Настройка шлюза с прокси и доступом по mac

[aleshgo]

Привет Всем.

Значит ситуация такая: нужно организовать доступ с инету через шлюз, но не хочется замарачиватся с VPN и тд. Хочу чтобы на компьютерах которым предоставляется доступ в инет прописывался только шлюз, а на шлюз записывался его mac адрес. По mac адресу велась статистика использования инета и ограничение скорости.

Я так думаю что, это можно реализовать так: есть таблица с маками (в БД или текстовике) МАС:скорость:разрешен ли доступ, с помощью пакетного фильтра смотреть если этот мак в таблице и доступ к инету разрешен то тогда если протокол www переадресовывать это все на squid например, а если другой какой-то протокол то переадресовывать в 3proxy например и там вести статистику и всякие ограничения в соответствии с таблицей, но а
если нет такого мака или доступ запречен то резать пакет.

Собственно вопрос: это все в теории я еще новичок в администрировании, посоветуйте правильную ли я выбрал стратегию или лучше все-таки использовать vpn или другой способ, а также какие в коком виде хранить информацию о пользователях и какие связки программ использовать для достижения максимальной производительности системы.

Заранее благодарен, а также извиняюсь если нарушил правила и/или традиции форума.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[arkan]

SQUID + NCSA ну IPFW тудаже в связку можно чтоб сильно голову не ломать
а если уж пользователи свои пороли проеб.т то это уже ихние проблеммы

[nops]

А нафига авторизация по паролю, я так понял ему надо IP+MAC всё это через ipfw + pf Засандалить в пайпы и шейпить как хошь...Тут даже squid не нужен.
Но кому как, кому как удобно.
Но, при использовании проксяка, я так понимаю ты предлагаешь транспарент, и резать скорость проксиком, ты не порежешь скорость на торенты или пиринговые сети, к примеру. Или я не прав?

[aleshgo]

arkan - авторизация мне не нужна, но спасибо за совет может когда пригодится;

nops - ipfw + pf потянет если пользователей будет более 1000 и допустип у каждого своя скорость, тоесть конфигурации ipfw и pf будут содержать большое количество правил, а количество пайпов помоему ограничено. Я просто не сталкевался с такой большой конфигурацией для пакетного фильтра потянет ли он ее. А что на счет того что скорость на пиринговые сети: squid`ом не порежу он не поддерживает эти протоколы, а каким нибудь SOCKS проксиком должен по идеи.

[nops]

Про SOCKS не знаю, утверждать не буду. Давно я с этим делом не работал.
А ipfw+pf на самом деле не так уж и сложно. пайпов ты можешь нарезать достаточно, тебе хватит. Поверь.
У меня сейчас шлюз крутится в питере на 250 абанов, с разными тарифами и скоростями. Всё прекрасно работает. Только я пошол по пути наименьшего сопротивления, поставил биллинг NoDeny и доволен. Только некоторые вещи допиливаю под себя и всё))))
там именно так реализовано.
На самом деле pf нужен только натить юзеров и не более того, там правил в 3 строчки.
в фаере правда много что создаётся.... Но за это уже биллинг отвечает.... Раз делаешь и наслаждаешься.

[aleshgo]

nops Спасибо за совет.

[ADRE]

арпстат + нат через айпыфв. можно проксю прозрачно еще повесить

[nops]

ну да, точно. Тоже как вариант..... про арпстат совсем забыл)))