Корпоративный firewall

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
maxk
проходил мимо
Сообщения: 2
Зарегистрирован: 2010-04-30 7:26:46

Корпоративный firewall

Непрочитанное сообщение maxk » 2010-04-30 7:57:28

Всем привет.
Хочу поставить на фрю8 корпоративный файрвол. Уже на машинке есть samba(pdc)+ldap+bind.
Подскажите что выбрать исходя из следующих условий:
1. Два провайдера (основной и резервный канал)
2. Пользаки авторизуются через ldap. Авторизация подразумевается та которая при входе в домен, т.е надо чтобы пользак(клиентские машинки все на winxp) набрал логин и пасс при входе в домен и у него уже был доступ в инет в зависимости от данных ему парв (будут ли это все сайты или только несколько)
3. Контроль всех портов (относительно внешних интерфейсов)
4. Возможность просматривать в реальном времени кто, чего и с какой скоростью закачивает/передает
5. Статистика по пользакам: кто, чего и сколько накачал за день/неделю месяц (хотя этот пункт необязателен)

На сколько я понимаю можно сделать сборку: NAT + firewall + маршрутизация + биллинг, но хотелось бы увидеть универсальное решение (хотя если такого нет, тогда подскажите какое ПО выбрать для этой связки)
Спасибо

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: Корпоративный firewall

Непрочитанное сообщение InventoR » 2010-04-30 8:56:17

Для начала убрать Firewall предприятия на отдельный шлюз.
Держать все в одном флаконе и называть корпоративной защитой есть глупо.
:roll:
ну вот и сказочке конец, кто слушал, тот молодец.

maxk
проходил мимо
Сообщения: 2
Зарегистрирован: 2010-04-30 7:26:46

Re: Корпоративный firewall

Непрочитанное сообщение maxk » 2010-04-30 9:12:54

InventoR писал(а):Для начала убрать Firewall предприятия на отдельный шлюз.
Держать все в одном флаконе и называть корпоративной защитой есть глупо.
:roll:
ну это понятно... я ведь тоже не просто так ставлю все на одну машину...

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Корпоративный firewall

Непрочитанное сообщение arkan » 2010-04-30 15:09:31

maxk писал(а):Всем привет.
Хочу поставить на фрю8 корпоративный файрвол. Уже на машинке есть samba(pdc)+ldap+bind.
Спасибо
Ндассс
сначало надо ставить корпоративный файрвол
а потом уже всякие сервисы типа samba(pdc)+ldap+bind
но боюсь уже слишком поздно

Поздно пить борджоми когда почек уже и нету

IPFW спасет отца русской дерьмократии

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Корпоративный firewall

Непрочитанное сообщение princeps » 2010-04-30 21:17:57

Чувак, всё достаточно просто. Пацаны правильно пишут, что для фаервола нужен отдельный комп, потому как удачная атака на шлюз может положить тебе не только интернет, но и всю работу в офисе. Так что надо напрячься и изыскать возможность поставить хотя бы старый какой-нибудь гроб. Благо с FreeBSD это можно, например, у меня в одной конторе P-III 256 Mb обеспечивает инетом сетку на 50 компов.
maxk писал(а):1. Два провайдера (основной и резервный канал)
http://www.samag.ru/art/02.2007/02.2007_09.html
maxk писал(а):2. Пользаки авторизуются через ldap. Авторизация подразумевается та которая при входе в домен, т.е надо чтобы пользак(клиентские машинки все на winxp) набрал логин и пасс при входе в домен и у него уже был доступ в инет в зависимости от данных ему парв (будут ли это все сайты или только несколько)
http://www.lissyara.su/articles/openbsd ... quid_ntlm/ Лучший вариант - squid с kerberos аутентификацией, так тоже можно, но навскидку ссылок не дам, надо искать.
maxk писал(а):3. Контроль всех портов (относительно внешних интерфейсов)
http://www.lissyara.su/articles/freebsd/tuning/ipfw/
maxk писал(а):4. Возможность просматривать в реальном времени кто, чего и с какой скоростью закачивает/передает
http://www.lissyara.su/articles/freebsd ... ejik-ldap/
maxk писал(а):5. Статистика по пользакам: кто, чего и сколько накачал за день/неделю месяц (хотя этот пункт необязателен)
http://www.lissyara.su/articles/freebsd/programms/sarg/
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: Корпоративный firewall

Непрочитанное сообщение Burner » 2010-05-01 8:49:18

pfsense посмотрите