LINUX.ORG.RU
ФорумAdmin

Нужен совет о правильной организации сервисов


0

1

Здравствуйте! Есть у меня FreeBSD 8.1. Система предоставляет следующие сервисы: squid, openvpn, stunnel. Squid для пользователей внутренней сети для выхода в интернет. (с этим проблем нет). Openvpn служит для организации vpn сетей только для наших сетей. Для каждой точки свой сервис, то есть подключение точка-точка. stunnel служит для сторонних организаций для доступа к одному компьютеру к нужной службе. Данный компьютер находится в нашей локальной сети. Каждой организации свой сертификат и порт для доступа к нашим услугам. Все работает, но в последнее время идет лавинное увеличение числа клиентов наших и сторонних. Соответственно на шлюзе вместо порядка, бардак с открытыми портами и сервисами (openvpn, stunnel). Сейчас уже мне тяжело следить какой порт относится к клиенту. Вопрос таков: как можно упростить или как-нибудь облегчить рутинный процесс? Кто как данную проблему решает у себя. У меня задумка такая: на шлюзе висит сервис, который хранит в своей базе (файл или mysql) порт и к какой службе относится, к какому клиенту и номер правила файрвола. Может есть другие советы или готовые варианты? Заранее спасибо.

Выкинуть stunnel, оставить только openvpn, настроить в режиме точка-мультиточка, настроить авторизацию через сертификаты или через login/pass (как больше нравится), конфигурации (ip) для каждого пользователя положить в директорию ccd, на firewall'е прописать что и кому будет доступно из vpn сети. Комментариями в pf.conf обозначить, что за доступ и какому клиенту.

Забыть.

zgen ★★★★★
()

Примерно подобные размышления привели меня когда-то к вот этому: http://code.google.com/p/flex-fw/
Поищите, возможно на FreeBSD к его системе фильтрации так-же какие то фронтэнды есть. А вообще, никто не отменял аккуратное документирование настроек и правил. Потому как до flex-fw я жил на обычном bash-скрипте, который был разбит на секции, в соответствии с сервисами. Каждая секция, и даже группа правил в ней, снабжалась подробными комментариями. Был бы я один на один со своим сервером - так бы наверное и жил с таким скриптиком до сих пор... :)

VitalkaDrug ★★
()
Ответ на: комментарий от zgen

Есть у нас клиенты или наши объекты у которых канал «тонкий», openvpn какую-то часть ширины канала съедает. Или я не прав? «Тонкий» канал - GPRS.

zks1980
() автор топика
Ответ на: комментарий от VitalkaDrug

Спасибо за направление, буду читать openvpn.

zks1980
() автор топика
Ответ на: комментарий от zks1980

1. udp
2. компрессия, как правильно заметил VitalkaDrug
(обертка в ssl с помощью stunnel это тоже расходование ширины канала)

zgen ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin