forum.lissyara.su

Здравствуйте. На общественных началах надо решить проблему настройки сервера для сети в школе.
Я как администратор Linux/Unix полный профан, но на недостаток понимания еще в жизни жаловаться не приходилось. Просто есть лимит во времени, некогда подбирать лучший вариант.
Сеть представляет собой порядка 30 компов, подключенных к 2-3 свичам (сеть ложу не я, есть инициативные родители). Также мне сказали что в эти свичи будут включены 2 WiFi точки доступа. Вся сеть будет приходить на некий компьютер (уровня PII, думаю 250-300МГц, память и винт найдется). С другой стороны ADSL-модем.
Задача в том, чтобы подобрать и настроить софт так, чтобы в идеале было можно:
- раздавать интернет на преподавательские ПК (если можно с ограничением канала, поскольку инет не резиновый);
- раздавать инет на ученические ПК (если можно чтобы преподаватель мог отключать этот доступ всей группе ученических ПК или отдельным ПК через WEB-интерфейс)
- чтобы через WiFi все желающие не могли лазить в инет, но имели доступ в локалку, в идеале - доступ в инет через WiFi только преподавателям.
На всех компьютерах сети стоит винда.
Пожалуйста подскажите возможно ли все это реализовать и если возможно, то как, с помощью какого софта.
Я пробовал смотреть на спец. дистры типа IPCop, IPFire, но не нашел как сделать все это на их основании.
P.S. желательно, чтобы для реализации хватило сил PII 250-300МГц, поскольку бюджет минимальный.

Ну раз вы у БСДшников то http://m0n0.ch/wall/
С головой хватит. Трафик шейпер (ограничение скоростей) встроенный.HDD в принципе нафиг не нужен, загружается он с СиДи болванки, а конфигурацию можно хранить на какой нибудь самой дешевой, маленькой(по оьбему) флэшке.
Веб - интерфейс очень простой, если в сетях шарите, то разобраться не составит труда, - не намного сложнее настройки Длинка или Линксиса. Машинка такого класса как у вас потянет интернет со скоростью где-то до 20Мбит/с. что для ADSL вполне хватит.
У моновола есть разграничение по юзерам, которым сами можете выставлять права, что можно, что нельзя, т.е. учителям можно будет дать доступ, чтобы разрешали/запрещали когда надо.
Если надо чтобы WiFi был только для преподов, то лучше воткнуть третью сетевушку и на нее повесить WiFi, проще будет админить, хотя можно и по IP все разрулить.

m0n0wall я смотрел, очень хорошая штука, не спорю.
WiFi уже не получится повесить на одну сетевушку - не предусмотрено существующей структурой сети, а переделывать сеть долго и дорого.
Мне просто не совсем ясен вариант:

хотя можно и по IP все разрулить.

.

taurus писал(а): Мне просто не совсем ясен вариант:

хотя можно и по IP все разрулить.

.

Перевести WiFi в режим access point, тогда беспроводные машины будут видится в сети так же как и проводные и в одной подсети.
Если WiFi только преподам, то на точке доступа разрешить фильтрацию по МАС адресам и оставить доступ только их машинам.

wifi точка это по сути мост ETHERNET <-> IEEE802.11
но не верь глазам своим, точки нередко умеют натить, шейпить, выдавать ип, и еще кучу разных разностей, выходящих за пределы непосредственного функционала точки доступа.
в данном случае вас должна интересовать возможность выключить на точке НАТ и включить DHCP на три разных подсети, отличных от кабельной. т.о. можно будет на уровне IP разруливать воздух отдельно от кабеля, и отвязаться от того как эти точки подключаются к кабельной сети.
еще, как вариант, сделать для воздуха pppoe/pptp авторизацию. громоздко, но вариант

и еще, если свичи умеют делать вланы, то мона повесить точки на отдельные вланы на сервере, но сомневаюсь, что таковые свичи будут ставить в школе на 30 машин.

BSD_daemon писал(а):...Если WiFi только преподам, то на точке доступа разрешить фильтрацию по МАС адресам и оставить доступ только их машинам.

по воздуху маки летают в каждом пакете открытым текстом. умный школьничек найдется, и остальных научит как такое обходить..
EAP?

FreeBSP писал(а):

BSD_daemon писал(а):...Если WiFi только преподам, то на точке доступа разрешить фильтрацию по МАС адресам и оставить доступ только их машинам.

по воздуху маки летают в каждом пакете открытым текстом. умный школьничек найдется, и остальных научит как такое обходить..
EAP?

Ну там же наверное не будут на плакате ключ WPA выставлять, а его крякать замучаются.
Кстати в случае с моноволом там можно еще WiFi подсеть на captive portal переключить, врагам будет трудней пробиться - сперва авторизация, потом интернет.

taurus писал(а):Вся сеть будет приходить на некий компьютер (уровня PII, думаю 250-300МГц, память и винт найдется). С другой стороны ADSL-модем.
Задача в том, чтобы подобрать и настроить софт так, чтобы в идеале было можно:
- раздавать интернет на преподавательские ПК (если можно с ограничением канала, поскольку инет не резиновый);
- раздавать инет на ученические ПК (если можно чтобы преподаватель мог отключать этот доступ всей группе ученических ПК или отдельным ПК через WEB-интерфейс).

Для этих целей подойдет PFsense

taurus писал(а):Также мне сказали что в эти свичи будут включены 2 WiFi точки доступа.

А чего за точки доступа? Может wifi маршрутизатор? Если маршрутизатор, то с настройкой wifi все просто будет.
А что значит - инет не резиновый - ограничения по количеству трафика?

ну к воздуху то доступ у всех будет. как отделить мух от катлет, т.е учеников от проеподов и от дяди васи из соседнего дома
BSD_daemon, или я не прав??

FreeBSP писал(а):ну к воздуху то доступ у всех будет. как отделить мух от катлет, т.е учеников от проеподов и от дяди васи из соседнего дома
BSD_daemon, или я не прав??

Топик стартер писал:

в идеале - доступ в инет через WiFi только преподавателям.

а дяди Васи из соседнего дома я думая тоже WPA ключ не дадут. Так что остальное на файере по ИП раскидать можно.

ivan__ писал(а): Для этих целей подойдет PFsense

Пфсенс однозначно покруче будет, но тогда нужно будет еще на HDD попадать, да и машинка довольно слабенькая, хотя если побольше RAM-а поставить, то тоже зафурычит.

BSD_daemon писал(а):

ivan__ писал(а): Для этих целей подойдет PFsense

Пфсенс однозначно покруче будет, но тогда нужно будет еще на HDD попадать, да и машинка довольно слабенькая, хотя если побольше RAM-а поставить, то тоже зафурычит.

taurus писал(а): память и винт найдется

BSD_daemon писал(а):Топик стартер писал:

taurus писал(а):- чтобы через WiFi все желающие не могли лазить в инет, но имели доступ в локалку, в идеале - доступ в инет через WiFi только преподавателям.

на счет машинки - тыщ за 6-8-10 мона собрать железку с нормальными характеристиками. если есть кузов/хард/прочия, то мона и дешевле

Если надо настроить в школе то я за бесплатно готов все сделать (программно) в Новосибирске

ivan__ писал(а):

taurus писал(а): память и винт найдется

Тогда однозначно Пфсенс будет лучше.Кстати да, это же школа, а у Пфсенса модуль сквида есть, тогда можно будет на фаере закрыть все исходящие соединения, а доступ в интернет только через прокси с авторизаций. В этом случае доступ в локалку по воздуху будет без проблем, а в инет только по паролю. Там кстати есть еще одна очень полезная фича для школ, обязательно надо будет врубить в сквиде опцию safe browsing - она автоматически тогда будет инжектить в запросы к поисковикам параметры, при которых поисковики не будут выдавать ни одной ссылки на порнуху, наркоту и прочий стремный контент.

Большое спасибо за советы и поддержку, присмотрюсь к моноволу и пфсенс.
просто я хотел чтобы в сеть через WiFi мог ходить любой, а в инет не любой. Мой товарищ-админ, посоветовал не гемороиться, а просто запаролить WiFi и сказать пароль только преподам. С таким допущением я думаю смогу уже сделать. Товарищ посоветовал использовать сквид (чтобы было кеширование), к которому можно прикрутить разные фичи.
arkan, спасибо, но я от Вас на расстоянии порядка 3 тыщ км, да и самому повысить свою ориентированность в относительно новой для меня области мне точно не повредит, знания - инвестиция в будущее

FreeBSD+DNS+DHCP+3proxy.
этого хватить по полной.

taurus писал(а): просто я хотел чтобы в сеть через WiFi мог ходить любой, а в инет не любой.

Тогда наверное лучшее решение - Пфсенс с пакетами: squid+squidGuard+Lightsquid
Перекрыть кислород всем исходящим соединениям фаером, а доступ в инет только по паролю в сквиде.
На WiFi поставить captive portal, тогда, доступ по воздуху тоже будет только по авторизации.
Т.е. все доступы можно будет разруливать из веб админки.

Raven2000 писал(а):FreeBSD+DNS+DHCP+3proxy.
этого хватить по полной.

А на фига, когда уже есть все в одном флаконе, у пфсенса можно догрузить PowerDNS до кучи, но имхо встроенный ДНС-форвардер более чем достаточно. DHCP тоже удобный, настроить static DHCP и все как на ладони. Централизованный NTP сервак для локалки, вообщем все в одном месте и без погружения в маны, которые я очень сомневаюсь одолеют учителя, когда будут рулить доступом, а с веб интерфейсом им будет значительно проще имхо.

Цель одна, пути многочисленны, но ты выберешь свой путь (с) Raven2000 )
им ничего ненадо осваивать веб морда к 3proxy есть встроена, а остальное настроил за 1 раз и все.
Согласен, что с мордой будет им будет проще.

как тут правильно замечено, web-морда нужна скорее для учителей. Также желательно чтобы сервак был нечувствителен к аварийным режимам (свет потух на время - ИБП пока не предвидится в обозримом будущем), чтобы не приходилось срываться с работы в экстренном режиме и ехать шаманить. То есть хотелось бы, чтобы после пропадания света, учительница нажала кнопку Power и все снова заработало.
P.S. К сожалению днем дискуссию вести не могу, на текущей работе нет инета, каменный век, но что поделать.

Raven2000 писал(а): а остальное настроил за 1 раз и все.

Я вообщем то советовал из расчета:

Я как администратор Linux/Unix полный профан,...

и если еще учесть

На общественных началах надо решить проблему настройки сервера для сети в школе.

то имхо надо что нить поудобней и в то же время надежно (ибо пфсенс и моновол- это фря)

taurus писал(а):То есть хотелось бы, чтобы после пропадания света, учительница нажала кнопку Power и все снова заработало.

С пфсенс и тем более с моноволом таких проблем не будет.
Посмотрите кстати в биосе машины, у многих там есть опция - что делать при аварийном пропадании напруги, поставте там always on, тогда она автоматом будет стартовать, когда свет появится.

Raven2000 писал(а):Цель одна, пути многочисленны, но ты выберешь свой путь (с) Raven2000 )
им ничего ненадо осваивать веб морда к 3proxy есть встроена, а остальное настроил за 1 раз и все.
Согласен, что с мордой будет им будет проще.

Она есть в портах? Что то я отстал от жизни... Первы ра слышу про такое....

была