forum.lissyara.su

Положу на форум, т.к. для себя писал. Для документации так сказать, что за сервер, чем занимается, как делал, и что там сейчас работает.

Шлюз (Gateway).

Описание задач того или иного сервера я начинаю с постановки задач, которые он будет выполнять. Их можно переделать в предпочитаемый вид и утвердить приказом. (Рекомендую, т.к. в этом случае руководство обязано выделить необходимые средства для реализации обозначенных задач и попутно берёт ответственность на себя, в случае чего.) В большинстве своём можно сказать просто, шлюз связывает локальную сеть(нашу) с глобальной (интернет), но у себя я постарался определить их более чётко.

Основные задачи:
1. Организация DMZ (особенный и жёстко изолированный участок сети) и контроль доступа в/из DMZ.
2. Предоставление и контроль доступа пользователей нашей локальной сети к ресурсам интернет и DMZ.
3. Предоставление и контроль доступа пользователей интернет к нашей локальной сети и серверам в DMZ.
4. Предоставление и ведение статистики о прошедшем трафике. (Как общем так и о трафике каждого пользователя за день, месяц, год)

Приемлемые потери:
А. Вследствие выхода из строя оборудования (возможно всего):
Потеря данных за последние на сутки, если они хранятся на самом шлюзе.
Б. Вследствие сбоя ПО или ошибки администратора:
Потеря данных за последние на сутки.

Срок службы:
Срок службы = сроку гарантии, но не менее 3-х лет. Дальнейшее назначение определяется системным администратором или его руководством.

Срок восстановления:
Максимальный срок восстановления всех данных и полной работоспособности - 3-и часа.

Средства контроля сервера:
1. Контроль работоспособности всех сервисов и перезапуск в автоматическом режиме.
2. Контроль критических параметров работы сервера: Загрузка CPU, сети, превышение количества открытых файлов, подключений, процессов, расходуемой памяти, объёме места на жёстких дисках, температурах и т.д.
Необходим график/отчёт о работе большинства критических параметров за любой период времени.

На основании реализованных выше пунктов принимается решение о модернизации сервера.

Сервера должны работать круглосуточно - 24 часа в день и 7 дней в неделю. (24/7)

После определения задач нашего сервера необходимо наметить план работы. Хочу заметить - именно план работы, а не размышления о возможном и невозможном, а также нужном и ненужном. Все размышления высказываются и корректируются уже в процессе реализации.

1. Организация DMZ (особенный и жёстко изолированный участок сети, демилитаризованная зона) и контроль доступа в/из DMZ.

Делаем с помощью файрвола (ipfw) соответствующие правила (разрешения, ограничения и т.п.). Делим на своих и чужих так сказать (определение своих и чужих в п.2). Что можно, что нельзя.
Обращаем своё внимание на то, что нельзя допустить возможность, чтобы из DMZ предполагаемый взломщик получил доступ к нашей локальной сети, и тем более шлюзу, который и обеспечивает работоспособность DMZ.

2. Предоставление и контроль доступа пользователей нашей локальной сети к ресурсам интернет и DMZ.

Думаем как лучше, по IP-Адресам, VPN или Winbind(LDAP) и т.д. мы будем определять кто, куда, что можно, что нельзя. Как будем блокировать, ограничивать, учитывать. Короче - что будем контролировать. (трафик, пользователей, компьютеры, какие-то другие интересные вещи). Суммарно или по каждому в отдельности?

3. Предоставление и контроль доступа пользователей интернет к нашей локальной сети и серверам в DMZ.

В нашей локальной сети интернет пользователям (анонимным) делать нечего. А вот по VPN может быть и можно что-нибудь придумать. Возможно, VPN сервер внутри сети организовать.
Интернет пользователям доступ уже должен быть организован в п.1. Собственно DMZ для этого и предназначена.

4. Предоставление и ведение статистики о прошедшем трафике. (Как общем так и о трафике каждого пользователя)

Тут речь только о статистике, будет она храниться на этом сервере или нет, будет этот сервер предоставлять эту статистику на обозрение руководству(пользователям, админам) или нет?

Приступаем к реализации нашего плана. Удачи.

Тут описываем всё что на шлюзе, что за сервисы, доступ и т.п. Для скорейшей реализации наших планов и существует сайт http://www.lissyara.su.

Если понравится, можно положить на сайт в раздел документация, чтобы молодёжЪ знала, а деды не забывали чем занимается шлюз и с чем его едят.

Кто с чем несогласен высказываемся? У всех всё это реализовано? Или лень преобладает?(как у меня :-) )

деды....

А как бы это документ был переиначен, если бы это было техзадание для админа? И был бы он переиначен?
имхо, сейчас это заметка для себя и руководства.

Тут дело в том, что надо уметь аргументированно убеждать в своих потребностях.
Я предоставлю несколько документов к утверждению. Руководство будет ломать голову что и где. Потом ещё несколько. Причём опять убедительно (я уже пробовал, руководству нравятся). Рано или поздно, руководство будет делать (пусть даже через раз) то, что я хочу, и без необходимых аргументов. Другими словами дави интеллектом своё руководство и оно будет тебе слепо верить. (или выгонит нафиг). Заставь руководство думать!!! Разве это не замечательно?

А как бы это документ был переиначен, если бы это было техзадание для админа? И был бы он переиначен?

ТехЗадание чего? Создания своего шлюза?
Что такое шлюз, чем он занимается, критерии работы(сроки службы, восстановления)?

имхо, сейчас это заметка для себя и руководства.

Если полностью расписать (с реализацией) - это точное описание работы шлюза. Что и требуется следующему админу для понимания работы системы. Документация вобщем.

Мне кажется надо добавить: имеющиеся ресурсы - ресурсы, которые необходимо, чтоб имелись

princeps писал(а):Мне кажется надо добавить: имеющиеся ресурсы - ресурсы, которые необходимо, чтоб имелись

В смысле? Куда добавить? Ты не про это:

2. Контроль критических параметров работы сервера: Загрузка CPU, сети, превышение количества открытых файлов, подключений, процессов, расходуемой памяти, объёме места на жёстких дисках, температурах и т.д.
Необходим график/отчёт о работе большинства критических параметров за любой период времени.

нет, не совсем. Я имел в виду по вот этому поводу:

dikens3 писал(а):На основании реализованных выше пунктов принимается решение о модернизации сервера.

Добавить что-то то вроде: имеется сервер такой-то, с таким-то цпу, таким-то рам, такими-то хдд, а надо такой-то и такой-то. Чтоб начальству было понятно, на что надо попасть, если хочет быстрого надежного интернета.

princeps писал(а):Добавить что-то то вроде: имеется сервер такой-то, с таким-то цпу, таким-то рам, такими-то хдд, а надо такой-то и такой-то. Чтоб начальству было понятно, на что надо попасть, если хочет быстрого надежного интернета.

Руководителям нужно сообщать:
1. Проблемы, которые могут привести к нарушению функционирования организации.
2. Идеи, которые могут привести к улучшению функционирования организации.
На пустой трёп они не клюнут.
Отсюда варианты:
1. Если начальство всё устраивает, то задолбаешься доказывать что нужен другой сервер. Всё ведь работает так, как устраивает руководство !!! Не устраивает только тебя.
Поэтому тебе нужно сообщить, если не сделать так-то (потому что на основании реализованных выше пунктов жёсткий диск умирает... и т.п.) тогда будет всё вот так-то.(т.е. жопа на такое-то время... А то и просто жопа, без указания времени)

2. Предлагать руководству заменить сервер, т.к. чё-нибудь там необходимо для какого-нибудь отдела. (Сотрудники отдела Х просят удалённый доступ из дома для которого потребуются новые мощности и т.д.)
Или предложить, что возможно (ключевое слово) улучшить связь(стабильность) и т.д. Т.е. мозг парить под видом идеи. И тем самым заменить сервер.

Нее, чувак, ты не так меня понял.
Я так понимаю, шлюз поднимается с нуля. Т.е. в некой конторе возникла необходимость поставить шлюз. Для этого смотрим, какая техника есть в наличии и какая нужна и описываем это в тз. Т.е. я исхожу из того, что идея поставить шлюз исходила сверху, а не снизу.
А так, видимо, у каждого свои методы общения с начальством.

dikens3 писал(а):1. Если начальство всё устраивает, то задолбаешься доказывать что нужен другой сервер. Всё ведь работает так, как устраивает руководство !!! Не устраивает только тебя.

Если все действительно работает, то зачем трогать? просто поиграться? Дело, конечно, хорошее, но это не энтерпрайз подход. Другое дело, что, бывает, приходишь в контору - а там интернет на 30 компов раздает одна из рабочих станций с Windows XP через расшаренный сетевой интерфейс безо всяких там заморочек типа фаерволов\прокси-серверов. Оно вроде тоже работает - интернет есть, пользователи довольны, начальство тоже. Ну тогда лично я делаю так: пишу служебную записку, в которой описываю, чем чревато подобное отношение и что надо купить, чтоб все стало как надо. Если не соглашаются - то идут нахрен, стоимость моего времени, которое уходит на решение проблем с такими товарищами обычно больше, чем они готовы заплатить. В конторах покрупней и отношение другое - говоришь надо, значит надо, если не борзеть, конечно. Во всяком случае, лично мне такие попадались, хотя, наверное, по-всякому бывает.

Вообще жалко, что только мы вдвоем обсуждаем эту тему, мне кажется вопросы составления документации, всякой отчетности для системного администратора не менее важны, чем умение настроить фаервол. Вот Адекамер меня поддержит . И хотелось бы видеть статьи на эту тему.

princeps писал(а):Т.е. я исхожу из того, что идея поставить шлюз исходила сверху, а не снизу.

Тогда варианты:
1. Требовать от руководства список достаточно точных предпочтений (сколько пользователей, сколько трафика и т.п.) и из этого исходить какой нужен шлюз. Т.е. ТЗ?
2. Предложить установить то, что скажешь ты и потом определить что и как.

P.S. Кажись я начал въезжать, что это за зверь - ТехЗадание.

dikens3 писал(а):1. Требовать от руководства список достаточно точных предпочтений (сколько пользователей, сколько трафика и т.п.) и из этого исходить какой нужен шлюз. Т.е. ТЗ?

Ну в общем-то да. Правда руководство в большинстве случаев не знает этого, оно просто хочет, чтоб был интернет . Я обычно сам составляю список потребностей пользователей, после этого становится ясно, какие задачи шлюз должен выполнять. А уже исходя из этого выбираю наиболее дешевое решение.

я подумал, как подействует на неподготовленный мозг начальство
не текст, но красочная презентация с многоцветными слайдами, видео вставками
и минимумом текста в виде: аля рекламные слоганы
что то типа:
вот видите НАДО сервер! ученными доказано! и у всех сотрудников волосы будут шелковистые, а главное сухо!

hizel писал(а):я подумал, как подействует на неподготовленный мозг начальство
не текст, но красочная презентация с многоцветными слайдами, видео вставками
и минимумом текста в виде: аля рекламные слоганы
что то типа:
вот видите НАДО сервер! ученными доказано! и у всех сотрудников волосы будут шелковистые, а главное сухо!

Жжёшь. И ты ещё не учёл такого слова - Сенсация!!!

serge писал(а):А как бы это документ был переиначен, если бы это было техзадание для админа? И был бы он переиначен?
имхо, сейчас это заметка для себя и руководства.

Системному администратору:

Определить опитимальную стратегию учёта и контроля проходящего через шлюз трафика исходя из следующих требований:
1. Необходимо обеспечить учёт трафика (входящего и исходящего) для каждого пользователя с возможностью просмотра на определённый день, месяц, год.
2. Необходимо обеспечить учёт трафика (входящего и исходящего) на каждом интерфейсе с возможностью просмотра на определённый день, месяц, год.
3. Необходимо обеспечить просмотр информации более детально и в человеческом виде. (Т.е. squid,sarg и т.п. сервисы могут этому содействовать)
4. Необходима DMZ.

Ага.. то что нужно.