? как правильно сделать прокси с авторизацией в домене?

Конечно есть уже готовые статьи. Но каждый настраивает по своему. И все способы вроде хороши, но то там статический адрес а в другом месте надо ставить СУБД, в третьем все как мне нужно, но на PF.

Кстати еще был SARG в котором видно было кто куда когда лазил и сколько накачал! Это тоже надо бы.

Ваши советы в части выбора правильного пути настройки хорошего удобного надежного и безопасного шлюза-прокси-почтовика очень бы помогли.

Сразу извиняюсь за многабукав

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[manefesto]

про динамический IP. Тебе какая разница то ? Работай с интерфейсами

[Shuba]

На первый вопрос тебе ответили, юзай в правилах интерфейсы. По второму - вот тебе ссыль. Далее по sarg, тоже имеется ссыль, но я предпочитаю это.

[fizuch]

про динамический IP. Тебе какая разница то ? Работай с интерфейсами

вот кусочек ipfw.conf

Код: Выделить всё

eip="87.225.126.156"

# configure nat
${ipfw} nat 1 config ip ${eip} same_ports

Получается я в нем могу вместо ${eip} просто прописать ng0 и будет работать с динамическим адресом?
С правилах у меня айпишники только локальные указаны. Внешние направления я как раз интерфейсами и задаю. А вот как раз из-за этой строчки с натом я и не знаю как с динамикой разобраться.

Может быть как-то нат задействовать в самом mpd5 который будет при любом выдвнном провайдером адресе делать ng0 с адресом например 192.168.0.254 а в ipfw нат уже не юзать?

[sadchok]

Код: Выделить всё

eip="ng0"

[sadchok]

http://www.lissyara.su/articles/freebsd ... /ipfw_nat/

[arkan]

Используйте лучше Kernel NAT - головников меньше с ним
Хотя для 50 тачек офисных вроде как без разници
P.S. Для SQUID всякие наты вообще не нужны