Попытка не продаться керио

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Pumbey
ефрейтор
Сообщения: 53
Зарегистрирован: 2007-08-29 17:06:55
Откуда: Санкт-Петербург

Попытка не продаться керио

Непрочитанное сообщение Pumbey » 2009-07-22 22:30:43

Здраствуйте. Сразу оговорюсь, что не чувствую себя профессионалом в никсах, но сильно симпатизирую, в особенноси FreeBSD.
Пользуюсь для роутера ipf+sqiud+samba.
Но тут наткнулся на Kerio Winroute Firewall.
Блин, как же мне захотелось все это иметь прелести.
Возник вопрос, есть ли возможность сделать все это на фряхе? В случае успеха обязуюсь написать статью.

Итак. Чего же хочется.
1 Работа с пользователями из лдапа
2 Прокся, с нтлм\базик\арп аутентификацией
3 Нат, работающий про правилам, основанным на аутентификации в браузере
4 Сбор сводной статистики то есть сайты посещенные юзером + трафик ушедший по другим протоколам
5 ВПН сервер, работающий на основе ЛДАПа(да да, и его в статистику ;) )
6 ессно шейпинг трафика и все по тому же лдапу
7 Некий каталог вебсейтов, для блокирования\разблокирования(rejik конечно есть, но если есть ченть лучще - буду щастлив)

Обязательная часть пройдена, теперь пожелания

1 Некая возможность онлайн мониторить пользователь\ip\mac\текушие соединения
2поддержка юпнп для выбраных юзеров(в идеале возможность включения п2п сетей для некоторых юзеров )

Если все это, нереализуемо, или может стать делом всей жизни - приму стоически.
Буду рад любым советам, но толковые ценятся втрое;)

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение princeps » 2009-07-23 7:59:05

1 и 2 - http://www.lissyara.su/?id=1808, http://www.lissyara.su/?id=1811
3 наверное, никак. А, собственно, зачем?
4 и 6 http://www.lissyara.su/?id=1009
7 собственно, а чем не устраивает режик? вообще если хорошо поискать по форуму, то найдешь массу реализаций как прокси-сервером, так и фаерволом.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Pumbey
ефрейтор
Сообщения: 53
Зарегистрирован: 2007-08-29 17:06:55
Откуда: Санкт-Петербург

Re: Попытка не продаться керио

Непрочитанное сообщение Pumbey » 2009-07-23 10:49:34

princeps писал(а):1 и 2 - http://www.lissyara.su/?id=1808, http://www.lissyara.su/?id=1811
3 наверное, никак. А, собственно, зачем?
4 и 6 http://www.lissyara.su/?id=1009
7 собственно, а чем не устраивает режик? вообще если хорошо поискать по форуму, то найдешь массу реализаций как прокси-сервером, так и фаерволом.

3 Обязательно, ибо у мну в организации, ip у юзера может смениться не 1 раз за день, и хочеться что бы правила ходили за ним.
7 Если будет желание, посмотреть cobion orange filter - то сразу станет ясно, насколько убог по сравнению с ним режик;)
(хотя сам пользую режик, но не могу сказать что в восторге)

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение princeps » 2009-07-23 12:03:02

Pumbey писал(а): 3 Обязательно, ибо у мну в организации, ip у юзера может смениться не 1 раз за день, и хочеться что бы правила ходили за ним.
зачем делать натом? авторизация ntlm на прокси-сервере полностью перекрывает необходимость авторизации на нате, как мне кажется.
Pumbey писал(а):7 Если будет желание, посмотреть cobion orange filter - то сразу станет ясно, насколько убог по сравнению с ним режик;)
(хотя сам пользую режик, но не могу сказать что в восторге)
не знаю, какая ситуация там у тебя, но лично мне кажется, что проприетарные фильтры в большинстве случаев имеют избыточный функционал. Я, например, вообще просто в сквиде в acl добавляю ненужные домены, мне хватает.
Мне доводилось переводить на FreeBSD конторы с kerio winroute и с MS ISA server. На мой взгляд, у варианта с фрей управляемость и гибкость не идет ни в какое сравнение с ними.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Pumbey
ефрейтор
Сообщения: 53
Зарегистрирован: 2007-08-29 17:06:55
Откуда: Санкт-Петербург

Re: Попытка не продаться керио

Непрочитанное сообщение Pumbey » 2009-07-23 13:47:43

Рискуя показаться невежливым, я все таки напомню, что просил совета "как сделать", а не "почему мне это не нужно"..

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение princeps » 2009-07-24 10:57:14

тогда ответ, видимо - никак
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение Alex Keda » 2009-07-24 12:49:45

princeps писал(а):тогда ответ, видимо - никак
мне нравиться подпись у bu7cher
нет ничего невозможного
===============
скрипты, много думать.
реализовать можно правктически всё.
даже авторизацию в nat - тока не в том виде как описано
например, дёргать откуданить IP юзера и динамически добавлять/удалять правила в таблицы
Убей их всех! Бог потом рассортирует...

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение princeps » 2009-07-24 13:38:09

ага, а если уметь на сях кодить, так и вообще ничего невозможного нет. Тредстартер, как я понял, про готовое решение спрашивал. Вообще что-то в последнее время много людей интересуется авторизацией на НАТе, никто не в курсе, ведутся вообще какие-нибудь работы в этом направлении?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
serge
майор
Сообщения: 2132
Зарегистрирован: 2006-07-30 15:34:14
Откуда: Саратов
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение serge » 2009-07-24 15:38:55

princeps писал(а):ага, а если уметь на сях кодить, так и вообще ничего невозможного нет. Тредстартер, как я понял, про готовое решение спрашивал. Вообще что-то в последнее время много людей интересуется авторизацией на НАТе, никто не в курсе, ведутся вообще какие-нибудь работы в этом направлении?
А какой в этом реально полезный смысл?

Аватара пользователя
uHk
мл. сержант
Сообщения: 134
Зарегистрирован: 2008-05-21 15:16:48
Откуда: Москва
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение uHk » 2009-07-24 16:10:08

princeps писал(а):ага, а если уметь на сях кодить, так и вообще ничего невозможного нет. Тредстартер, как я понял, про готовое решение спрашивал. Вообще что-то в последнее время много людей интересуется авторизацией на НАТе, никто не в курсе, ведутся вообще какие-нибудь работы в этом направлении?
наверно что-то вроде такого http://www.akado.ru/office/zond/ http://abills.net.ua/wiki/doku.php/abills:docs:amon:ru
надо сразу брать лошадь за рога

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение princeps » 2009-07-24 17:02:14

serge писал(а):А какой в этом реально полезный смысл?
По мне так тоже никакого. Но народу надо, вон, тредстартеру, например.
uHk писал(а):наверно что-то вроде такого http://www.akado.ru/office/zond/ http://abills.net.ua/wiki/doku.php/abills:docs:amon:ru
что-то там странное по ссылкам
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
Fastman
ст. лейтенант
Сообщения: 1236
Зарегистрирован: 2006-07-07 10:20:38
Откуда: Минск. РБ

Re: Попытка не продаться керио

Непрочитанное сообщение Fastman » 2009-07-25 1:03:40

По опыту общения с керио и с другой стороны с BSD машинкой с squid/rejik/sams/clamav/etc
Решение на BSD - просто конфетка по сравнению с этим убогим монстром. Я просто прихожу в недоумение, КАК это можно СРАВНИВАТЬ.
И да.. в догонку - если пользователь имеет право сменять IP машины несколько раз в день, то стоит подумать над организацией сети в первую очередь.

P.S.
Логгирование в керио отвратительно... отвратительное еще то что нет средств автоматизации оповещений по каким либо случаям.
Попробуй сделать оповещение по шаблону что юзер такой то отключен за превышение квоты такой то итд.... Убьешся тапком.
Про реализацию хитрых ограничений по дуоступу - вообще можешь забыть.. Если на BSD админ быстро набросает скриптец + выборка из базы. То в керио с этим вообще все непросто.
Главное в жизни здоровье и любовь, остальное я все куплю.

Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: Попытка не продаться керио

Непрочитанное сообщение Burner » 2009-07-25 7:24:11

не надо мучиться, ставьте керио

Pumbey
ефрейтор
Сообщения: 53
Зарегистрирован: 2007-08-29 17:06:55
Откуда: Санкт-Петербург

Re: Попытка не продаться керио

Непрочитанное сообщение Pumbey » 2009-07-27 11:36:55

Fastman писал(а):По опыту общения с керио и с другой стороны с BSD машинкой с squid/rejik/sams/clamav/etc
Решение на BSD - просто конфетка по сравнению с этим убогим монстром. Я просто прихожу в недоумение, КАК это можно СРАВНИВАТЬ.
И да.. в догонку - если пользователь имеет право сменять IP машины несколько раз в день, то стоит подумать над организацией сети в первую очередь.

P.S.
Логгирование в керио отвратительно... отвратительное еще то что нет средств автоматизации оповещений по каким либо случаям.
Попробуй сделать оповещение по шаблону что юзер такой то отключен за превышение квоты такой то итд.... Убьешся тапком.
Про реализацию хитрых ограничений по дуоступу - вообще можешь забыть.. Если на BSD админ быстро набросает скриптец + выборка из базы. То в керио с этим вообще все непросто.
Сори за полное цитирование - но не удержался.
1 Единственные минус керио - он огромный и виндовый -и в следствии этого, бывает так, что ведет себя, не так, как его настраиваеш.
Пользователь не имеет права сменить ip, он может сменить компутер, или например присоединиться по впн(да и еще варианты могут быть)
Логирование? Да блин, одно из лучших.
Оповещения - да все по шаблонам.
Хитрые ограничения в дорступе? Да сколько угодно!(единственно, нельзя ограничивать юпнп - он либо включен всем, либо нет)
З.Ы, Если вам непонятен функционал, то это вовсе не значит, что это никому никогда не пригодится.
З.Ы.Ы squid/rejik/sams/clamav/ - сквид - ну тут вопросов нету(в керио кстати тоже он, правда некоторые настройки недоступны), режик - еще раз повторюсь - совершенно не гибок, в сравнении Orange Filter. Sams - тут если честно (уж простите за тупость), не понял его смысла - если только для очень маленьких организаций (не более 20-25 юзеров).
Кламав.. Выбор антивирусника дело субьективное, но отлично работая у меня кламав за долгое время, ни чего не поймал. Установленый двеб, стал ловить сразу же и по многу..(Тут спорить не буду, возможно у меня просто руки кривые ;) )

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение princeps » 2009-07-27 12:07:55

холивар?
управляемость выше у фри. В керио можно, скажем, скриптом динамически добавлять правила в фаервол? И насчет логирования ты все-таки загнул. Конечно, по виндовым понятиям оно может и одно из лучших, но если сравнивать с никсами...
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Pumbey
ефрейтор
Сообщения: 53
Зарегистрирован: 2007-08-29 17:06:55
Откуда: Санкт-Петербург

Re: Попытка не продаться керио

Непрочитанное сообщение Pumbey » 2009-07-27 13:18:14

не никаких холиваров.
Логирование - дело привычки и трудочасов, потраченных на их кастомизацию. Спорить не буду. (хотя иметь единую статистику per user с ната, прокси, впн - имхо приятно. Я уверен что это реализуемо во фряхе - вопрос как)
Динамически добавить правило? ессно можно, правда керио.конф имеет менее читаемый вид нежели например ipf.conf - но это возможно

А если сравнивать с никсами - я и попросил отписать решение. Пока нету решения - все доводы- просто слова.
И большая просьба, не отвлекаться от темы топика. Сори за офтоп.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение Alex Keda » 2009-07-27 23:58:02

ну как же нету:
lissyara писал(а):
princeps писал(а):тогда ответ, видимо - никак
мне нравиться подпись у bu7cher
нет ничего невозможного
===============
скрипты, много думать.
реализовать можно правктически всё.
даже авторизацию в nat - тока не в том виде как описано
например, дёргать откуданить IP юзера и динамически добавлять/удалять правила в таблицы
просто вы хотите готовое.
готовое - платите деньги и ставьте вашего керио.
иначе - учите матчасть и пишите скрипты.
не хотите сами - велком ту раздел форума "Работа". тока приготовьтесь что решение будет стоить не меньше, если не боольше керио.
=========
в мире всё просто. не надо ничего усложнять.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
damir_madaga
старшина
Сообщения: 447
Зарегистрирован: 2007-10-01 8:13:38
Откуда: Красноярск
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение damir_madaga » 2009-07-28 4:26:44

Да пускай ставит керио!
WinServer 25000
CAL 1000 * 50 users = 50000
KerioWinRouter = 10 users -> 14000 * 5 = 70000
Итог: 145 000 деревянных (грубо конечно)
А потом же еще захочеться почтовый сервер и т.д.
А на фре это все работает на 1000 целероне и есть пить не просит!
Женщины и софт - должны быть бесплатными!

Pumbey
ефрейтор
Сообщения: 53
Зарегистрирован: 2007-08-29 17:06:55
Откуда: Санкт-Петербург

Re: Попытка не продаться керио

Непрочитанное сообщение Pumbey » 2009-07-28 9:40:41

lissyara писал(а): просто вы хотите готовое.
готовое - платите деньги и ставьте вашего керио.
иначе - учите матчасть и пишите скрипты.
не хотите сами - велком ту раздел форума "Работа". тока приготовьтесь что решение будет стоить не меньше, если не боольше керио.
=========
в мире всё просто. не надо ничего усложнять.
Готовое? Конечно, вы же не пишете СВОЙ прокси, вы используете сквид и мануал.
Вы не используете самописный МТА - вы берете ГОТОВЫЙ..

Ясно. То есть 2 человека, из всех отписавшихся, приблизительно представляют как, остальные только знают почему нет, и цены на винды.
Это обнадеживает.
Полагаю топ можно закрыть.

З,Ы. Спасибо всем отписавшимся

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение princeps » 2009-07-28 11:25:49

да ты не обижайся, на этом форуме если хвалить любое решение не на фре, то тема сразу перерастает в холивар :) так уж повелось.
Pumbey писал(а):3 Обязательно, ибо у мну в организации, ip у юзера может смениться не 1 раз за день, и хочеться что бы правила ходили за ним.
Можешь настроить ntlm-авторизацию в сквиде и правила будут ходить за юзерами. Или авторизацию по логину-паролю, получишь то же самое. Но только для http\ftp, естественно. С другой стороны, поскольку другие протоколы либо хавают ничтожный трафик, либо применение к ним фильтрации не имеет смысла (как, например, pop3/smtp/imap), то в большинстве случаев хватает.
Я переводил офис 120 компов с MS ISA Server, там была ntlm-авторизация в фаерволе, т.е. политики применялись ко всем протоколам. Перед переездом на сквид тоже были сомнения относительно отсутствия авторизации на фаере во фре, но до сих пор за два года никаких проблем не возникло - фильтрации http\ftp, как выяснилось, хватает за глаза. Видимо, раз не пишут такое для фри, значит не нужно. Это я не то чтобы яростно агитирую, так, опытом делюсь.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Pumbey
ефрейтор
Сообщения: 53
Зарегистрирован: 2007-08-29 17:06:55
Откуда: Санкт-Петербург

Re: Попытка не продаться керио

Непрочитанное сообщение Pumbey » 2009-07-28 11:45:58

С одной стороны, да. С другой, когда трафик по "непринципиальным" протоколам вырастает до довольныо серьезных размеров становиться неприятно. А учитывая что юзеры суки бегают как тараканы, реально отследить где он сидел вчера - это час чтения и сверки логов. В конце концов, мы за автоматизацию али как?:)
Вобщем то я понял идею. выдергивать $user $ip из сквид лога, и писать их в фаервол. Щас буду курить эту идею - выйдит али нет - посмотрим;)

Я просто наивно пологал, что у никсоидов принято тыкать носом в мануал али в собственный опыт и наработки. А не в цены на винды. ;)
С другой стороны, такие ответы только подстегивают самолюбие, сделать то, чем другие не интересовались\не смогли;)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение Alex Keda » 2009-07-28 11:48:47

тебе насыпали идей. как делать. пути, куда копать.
копай. делай.
если долго мучаться - что нибудь получиться.
======
отпишись потом. неважно какой результат будет.

P.S. а вот то что они как тараканы бегают - я бы запретил.
Убей их всех! Бог потом рассортирует...

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение princeps » 2009-07-28 14:17:50

Pumbey писал(а):Я просто наивно пологал, что у никсоидов принято тыкать носом в мануал али в собственный опыт и наработки. А не в цены на винды. ;)
Если б были мануалы и наработки, то и ткнули бы, я ж тебе дал ссылки на статьи. Поскольку именно по твоему запросу никто не знает ничего, то и начали философствовать.
Если что придумаешь - отпишись, потому что ты не первый спрашиваешь про авторизацию на фаерволе.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Попытка не продаться керио

Непрочитанное сообщение paradox » 2009-07-28 14:33:30

Если что придумаешь - отпишись, потому что ты не первый спрашиваешь про авторизацию на фаерволе.
кошмар

я так и не понял что конкретно хочет топикстартер

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Попытка не продаться керио

Непрочитанное сообщение princeps » 2009-07-29 8:20:49

топикстартер хочет, чтобы ВЕСЬ трафик, а не только http, можно было счиать и фильтровать не только по ip, но и по пользователям, как это сделано в некоторых проприетарных прокси-серверах и фаерволах.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru