Шлюз на старом компе

CentOS 6.8, вполне все будет работать.

samba на шлюзе это моветон, а вообще для подобного идеально подходит https://www.pfsense.org/, и никаких костылей и велосипедов (если что, samba туда спокойно ставится из пакетов/портов фряшных).

Потянет ли оно маршрутизацию 30+ машин

Это не сложно, вполне справится. Хотя, конечно, зависит от полосы. А то, вдруг, речь про 10GbE full load ? ;-)

Squid

Это сложнее. Сквиду нужна память для хорошей работы. Я, когда-то, помнил рекомендуемое эмпирическое соотношение между кэшем на диске и RAM, но сейчас затрудняюсь вспомнить.

плюшки типа самбы?

Зачем ? Но можно.

И что лучше поставить на такое ведрышко?

Что-нибудь маленькое, и без X-ов.

http://ftp.altlinux.ru/pub/distributions/ALTLinux/p7/images/starterkits/
Например altlinux-p7-server-20160312-i586.iso
Кстати, смотрю, есть altlinux-p7-server-samba4-20160314-i586.iso сразу.

То есть вместо спецдистрибутива для сервера с централизованным конфигом с историей изменений, встроенным squid, и прочей тучей уже решенных проблем предлагается костылять на альтлинупсе?)

Зачем? Но можно.

Типа файлообмена. Преподы пока дальше флэшки в плане файлообмена почти ничего не знают.

То есть вместо спецдистрибутива для сервера с централизованным
конфигом с историей изменений

И туевой кучей всего лишнего

предлагается костылять на альтлинупсе

Предлагается взять минимальный образ и установить там только то, что необходимо. А доустановить надо будет только squid.

Типа файлообмена.

Нужен шлюз, или файловый сервер нужен тоже заодно ? Как уже сказали, совмещение этих функций - не лучший вариант.

Скажем так, это уже моя инициатива. Но другого железа уже не будет. Если файлообмен будет мешать маршрутизации - тогда файлопомойку в топку.

Потянет ли оно маршрутизацию 30+ машин

Да

+ Squid

Возможно и не быстро будет работать, все от нагрузки зависит.

+ плюшки типа самбы?

При учете харда на 40Гб - вполне. Явно не торенты на нее складировать будите :)

Если файлообмен будет мешать маршрутизации

Тут дело не в этом. Шлюз - это первое, что могут поломать. А внутришкольные данные могут оказаться хоть персональными.

Плюсую, у меня Pentium III + CentOS 6 LiveDVD, чтобы не насиловать HDD (а с флешки он не умеет). Правда, раздаю не на 40 компов, а всего на 2, и без squid (не имею представления о том, как подключить сюда 40 компов!)

Потянет что-нибудь без иксов и 32 битное, 64 этим процессором не поддерживаются.

Ubuntu Server 16.04 LTS

Наверное пойду по самому простому для меня пути, настрою на всех машинах прокси вручную. Потому что когда я пытался понять магию прозрачного проксирования, я сломал голову об iptables.

Наверное пойду по самому простому для меня пути,
настрою на всех машинах прокси вручную.

Кстати... Там же контент-фильтр положен по закону ? В ALT netpolice есть в репозитарии, может пригодится. Правда, старый достаточно, и я не в курсе про жизнеспособность.

Фильтр пригодится когда новый провайдер подтянется. А пока тут интернет по программе подключения школ, от ростелекома. Они сами фильтруют у себя. Судя по тому что они блокиуют - там скорее всего белый список. Да и все браузеры постоянно матерятся на MIM угрозу.

А пока тут интернет по программе подключения школ, от ростелекома.

В плане фильтрации тут видится плюс в том, что ответственность на Ростелекоме, если что...

Да и все браузеры постоянно матерятся на MIM угрозу.

Понятно. Кстати, а если на какой-нибудь sberbank.ru попробовать зайти, тоже матерятся ? Или они там какой-то трафик шифрованный пропускают всё же ?

Сейчас проверил, на сбере все замечательно. На сорсфодже тоже. А вот на яндексе и на лоре - хренушки. Говорит соединение не защищено.

Она основана на Debian 9, процессоры младше i678 не поддерживаются.

Тут дело не в этом. Шлюз - это первое, что могут поломать. А внутришкольные данные могут оказаться хоть персональными.

Не согласен. Если поломают шлюз, то уже не важно где эти данные хранятся. Если fw на шлюзе (именно шлюзе) настроен нормально, то имхо разве только кувалой его можно поломать. Уязвимостей на тему fwadm,ipchains,iptables чего-то не припоминаю.

Кстати... Там же контент-фильтр положен по закону ?

А вот тут вы правы, машинка-то может и не потянуть, там насколько я понимаю списки «огого и эгегей».

debian wheezy должно быть норм. Но самба там лишняя явно и squid может не протащить по озу. А как файрволл с натом норм должно быть.

Достал эту железяку, оказывается там селерон 2.5ГГц, и 1 Гб рамы.

squid может не протащить по озу

Эх, где старые добрые html сайты и 128к канал, первопень справлялся и на большую «ораву» :)

Не проще за 2к микротик купить? Хотя имхо шлюз и из 486 можно сделать

128к канал

Хрена се у тебя канал был во времена первопня. Счастливый человек. Я на 33.6 сидел

Не согласен. Если поломают шлюз, то уже не важно где эти данные хранятся.

Там будет определённый запас по времени, пока будут разбираться, куда и как лезть дальше.

Уязвимостей на тему fwadm,ipchains,iptables чего-то не припоминаю.

Так-то да, но мало ли что.

Достал эту железяку, оказывается там селерон 2.5ГГц, и 1 Гб рамы.

Это значительно лучше. С 1Gb жить уже веселее. Основная система отъест 200-400Мб, а более 512Мб Сквиду - это уже не плохо.

Спасибо за отзывы народ. Буду выбирать. Пока временным решением - нашел старый набор «Первая помощь» ставлю оттуда ALTLinux Сервер Школьный. Посмотрю как будет железяка справляться. Если будет вывозить то поставлю что-то более узконаправленное.

Ну это на целое предприятие :) Дома у меня тоже 33600 был, а точнее при учете работы мгтс конечно ниже. Да и модемный пул был как раз на работе, так что за диалап не платили :)
Я вообще никогда за диалап не платил, сначала институтский был, потом рабочий от dol, потом ворованный dol со старой работы, потом уже рабочий со своим пулом, ну а там и до выделенки добрались, так что фактически впервые я за инет только на прямом проводе платить стал, было очень не привычно :)

Пока временным решением - нашел старый набор «Первая помощь» ставлю оттуда ALTLinux Сервер Школьный.

Кхе. Ну для начала старым я бы его не назвал. И вообще. Друг, можт ты это, возьмёшь дистр нормальный, дебиан скажем или центось, и не самую свежую возможно, и настроишь все как у людей?

Там будет определённый запас по времени, пока будут разбираться, куда и как лезть дальше.

Боюсь что о факте взлома узнают когда пройдет время >«определённый запас»*N. Сам прошел через два случая взлома шлюза. Первый: когда я был молодой и не опытный, очистил правила fw и назад забыл включить. Но повезло, хакир был такой же, вобщем он машину убил :) Второй уже гораздо позже, коллега «сисоп» прописал в правила ACCEPT и не вернул назад в DROP в результате завелся ботнет.

уже норм

Хотя имхо шлюз и из 486 можно сделать

При современных скоростях, нет. Реально ради интереса пробовал лет пять назад на какой-то коробочке с двумя сетевками и аналогом 486-го на борту. (коробка вполне современная, в смысле производилась и в тот момент, в АСУТП пользуют)

Думаешь ляжет четверка? ну можт быть, хз. По памяти на ней можно и мыло поднять, и фтп, и шлюз, и она будет пахать и пахать

нашел старый набор «Первая помощь»

С этой «Первой помощью» был косяк. Хотя, может и не именно с этим набором. Там госзаказ был, а ALT Linux был на подряде у исполнителя. Готовые образы от ALT исполнитель решил «доработать» самостоятельно, в результате чего убил возможность загрузки. Проверить никто не удосужился, так и пошло в тираж.

В общем, я к чему. Если с этого диска грузиться не будет, то так оно и должно быть. Живой образ того же самого можно скачать, кажется, тут:
http://ftp.altlinux.ru/pub/distributions/ALTLinux/p6/iso/school/
Хотя это могло быть и на основе пятой платформы, тогда тут:
http://ftp.altlinux.ru/pub/distributions/ALTLinux/p5/iso/school/

Не совсем в тему но, вдруг надо.
Предлагаю возможный вариант в решении вопроса по железу. Создайте тему (правда хз в каком разделе, может в толксах а модераторы потом сами перенесут?) в плане поиска старых железок в вашем городе.
(так как я сам бывший сотрудник гос. организации то не думаю что машинки из топика идут по бухгалтерии как-то внятно. )
Например у меня шэф в порыве к «чистоте» буквально пару месяцев назад напряг народ к выносу старого барахла которое пылилось хз сколько лет. Там и вполне живое железо было включая матери,камни,мозги. Думаю что таких мест еще найдется не одно.

Не думаю, знаю. Я же написал, «Реально ради интереса пробовал» т.е. вариант не прокатил, их было несколько штук вот и возникла идея под роутеры (только nat) использовать, очень плохо справляется. Вобщем не интересно стало. Дешевым коробкам в подметки не годиться, единственный плюс не греется как они, но и не работает нормально :)

Да и все браузеры постоянно матерятся на MIM угрозу.

Кстати, как с этим бороться? Надоело

просто что-то слабо верю что реально настолько сильно тот же обычный нат жрет систему. А если там скажем вкатить ведро древнее (например 2.2) и слаку/генту/lfs как можно более тонко собрать чтоб лишнего точно не было? Или вообще тот же ulinux.

ну, и чистый iptables, без сквидов и прочего. Или проксю аналогичного возраста брать.

просто что-то слабо верю что реально настолько сильно тот же обычный нат жрет систему

С conntrack - да жрет

А если там скажем вкатить ведро древнее (например 2.2) и слаку

Не будет прелестей conntrack

И да, 100% инфа, даже первопень mmx (233или266 не помню точно ) у меня дома после появления торентов с двумя нормальными интеловскими сетевками не справлялся, а вот когда поменял его на какой-то из первых атлонов 3что-тотам (был домашним компом ранее) стало норм работать, канал был 100мбит лимитированный.

если скорость будет 10мбит+ то сквид можешь исключить, он нинужен. раздачу таких скоростей и справедливое деление канала должен потянуть не напрягаясь

за 2000р можно купить новый маршрутизатор от микротика и горя не знать

потянет с большим запасом. я бы не стал говорить, что это вёдро - это же не на 486 гейт делать (хотя и на 486 вполне реально)

ставить то, что больше нравится. я бы OpenBSD поставил - оно, конечно, помедленнее linux по дисковой скорости, но тут скорости с таким запасом, что мало не покажется

Всё потянет, и даже самбу. Хотя памяти я бы докинул.

ставь void-linux или любой другой «лёгкий дистрибутив», хоть тот же OpenWRT.

Как вариант стабильного прод-дистра - CentOS6 (6.8 как раз вышла) - и дальше в маны.

А это вобще всё потянет, со свистом, хоть коня верхом на слоне 8)

Основная система отъест 200-400Мб

кхе, кхе... «Основная система» без гуя столько не сожрёт, даже если на нее еще и серверов подкинуть, типа апача с мускулом и пых-пыхом, особенно, если хоть раз в день drop_caches пинать. 8)

настроили шлюз на атлоне 1800+, 512 рам лет пять назад в организации, четыре сети, сквид, самс, фтп-сервер, почти две сотни рабочих станций, нагрузку вывозит нормально (о гигабитах говорить не приходится, разумеется). бд самса пришлось на отдельный винчестер вынести, разве что.

особенно, если хоть раз в день drop_caches пинать.

Разупорина попейте плиз.

кхе, кхе... «Основная система» без гуя столько не сожрёт, даже если на нее еще и серверов подкинуть, типа апача с мускулом и пых-пыхом, особенно, если хоть раз в день drop_caches пинать. 8)

ШОК! срочно читать http://www.linuxatemyram.com/

«Основная система» без гуя столько не сожрёт

Современная - сожрёт: всё немного ожирело.

если хоть раз в день drop_caches пинать.

Кэш и буферы я не учитываю.