Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Общий по FreeBSD (http://forum.oszone.net/forumdisplay.php?f=10)
-   -   Прошу совета по поводу прокси (http://forum.oszone.net/showthread.php?t=170499)

Diesel315 18-03-2010 10:26 1371321
Прошу совета по поводу прокси
 
Всем добрый ....

Скажу сразу в никсах ни понимаю и никогда не юзал, поэтому обращаюсь к вам, надеюсь хватит терпения и желания вам мне обьяснить. А суть вопроса вот в чем:
1) На данный момент есть сеть. Всё на win (клиенты Xp SP2/3, сервера 2003 SP2). Инет раздается посредством ICS+UG 2.8+IPsec. Подробнее это выглядит так - Основная масса использует инет посредством прописки в браузерах адреса прокси вида 192.168.1.20:8080 (то есть в настройках соединения у них не прописан шлюз (ИМХо так безопаснее)). Есть клиенты которые ходят в инет мимо UG 2.8 (ну там клиент банки всякие) путём прописки шлюза 192.168.1.20, соответственно я не могу отследить трафик так образом, и если пользователи пропишут у себя шлюз (есть парочка который сидят под админами), то и они буду ходит мимо прокси. Этот момент я закрыл путем настройки IPsec (сперва запретил всей сети 192.168.1.х, потом открыл нужные порты и айпи которые имеют право ходит по шлюзу), правда мониторить так и не смог чего и сколько качают если идут по шлюзу.

2) Решил сменить машину на границе. Пока остановил свой взгляд на FreeBSD 8.0 + sqiud + sams2.0.

3) Теперь не посредственно вопрос. Мне нужна такая же функциональность:
- Авторизация пользователей по ip+mac (желательно) на худой конец по ip, + дополнительно по паролю для других юзеров, но не по AD.
- Ограничение пользователей по трафику Mb ; желательно по месяцу+день
- Работа пользователей через прокси вида 192.168.1.20:8080
- Одновременная работа других пользователей по шлюзу (если не ошибаюсь этот режим называется прозрачный прокси)
- Возможность ограничения работы по шлюзу. Желательно наподобие как я сделал применив Ipsec
- Использование портфорвардинга (забыл указать у меня пользователи используют почту, настройки соединения вида 192.168.1.20:8025 /8110 а в UG уже сделал портмаппинг на 25/110 нужного почтового домена)
- настройка PPPoE (с возможностью авто переподключения при разрыве)
- Брандмауэр
- Просмотр отчетов по каждому пользователю скока и на какие сайты лазил
- Использование фильтров как для группы так и для отдельного юзера
- Возможность работать с почтой (протокол SMTP/POP3) если закончился трафик
- Возможность ограничения работать по дням недели


Вроде все. Прошу вашего совета и помощи, осуществимо ли это на той связке что я указал выше, если нет то прошу дать название или связки на которых я могу реализовать задуманное

sergey_web 06-04-2010 16:50 1386268
squid, sarg, ipfw ну почти всё + неммеренное желание

dmitryst 06-04-2010 17:13 1386297
прокомментирую тут же...
Цитата:
Цитата Diesel315
- Авторизация пользователей по ip+mac (желательно) на худой конец по ip, + дополнительно по паролю для других юзеров, но не по AD. (ип+мак точно есть, насчет пароля не знаю)
- Ограничение пользователей по трафику Mb ; желательно по месяцу+день (не в курсе, но вроде можно)
- Работа пользователей через прокси вида 192.168.1.20:8080 (есть)
- Одновременная работа других пользователей по шлюзу (если не ошибаюсь этот режим называется прозрачный прокси) (без проблем, только потом лог разгребать будет сложнее, можно пустить 2 экземпляра squid-а, и логи писать разные)
- Возможность ограничения работы по шлюзу. Желательно наподобие как я сделал применив Ipsec (вроде как всё есть)
- Использование портфорвардинга (забыл указать у меня пользователи используют почту, настройки соединения вида 192.168.1.20:8025 /8110 а в UG уже сделал портмаппинг на 25/110 нужного почтового домена) (через natd, без проблем, хоть целую простыню адресов/портов маппировать :) )
- настройка PPPoE (с возможностью авто переподключения при разрыве) (есть)
- Брандмауэр (аж три! ipfw, ipf и pf)
- Просмотр отчетов по каждому пользователю скока и на какие сайты лазил (lightsquid и подобные утилиты есть, но нужен веб-сервер для просмотра)
- Использование фильтров как для группы так и для отдельного юзера (да, можно дохренищща правил внести :) )
- Возможность работать с почтой (протокол SMTP/POP3) если закончился трафик (вроде, и так можно)
- Возможность ограничения работать по дням недели (да, точно есть) »
всё это на BSD + squid + lightsquid + apache + ipfw. Настройки всего этого есть в интернете, лень столько писать с нуля, если что - тогда уж напишем тут :)

WhitePangolin 07-04-2010 09:16 1386823
Средствами одних squid + lightsquid/Sarg + apache + ipfw эта задача не решается. Автор утверждает что в никсах ничего не понимает, а значит ему нужен будет еще и единый центр управления. В данном случае нужно нечто комплексное типа netams, либо сразу заточенный дистрибутив типа monowall, либо, если FreeBSD не критично, чтото типа ebox.

dda777 12-04-2010 09:53 1390578
http://www.opennet.ru/base/net/traf_gate.txt.html

dmitryst 12-04-2010 13:28 1390739
Цитата:
Цитата WhitePangolin
дистрибутив типа monowall »
тогда уж pfsense


Время: 18:06.

Время: 18:06.
© OSzone.net 2001-