winbond, это личное дело каждого.

winbond, это личное дело каждого. » Пока меня лично не касается.

Вообще смотрю на эти бсд/линух/циско шлюзы, функций у них кот наплакал - чисто задротские (полу)провайдерные хреновины с полуанонимным доступом. Одна маршрутизация нормальная. И судя по тому как работают провайдеры у нас в стране - не впечатляет совсем, наоборот... смотришь и думаешь: ребята опенсорцные ну вы хоть до ISA 2004 удобство и функциональность наконец поднимите, а? ( Правда у провайдеров оно и не надо особо, тоже верно... Но в офисы предлагать такое, бррр... Проще воткнуть маршрутизатор на никсе и убитый ТМГ для всего остального, хотя последнего уже совсем с продаж поснимали и черт знает теперь как.

winbond, Вы чушь не городите раз не разбираетесь.

Rezor666, это было грубо, но я согласен. winbond, надо не смотреть на них, а работать с ними!

до ISA 2004 удобство и функциональность наконец поднимите, а? »
и что для вас удобство? функции ISA 2004 - прокси, шлюз (c VPN и т.д.), кешь. Если я не ошибаюсь, то большинство приложений для анализа логов прокси ISA - платные... Конечно, это вас не касается, не вы платите за ISA и ОС для неё.

exo, Тут вопрос не в деньгах а в функционале.
И судя по ответам winbond он не понимает всего функционала работы с Linux/Unix.
Я уже давно открестился от использования шлюза на Windows server.
ISA и TMG конечно хорошие продукты но их функционала мне мало.

Rezor666, а вы понимаете? Подскажите тогда какое <нужное вписать> решение позволяет сделать такое:
1) 100 тонких клиентов на сборке линуха (Device CAL, человеков больше и часть из них перемещается между дивайсами в течении рабочего дня)
2) ферма терминал-серверов (для простоты считаем что два)
Задача: дать десяти пользователям полный доступ в инет, шестидесяти четырем ограниченный, остальным запретить...
Срок: 1 день... время пошло.

P.S. Да, встроенные логи у тмг не фонтан, к сожалению. Но в ситуации разобраться позволяют тем не менее.
P.P.S. Затраты не забудьте озвучить. Если найдете конечно, пока никто не нашел (http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/355f9245-b2dd-407a-bf69-84c5af2f1dfc). Это не форк iptables однако.

что за тонкие клиенты? авторизация на них какая?

winbond, В чем проблема авторизовать пользователей по учеткам AD?

Rezor666, Как? Назовите продукт, завтра пойдем и купим. За разумную цену в ~50к. Правда же... такая цена? С поддержкой публикации серверов "для кучи" и прочими плюшками. И техподдержкой на уровне.

Авторизуются не дивайсы. Черт мне на них. Авторизуется ТС и пользователи на нем. Причем я упростил всё - есть 4 города, и часть юзеров ограниченных и вип ездит между ними, и ТС больше. Сразу убиться можно апстену без ИСА/ТМГ. Как оказалось после убийства ТМГ, что никто такого не делает и вроде даже как и не пытался. Шикарно <censored>! (ну вы ссылку на обсуждение видели выше, там все видно)

exo, своя сборка (спасибо челу который сейчас работает за гроши и тоже поднимает свой скилл, уйдем наверное из текущей конторы вместе - вин и лин братья навек) ponix раздающаяся по PXE, если интересно. На них только RDP по жестко заданному айпишнику подымается, остальное винда маст хэв.

winbond, ну так это, а в чём проблема без ТМГ ? никак не пойму.
Шлюз есть же "аппаратный"? порты пробросить? Или VPN site-to-site и без портов. Или тот же VPN клиент в тонкий клиент и так же подключаться по RDP.

Если честно то и 100к за такое можно выложить, только МС не говорите... в кулуарах витает мысль что разрабам ТМГ надо уйти в стартап, или как-то всё это дело отдать в опенсорц и "испортить окончательно". ТМГ не беспроблемное решение, но в большинстве случаев его хватает(хватало)... за более чем разумную цену (не надо мне говорить про циски и прочее - я в бешенство сразу уйду по оценке затрат)

exo, авторизовать юзеров. Не порты. У тебя есть один адрес ТС, как ты с него разрешишь части юзеров и запретишь другой части? Проблема в том что часть юзерских приложений работает под системными учетками дефолтом. И многим приложениям надо прописывать шлюз и имя/пасс... иса/тмг позволяет делать это из одного центра (указывать приложения которые пойдут стучаться в конкретный шлюз через конкретного юзера). Работает конечно только на вин (ставится клиент который принимает конфигу с ТМГ и пускает через себя указанные приложения... на удивление стабильный и прочный клиент, 1 апдейт за время его жизни и них проблем... и работает в ТС 2003-2008 R2, 12 не пробовал но думаю тоже пойдет)

P.S. А то что ребята в шапке пилят бюджеты на 8 юзеров - лучше бы указывали сразу чего у них там, астериск я просто угадал, в общем-то как ни крути фигово. А они не в курсах. Наверное. Печально. Да. Либо дураки, либо пилят. Я ламер в линухах, а вы? А мне давно уже лень уже. (http://youtu.be/9-ejCQBCLg0) Задолбали.

Молодцы, чо... как орать линкус форева так все папки, а как по делу...

У тебя есть один адрес ТС, как ты с него разрешишь части юзеров и запретишь другой части? »
создам две группы:
TS1 и TS2. тем кому надо на TS1 - добавляем в группу TS1, кому нужен второй сервер - группу TS2.
На серверах разрешаем только по одной группе. Кому надо два сервера - в двух группах будет.
Членство управляется централизовано - в АД.

с приложениями хз как. вот только Интернет Контроль Сервер - это интернет контроль, а не контроль ваших приложений.
а у вас - пойди туда, не зная куда и при этом не как иванушка, а как алёнушка.

winbond, и нервы берегите... никто тут не боготворит ни линукс, не виндовс. если вас что-то не устраивает - никто вас тут силком не держит.
если у вас есть вопросы по ТМГ - создайте тему в соответствующем разделе.
если у вас есть вопрос о Unix\Linux - создайте тему в соответствующем разделе.

Данная тема о Интернет Контроль Сервере, которая никак не замена ТМГ, и целей таких не имеет.

exo, Видно у него проблема с авторизацией пользователей а именно он боиться что squid будет пускать в инет всех с терминал сервера.
А читать про настройку видно лень...

Rezor666, я думаю что нет. дело в другом. он там вон про приложения написал. а про сквид да, нужно прочитать.

Ключевое словосочетание - "прозрачная авторизация". Варианты: либо под анонимусом, либо прописывать в каждое интернет-приложение пользователя прокси, имя и пароль, либо (в отдельных случаях) у пользователя появляется запрос авторизации на прокси (что всем тоже очень доставляет). То, как сделано в ТМГ, позволяет этого геморра избежать, в других продуктах такого нет (во всяком случае "мужики то и не знают")

То, как сделано в ТМГ, позволяет этого геморра избежать »
а там разве не клиент (http://www.oszone.net/11004/Microsoft-Forefront-TMG) устанавливается? Он сам так же авторизует в АД.

Клиент Forefront TMG прозрачно направляет информацию пользователя с каждым запросом, позволяя вам создавать политику брандмауэра на компьютере Forefront TMG 2010 с правилами, которые используют учетные данные, пересылаемые клиентом,

если вы не умеете пользоваться сквидом и iptables - то да, для вас это гемор.

в других продуктах такого нет (во всяком случае "мужики то и не знают") »
наглая ложь из-за вашей лени читать книги, и ещё хуже - лени задавать вопросы.
читаем про авторизацию сквида в АД по kerberos (http://www.exonix.ru/?ud213wwh1as8nv1tgbxuaeu.htm) и по NTLM (http://www.exonix.ru/?l0ralehzdxivlxedrkfbkm2.htm). Вот вам "прозрачная" авторизация.

и хватит уже! есть вопросы - создавайте отдельную тему.

exo, я искал "коробочный" аналог ТМГ по прозрачке. Спросил у человека, он ответил, я пометил ответ как полезный. Идите нафиг, короче ) Развели бучу.

Про "наглую ложь" расскажите людям, которые не могут сами понять чего пишут, как пишут и это нечто продают, вообще "толкают" и главное ДЛЯ КОГО!
А также имеют такие внятные сайты и доки, что ни один поисковик не занесет даже случайно. Не могу найти продукт полгода = нет продукта. ТМГ агент раскидывается по групповым для любого винадмина со стажем более года даже во сне. Главное чтобы подумал.

За ссылки спасибо, заценить пока не могу - время в общем-то уже давно прошло и нет времени сейчас. В закладки "глянуть на досуге" отложил.

P.S. Вы видели мою подпись? Она неспроста - книги закидывать кирпичами в мозг - это нормально для меня. Но весь инет я не закину. С винпродуктов по кол-ву инфы уже клинит. А основа у нас в той стороне, как ни крути.

exo, интересно, но не настолько чтобы сразу по ссылкам.
Если я зашел васей пупкиным из АД в винду не в сайте(или даже в родном сайте), шлюз раздался по дхцп, шлюзом у меня сквид, запустил "асю без настроек клиента" - сквид пометит меня как васю пупкина (если имеет связь с КД по керберосу, и нормально ли работает такая связь вообще, если есть) или все-таки как анонимуса? Под тмг без агента и настроек лезет анонимус.
У сквида конечно своя база с отдельным портированием аккаунтов из АД?
Можно в личку ссылками - я на мобиле до 11го, тяжко читать вживую с 0-50кбит/с.

winbond, Если настроите то как Васю Пупкина а если нет то как анонима.

winbond
1) хватит писать в этой теме. есть вопросы - создавайте новую тему. мы вам ответим там.
2) потерпите до 12-го. и прочитаете статьи. тогда поймёте, что
3) что у сквида в связке с АД нет базы, он обращается в АД для проверки пользовательских данных.