Реализация доступа к интернет.
 

Привет.
Коллеги. Голова пухнет.
Компания: 1 сервер (Win2003Stnd+sp2)+10 ПК.

Как было раньше:
(Internet) -> (Momem) -> (Router) -> (Switch) ну а в свитч уже все , включая сервер. Т.е. оследить, кто сколько потребляет трафика я никак не мог. Да и фильтрация на роутере довольно примитивная.

В общем решил я поставить ISA. Т.к. этот 1 сервер очень ответственный (ДК+ДНС+ДШСП+файловый сервер+...) я решил ставить ее на виртуальнуя машину, что б уменьшить точнее вероятность, что что-то пойдет не так, т.к. с ИСА раньше не работал.

На виртуальной машине "установил" 2 карты и пробросил их мостом на 2 физические карты сервера.
Ну вроде все сейчас работает. Но теперь я начинаю понимать свои ошибки, а может это и не ошибки:

1. Если я захочу _удаленно_ перезагрузить сервер, то мне надо будет выключить сначала виртуальную машину (а с ней и ИСА)... и тут вопрос - моя же сессия отпадет как только я выключу виртуалку. :(

2. Удаленный доступ к серверу? Как мне теперь на него заходить, ведь на
External (physical net[server]): (протокол TCP/IP отключен)
External (virtual[ISA]): IP 82.108.xxx.xxx

Выходит, если я как и раньше запущу РДП, и введу старый адрес, то я буду лезть на ИСУ, а не на сервер. Поменять местами настройки - отключить TCP/IP на ИСЕ, и включить на физической карте???

ЗЫ: Извините, за возможно корявое объяснение. Если нужны подробности: пишите.

Может кто подскажет, как можно по-другому реализовать интернет подключение исходя из оборудования, и количества пользователей, с возможностью контроля трафика, установления правил, прочее..

СПС.

1. Сервер оставить в покое.
2. Роутер заменить старенькой машинкой под Windows XP.
3. На машинку-шлюз установить TMeter, включив в нём NAT.

Как бы очень сложно будет объяснять начальству, что в его компании, состоящей из 10 (!!!) пользователей, нужна еще одна машина в серверную. Пусть и старенькая.
А если и покупать машину, так не лучше туда будет ИСА ставить?

покупаете старенькую машинку за 1тр и ставите туда linux\freebsd + SQUID(SAMS), не надо извращаться с виндузами, это не та ОС чтоб её ставить в качестве роутера\прокси + не надо лицензий и вообще ни че покупать не надо все красиво, стабильно и пучком.

:) Спасибо за дельный возможно совет, но опыта работы в ЮНИКС системами не имею вовсе. - это для меня просто аббревиатура :)))

Поэтому сразу уточняющие требования: только Windows-решения, + если возможно без покупки дополнительного ПК.

zubkoff.s, охота святая святых, домен-контроллер наружу светить? Ну-ну... :)

Стрелять по воробьям из установки "Град"? ;)

Т.к. не разбираюсь - поэтому сюда и обратился. Мне кажется, если я поставлю ИСА, а за ним ДК - то это как бы повысит безопасность. В 2-х словах, Angry Demon, что Вы имели ввиду?

Т.е. ставить для 10 пользователей ИСА не имеет смысла?

Именно. Кроме того, на дохленькую старенькую машинку, которая будет шлюзом, тежеленный ISA ставить, мягко говоря, неразумно. Кроме того, ISA работает под серверной ОС и стОить всё это будет кучеряво.

Согласен. Значит более менее разумных решений только 2?
1. Оставляю все как есть изначально: (Internet) -> (Momem) -> (Router) -> (Switch) (является ли данная схема такой, какая защищаем мой ДК?)
2. Покупаю еще один ПК.

3. А может существующий сервер использовать в качестве шлюза, и на него поставить TMeter? Или очередной бред?

Таки, да, нехорошо!

как вариант, покупай вторую карту ставь на ПК офис менеджкру, ИСУ наверно не надо, Usergate или kerioWinrout настраевай и живи счасливой жизнью.) только менеджеру раскажи на пальцах что не надо ПК выключать.) ато получишь от всех благодарных пользователей вместе и от тебя лично.)

Не подходит. У всех пользователей ноутбуки :). Его держать постоянно включенным может и можно, а вот стационарно на одном месте - врядли. Да и 2ю сетевую... только через PCMCI - короче, это уже фантазия.

Хотя насчет софта - значит уже TMeter, kerioWinroute and Usergate можно будет ставить на новую машину. Я так понимаю это все легче, чем ИСА, а возможности практически такие же?!

Самый лёгкий - TMeter. А по возможностям - лень по ссылке было сходить и прочитать? ;)

извини, ссылку не заметил.

а как там определяется конкретный юзверь: по АйПи адресу, или с ДК можно как-то завязать?

Если допустим ставить фильтр по IP, то он же динамический. Поставлю ограничить скоро IP 192.168.0.173 до 256 кб\с, а завтра у него IP 192.168.0.199 и уже правило не работает.

Ну, неужели лень раньше родилась? :biggrin: Как хочешь, так и определяется.
Документация.

zubkoff.s, лучшая программа для подсчёта трафика - это TMeter :)
Вот только бесплатная её версия позволяет создавать не более трёх счётчиков,*а покупать программы начальство любит редко :(

Я делаю так - ставлю TMeter на все машины, настраиваю и блокирую доступ к ней паролем, а просмотр отсчётов выполняю с консоли удалённого администрирования. Сами отчёты можно сохранять в расшаренный каталог, к которому пользователи будут иметь доступ "только для чтения" (программа работает от имени системы).

Конечно, остаётся проблема подключения дополнительных ПК*и загрузка с LiveCD, но первое блокируется на роутере (настроить список разрешённых IP и MAC).

На будущее, "время аренды" IP-адресов можно увеличивать до бесконечности, тогда "динамический IP" будет постоянным

Неужели в интернете нет ломанной версии? :)

Вот эта часть я надеюсь через msi выполняется, т.е. через АД?

Вопрос не по адресу. ОПК п.3.18.
Если тысячи с небольшим рублей жалко...

Установка - не знаю. Для небольшой сети и "ручками"*один раз сделать можно :)
Впрочем, инсталлятор там стандартный.

Что касается настройки, то сначала настраивается конфигурация на одной машине, а потом save-load

Я являюсь крайним сторонником того, что системный администратор должен быть ленив. :)))
Ладно, msi сделать не такая и проблема.

Я так понимаю, общими рассуждениями пришли к выводу, что надо покупать слабенький ПК с 2мя сетевыми и ставить там ТМетер.

Сразу несколько вопросов: включать ли машину-шлюз в домен? Повысит ли это безопасность моего ДК из интернета? Стоит ли исключать роутер из этой связки, или так и оставить его "на входе": интернет-роутер-шлюз. Или в нем уже не будет необходимости? Каким образом доступаться к серверу через шлюз?

Если TMeter ставить на шлюз, тогда надо будет покупать лицензию на нужное число счётчиков (иначе придётся долго гадать, кто же именно качает большие гигабайты неслужебной информации)
Но в таком режиме возможно много функций вплоть до авторизации клиентов через домен.

TMeter уже содержит в себе модуль NAT-маршрутизации. Так что зачем ДВА*роутера?

Насколько я понимаю, только тогда можно будет использовать режим доменной аутентификации Windows в TMeter.

Нет.

В роутере не будет необходимости. Его функции будет выполнять компьютер. Да и зачем городить огород с двойным NAT?

Настроить в TMeter файрволл и NAT на доступ к службам локальной сети. Всё описано в документации.

Фактически тема решена.

Только одно:
Отдельную тему, или тут ответите: как повысить безопасность/защитить мой ДК при такой реализации доступа к интернет?

ДК будет находиться за файрволлом TMeter, за NAT. Что тут ещё повышать?

Итак, решено: покупаю новую машину-шлюз, ставлю ТМетер.
Всем спасибо за выдержку и советы. :))