LINUX.ORG.RU
ФорумAdmin

Шлюз на старом компе

 , ,


0

1

Привет ЛОР. Подрабатываю в школе эникеем. Прогнозируется подвод оптики одного провайдера. Собсно надо поднят шлюз. Железа в распоряжении ни о чем. Есть машина - S478 P4-1800, 512 RAM, 40Gb HDD. Потянет ли оно маршрутизацию 30+ машин + Squid + плюшки типа самбы? И что лучше поставить на такое ведрышко?

★★★

samba на шлюзе это моветон, а вообще для подобного идеально подходит https://www.pfsense.org/, и никаких костылей и велосипедов (если что, samba туда спокойно ставится из пакетов/портов фряшных).

whoami ()

Потянет ли оно маршрутизацию 30+ машин

Это не сложно, вполне справится. Хотя, конечно, зависит от полосы. А то, вдруг, речь про 10GbE full load ? ;-)

Squid

Это сложнее. Сквиду нужна память для хорошей работы. Я, когда-то, помнил рекомендуемое эмпирическое соотношение между кэшем на диске и RAM, но сейчас затрудняюсь вспомнить.

плюшки типа самбы?

Зачем ? Но можно.

И что лучше поставить на такое ведрышко?

Что-нибудь маленькое, и без X-ов.

http://ftp.altlinux.ru/pub/distributions/ALTLinux/p7/images/starterkits/
Например altlinux-p7-server-20160312-i586.iso
Кстати, смотрю, есть altlinux-p7-server-samba4-20160314-i586.iso сразу.

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от AS

То есть вместо спецдистрибутива для сервера с централизованным конфигом с историей изменений, встроенным squid, и прочей тучей уже решенных проблем предлагается костылять на альтлинупсе?)

whoami ()
Ответ на: комментарий от AS

Зачем? Но можно.

Типа файлообмена. Преподы пока дальше флэшки в плане файлообмена почти ничего не знают.

liss21 ★★★ ()
Ответ на: комментарий от whoami

То есть вместо спецдистрибутива для сервера с централизованным
конфигом с историей изменений

И туевой кучей всего лишнего

предлагается костылять на альтлинупсе

Предлагается взять минимальный образ и установить там только то, что необходимо. А доустановить надо будет только squid.

AS ★★★★★ ()
Ответ на: комментарий от liss21

Типа файлообмена.

Нужен шлюз, или файловый сервер нужен тоже заодно ? Как уже сказали, совмещение этих функций - не лучший вариант.

AS ★★★★★ ()
Ответ на: комментарий от AS

Скажем так, это уже моя инициатива. Но другого железа уже не будет. Если файлообмен будет мешать маршрутизации - тогда файлопомойку в топку.

liss21 ★★★ ()

Потянет ли оно маршрутизацию 30+ машин

Да

+ Squid

Возможно и не быстро будет работать, все от нагрузки зависит.

+ плюшки типа самбы?

При учете харда на 40Гб - вполне. Явно не торенты на нее складировать будите :)

anc ★★★★★ ()
Ответ на: комментарий от liss21

Если файлообмен будет мешать маршрутизации

Тут дело не в этом. Шлюз - это первое, что могут поломать. А внутришкольные данные могут оказаться хоть персональными.

AS ★★★★★ ()
Ответ на: комментарий от newpunkies

Плюсую, у меня Pentium III + CentOS 6 LiveDVD, чтобы не насиловать HDD (а с флешки он не умеет). Правда, раздаю не на 40 компов, а всего на 2, и без squid (не имею представления о том, как подключить сюда 40 компов!)

ZenitharChampion ★★★★★ ()
Последнее исправление: ZenitharChampion (всего исправлений: 1)

Потянет что-нибудь без иксов и 32 битное, 64 этим процессором не поддерживаются.

Vsevolod-linuxoid ★★★★★ ()
Ответ на: комментарий от ZenitharChampion

Наверное пойду по самому простому для меня пути, настрою на всех машинах прокси вручную. Потому что когда я пытался понять магию прозрачного проксирования, я сломал голову об iptables.

liss21 ★★★ ()
Ответ на: комментарий от liss21

Наверное пойду по самому простому для меня пути,
настрою на всех машинах прокси вручную.

Кстати... Там же контент-фильтр положен по закону ? В ALT netpolice есть в репозитарии, может пригодится. Правда, старый достаточно, и я не в курсе про жизнеспособность.

AS ★★★★★ ()
Ответ на: комментарий от AS

Фильтр пригодится когда новый провайдер подтянется. А пока тут интернет по программе подключения школ, от ростелекома. Они сами фильтруют у себя. Судя по тому что они блокиуют - там скорее всего белый список. Да и все браузеры постоянно матерятся на MIM угрозу.

liss21 ★★★ ()
Ответ на: комментарий от liss21

А пока тут интернет по программе подключения школ, от ростелекома.

В плане фильтрации тут видится плюс в том, что ответственность на Ростелекоме, если что...

Да и все браузеры постоянно матерятся на MIM угрозу.

Понятно. Кстати, а если на какой-нибудь sberbank.ru попробовать зайти, тоже матерятся ? Или они там какой-то трафик шифрованный пропускают всё же ?

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от AS

Сейчас проверил, на сбере все замечательно. На сорсфодже тоже. А вот на яндексе и на лоре - хренушки. Говорит соединение не защищено.

liss21 ★★★ ()
Ответ на: комментарий от AS

Тут дело не в этом. Шлюз - это первое, что могут поломать. А внутришкольные данные могут оказаться хоть персональными.

Не согласен. Если поломают шлюз, то уже не важно где эти данные хранятся. Если fw на шлюзе (именно шлюзе) настроен нормально, то имхо разве только кувалой его можно поломать. Уязвимостей на тему fwadm,ipchains,iptables чего-то не припоминаю.

anc ★★★★★ ()
Ответ на: комментарий от AS

Кстати... Там же контент-фильтр положен по закону ?

А вот тут вы правы, машинка-то может и не потянуть, там насколько я понимаю списки «огого и эгегей».

anc ★★★★★ ()

debian wheezy должно быть норм. Но самба там лишняя явно и squid может не протащить по озу. А как файрволл с натом норм должно быть.

targitaj ★★★★★ ()
Ответ на: комментарий от targitaj

Достал эту железяку, оказывается там селерон 2.5ГГц, и 1 Гб рамы.

liss21 ★★★ ()
Ответ на: комментарий от targitaj

squid может не протащить по озу

Эх, где старые добрые html сайты и 128к канал, первопень справлялся и на большую «ораву» :)

anc ★★★★★ ()

Не проще за 2к микротик купить? Хотя имхо шлюз и из 486 можно сделать

upcFrost ★★★★★ ()
Ответ на: комментарий от anc

128к канал

Хрена се у тебя канал был во времена первопня. Счастливый человек. Я на 33.6 сидел

upcFrost ★★★★★ ()
Ответ на: комментарий от anc

Не согласен. Если поломают шлюз, то уже не важно где эти данные хранятся.

Там будет определённый запас по времени, пока будут разбираться, куда и как лезть дальше.

Уязвимостей на тему fwadm,ipchains,iptables чего-то не припоминаю.

Так-то да, но мало ли что.

AS ★★★★★ ()
Ответ на: комментарий от liss21

Достал эту железяку, оказывается там селерон 2.5ГГц, и 1 Гб рамы.

Это значительно лучше. С 1Gb жить уже веселее. Основная система отъест 200-400Мб, а более 512Мб Сквиду - это уже не плохо.

AS ★★★★★ ()

Спасибо за отзывы народ. Буду выбирать. Пока временным решением - нашел старый набор «Первая помощь» ставлю оттуда ALTLinux Сервер Школьный. Посмотрю как будет железяка справляться. Если будет вывозить то поставлю что-то более узконаправленное.

liss21 ★★★ ()
Ответ на: комментарий от upcFrost

Ну это на целое предприятие :) Дома у меня тоже 33600 был, а точнее при учете работы мгтс конечно ниже. Да и модемный пул был как раз на работе, так что за диалап не платили :)
Я вообще никогда за диалап не платил, сначала институтский был, потом рабочий от dol, потом ворованный dol со старой работы, потом уже рабочий со своим пулом, ну а там и до выделенки добрались, так что фактически впервые я за инет только на прямом проводе платить стал, было очень не привычно :)

anc ★★★★★ ()
Ответ на: комментарий от liss21

Пока временным решением - нашел старый набор «Первая помощь» ставлю оттуда ALTLinux Сервер Школьный.

Кхе. Ну для начала старым я бы его не назвал. И вообще. Друг, можт ты это, возьмёшь дистр нормальный, дебиан скажем или центось, и не самую свежую возможно, и настроишь все как у людей?

upcFrost ★★★★★ ()
Ответ на: комментарий от AS

Там будет определённый запас по времени, пока будут разбираться, куда и как лезть дальше.

Боюсь что о факте взлома узнают когда пройдет время >«определённый запас»*N. Сам прошел через два случая взлома шлюза. Первый: когда я был молодой и не опытный, очистил правила fw и назад забыл включить. Но повезло, хакир был такой же, вобщем он машину убил :) Второй уже гораздо позже, коллега «сисоп» прописал в правила ACCEPT и не вернул назад в DROP в результате завелся ботнет.

anc ★★★★★ ()
Ответ на: комментарий от upcFrost

Хотя имхо шлюз и из 486 можно сделать

При современных скоростях, нет. Реально ради интереса пробовал лет пять назад на какой-то коробочке с двумя сетевками и аналогом 486-го на борту. (коробка вполне современная, в смысле производилась и в тот момент, в АСУТП пользуют)

anc ★★★★★ ()
Ответ на: комментарий от anc

Думаешь ляжет четверка? ну можт быть, хз. По памяти на ней можно и мыло поднять, и фтп, и шлюз, и она будет пахать и пахать

upcFrost ★★★★★ ()
Ответ на: комментарий от liss21

нашел старый набор «Первая помощь»

С этой «Первой помощью» был косяк. Хотя, может и не именно с этим набором. Там госзаказ был, а ALT Linux был на подряде у исполнителя. Готовые образы от ALT исполнитель решил «доработать» самостоятельно, в результате чего убил возможность загрузки. Проверить никто не удосужился, так и пошло в тираж.

В общем, я к чему. Если с этого диска грузиться не будет, то так оно и должно быть. Живой образ того же самого можно скачать, кажется, тут:
http://ftp.altlinux.ru/pub/distributions/ALTLinux/p6/iso/school/
Хотя это могло быть и на основе пятой платформы, тогда тут:
http://ftp.altlinux.ru/pub/distributions/ALTLinux/p5/iso/school/

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от liss21

Не совсем в тему но, вдруг надо.
Предлагаю возможный вариант в решении вопроса по железу. Создайте тему (правда хз в каком разделе, может в толксах а модераторы потом сами перенесут?) в плане поиска старых железок в вашем городе.
(так как я сам бывший сотрудник гос. организации то не думаю что машинки из топика идут по бухгалтерии как-то внятно. )
Например у меня шэф в порыве к «чистоте» буквально пару месяцев назад напряг народ к выносу старого барахла которое пылилось хз сколько лет. Там и вполне живое железо было включая матери,камни,мозги. Думаю что таких мест еще найдется не одно.

anc ★★★★★ ()
Ответ на: комментарий от upcFrost

Не думаю, знаю. Я же написал, «Реально ради интереса пробовал» т.е. вариант не прокатил, их было несколько штук вот и возникла идея под роутеры (только nat) использовать, очень плохо справляется. Вобщем не интересно стало. Дешевым коробкам в подметки не годиться, единственный плюс не греется как они, но и не работает нормально :)

anc ★★★★★ ()
Ответ на: комментарий от liss21

Да и все браузеры постоянно матерятся на MIM угрозу.

Кстати, как с этим бороться? Надоело

kas501 ★★★ ()
Ответ на: комментарий от anc

просто что-то слабо верю что реально настолько сильно тот же обычный нат жрет систему. А если там скажем вкатить ведро древнее (например 2.2) и слаку/генту/lfs как можно более тонко собрать чтоб лишнего точно не было? Или вообще тот же ulinux.

ну, и чистый iptables, без сквидов и прочего. Или проксю аналогичного возраста брать.

upcFrost ★★★★★ ()
Ответ на: комментарий от upcFrost

просто что-то слабо верю что реально настолько сильно тот же обычный нат жрет систему

С conntrack - да жрет

А если там скажем вкатить ведро древнее (например 2.2) и слаку

Не будет прелестей conntrack

И да, 100% инфа, даже первопень mmx (233или266 не помню точно ) у меня дома после появления торентов с двумя нормальными интеловскими сетевками не справлялся, а вот когда поменял его на какой-то из первых атлонов 3что-тотам (был домашним компом ранее) стало норм работать, канал был 100мбит лимитированный.

anc ★★★★★ ()

если скорость будет 10мбит+ то сквид можешь исключить, он нинужен. раздачу таких скоростей и справедливое деление канала должен потянуть не напрягаясь

за 2000р можно купить новый маршрутизатор от микротика и горя не знать

theurs ()

потянет с большим запасом. я бы не стал говорить, что это вёдро - это же не на 486 гейт делать (хотя и на 486 вполне реально)

ставить то, что больше нравится. я бы OpenBSD поставил - оно, конечно, помедленнее linux по дисковой скорости, но тут скорости с таким запасом, что мало не покажется

buratino ★★★★★ ()

Всё потянет, и даже самбу. Хотя памяти я бы докинул.

ставь void-linux или любой другой «лёгкий дистрибутив», хоть тот же OpenWRT.

Как вариант стабильного прод-дистра - CentOS6 (6.8 как раз вышла) - и дальше в маны.

Olegarch ()
Ответ на: комментарий от liss21

А это вобще всё потянет, со свистом, хоть коня верхом на слоне 8)

Olegarch ()
Ответ на: комментарий от AS

Основная система отъест 200-400Мб

кхе, кхе... «Основная система» без гуя столько не сожрёт, даже если на нее еще и серверов подкинуть, типа апача с мускулом и пых-пыхом, особенно, если хоть раз в день drop_caches пинать. 8)

Olegarch ()

настроили шлюз на атлоне 1800+, 512 рам лет пять назад в организации, четыре сети, сквид, самс, фтп-сервер, почти две сотни рабочих станций, нагрузку вывозит нормально (о гигабитах говорить не приходится, разумеется). бд самса пришлось на отдельный винчестер вынести, разве что.

tcler ()
Ответ на: комментарий от Olegarch

особенно, если хоть раз в день drop_caches пинать.

Разупорина попейте плиз.

anc ★★★★★ ()
Ответ на: комментарий от Olegarch

кхе, кхе... «Основная система» без гуя столько не сожрёт, даже если на нее еще и серверов подкинуть, типа апача с мускулом и пых-пыхом, особенно, если хоть раз в день drop_caches пинать. 8)

ШОК! срочно читать http://www.linuxatemyram.com/

ktk ★★★★ ()
Ответ на: комментарий от Olegarch

«Основная система» без гуя столько не сожрёт

Современная - сожрёт: всё немного ожирело.

если хоть раз в день drop_caches пинать.

Кэш и буферы я не учитываю.

AS ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.