Привет.
Коллеги. Голова пухнет.
Компания: 1 сервер (Win2003Stnd+sp2)+10 ПК.

Как было раньше:
(Internet) -> (Momem) -> (Router) -> (Switch) ну а в свитч уже все , включая сервер. Т.е. оследить, кто сколько потребляет трафика я никак не мог. Да и фильтрация на роутере довольно примитивная.

В общем решил я поставить ISA. Т.к. этот 1 сервер очень ответственный (ДК+ДНС+ДШСП+файловый сервер+...) я решил ставить ее на виртуальнуя машину, что б уменьшить точнее вероятность, что что-то пойдет не так, т.к. с ИСА раньше не работал.

На виртуальной машине "установил" 2 карты и пробросил их мостом на 2 физические карты сервера.
Ну вроде все сейчас работает. Но теперь я начинаю понимать свои ошибки, а может это и не ошибки:

1. Если я захочу _удаленно_ перезагрузить сервер, то мне надо будет выключить сначала виртуальную машину (а с ней и ИСА)... и тут вопрос - моя же сессия отпадет как только я выключу виртуалку. :(

2. Удаленный доступ к серверу? Как мне теперь на него заходить, ведь на
External (physical net[server]): (протокол TCP/IP отключен)
External (virtual[ISA]): IP 82.108.xxx.xxx

Выходит, если я как и раньше запущу РДП, и введу старый адрес, то я буду лезть на ИСУ, а не на сервер. Поменять местами настройки - отключить TCP/IP на ИСЕ, и включить на физической карте???

ЗЫ: Извините, за возможно корявое объяснение. Если нужны подробности: пишите.

Может кто подскажет, как можно по-другому реализовать интернет подключение исходя из оборудования, и количества пользователей, с возможностью контроля трафика, установления правил, прочее..

СПС.

Может кто подскажет, как можно по-другому реализовать интернет подключение исходя из оборудования, и количества пользователей, с возможностью контроля трафика, установления правил, прочее..
1. Сервер оставить в покое.
2. Роутер заменить старенькой машинкой под Windows XP.
3. На машинку-шлюз установить TMeter (www.tmeter.ru), включив в нём NAT.

2. Роутер заменить старенькой машинкой под Windows XP. »

Может кто подскажет, как можно по-другому реализовать интернет подключение исходя из оборудования, »

Как бы очень сложно будет объяснять начальству, что в его компании, состоящей из 10 (!!!) пользователей, нужна еще одна машина в серверную. Пусть и старенькая.
А если и покупать машину, так не лучше туда будет ИСА ставить?

А если и покупать машину, так не лучше туда будет ИСА ставить? »

покупаете старенькую машинку за 1тр и ставите туда linux\freebsd + SQUID(SAMS), не надо извращаться с виндузами, это не та ОС чтоб её ставить в качестве роутера\прокси + не надо лицензий и вообще ни че покупать не надо все красиво, стабильно и пучком.

покупаете старенькую машинку за 1тр и ставите туда linux\freebsd + SQUID(SAMS), не надо извращаться с виндузами, это не та ОС чтоб её ставить в качестве роутера\прокси + не надо лицензий и вообще ни че покупать не надо все красиво, стабильно и пучком. »

:) Спасибо за дельный возможно совет, но опыта работы в ЮНИКС системами не имею вовсе. + SQUID(SAMS) » - это для меня просто аббревиатура :)))

Поэтому сразу уточняющие требования: только Windows-решения, + если возможно без покупки дополнительного ПК.

zubkoff.s, охота святая святых, домен-контроллер наружу светить? Ну-ну... :)

А если и покупать машину, так не лучше туда будет ИСА ставить?
Стрелять по воробьям из установки "Град"? ;)

zubkoff.s, охота святая святых, домен-контроллер наружу светить? Ну-ну... »

Т.к. не разбираюсь - поэтому сюда и обратился. Мне кажется, если я поставлю ИСА, а за ним ДК - то это как бы повысит безопасность. В 2-х словах, Angry Demon, что Вы имели ввиду?

Стрелять по воробьям из установки "Град"? »

Т.е. ставить для 10 пользователей ИСА не имеет смысла?

Т.е. ставить для 10 пользователей ИСА не имеет смысла?
Именно. Кроме того, на дохленькую старенькую машинку, которая будет шлюзом, тежеленный ISA ставить, мягко говоря, неразумно. Кроме того, ISA работает под серверной ОС и стОить всё это будет кучеряво.

ISA работает под серверной ОС и стОить всё это будет кучеряво. »

Согласен. Значит более менее разумных решений только 2?
1. Оставляю все как есть изначально: (Internet) -> (Momem) -> (Router) -> (Switch) (является ли данная схема такой, какая защищаем мой ДК?)
2. Покупаю еще один ПК.

3. А может существующий сервер использовать в качестве шлюза, и на него поставить TMeter? Или очередной бред?

3. А может существующий сервер использовать в качестве шлюза, и на него поставить TMeter? Или очередной бред?
Таки, да, нехорошо!
zubkoff.s, охота святая святых, домен-контроллер наружу светить? Ну-ну...

как вариант, покупай вторую карту ставь на ПК офис менеджкру, ИСУ наверно не надо, Usergate или kerioWinrout настраевай и живи счасливой жизнью.) только менеджеру раскажи на пальцах что не надо ПК выключать.) ато получишь от всех благодарных пользователей вместе и от тебя лично.)

на ПК офис менеджкру, ИСУ наверно не надо, Usergate или kerioWinrout настраевай и живи счасливой жизнью.) только менеджеру раскажи на пальцах что не надо ПК выключать.) »

Не подходит. У всех пользователей ноутбуки :). Его держать постоянно включенным может и можно, а вот стационарно на одном месте - врядли. Да и 2ю сетевую... только через PCMCI - короче, это уже фантазия.

Хотя насчет софта - значит уже TMeter, kerioWinroute and Usergate можно будет ставить на новую машину. Я так понимаю это все легче, чем ИСА, а возможности практически такие же?!

Я так понимаю это все легче, чем ИСА, а возможности практически такие же?!
Самый лёгкий - TMeter. А по возможностям - лень по ссылке было сходить и прочитать? ;)

лень по ссылке было сходить и прочитать? »
извини, ссылку не заметил.

а как там определяется конкретный юзверь: по АйПи адресу, или с ДК можно как-то завязать?

Если допустим ставить фильтр по IP, то он же динамический. Поставлю ограничить скоро IP 192.168.0.173 до 256 кб\с, а завтра у него IP 192.168.0.199 и уже правило не работает.

а как там определяется конкретный юзверь: по АйПи адресу, или с ДК можно как-то завязать?
Ну, неужели лень раньше родилась? :biggrin: Как хочешь, так и определяется.
Документация (http://www.tmeter.ru/tmeter/manual/).

zubkoff.s, лучшая программа для подсчёта трафика - это TMeter :)
Вот только бесплатная её версия позволяет создавать не более трёх счётчиков,*а покупать программы начальство любит редко :(

Я делаю так - ставлю TMeter на все машины, настраиваю и блокирую доступ к ней паролем, а просмотр отсчётов выполняю с консоли удалённого администрирования. Сами отчёты можно сохранять в расшаренный каталог, к которому пользователи будут иметь доступ "только для чтения" (программа работает от имени системы).

Конечно, остаётся проблема подключения дополнительных ПК*и загрузка с LiveCD, но первое блокируется на роутере (настроить список разрешённых IP и MAC).

Если допустим ставить фильтр по IP, то он же динамический. »
На будущее, "время аренды" IP-адресов можно увеличивать до бесконечности, тогда "динамический IP" будет постоянным

Вот только бесплатная её версия позволяет создавать не более трёх счётчиков,*а покупать программы начальство любит редко »

Неужели в интернете нет ломанной версии? :)

Я делаю так - ставлю TMeter на все машины, настраиваю »
Вот эта часть я надеюсь через msi выполняется, т.е. через АД?

Неужели в интернете нет ломанной версии?
Вопрос не по адресу. ОПК п.3.18 (http://forum.oszone.net/rules.html#3.18).
Если тысячи с небольшим рублей жалко...

Цитата El Scorpio:Я делаю так - ставлю TMeter на все машины, настраиваю »
Вот эта часть я надеюсь через msi выполняется, т.е. через АД? »
Установка - не знаю. Для небольшой сети и "ручками"*один раз сделать можно :)
Впрочем, инсталлятор там стандартный.

Что касается настройки, то сначала настраивается конфигурация на одной машине, а потом save-load

Установка - не знаю. Для небольшой сети и "ручками"*один раз сделать можно »
Я являюсь крайним сторонником того, что системный администратор должен быть ленив. :)))
Ладно, msi сделать не такая и проблема.

Я так понимаю, общими рассуждениями пришли к выводу, что надо покупать слабенький ПК с 2мя сетевыми и ставить там ТМетер.

Сразу несколько вопросов: включать ли машину-шлюз в домен? Повысит ли это безопасность моего ДК из интернета? Стоит ли исключать роутер из этой связки, или так и оставить его "на входе": интернет-роутер-шлюз. Или в нем уже не будет необходимости? Каким образом доступаться к серверу через шлюз?