forum.lissyara.su

Здравствуйте
Есть сетка и 46 человек, которых нужно вывести в инет. Сейчас юзаю ТИ, лицензии на нем кончаются, а люди с интернетом все прибавляются. Решил перебраться на FreeBSD, есть две схемы реализации:
1. Настроить NAT с распознаванием юзверей по MAC-адресу + подсчет трафика, фильтры от порнухи и одноклассников. Как это сделать, squid и iptables? Очень хороший способ для админа, т.к. не надо никуда ходить, просто в АД прописать шлюз и добро пожаловать. Нового юзверя ввести через Питти или web-gui, если есть конечно.
2. Клиент подсоединяется к серверу посредством PPPoE с авторизацией по логину и паролю + подсчет трафика, фильтры от порнухи и одноклассников. Но вот можно ли так сделать в локальной сети, по-моему нет? А если можно, то какие настройки должны быть на фряхе? Эта схема тоже хорошая, лучше чем чистый proxy, т.к. не нужно настраивать каждую прогу отдельно на этот проксик или ставить левые проксификаторы у клиента.
Просьба сильно не пинать (наверняка это уже 1000 раз спрашивали, просто побыстрее надо) и дать наиболее развернутый ответ в виде схемы (ставишь прогу№1-ставишь прогу№2-...-ставишь прогу№n -> наслаждаешься результатом). Заранее спасибо за дельные советы.

Так не бывает.

Как только начинаются заморочки с "юзерами из АД", то сразу появляется вселенский геморой и неопределенность. Все что вы перечислили в готовом и бксплатном виде, наверное, нигде нет...

Посмотрите на разные проекты типа pfsense, monowall, etc. Может какой-нить подойдет на 80% под описание. А руками такое собирать - убиться.

Еще вариант - купить готовое решение. Я тут недавно воевал с продукцией компании FotiNet, с их хардварным фаерволом FortiGate. Плевался, матерился и еще так и не закончил его настраевать (так как в процессе настройки все время вылезали новые и новые грабли), но в целом я его заборол. Так вот фишка данного продукта в том, что у него нет лицензирования по количеству юзеров - просто покупается железка с годовой подпиской на антивирус, антиспам и web фильтры, настраевается и ставиться в качестве рутера между сетью и интернетом. Она делает 95% из того, что вы хотите (можно обьеденить с АД, но я не пробовал). Наверняка есть аналогичные решения других производителей с аналогичным функционалом.

Тебе наверно сюда http://www.lissyara.su/?id=1808

2terminus
да у меня с АД соприкосновений почти нет (вариант 1), юзеры оттуда только IP шлюза берут, авторизацию через АД я пока не думал, наверное стоит. Меня вот больше интересует второй вариант, как это провайдеры делают? Неужели только готовые решения?
2ivan__
спасибо, посмотрю

провайдеры берут большой драчёвый напильник и рихтуют под себя.
что именно рихтовать - в общем не важно. напильником всё можно сделать.

а где раздобыть такой напильник?

Ставишь squid, настраиваешь. В конфиге которого легко реализовываеца фильтр нежелательныъх сайтов, запрет на скачку определенных форматов файлов и другое.
Врубаешь поддержку ipfw (файрвол), настраиваешь.
Ставишь sarg для учета траффика по пользователям(ip адресам) с веб мордой.
Ставишь trafd с веб мордой для учета ВСЕГО (включая почтовый) траффика.

Если тебе нужно присвоить каждому юзеру логин и пароль для доступа в нет, то могу посоветовать простеньку но функциональную приблуду - STC (Squid Traffic Counter) в свое время ей пользовался. Есть веб интерфейс, можно добавлять траффик, заводить пользователей через него. + отключает доступ по привышению лимита пользователя и .т.д + не требует Базы Данных. Вообщем для твоей реализации (вывести в нет 46 юзеров) этого будет более чем достаточно и нечего выдумывать. ИмХо

1.ну вот если чистый squid ставить (NAT отключен?), то на клиентских машинах к нему как цепляться? в каждую прогу проксю писать? 46-это пока, число алчущих растет.
2.firewall в самом конце настраивать?

ну вот если чистый squid ставить (NAT отключен?), то на клиентских машинах к нему как цепляться? в каждую прогу проксю писать? 46-это пока, число алчущих растет.

у вас аутентификация по логину и паролю, значит прозрачный не подойдет. Значит - дрочь .

Я бы на вашем месте чета такое сделал http://www.lissyara.su/?id=1987. Будет нормально смотреться

firewall в самом конце настраивать?

до него еще дожить нужно , во время настройки и отладки он незачем.

2---nebo---
ОООО! походу оно. спасибо, буду копать.

у меня AD+SQUID(ntlm)+SAMS+REJIK

все отлично работает!!

А4 писал(а):у меня AD+SQUID(ntlm)+SAMS+REJIK

все отлично работает!!

Можно на внешнем инерфейсе только нат поставить и тоже отлично будет работать.
Есть большая разница между проксей и ВПНкой. Если на работе вконтактеров резать - лучше поставить проксю и не парить мозги, а если нужно людям дать нормальный интернет - лучше постараться сделать максимально приблеженно к фен шуй.

sanek2000 писал(а):1.ну вот если чистый squid ставить (NAT отключен?), то на клиентских машинах к нему как цепляться? в каждую прогу проксю писать? 46-это пока, число алчущих растет.
2.firewall в самом конце настраивать?

Зачем в кажду машинку писать проксю??? Для этого существуют Групповые политики в Active directory. Настраиваешь политику для группы юзеров в которой указываешь настройки браузера и при загрузке у юзверей настройки применяются автоматичесски. Другой вопрос если у тебя куча софта который необходимо править (в плане вводить проксю и порт) то это не вариант.

Для того, чтобы только резать контактеров не нужно ничего у клиентов прописывать. Достаточно редирект на том-же ipfw сделать на Squid. А уж самим Squid'ом правила доступа и разруливать.

+100500