Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   [решено] Реализация доступа к интернет. (http://forum.oszone.net/showthread.php?t=164587)

zubkoff.s 25-01-2010 13:22 1329317

Реализация доступа к интернет.
 
Привет.
Коллеги. Голова пухнет.
Компания: 1 сервер (Win2003Stnd+sp2)+10 ПК.

Как было раньше:
(Internet) -> (Momem) -> (Router) -> (Switch) ну а в свитч уже все , включая сервер. Т.е. оследить, кто сколько потребляет трафика я никак не мог. Да и фильтрация на роутере довольно примитивная.

В общем решил я поставить ISA. Т.к. этот 1 сервер очень ответственный (ДК+ДНС+ДШСП+файловый сервер+...) я решил ставить ее на виртуальнуя машину, что б уменьшить точнее вероятность, что что-то пойдет не так, т.к. с ИСА раньше не работал.

На виртуальной машине "установил" 2 карты и пробросил их мостом на 2 физические карты сервера.
Ну вроде все сейчас работает. Но теперь я начинаю понимать свои ошибки, а может это и не ошибки:

1. Если я захочу _удаленно_ перезагрузить сервер, то мне надо будет выключить сначала виртуальную машину (а с ней и ИСА)... и тут вопрос - моя же сессия отпадет как только я выключу виртуалку. :(

2. Удаленный доступ к серверу? Как мне теперь на него заходить, ведь на
External (physical net[server]): (протокол TCP/IP отключен)
External (virtual[ISA]): IP 82.108.xxx.xxx

Выходит, если я как и раньше запущу РДП, и введу старый адрес, то я буду лезть на ИСУ, а не на сервер. Поменять местами настройки - отключить TCP/IP на ИСЕ, и включить на физической карте???

ЗЫ: Извините, за возможно корявое объяснение. Если нужны подробности: пишите.

Может кто подскажет, как можно по-другому реализовать интернет подключение исходя из оборудования, и количества пользователей, с возможностью контроля трафика, установления правил, прочее..

СПС.

Angry Demon 25-01-2010 13:48 1329346

Цитата:

Цитата zubkoff.s
Может кто подскажет, как можно по-другому реализовать интернет подключение исходя из оборудования, и количества пользователей, с возможностью контроля трафика, установления правил, прочее..

1. Сервер оставить в покое.
2. Роутер заменить старенькой машинкой под Windows XP.
3. На машинку-шлюз установить TMeter, включив в нём NAT.

zubkoff.s 25-01-2010 13:57 1329356

Цитата:

Цитата Angry Demon
2. Роутер заменить старенькой машинкой под Windows XP. »

Цитата:

Цитата zubkoff.s
Может кто подскажет, как можно по-другому реализовать интернет подключение исходя из оборудования, »

Как бы очень сложно будет объяснять начальству, что в его компании, состоящей из 10 (!!!) пользователей, нужна еще одна машина в серверную. Пусть и старенькая.
А если и покупать машину, так не лучше туда будет ИСА ставить?

Seven 25-01-2010 14:16 1329374

Цитата:

Цитата zubkoff.s
А если и покупать машину, так не лучше туда будет ИСА ставить? »

покупаете старенькую машинку за 1тр и ставите туда linux\freebsd + SQUID(SAMS), не надо извращаться с виндузами, это не та ОС чтоб её ставить в качестве роутера\прокси + не надо лицензий и вообще ни че покупать не надо все красиво, стабильно и пучком.

zubkoff.s 25-01-2010 14:41 1329398

Цитата:

Цитата Seven
покупаете старенькую машинку за 1тр и ставите туда linux\freebsd + SQUID(SAMS), не надо извращаться с виндузами, это не та ОС чтоб её ставить в качестве роутера\прокси + не надо лицензий и вообще ни че покупать не надо все красиво, стабильно и пучком. »

:) Спасибо за дельный возможно совет, но опыта работы в ЮНИКС системами не имею вовсе.
Цитата:

Цитата Seven
+ SQUID(SAMS) »

- это для меня просто аббревиатура :)))

Поэтому сразу уточняющие требования: только Windows-решения, + если возможно без покупки дополнительного ПК.

Angry Demon 25-01-2010 15:12 1329423

zubkoff.s, охота святая святых, домен-контроллер наружу светить? Ну-ну... :)

Цитата:

Цитата zubkoff.s
А если и покупать машину, так не лучше туда будет ИСА ставить?

Стрелять по воробьям из установки "Град"? ;)

zubkoff.s 25-01-2010 15:16 1329424

Цитата:

Цитата Angry Demon
zubkoff.s, охота святая святых, домен-контроллер наружу светить? Ну-ну... »

Т.к. не разбираюсь - поэтому сюда и обратился. Мне кажется, если я поставлю ИСА, а за ним ДК - то это как бы повысит безопасность. В 2-х словах, Angry Demon, что Вы имели ввиду?

Цитата:

Цитата Angry Demon
Стрелять по воробьям из установки "Град"? »

Т.е. ставить для 10 пользователей ИСА не имеет смысла?

Angry Demon 25-01-2010 15:39 1329447

Цитата:

Цитата zubkoff.s
Т.е. ставить для 10 пользователей ИСА не имеет смысла?

Именно. Кроме того, на дохленькую старенькую машинку, которая будет шлюзом, тежеленный ISA ставить, мягко говоря, неразумно. Кроме того, ISA работает под серверной ОС и стОить всё это будет кучеряво.

zubkoff.s 25-01-2010 15:49 1329452

Цитата:

Цитата Angry Demon
ISA работает под серверной ОС и стОить всё это будет кучеряво. »

Согласен. Значит более менее разумных решений только 2?
1. Оставляю все как есть изначально: (Internet) -> (Momem) -> (Router) -> (Switch) (является ли данная схема такой, какая защищаем мой ДК?)
2. Покупаю еще один ПК.

3. А может существующий сервер использовать в качестве шлюза, и на него поставить TMeter? Или очередной бред?

Angry Demon 25-01-2010 15:59 1329465

Цитата:

Цитата zubkoff.s
3. А может существующий сервер использовать в качестве шлюза, и на него поставить TMeter? Или очередной бред?

Таки, да, нехорошо!
Цитата:

Цитата Angry Demon
zubkoff.s, охота святая святых, домен-контроллер наружу светить? Ну-ну...


wertyg 25-01-2010 16:25 1329479

как вариант, покупай вторую карту ставь на ПК офис менеджкру, ИСУ наверно не надо, Usergate или kerioWinrout настраевай и живи счасливой жизнью.) только менеджеру раскажи на пальцах что не надо ПК выключать.) ато получишь от всех благодарных пользователей вместе и от тебя лично.)

zubkoff.s 25-01-2010 16:40 1329494

Цитата:

Цитата wertyg
на ПК офис менеджкру, ИСУ наверно не надо, Usergate или kerioWinrout настраевай и живи счасливой жизнью.) только менеджеру раскажи на пальцах что не надо ПК выключать.) »

Не подходит. У всех пользователей ноутбуки :). Его держать постоянно включенным может и можно, а вот стационарно на одном месте - врядли. Да и 2ю сетевую... только через PCMCI - короче, это уже фантазия.

Хотя насчет софта - значит уже TMeter, kerioWinroute and Usergate можно будет ставить на новую машину. Я так понимаю это все легче, чем ИСА, а возможности практически такие же?!

Angry Demon 25-01-2010 16:54 1329504

Цитата:

Цитата zubkoff.s
Я так понимаю это все легче, чем ИСА, а возможности практически такие же?!

Самый лёгкий - TMeter. А по возможностям - лень по ссылке было сходить и прочитать? ;)

zubkoff.s 25-01-2010 17:20 1329522

Цитата:

Цитата Angry Demon
лень по ссылке было сходить и прочитать? »

извини, ссылку не заметил.

а как там определяется конкретный юзверь: по АйПи адресу, или с ДК можно как-то завязать?

Если допустим ставить фильтр по IP, то он же динамический. Поставлю ограничить скоро IP 192.168.0.173 до 256 кб\с, а завтра у него IP 192.168.0.199 и уже правило не работает.

Angry Demon 25-01-2010 17:34 1329539

Цитата:

Цитата zubkoff.s
а как там определяется конкретный юзверь: по АйПи адресу, или с ДК можно как-то завязать?

Ну, неужели лень раньше родилась? :biggrin: Как хочешь, так и определяется.
Документация.

El Scorpio 26-01-2010 07:30 1330044

zubkoff.s, лучшая программа для подсчёта трафика - это TMeter :)
Вот только бесплатная её версия позволяет создавать не более трёх счётчиков,*а покупать программы начальство любит редко :(

Я делаю так - ставлю TMeter на все машины, настраиваю и блокирую доступ к ней паролем, а просмотр отсчётов выполняю с консоли удалённого администрирования. Сами отчёты можно сохранять в расшаренный каталог, к которому пользователи будут иметь доступ "только для чтения" (программа работает от имени системы).

Конечно, остаётся проблема подключения дополнительных ПК*и загрузка с LiveCD, но первое блокируется на роутере (настроить список разрешённых IP и MAC).

Цитата:

Цитата zubkoff.s
Если допустим ставить фильтр по IP, то он же динамический. »

На будущее, "время аренды" IP-адресов можно увеличивать до бесконечности, тогда "динамический IP" будет постоянным

zubkoff.s 26-01-2010 11:43 1330164

Цитата:

Цитата El Scorpio
Вот только бесплатная её версия позволяет создавать не более трёх счётчиков,*а покупать программы начальство любит редко »

Неужели в интернете нет ломанной версии? :)

Цитата:

Цитата El Scorpio
Я делаю так - ставлю TMeter на все машины, настраиваю »

Вот эта часть я надеюсь через msi выполняется, т.е. через АД?

Angry Demon 26-01-2010 12:46 1330212

Цитата:

Цитата zubkoff.s
Неужели в интернете нет ломанной версии?

Вопрос не по адресу. ОПК п.3.18.
Если тысячи с небольшим рублей жалко...

El Scorpio 27-01-2010 01:57 1330916

Цитата:

Цитата zubkoff.s
Цитата El Scorpio:Я делаю так - ставлю TMeter на все машины, настраиваю »
Вот эта часть я надеюсь через msi выполняется, т.е. через АД? »

Установка - не знаю. Для небольшой сети и "ручками"*один раз сделать можно :)
Впрочем, инсталлятор там стандартный.

Что касается настройки, то сначала настраивается конфигурация на одной машине, а потом save-load

zubkoff.s 27-01-2010 11:19 1331186

Цитата:

Цитата El Scorpio
Установка - не знаю. Для небольшой сети и "ручками"*один раз сделать можно »

Я являюсь крайним сторонником того, что системный администратор должен быть ленив. :)))
Ладно, msi сделать не такая и проблема.

Я так понимаю, общими рассуждениями пришли к выводу, что надо покупать слабенький ПК с 2мя сетевыми и ставить там ТМетер.

Сразу несколько вопросов: включать ли машину-шлюз в домен? Повысит ли это безопасность моего ДК из интернета? Стоит ли исключать роутер из этой связки, или так и оставить его "на входе": интернет-роутер-шлюз. Или в нем уже не будет необходимости? Каким образом доступаться к серверу через шлюз?

El Scorpio 29-01-2010 05:43 1333085

Цитата:

Цитата zubkoff.s
покупать слабенький ПК с 2мя сетевыми и ставить там ТМетер.
Сразу несколько вопросов: включать ли машину-шлюз в домен? »

Если TMeter ставить на шлюз, тогда надо будет покупать лицензию на нужное число счётчиков (иначе придётся долго гадать, кто же именно качает большие гигабайты неслужебной информации)
Но в таком режиме возможно много функций вплоть до авторизации клиентов через домен.

Цитата:

Цитата zubkoff.s
Стоит ли исключать роутер из этой связки, или так и оставить его "на входе": интернет-роутер-шлюз. »

TMeter уже содержит в себе модуль NAT-маршрутизации. Так что зачем ДВА*роутера?

Angry Demon 29-01-2010 08:22 1333146

Цитата:

Цитата zubkoff.s
включать ли машину-шлюз в домен?

Насколько я понимаю, только тогда можно будет использовать режим доменной аутентификации Windows в TMeter.

Цитата:

Цитата zubkoff.s
Повысит ли это безопасность моего ДК из интернета?

Нет.

Цитата:

Цитата zubkoff.s
Стоит ли исключать роутер из этой связки, или так и оставить его "на входе": интернет-роутер-шлюз. Или в нем уже не будет необходимости?

В роутере не будет необходимости. Его функции будет выполнять компьютер. Да и зачем городить огород с двойным NAT?

Цитата:

Цитата zubkoff.s
Каким образом доступаться к серверу через шлюз?

Настроить в TMeter файрволл и NAT на доступ к службам локальной сети. Всё описано в документации.

zubkoff.s 29-01-2010 11:10 1333265

Фактически тема решена.

Только одно:
Цитата:

Цитата Angry Demon
Цитата zubkoff.s:
Повысит ли это безопасность моего ДК из интернета?
Нет. »

Отдельную тему, или тут ответите: как повысить безопасность/защитить мой ДК при такой реализации доступа к интернет?

Angry Demon 31-01-2010 14:08 1334905

Цитата:

Цитата zubkoff.s
как повысить безопасность/защитить мой ДК при такой реализации доступа к интернет?

ДК будет находиться за файрволлом TMeter, за NAT. Что тут ещё повышать?

zubkoff.s 01-02-2010 11:28 1335752

Итак, решено: покупаю новую машину-шлюз, ставлю ТМетер.
Всем спасибо за выдержку и советы. :))


Время: 18:52.

Время: 18:52.
© OSzone.net 2001-