Попытка не продаться керио

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Попытка не продаться керио

Непрочитанное сообщение paradox » 2009-07-29 8:51:11

что то я не понял
это как

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение princeps » 2009-07-29 9:13:03

очень просто, хочешь, например, послать почту наружу, у тебя фаер спрашивает логин-пароль, если правилами именно тебе разрешено ходить, открывает тебе 25-й порт. Или, например, тебе на mail.ru можно посылать, а на gmail - нельзя, тоже разбирается на основе твоих учетных данных. И пишет в лог, чтоб потом сисадмин мог посмотреть, что парадокс, а не 192.168.хх.хх отправил 20 килобайт на мейл.ру.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение princeps » 2009-07-29 9:16:22

кстати, только сейчас пришло в голову, что аутентификацией на фаерволе можно было бы, например, решить проблему рассылки спама троянами из твоей сети и при этом разрешить юзерам отправлять почту через свои какие-нибудь сервера типа mail.ru а не только через корпоративный почтовик.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Попытка не продаться керио

Непрочитанное сообщение paradox » 2009-07-29 10:13:42

как это фаервол спарашивает логин пароль?
а что разве mpd не так работает?

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение princeps » 2009-07-29 10:19:51

paradox писал(а):как это фаервол спарашивает логин пароль?
Ну вот например, MS ISA Server так делает, берет ntlm аутентификацию и применяет правила на ее основе. Правда для него надо клиентов ставить на АРМ юзеров. Про мпд не знаю ничего, не сталкивался.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Попытка не продаться керио

Непрочитанное сообщение paradox » 2009-07-29 10:21:05

аналогично если голована месте то можно ntlm прикрутить в mpd это не вопрос

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение princeps » 2009-07-29 11:06:41

mpd это же вроде для vpn, разве нет? А как его к шлюзу привинтить, чтоб трафик из локальной сети контролировать?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Попытка не продаться керио

Непрочитанное сообщение paradox » 2009-07-29 11:16:59

у него есть up down скрипты в которые передаеться все что нужно
если красиво подцепить в sql то можно при подсоединении пльзователя блокировать или разрешать нужные порты

это ты имеешь ввиду?
или отчет о полном прошедшом трафике?
так есть ng_car

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение princeps » 2009-07-29 11:30:57

не совсем понимаю, как это именно к шлюзу прикрепить, чтоб юзеру выйти в инет, надо будет к vpn-серверу коннектиться?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Попытка не продаться керио

Непрочитанное сообщение paradox » 2009-07-29 11:32:14

что то я тоже непонимаю
а как на виндовых решениях это работает?

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение princeps » 2009-07-29 12:55:36

не знаю, они же с закрытыми исходниками :) Собственно, а что сложного - сквид же как-то делает это с http, по аналогии и со всем остальным, наверное.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение princeps » 2009-07-29 12:57:09

В ISA пакетный фильтр вообще идет отдельно от остальных правил фаервола. То есть фаером ты закрываешь порты\протоколы по доменным учеткам, а дополнительно к этому есть еще пакетный фильтр, в котором можно описать, как поступать с конкретными пакетами.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Попытка не продаться керио

Непрочитанное сообщение paradox » 2009-07-29 13:01:32

вообщем я понял
нужна авторизация на сервере
но не через VPN
да есть такое
классное решения я о нем недавно узнал на этом форуме)
пробегал человек который настраивал биллинг для wifi
щас название проги не скажу не помню
но где то в теме FreeBSD или Networks должна быть

идея в том что на сервере создаеться туннель токо не чеез vpn а через прогу
и тунель живет пока живет юзер

именно для wifi это идельаный вариант

так вот под эту тему тоже хорошо подойдет

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение princeps » 2009-07-29 13:28:42

подксажи, по каким словам искать. а то wifi freebsd ацкую тучу ссылок дает :)
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Попытка не продаться керио

Непрочитанное сообщение paradox » 2009-07-29 13:43:39

http://www.chillispot.info
сцылка на биллинг
а вот где этона форуме обсуждалось
попробуй по имени ссылки поищи

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение princeps » 2009-07-29 13:55:11

ага, ну, собственно, теперь достаточно инфы, если у тредстартера есть желание, может попробовать.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
Fastman
ст. лейтенант
Сообщения: 1236
Зарегистрирован: 2006-07-07 10:20:38
Откуда: Минск. РБ

Re: Попытка не продаться керио

Непрочитанное сообщение Fastman » 2009-07-29 23:10:14

Сори за полное цитирование - но не удержался.
1 Единственные минус керио - он огромный и виндовый -и в следствии этого, бывает так, что ведет себя, не так, как его настраиваеш.
Пользователь не имеет права сменить ip, он может сменить компутер, или например присоединиться по впн(да и еще варианты могут быть)
Логирование? Да блин, одно из лучших.
Оповещения - да все по шаблонам.
Хитрые ограничения в дорступе? Да сколько угодно!(единственно, нельзя ограничивать юпнп - он либо включен всем, либо нет)
З.Ы, Если вам непонятен функционал, то это вовсе не значит, что это никому никогда не пригодится.
З.Ы.Ы squid/rejik/sams/clamav/ - сквид - ну тут вопросов нету(в керио кстати тоже он, правда некоторые настройки недоступны), режик - еще раз повторюсь - совершенно не гибок, в сравнении Orange Filter. Sams - тут если честно (уж простите за тупость), не понял его смысла - если только для очень маленьких организаций (не более 20-25 юзеров).
Кламав.. Выбор антивирусника дело субьективное, но отлично работая у меня кламав за долгое время, ни чего не поймал. Установленый двеб, стал ловить сразу же и по многу..(Тут спорить не буду, возможно у меня просто руки кривые ;) )
Никаких холиваров. Спасибо за коммент.
Я не против Керио, но я отлично знаю функционал и того и другого решения.
Тут наверное больше привычка играет дело. Но :
Финансовый вопрос:
ISS Orange Web Filter - отдельно покупаемая приблуда. Не совсем дешевая.
+100 юзеров примерно еще косарь зеленых и шершавых.
Но это ладно. Не понравилось:
Bandwidth Limiter - только на сервисы... на канал - фиг.
Переодические отвалы аутентификации. (NTLM). Решалось перезапуском службы.
VPN соединения тупо не считаются за активные соединения и нельзя ни управлять ни ограничивать.
filter.log, debug.log - это насмешка над админом... нет..честно !!!!
Намучались со стримовой медией... не умеет он обрывать соединение на ней... Юзер тупо может весь день онлайн трансляцию смотреть..при превышении квоты - керио даже не чихнет пока не оборвется соединение.
Да.. ресурсов жрет прилично... как ни крути...
...etc(Много неприятных мелочей)

Может что то уже не актуально.. не следил в последнее вермя.
Но как всегда значение имеют именно вот такие мелочи :)

Как раз таки это решени мелкого офиса не более чем на 50 машин. В противном случае админ будет похож на электровеник )
Главное в жизни здоровье и любовь, остальное я все куплю.

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение princeps » 2009-07-30 8:18:48

Иногда возникает ощущение, что *nix и windows админы живут в разных мирах. Что является принципиально важным для одних, совершенно пофиг другим, поэтому и выяснять, чей продукт лучше - дело бесполезное :). Я, например, не представляю себе, как можно управлять шлюзом без возможности написать скрипт для автоматизации чего угодно, без логирования всего и вся, а вин-админам оно представляется совершенно ненужным. С другой стороны, я видел оранж фильтр и для меня вообще не очевидны его преимущества перед тем же режиком, дополненным самописными скриптами, а вот тредстартеру - очевидны. Когда я сказал dikens3, что не могу в exchange чистить юзерам папки "Удаленные" на сервере скриптом из планировщика, он ржал, а win-админы не могли взять в толк, зачем мне это вообще нужно :) Мда.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: Попытка не продаться керио

Непрочитанное сообщение Burner » 2009-07-30 17:00:10

princeps писал(а):Когда я сказал dikens3, что не могу в exchange чистить юзерам папки "Удаленные" на сервере скриптом из планировщика
может быть, проблема тут не в exchange?

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение princeps » 2009-07-31 14:51:51

а что, можешь подсказать решение? буду благодарен.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Pumbey
ефрейтор
Сообщения: 53
Зарегистрирован: 2007-08-29 17:06:55
Откуда: Санкт-Петербург

Re: Попытка не продаться керио

Непрочитанное сообщение Pumbey » 2009-08-05 11:47:23

На самом деле, уже готова базовая часть, то есть аунтификация и логирование трафика пока дорабатываю скрипты
но выглядит это так
скрипт собирает юзер+ ип из лога сквида
2й скрипт дописывает правила в ipf конфиг и рефрешит его.
Осталься глобальный вопрос читаймых логов, но этим займусь только когда основная схема будет работать как надо

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35402
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение Alex Keda » 2009-08-05 20:41:00

lissyara писал(а):мне нравиться подпись у bu7cher
нет ничего невозможного
=)
Убей их всех! Бог потом рассортирует...

Pumbey
ефрейтор
Сообщения: 53
Зарегистрирован: 2007-08-29 17:06:55
Откуда: Санкт-Петербург

Re: Попытка не продаться керио

Непрочитанное сообщение Pumbey » 2009-08-07 11:31:50

Fastman писал(а): Никаких холиваров. Спасибо за коммент.
Я не против Керио, но я отлично знаю функционал и того и другого решения.
Тут наверное больше привычка играет дело. Но :
Финансовый вопрос:
ISS Orange Web Filter - отдельно покупаемая приблуда. Не совсем дешевая.
+100 юзеров примерно еще косарь зеленых и шершавых.
Но это ладно. Не понравилось:
Bandwidth Limiter - только на сервисы... на канал - фиг.
Переодические отвалы аутентификации. (NTLM). Решалось перезапуском службы.
VPN соединения тупо не считаются за активные соединения и нельзя ни управлять ни ограничивать.
filter.log, debug.log - это насмешка над админом... нет..честно !!!!
Намучались со стримовой медией... не умеет он обрывать соединение на ней... Юзер тупо может весь день онлайн трансляцию смотреть..при превышении квоты - керио даже не чихнет пока не оборвется соединение.
Да.. ресурсов жрет прилично... как ни крути...
...etc(Много неприятных мелочей)

Может что то уже не актуально.. не следил в последнее вермя.
Но как всегда значение имеют именно вот такие мелочи :)

Как раз таки это решени мелкого офиса не более чем на 50 машин. В противном случае админ будет похож на электровеник )
Да я согласен. во многом.
Самое растраивающие вещи типа
"Переодические отвалы аутентификации. (NTLM). Решалось перезапуском службы."
и таких "мелочей" - там много. Именно поэтому я тут и заморочился с данным вопросом. Если бы он (керио) был так хорош, я бы не стал тратить свое и Ваше время.

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение princeps » 2009-08-07 16:52:04

что ж ты его тогда так хвалил?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Pumbey
ефрейтор
Сообщения: 53
Зарегистрирован: 2007-08-29 17:06:55
Откуда: Санкт-Петербург

Re: Попытка не продаться керио

Непрочитанное сообщение Pumbey » 2009-08-11 15:14:12

princeps писал(а):что ж ты его тогда так хвалил?
Он настраивается за пол часа-час.
Будет он глючить или нет - дело твоего виндового везения.