PDA

Показать полную графическую версию : Прошу совета по поводу прокси


Diesel315
18-03-2010, 10:26
Всем добрый ....

Скажу сразу в никсах ни понимаю и никогда не юзал, поэтому обращаюсь к вам, надеюсь хватит терпения и желания вам мне обьяснить. А суть вопроса вот в чем:
1) На данный момент есть сеть. Всё на win (клиенты Xp SP2/3, сервера 2003 SP2). Инет раздается посредством ICS+UG 2.8+IPsec. Подробнее это выглядит так - Основная масса использует инет посредством прописки в браузерах адреса прокси вида 192.168.1.20:8080 (то есть в настройках соединения у них не прописан шлюз (ИМХо так безопаснее)). Есть клиенты которые ходят в инет мимо UG 2.8 (ну там клиент банки всякие) путём прописки шлюза 192.168.1.20, соответственно я не могу отследить трафик так образом, и если пользователи пропишут у себя шлюз (есть парочка который сидят под админами), то и они буду ходит мимо прокси. Этот момент я закрыл путем настройки IPsec (сперва запретил всей сети 192.168.1.х, потом открыл нужные порты и айпи которые имеют право ходит по шлюзу), правда мониторить так и не смог чего и сколько качают если идут по шлюзу.

2) Решил сменить машину на границе. Пока остановил свой взгляд на FreeBSD 8.0 + sqiud + sams2.0.

3) Теперь не посредственно вопрос. Мне нужна такая же функциональность:
- Авторизация пользователей по ip+mac (желательно) на худой конец по ip, + дополнительно по паролю для других юзеров, но не по AD.
- Ограничение пользователей по трафику Mb ; желательно по месяцу+день
- Работа пользователей через прокси вида 192.168.1.20:8080
- Одновременная работа других пользователей по шлюзу (если не ошибаюсь этот режим называется прозрачный прокси)
- Возможность ограничения работы по шлюзу. Желательно наподобие как я сделал применив Ipsec
- Использование портфорвардинга (забыл указать у меня пользователи используют почту, настройки соединения вида 192.168.1.20:8025 /8110 а в UG уже сделал портмаппинг на 25/110 нужного почтового домена)
- настройка PPPoE (с возможностью авто переподключения при разрыве)
- Брандмауэр
- Просмотр отчетов по каждому пользователю скока и на какие сайты лазил
- Использование фильтров как для группы так и для отдельного юзера
- Возможность работать с почтой (протокол SMTP/POP3) если закончился трафик
- Возможность ограничения работать по дням недели


Вроде все. Прошу вашего совета и помощи, осуществимо ли это на той связке что я указал выше, если нет то прошу дать название или связки на которых я могу реализовать задуманное

sergey_web
06-04-2010, 16:50
squid, sarg, ipfw ну почти всё + неммеренное желание

dmitryst
06-04-2010, 17:13
прокомментирую тут же...
- Авторизация пользователей по ip+mac (желательно) на худой конец по ip, + дополнительно по паролю для других юзеров, но не по AD. (ип+мак точно есть, насчет пароля не знаю)
- Ограничение пользователей по трафику Mb ; желательно по месяцу+день (не в курсе, но вроде можно)
- Работа пользователей через прокси вида 192.168.1.20:8080 (есть)
- Одновременная работа других пользователей по шлюзу (если не ошибаюсь этот режим называется прозрачный прокси) (без проблем, только потом лог разгребать будет сложнее, можно пустить 2 экземпляра squid-а, и логи писать разные)
- Возможность ограничения работы по шлюзу. Желательно наподобие как я сделал применив Ipsec (вроде как всё есть)
- Использование портфорвардинга (забыл указать у меня пользователи используют почту, настройки соединения вида 192.168.1.20:8025 /8110 а в UG уже сделал портмаппинг на 25/110 нужного почтового домена) (через natd, без проблем, хоть целую простыню адресов/портов маппировать :) )
- настройка PPPoE (с возможностью авто переподключения при разрыве) (есть)
- Брандмауэр (аж три! ipfw, ipf и pf)
- Просмотр отчетов по каждому пользователю скока и на какие сайты лазил (lightsquid и подобные утилиты есть, но нужен веб-сервер для просмотра)
- Использование фильтров как для группы так и для отдельного юзера (да, можно дохренищща правил внести :) )
- Возможность работать с почтой (протокол SMTP/POP3) если закончился трафик (вроде, и так можно)
- Возможность ограничения работать по дням недели (да, точно есть) »

всё это на BSD + squid + lightsquid + apache + ipfw. Настройки всего этого есть в интернете, лень столько писать с нуля, если что - тогда уж напишем тут :)

WhitePangolin
07-04-2010, 09:16
Средствами одних squid + lightsquid/Sarg + apache + ipfw эта задача не решается. Автор утверждает что в никсах ничего не понимает, а значит ему нужен будет еще и единый центр управления. В данном случае нужно нечто комплексное типа netams (http://www.netams.com/), либо сразу заточенный дистрибутив типа monowall (http://m0n0.ch/wall/), либо, если FreeBSD не критично, чтото типа ebox (http://www.ebox-platform.com/).

dda777
12-04-2010, 09:53
http://www.opennet.ru/base/net/traf_gate.txt.html

dmitryst
12-04-2010, 13:28
дистрибутив типа monowall »
тогда уж pfsense (http://system-administrators.info/?p=2723)




© OSzone.net 2001-2012