Untangle 7.1

0

0

Вышел релиз Untangle 7.1 — специализированного дистрибутива, основанного на Debian GNU/Linux и предназначенного для быстрого развертывания корпоративных шлюзов. Прочитать краткое описание его возможностей можно здесь.

В новой версии отмечены улучшения по следующим направлениям:

Управление политиками (правилами) доступа:
- Структура правил теперь является иерархической, т.е. между правилами введены отношения «родитель–потомок». Изменения в правиле-родителе отображаются на все правила-потомки.
- Добавлено автоматическое завершение активных сеансов при смене правил, в том числе по таймеру. Например, если разрешить использование IM только до 11 часов, то ровно в 11 часов не только запрещается открытие новых IM-соединений, но и блокируются все активные на текущий момент.
Фильтрация веб-контента:
- Поддерживается централизованное управление настройками фильтрации результатов поиска (safe search) для ряда популярных поисковых движков (в частности, Google).
- Добавлена возможность снятия ограничений для отдельных пользователей с использованием авторизации по паролю. Например, можно закрыть доступ в социальные сети для рядовых сотрудников, оставив его для начальства.
- Временно разблокированные сайты теперь автоматически блокируются по таймауту.
Отчеты:
- Введен отдельный уровень привилегий, позволяющий только просматривать отчеты, без доступа к администрированию системы.
  Например, чтобы начальство могло просматривать отчеты, и вы при этом не опасались, что оно что-то наворотит в админке.
- Теперь к отчетам, отправляемым на e-mail, прикрепляется архив с CSV-файлом, содержащим детальный отчет.
Добавлены новые средства для тестирования работы сети и выявления ошибок:
- ping.
- Проверка DNS.
- traceroute.
- Проверка подключения к заданному порту по TCP.
- tcpdump.
Поддержка работы на серверах с одной сетевой картой.
Доступна 64-битная сборка.

>>> Подробности

←	FFADO 2.0.0

Вышел Wine 1.1.35

→

[#]

Чем лучше ClarkConect'а?

~~ZZaiatSS~~

(19.12.2009 23:55:22)

[#]

Добавлены новые средства для тестирования работы сети и выявления ошибок:

* ping. * Проверка DNS. * traceroute. * Проверка подключения к заданному порту по TCP. * tcpdump.

А зачем выпиливали? =)

nerfur

(20.12.2009 11:51:33)

[#]

Добавлена возможность снятия ограничений для отдельных пользователей с использованием авторизации по паролю. Например, можно закрыть доступ в социальные сети для рядовых сотрудников, оставив его для начальства.

оно !

unrealix

(20.12.2009 11:59:18)

[#]

интересно, спасибо.

anton_jugatsu

(20.12.2009 12:00:46)

[#]

> Добавлены новые средства для тестирования работы сети и выявления ошибок: > ping.

P_P

melkor217

(20.12.2009 12:04:05)

[#] Ответ на: комментарий от melkor217 20.12.2009 12:04:05

И таки что вам не нравится?

kernelpanic

(20.12.2009 12:09:43)

[#] Ответ на: комментарий от unrealix 20.12.2009 11:59:18

на прежней работе, когда подбивали итоги месяца по лимитному инету, в статистике начальства всегда находили самый отборный прон.

VladimirMalyk

(20.12.2009 12:21:24)

[#]

несколько раз скачивал прошлые версии но поставить попробовать руки не доходили

tommy

(20.12.2009 12:21:49)

[#]

клево! Да еще и 64-битная есть.

doroshew (20.12.2009 12:27:52)

[#]

Не, ну супер конечно же! Но оно надо ? :)

Jetty

(20.12.2009 12:38:22)

[#] Ответ на: комментарий от nerfur 20.12.2009 11:51:33

> А зачем выпиливали? =)

А чтобы потом добавить )

m0rph

(20.12.2009 13:01:17)

[#]

Добавлены новые средства для тестирования работы сети и выявления ошибок:

* ping.

ололо

vinnni

(20.12.2009 13:07:54)

[#] Ответ на: комментарий от VladimirMalyk 20.12.2009 12:21:24

>на прежней работе, когда подбивали итоги месяца по лимитному инету, в статистике начальства всегда находили самый отборный прон.

Мне в одной конторе начальник сразу сказал, что будет качать порнуху. Ну я ему лялипс в дуалбут и воткнул.

~~linux4ever~~ (20.12.2009 13:25:17)

[#] Ответ на: комментарий от unrealix 20.12.2009 11:59:18

>Например, можно закрыть доступ в социальные сети для рядовых сотрудников, оставив его для начальства.

ОО!! А вот об этом поподробнее. Какими именно средставами можно так забанить доступ к определенным ресурсам? Обычным айпитейблзом сам раньше банил доступ к вконтакту, НО лично видел как один чел потом все равно в вконтакт заходил, спрашивается как... Сквид ставить неинтересно... Кто в теме поясните это поподробнее...

anonymous (20.12.2009 13:25:34)

[#] Ответ на: комментарий от anonymous 20.12.2009 13:25:34

> спрашивается как...

Через анонимный прокси?

bon (20.12.2009 13:31:53)

[#] Ответ на: > спрашивается как... от bon 20.12.2009 13:31:53

Re: > спрашивается как...

>Через анонимный прокси?

Исключено.

Когда в ойпитейблз добавляешь правило чтобы дропать все пакеты которые уходят на хост vkontakte.ru то реально в правило попадает айпишнег, прикол в том что у вконтакта есть или какието хитрые зеркала на неведомых айпишнегах или хз вообще что, и получается что что чел спокойно себе заходил на вконтакт както.

anonymous (20.12.2009 13:42:35)

[#] Ответ на: Re: > спрашивается как... от anonymous 20.12.2009 13:42:35

Re: > спрашивается как...

особая контактная магия действует только на тех, кто не освоил протоколирование

anonymous (20.12.2009 13:46:17)

[#] Ответ на: Re: > спрашивается как... от anonymous 20.12.2009 13:46:17

Re: > спрашивается как...

>особая контактная магия действует только на тех, кто не освоил протоколирование

А поподробней что это такое нельзя?

Я вообще можно сказать нуб в этом вопросе. Раньше Линуксы ставил и немного сетки настраивал сейчас переквалифицировался, но все равно иногда приходится этими вопросами заниматься. Поподробней!

anonymous (20.12.2009 13:56:03)

[#]

А там есть возможность обновиться со старой версии?

madcore

(20.12.2009 13:56:14)

[#]

>Добавлены новые средства для тестирования работы сети и выявления ошибок:
>ping.
>traceroute.
>tcpdump.

энтерпрайзненько.

anonymous (20.12.2009 14:03:59)

[#] Ответ на: Re: > спрашивается как... от anonymous 20.12.2009 13:56:03

Re: > спрашивается как...

Увы, но какой-то адекватной глобальной фильтрации на низком уровне по юзерам (скажем из LDAP) в распространенных тулзах видимо нету. Отдельно по приложениям - пожалуйста. В Сквиде для этого всё вроде должно быть. Делаешь редирект через iptables всего трафика на Сквид и им уже фильтруешь. Не слишком изящно, но что есть, то есть. Если кому-то нужен доступ на особые порты, которые поверх прокси не работают, - то, увы, исключения тоже в iptables, уже по IP клиента, которому нужен доступ.

Классно было бы если, инфраструктура iptables умела LDAP. Много проблем наверняка разом бы решилось.

anonymous (20.12.2009 14:14:27)

[#] Ответ на: комментарий от anonymous 20.12.2009 13:25:34

Может он Tor использует для обхода?

anonymous (20.12.2009 14:33:40)

[#]

из-за их тупых скриптов на сайте крешится опера. не могу скачать. кретины

tommy

(20.12.2009 15:06:01)

[#] Ответ на: Re: > спрашивается как... от anonymous 20.12.2009 13:42:35

>какието хитрые зеркала на неведомых айпишнегах или хз вообще что, и получается что что чел спокойно себе заходил на вконтакт както.

Не драматизируй.
В сети навалом веб прокси, к которым подключаешься как к обычному вебсерверу, вводишь там в форме адрес сайта, этот сервер скачивает содержимое себе и тебе его отображает.

Поэтому надо резать вконтакты по контенту. Тогда враг не прорвется ! (но тогда они начнут ходить вконтакт с своих айфонов, на работе, это пройденный этап, гыгы)

anonizmus

(20.12.2009 15:06:02)

[#] Ответ на: комментарий от anonizmus 20.12.2009 15:06:02

Особо по контенту не отфильтруешь (честно говоря кроме privoxy сразу в голову ни приходит ничего) - приведите пример чем можно это сделать? Да и работать будет пока не наткнуться на https анонимайзер

nitrogear (20.12.2009 15:13:25)

[#] Ответ на: комментарий от anonizmus 20.12.2009 15:06:02

> Поэтому надо резать вконтакты по контенту. Тогда враг не прорвется ! (но тогда они начнут ходить вконтакт с своих айфонов, на работе, это пройденный этап, гыгы)

Зачем вообще что-то резать? Раз у людей есть "свободное рабочее время", то зачем их заставлять скучать? Работу за день я так понял все равно никто не проверяет. Ну не будут лезть в контакт, будут другим маяться. Главное спрашивать за выполненную работу, какая разница чем еще походу человек занимался.

Buy

(20.12.2009 15:45:25)

[#]

ну ё-моё, делать сервер с кривой докачкой это круто? два часа коту под хвост :(

anonymous (20.12.2009 16:29:55)

[#] Ответ на: комментарий от Buy 20.12.2009 15:45:25

> Зачем вообще что-то резать? Раз у людей есть "свободное рабочее время", то зачем их заставлять скучать? Работу за день я так понял все равно никто не проверяет. Ну не будут лезть в контакт, будут другим маяться. Главное спрашивать за выполненную работу, какая разница чем еще походу человек занимался.

эффективность зависит от многих причин. прежде всего - от концентрации. а какая концентрация может быть, если каждые 5 минут контактик проверяешь

хотя да, я согласен, гнать к такой-то матери

anonymous (20.12.2009 16:31:19)

[#]

Какая мерзость.

~~ip1981~~

(20.12.2009 16:42:35)

[#] Ответ на: комментарий от ip1981 20.12.2009 16:42:35

Точно, полное дерьмо!

//Ассенизатор селёдкин

anonymous (20.12.2009 17:39:28)

[#]

Народ, не подскажите, сабж умеет кластер хотя бы из 2-х узлов с балансировкой???

grait (20.12.2009 18:16:14)

[#] Ответ на: комментарий от grait 20.12.2009 18:16:14

http://www.untangle.com/WAN-Balancer

af5

(20.12.2009 18:31:51)

[#] Ответ на: Re: > спрашивается как... от anonymous 20.12.2009 13:42:35

> Когда в ойпитейблз добавляешь правило чтобы дропать все пакеты которые уходят на хост vkontakte.ru то реально в правило попадает айпишнег, прикол в том что у вконтакта есть или какието хитрые зеркала на неведомых айпишнегах или хз вообще что, и получается что что чел спокойно себе заходил на вконтакт както.

ну подумаешь. кроме http прокси есть ещё https прокси, есть допустим ещё ssh-tunnel. последний и я использую, что бы не заморачиваться на происки наших админов.

hawai (20.12.2009 19:30:36)

[#] Ответ на: комментарий от nitrogear 20.12.2009 15:13:25

>Особо по контенту не отфильтруешь (честно говоря кроме privoxy сразу в голову ни приходит ничего)

для iptable есть фича что можно по маскам в заголовках пакеты фильтровать %) Ну например запретить EXE (по сигнатуре внутри файла) или включение вконтактовских тегов (регэкспом) %)) короче вот сюда копни

anonizmus

(20.12.2009 23:24:51)

[#] Ответ на: комментарий от Buy 20.12.2009 15:45:25

>Зачем вообще что-то резать?

На самом деле резать надо, но по времени использования этих служб. Иначе многие люди реально начинают забивать на работу и сидеть в этих сетях. Я серьезно %) запарился когда админством промышлял в паре серьезных контор %)

anonizmus

(20.12.2009 23:26:11)

[#] Ответ на: комментарий от hawai 20.12.2009 19:30:36

>кроме http прокси есть ещё https прокси, есть допустим ещё ssh-tunnel

обычно в корпоративных сетях ж00сткое анальное рабство, подключение тока к внутреннему прокси (обычно просто сквозное, без прописок прокси а заворачивая порты), почта - толоько рабочая (подключения), и т.п.

Поэтому проще.

anonizmus

(20.12.2009 23:27:40)

[#]

Поверить не могу, это шлюзовый дистр, а в нем раньше не было ping, traceroute и tcpdump.

holka

(21.12.2009 0:58:51)

[#] Ответ на: комментарий от anonizmus 20.12.2009 23:27:40

есть вопросы, есть ответы. всё возможно при определённом желании. но да, у нас всё не слишком строго - просто любят погонять за IM на работе.

hawai (21.12.2009 1:39:56)

[#] Ответ на: комментарий от anonymous 20.12.2009 16:31:19

Фильтрация по контенту не нужна. Да кто вы такие, чтобы решать, что мне можно смотреть, а что нет? Считаю допустимым резать только баннеры/рекламу. Проблема работоспособности сотрудников решается установкой надсмотрщика с плёткой.

anonymous (21.12.2009 7:49:28)

[#] Ответ на: комментарий от anonymous 21.12.2009 7:49:28

еще есть проблема вирусов, скачиваемых анонимусами с порно-варез-говно-сайтов. А факт того что ты весь день фапаешь на работе админам на самом деле паралелен, всеравно скорость тебе обрезана.

af5

(21.12.2009 9:23:13)

[#] Ответ на: Re: > спрашивается как... от anonymous 20.12.2009 13:42:35

Учи матчасть же, у вконтакта достаточно много айпишников, айпитейблс же по имени рубить особо не умеет, рубит он исключительно первый айпишник, который отрезольвится им, на остальные же айпишники доступ продолжается. Соответственно либо блочишь все айпишники вконтакта, либо режешь хост через сквид.

Ip0

(21.12.2009 9:33:41)

[#] Ответ на: комментарий от anonizmus 20.12.2009 15:06:02

Как-то тут пристал один черт ко мне с просьбой отрезать юзеру доступ на контакт и одноклассники. Средств, которыми можно было бы просто и быстро сие реализовать в конторе не оказалось. Но юзер нифига не продвинутый (про ананомайзены не шарит) и сидит под оффтопиком...

Тык я залез в hosts мастдая, и прописал там расшифровку имён vkontakte.ru, www.vkontakte.ru и.т.д. по сабжу несколько вариантов (стырил список у какого-то вируса, который так к себе редиректил) на IP 77.88.21.11

Теперь попытка прийти на эти сайты приводит на яндекс.

Судя по логам - пока работает. Хотя я не думаю, что та девица, которая там сидит, обойдёт такой вариант.

AndreiBA (21.12.2009 14:52:27)

[#] Ответ на: комментарий от Ip0 21.12.2009 9:33:41

>Учи матчасть же, у вконтакта достаточно много айпишников, айпитейблс же по имени рубить особо не умеет, рубит он исключительно первый айпишник, который отрезольвится им, на остальные же айпишники доступ продолжается.

Сдается мне, матчасть здесь нужно учить кое-кому другому ;)

[root@lenin ~]# iptables -N test_ips
[root@lenin ~]# iptables -A test_ips -s vkontakte.ru -j DROP
[root@lenin ~]# iptables -vnL test_ips
Chain test_ips (0 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  *      *       93.186.227.125       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.227.126       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.227.129       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.227.130       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.228.129       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.229.2         0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.229.3         0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.231.218       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.231.219       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.231.220       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.231.221       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.231.222       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.224.239       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.225.6         0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.225.211       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.225.212       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.226.4         0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.226.5         0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.226.129       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.226.130       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.227.123       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.227.124       0.0.0.0/0

На закуску советую позадавать многоайпишниковые домены сразу в -s и -d ;)

nnz

(22.12.2009 3:22:13)

[#]

Untangle 7.1

Господа, а садбж-то хоть кто-нибудь юзает? Как оно работает в кач-ве шлюза?

anonymous (22.12.2009 10:00:33)

[#] Ответ на: Untangle 7.1 от anonymous 22.12.2009 10:00:33

От оно как...

Видать сабж нафиг никому не сдался по назначению... =)

AndreiBA (24.12.2009 18:13:57)

[#] Ответ на: От оно как... от AndreiBA 24.12.2009 18:13:57

кто в нем с OpenVPN разобрался?

такой вопрос: насколько просто настроить доступ в корпоративную сеть с помощью Untangle. Кто пробовал этот модуль в нем?

anonymous (29.12.2009 8:47:51)

←	FFADO 2.0.0

Debian

Вышел Wine 1.1.35

→