Попытка не продаться керио

[Pumbey]

Здраствуйте. Сразу оговорюсь, что не чувствую себя профессионалом в никсах, но сильно симпатизирую, в особенноси FreeBSD.
Пользуюсь для роутера ipf+sqiud+samba.
Но тут наткнулся на Kerio Winroute Firewall.
Блин, как же мне захотелось все это иметь прелести.
Возник вопрос, есть ли возможность сделать все это на фряхе? В случае успеха обязуюсь написать статью.

Итак. Чего же хочется.
1 Работа с пользователями из лдапа
2 Прокся, с нтлм\базик\арп аутентификацией
3 Нат, работающий про правилам, основанным на аутентификации в браузере
4 Сбор сводной статистики то есть сайты посещенные юзером + трафик ушедший по другим протоколам
5 ВПН сервер, работающий на основе ЛДАПа(да да, и его в статистику )
6 ессно шейпинг трафика и все по тому же лдапу
7 Некий каталог вебсейтов, для блокирования\разблокирования(rejik конечно есть, но если есть ченть лучще - буду щастлив)

Обязательная часть пройдена, теперь пожелания

1 Некая возможность онлайн мониторить пользователь\ip\mac\текушие соединения
2поддержка юпнп для выбраных юзеров(в идеале возможность включения п2п сетей для некоторых юзеров )

Если все это, нереализуемо, или может стать делом всей жизни - приму стоически.
Буду рад любым советам, но толковые ценятся втрое;)

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[princeps]

1 и 2 - http://www.lissyara.su/?id=1808, http://www.lissyara.su/?id=1811
3 наверное, никак. А, собственно, зачем?
4 и 6 http://www.lissyara.su/?id=1009
7 собственно, а чем не устраивает режик? вообще если хорошо поискать по форуму, то найдешь массу реализаций как прокси-сервером, так и фаерволом.

[Pumbey]

1 и 2 - http://www.lissyara.su/?id=1808, http://www.lissyara.su/?id=1811
3 наверное, никак. А, собственно, зачем?
4 и 6 http://www.lissyara.su/?id=1009
7 собственно, а чем не устраивает режик? вообще если хорошо поискать по форуму, то найдешь массу реализаций как прокси-сервером, так и фаерволом.

3 Обязательно, ибо у мну в организации, ip у юзера может смениться не 1 раз за день, и хочеться что бы правила ходили за ним.
7 Если будет желание, посмотреть cobion orange filter - то сразу станет ясно, насколько убог по сравнению с ним режик;)
(хотя сам пользую режик, но не могу сказать что в восторге)

[princeps]

3 Обязательно, ибо у мну в организации, ip у юзера может смениться не 1 раз за день, и хочеться что бы правила ходили за ним.

зачем делать натом? авторизация ntlm на прокси-сервере полностью перекрывает необходимость авторизации на нате, как мне кажется.

7 Если будет желание, посмотреть cobion orange filter - то сразу станет ясно, насколько убог по сравнению с ним режик;)
(хотя сам пользую режик, но не могу сказать что в восторге)

не знаю, какая ситуация там у тебя, но лично мне кажется, что проприетарные фильтры в большинстве случаев имеют избыточный функционал. Я, например, вообще просто в сквиде в acl добавляю ненужные домены, мне хватает.
Мне доводилось переводить на FreeBSD конторы с kerio winroute и с MS ISA server. На мой взгляд, у варианта с фрей управляемость и гибкость не идет ни в какое сравнение с ними.

[Pumbey]

Рискуя показаться невежливым, я все таки напомню, что просил совета "как сделать", а не "почему мне это не нужно"..

[princeps]

тогда ответ, видимо - никак

[Alex Keda]

тогда ответ, видимо - никак

мне нравиться подпись у bu7cher

нет ничего невозможного

===============
скрипты, много думать.
реализовать можно правктически всё.
даже авторизацию в nat - тока не в том виде как описано
например, дёргать откуданить IP юзера и динамически добавлять/удалять правила в таблицы

[princeps]

ага, а если уметь на сях кодить, так и вообще ничего невозможного нет. Тредстартер, как я понял, про готовое решение спрашивал. Вообще что-то в последнее время много людей интересуется авторизацией на НАТе, никто не в курсе, ведутся вообще какие-нибудь работы в этом направлении?

[serge]

ага, а если уметь на сях кодить, так и вообще ничего невозможного нет. Тредстартер, как я понял, про готовое решение спрашивал. Вообще что-то в последнее время много людей интересуется авторизацией на НАТе, никто не в курсе, ведутся вообще какие-нибудь работы в этом направлении?

А какой в этом реально полезный смысл?

[uHk]

ага, а если уметь на сях кодить, так и вообще ничего невозможного нет. Тредстартер, как я понял, про готовое решение спрашивал. Вообще что-то в последнее время много людей интересуется авторизацией на НАТе, никто не в курсе, ведутся вообще какие-нибудь работы в этом направлении?

наверно что-то вроде такого http://www.akado.ru/office/zond/ http://abills.net.ua/wiki/doku.php/abills:docs:amon:ru

[princeps]

А какой в этом реально полезный смысл?

По мне так тоже никакого. Но народу надо, вон, тредстартеру, например.

наверно что-то вроде такого http://www.akado.ru/office/zond/ http://abills.net.ua/wiki/doku.php/abills:docs:amon:ru

что-то там странное по ссылкам

[Fastman]

По опыту общения с керио и с другой стороны с BSD машинкой с squid/rejik/sams/clamav/etc
Решение на BSD - просто конфетка по сравнению с этим убогим монстром. Я просто прихожу в недоумение, КАК это можно СРАВНИВАТЬ.
И да.. в догонку - если пользователь имеет право сменять IP машины несколько раз в день, то стоит подумать над организацией сети в первую очередь.

P.S.
Логгирование в керио отвратительно... отвратительное еще то что нет средств автоматизации оповещений по каким либо случаям.
Попробуй сделать оповещение по шаблону что юзер такой то отключен за превышение квоты такой то итд.... Убьешся тапком.
Про реализацию хитрых ограничений по дуоступу - вообще можешь забыть.. Если на BSD админ быстро набросает скриптец + выборка из базы. То в керио с этим вообще все непросто.

[Burner]

не надо мучиться, ставьте керио

[Pumbey]

По опыту общения с керио и с другой стороны с BSD машинкой с squid/rejik/sams/clamav/etc
Решение на BSD - просто конфетка по сравнению с этим убогим монстром. Я просто прихожу в недоумение, КАК это можно СРАВНИВАТЬ.
И да.. в догонку - если пользователь имеет право сменять IP машины несколько раз в день, то стоит подумать над организацией сети в первую очередь.

P.S.
Логгирование в керио отвратительно... отвратительное еще то что нет средств автоматизации оповещений по каким либо случаям.
Попробуй сделать оповещение по шаблону что юзер такой то отключен за превышение квоты такой то итд.... Убьешся тапком.
Про реализацию хитрых ограничений по дуоступу - вообще можешь забыть.. Если на BSD админ быстро набросает скриптец + выборка из базы. То в керио с этим вообще все непросто.

Сори за полное цитирование - но не удержался.
1 Единственные минус керио - он огромный и виндовый -и в следствии этого, бывает так, что ведет себя, не так, как его настраиваеш.
Пользователь не имеет права сменить ip, он может сменить компутер, или например присоединиться по впн(да и еще варианты могут быть)
Логирование? Да блин, одно из лучших.
Оповещения - да все по шаблонам.
Хитрые ограничения в дорступе? Да сколько угодно!(единственно, нельзя ограничивать юпнп - он либо включен всем, либо нет)
З.Ы, Если вам непонятен функционал, то это вовсе не значит, что это никому никогда не пригодится.
З.Ы.Ы squid/rejik/sams/clamav/ - сквид - ну тут вопросов нету(в керио кстати тоже он, правда некоторые настройки недоступны), режик - еще раз повторюсь - совершенно не гибок, в сравнении Orange Filter. Sams - тут если честно (уж простите за тупость), не понял его смысла - если только для очень маленьких организаций (не более 20-25 юзеров).
Кламав.. Выбор антивирусника дело субьективное, но отлично работая у меня кламав за долгое время, ни чего не поймал. Установленый двеб, стал ловить сразу же и по многу..(Тут спорить не буду, возможно у меня просто руки кривые )

[princeps]

холивар?
управляемость выше у фри. В керио можно, скажем, скриптом динамически добавлять правила в фаервол? И насчет логирования ты все-таки загнул. Конечно, по виндовым понятиям оно может и одно из лучших, но если сравнивать с никсами...

[Pumbey]

не никаких холиваров.
Логирование - дело привычки и трудочасов, потраченных на их кастомизацию. Спорить не буду. (хотя иметь единую статистику per user с ната, прокси, впн - имхо приятно. Я уверен что это реализуемо во фряхе - вопрос как)
Динамически добавить правило? ессно можно, правда керио.конф имеет менее читаемый вид нежели например ipf.conf - но это возможно

А если сравнивать с никсами - я и попросил отписать решение. Пока нету решения - все доводы- просто слова.
И большая просьба, не отвлекаться от темы топика. Сори за офтоп.

[Alex Keda]

ну как же нету:

тогда ответ, видимо - никак

мне нравиться подпись у bu7cher

нет ничего невозможного

===============
скрипты, много думать.
реализовать можно правктически всё.
даже авторизацию в nat - тока не в том виде как описано
например, дёргать откуданить IP юзера и динамически добавлять/удалять правила в таблицы

просто вы хотите готовое.
готовое - платите деньги и ставьте вашего керио.
иначе - учите матчасть и пишите скрипты.
не хотите сами - велком ту раздел форума "Работа". тока приготовьтесь что решение будет стоить не меньше, если не боольше керио.
=========
в мире всё просто. не надо ничего усложнять.

[damir_madaga]

Да пускай ставит керио!
WinServer 25000
CAL 1000 * 50 users = 50000
KerioWinRouter = 10 users -> 14000 * 5 = 70000
Итог: 145 000 деревянных (грубо конечно)
А потом же еще захочеться почтовый сервер и т.д.
А на фре это все работает на 1000 целероне и есть пить не просит!

[Pumbey]

просто вы хотите готовое.
готовое - платите деньги и ставьте вашего керио.
иначе - учите матчасть и пишите скрипты.
не хотите сами - велком ту раздел форума "Работа". тока приготовьтесь что решение будет стоить не меньше, если не боольше керио.
=========
в мире всё просто. не надо ничего усложнять.

Готовое? Конечно, вы же не пишете СВОЙ прокси, вы используете сквид и мануал.
Вы не используете самописный МТА - вы берете ГОТОВЫЙ..

Ясно. То есть 2 человека, из всех отписавшихся, приблизительно представляют как, остальные только знают почему нет, и цены на винды.
Это обнадеживает.
Полагаю топ можно закрыть.

З,Ы. Спасибо всем отписавшимся

[princeps]

да ты не обижайся, на этом форуме если хвалить любое решение не на фре, то тема сразу перерастает в холивар так уж повелось.

3 Обязательно, ибо у мну в организации, ip у юзера может смениться не 1 раз за день, и хочеться что бы правила ходили за ним.

Можешь настроить ntlm-авторизацию в сквиде и правила будут ходить за юзерами. Или авторизацию по логину-паролю, получишь то же самое. Но только для http\ftp, естественно. С другой стороны, поскольку другие протоколы либо хавают ничтожный трафик, либо применение к ним фильтрации не имеет смысла (как, например, pop3/smtp/imap), то в большинстве случаев хватает.
Я переводил офис 120 компов с MS ISA Server, там была ntlm-авторизация в фаерволе, т.е. политики применялись ко всем протоколам. Перед переездом на сквид тоже были сомнения относительно отсутствия авторизации на фаере во фре, но до сих пор за два года никаких проблем не возникло - фильтрации http\ftp, как выяснилось, хватает за глаза. Видимо, раз не пишут такое для фри, значит не нужно. Это я не то чтобы яростно агитирую, так, опытом делюсь.

[Pumbey]

С одной стороны, да. С другой, когда трафик по "непринципиальным" протоколам вырастает до довольныо серьезных размеров становиться неприятно. А учитывая что юзеры суки бегают как тараканы, реально отследить где он сидел вчера - это час чтения и сверки логов. В конце концов, мы за автоматизацию али как?:)
Вобщем то я понял идею. выдергивать $user $ip из сквид лога, и писать их в фаервол. Щас буду курить эту идею - выйдит али нет - посмотрим;)

Я просто наивно пологал, что у никсоидов принято тыкать носом в мануал али в собственный опыт и наработки. А не в цены на винды.
С другой стороны, такие ответы только подстегивают самолюбие, сделать то, чем другие не интересовались\не смогли;)

[Alex Keda]

тебе насыпали идей. как делать. пути, куда копать.
копай. делай.
если долго мучаться - что нибудь получиться.
======
отпишись потом. неважно какой результат будет.

P.S. а вот то что они как тараканы бегают - я бы запретил.

[princeps]

Я просто наивно пологал, что у никсоидов принято тыкать носом в мануал али в собственный опыт и наработки. А не в цены на винды.

Если б были мануалы и наработки, то и ткнули бы, я ж тебе дал ссылки на статьи. Поскольку именно по твоему запросу никто не знает ничего, то и начали философствовать.
Если что придумаешь - отпишись, потому что ты не первый спрашиваешь про авторизацию на фаерволе.

[paradox]

Если что придумаешь - отпишись, потому что ты не первый спрашиваешь про авторизацию на фаерволе.

кошмар

я так и не понял что конкретно хочет топикстартер

[princeps]

топикстартер хочет, чтобы ВЕСЬ трафик, а не только http, можно было счиать и фильтровать не только по ip, но и по пользователям, как это сделано в некоторых проприетарных прокси-серверах и фаерволах.