Попытка не продаться керио

[paradox]

что то я не понял
это как

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[princeps]

очень просто, хочешь, например, послать почту наружу, у тебя фаер спрашивает логин-пароль, если правилами именно тебе разрешено ходить, открывает тебе 25-й порт. Или, например, тебе на mail.ru можно посылать, а на gmail - нельзя, тоже разбирается на основе твоих учетных данных. И пишет в лог, чтоб потом сисадмин мог посмотреть, что парадокс, а не 192.168.хх.хх отправил 20 килобайт на мейл.ру.

[princeps]

кстати, только сейчас пришло в голову, что аутентификацией на фаерволе можно было бы, например, решить проблему рассылки спама троянами из твоей сети и при этом разрешить юзерам отправлять почту через свои какие-нибудь сервера типа mail.ru а не только через корпоративный почтовик.

[paradox]

как это фаервол спарашивает логин пароль?
а что разве mpd не так работает?

[princeps]

как это фаервол спарашивает логин пароль?

Ну вот например, MS ISA Server так делает, берет ntlm аутентификацию и применяет правила на ее основе. Правда для него надо клиентов ставить на АРМ юзеров. Про мпд не знаю ничего, не сталкивался.

[paradox]

аналогично если голована месте то можно ntlm прикрутить в mpd это не вопрос

[princeps]

mpd это же вроде для vpn, разве нет? А как его к шлюзу привинтить, чтоб трафик из локальной сети контролировать?

[paradox]

у него есть up down скрипты в которые передаеться все что нужно
если красиво подцепить в sql то можно при подсоединении пльзователя блокировать или разрешать нужные порты

это ты имеешь ввиду?
или отчет о полном прошедшом трафике?
так есть ng_car

[princeps]

не совсем понимаю, как это именно к шлюзу прикрепить, чтоб юзеру выйти в инет, надо будет к vpn-серверу коннектиться?

[paradox]

что то я тоже непонимаю
а как на виндовых решениях это работает?

[princeps]

не знаю, они же с закрытыми исходниками Собственно, а что сложного - сквид же как-то делает это с http, по аналогии и со всем остальным, наверное.

[princeps]

В ISA пакетный фильтр вообще идет отдельно от остальных правил фаервола. То есть фаером ты закрываешь порты\протоколы по доменным учеткам, а дополнительно к этому есть еще пакетный фильтр, в котором можно описать, как поступать с конкретными пакетами.

[paradox]

вообщем я понял
нужна авторизация на сервере
но не через VPN
да есть такое
классное решения я о нем недавно узнал на этом форуме)
пробегал человек который настраивал биллинг для wifi
щас название проги не скажу не помню
но где то в теме FreeBSD или Networks должна быть

идея в том что на сервере создаеться туннель токо не чеез vpn а через прогу
и тунель живет пока живет юзер

именно для wifi это идельаный вариант

так вот под эту тему тоже хорошо подойдет

[princeps]

подксажи, по каким словам искать. а то wifi freebsd ацкую тучу ссылок дает

[paradox]

http://www.chillispot.info
сцылка на биллинг
а вот где этона форуме обсуждалось
попробуй по имени ссылки поищи

[princeps]

ага, ну, собственно, теперь достаточно инфы, если у тредстартера есть желание, может попробовать.

[Fastman]

Сори за полное цитирование - но не удержался.
1 Единственные минус керио - он огромный и виндовый -и в следствии этого, бывает так, что ведет себя, не так, как его настраиваеш.
Пользователь не имеет права сменить ip, он может сменить компутер, или например присоединиться по впн(да и еще варианты могут быть)
Логирование? Да блин, одно из лучших.
Оповещения - да все по шаблонам.
Хитрые ограничения в дорступе? Да сколько угодно!(единственно, нельзя ограничивать юпнп - он либо включен всем, либо нет)
З.Ы, Если вам непонятен функционал, то это вовсе не значит, что это никому никогда не пригодится.
З.Ы.Ы squid/rejik/sams/clamav/ - сквид - ну тут вопросов нету(в керио кстати тоже он, правда некоторые настройки недоступны), режик - еще раз повторюсь - совершенно не гибок, в сравнении Orange Filter. Sams - тут если честно (уж простите за тупость), не понял его смысла - если только для очень маленьких организаций (не более 20-25 юзеров).
Кламав.. Выбор антивирусника дело субьективное, но отлично работая у меня кламав за долгое время, ни чего не поймал. Установленый двеб, стал ловить сразу же и по многу..(Тут спорить не буду, возможно у меня просто руки кривые )

Никаких холиваров. Спасибо за коммент.
Я не против Керио, но я отлично знаю функционал и того и другого решения.
Тут наверное больше привычка играет дело. Но :
Финансовый вопрос:
ISS Orange Web Filter - отдельно покупаемая приблуда. Не совсем дешевая.
+100 юзеров примерно еще косарь зеленых и шершавых.
Но это ладно. Не понравилось:
Bandwidth Limiter - только на сервисы... на канал - фиг.
Переодические отвалы аутентификации. (NTLM). Решалось перезапуском службы.
VPN соединения тупо не считаются за активные соединения и нельзя ни управлять ни ограничивать.
filter.log, debug.log - это насмешка над админом... нет..честно !!!!
Намучались со стримовой медией... не умеет он обрывать соединение на ней... Юзер тупо может весь день онлайн трансляцию смотреть..при превышении квоты - керио даже не чихнет пока не оборвется соединение.
Да.. ресурсов жрет прилично... как ни крути...
...etc(Много неприятных мелочей)

Может что то уже не актуально.. не следил в последнее вермя.
Но как всегда значение имеют именно вот такие мелочи

Как раз таки это решени мелкого офиса не более чем на 50 машин. В противном случае админ будет похож на электровеник )

[princeps]

Иногда возникает ощущение, что *nix и windows админы живут в разных мирах. Что является принципиально важным для одних, совершенно пофиг другим, поэтому и выяснять, чей продукт лучше - дело бесполезное . Я, например, не представляю себе, как можно управлять шлюзом без возможности написать скрипт для автоматизации чего угодно, без логирования всего и вся, а вин-админам оно представляется совершенно ненужным. С другой стороны, я видел оранж фильтр и для меня вообще не очевидны его преимущества перед тем же режиком, дополненным самописными скриптами, а вот тредстартеру - очевидны. Когда я сказал dikens3, что не могу в exchange чистить юзерам папки "Удаленные" на сервере скриптом из планировщика, он ржал, а win-админы не могли взять в толк, зачем мне это вообще нужно Мда.

[Burner]

Когда я сказал dikens3, что не могу в exchange чистить юзерам папки "Удаленные" на сервере скриптом из планировщика

может быть, проблема тут не в exchange?

[princeps]

а что, можешь подсказать решение? буду благодарен.

[Pumbey]

На самом деле, уже готова базовая часть, то есть аунтификация и логирование трафика пока дорабатываю скрипты
но выглядит это так
скрипт собирает юзер+ ип из лога сквида
2й скрипт дописывает правила в ipf конфиг и рефрешит его.
Осталься глобальный вопрос читаймых логов, но этим займусь только когда основная схема будет работать как надо

[Alex Keda]

мне нравиться подпись у bu7cher

нет ничего невозможного

[Pumbey]

Никаких холиваров. Спасибо за коммент.
Я не против Керио, но я отлично знаю функционал и того и другого решения.
Тут наверное больше привычка играет дело. Но :
Финансовый вопрос:
ISS Orange Web Filter - отдельно покупаемая приблуда. Не совсем дешевая.
+100 юзеров примерно еще косарь зеленых и шершавых.
Но это ладно. Не понравилось:
Bandwidth Limiter - только на сервисы... на канал - фиг.
Переодические отвалы аутентификации. (NTLM). Решалось перезапуском службы.
VPN соединения тупо не считаются за активные соединения и нельзя ни управлять ни ограничивать.
filter.log, debug.log - это насмешка над админом... нет..честно !!!!
Намучались со стримовой медией... не умеет он обрывать соединение на ней... Юзер тупо может весь день онлайн трансляцию смотреть..при превышении квоты - керио даже не чихнет пока не оборвется соединение.
Да.. ресурсов жрет прилично... как ни крути...
...etc(Много неприятных мелочей)

Может что то уже не актуально.. не следил в последнее вермя.
Но как всегда значение имеют именно вот такие мелочи

Как раз таки это решени мелкого офиса не более чем на 50 машин. В противном случае админ будет похож на электровеник )

Да я согласен. во многом.
Самое растраивающие вещи типа
"Переодические отвалы аутентификации. (NTLM). Решалось перезапуском службы."
и таких "мелочей" - там много. Именно поэтому я тут и заморочился с данным вопросом. Если бы он (керио) был так хорош, я бы не стал тратить свое и Ваше время.

[princeps]

что ж ты его тогда так хвалил?

[Pumbey]

что ж ты его тогда так хвалил?

Он настраивается за пол часа-час.
Будет он глючить или нет - дело твоего виндового везения.