LINUX.ORG.RU
ФорумAdmin

Выбор программного обеспечения для сервера организации

 , ,


1

1

Посоветуйте на каких программах лучше остановиться для создания шлюза/прокси сервера в организации желательно с как можно более простой настройкой для начинающих

значит имеется организация с 15-25 одновременно подключенными к сети компами (иногда и в двое больше но крайне редко)

имеется старенький сервер на 4 пне с 2 ГБ ОЗУ (т.е. максимум 32 битная ОС)

Интернет канал 1 мегабит по оптике (больше не дают пока)

Что необходимо

1. Иметь возможность ограничивать скорость соединения некоторым пользователям и давать приоритеты лругим

2. Иметь возможность закрытия доступа к сайтам некоторым пользователям

3. Иметь GUI для настройки хотя бы ограничения скорости и статистики

4. необходимо чтобы прокси сервер был прозрачный

5. необходимо организовать на этом же сервере сетевой диск с парольным доступом, т.е. чтобы только те у кого есть пароль имели доступ к папке в сети

На чем остановить свой выбор (ОС и программы) (только 32 битные ибо процессор 32 битный)

пробовал

Clear OS 6.7 - не качает пакеты и половина платных

pfsense - так и не смог с ним подружиться - так же нет возможности расшарить папку

Kerio старый - работал но он платный, нет возможности расшарить папку

я бы доразобрался в pfsense, папки там да, как-то одаренно настраиваются, но если появятся дополнительные хотелки он все смогет.

chenbr0 ()

ОС — любая, но учитывая древность железа я бы выбрал что-то нетребовательное, типа CentOS/Debian. Для организации доступа к Интернет (доступ, черные/белые списки, шейпер скорости) — Squid. Статистика доступа — LightSquid. Сетевой каталог с авторизацией — Samba. Чтобы меньше возиться с пользовательскими учётками посоветую на базе samba поднять контроллер домена и авторизацию squid завязать на этот контроллер.

ivn86 ()

Нафига я только не пойму поднимать проксю, или виндовые админы другого слова не знают?

А самые продвинутые используют нагромождение слов типа «прокси-шлюз», жду пояснений.

Shulman ()
Последнее исправление: Shulman (всего исправлений: 1)

1. Иметь возможность ограничивать скорость соединения некоторым пользователям и давать приоритеты лругим

Вроде бы squid должен уметь это делать. Но удобнее и практичнее реализовать это через VPN.

2. Иметь возможность закрытия доступа к сайтам некоторым пользователям

Аналогично.

3. Иметь GUI для настройки хотя бы ограничения скорости и статистики

Такой GUI называется xterm.

4. необходимо чтобы прокси сервер был прозрачный

Squid. Но через VPN будет удобнее - безо всяких проксей.

5. необходимо организовать на этом же сервере сетевой диск с парольным доступом, т.е. чтобы только те у кого есть пароль имели доступ к папке в сети

Samba, FTP (с NFS будет посложнее).

Clear OS 6.7 - не качает пакеты и половина платных

У Devuan таких проблем нет: https://devuan.org/

Заодно там нет глючного systemd, из-за которого сервер просто так может сдохнуть ни с того ни с сего (были случаи окирпичивания материнских плат из-за systemd). Для настройки можно использовать руководства по Debian.

pfsense - так и не смог с ним подружиться - так же нет возможности расшарить папку

Это уже вопрос освоения.

Kerio старый - работал но он платный, нет возможности расшарить папку

На эту какашку даже смотреть не надо было.

Quasar ★★★★★ ()
Ответ на: комментарий от Shulman

Ну единственный метод шейпить трафик юзерам без проксей, который я знаю, - tc, и там по-моему туго с гуями.

А уж как резать пользователям доступ к определенным сайтам без прокси - совсем хз. Не банить же весь клаудфлер. К сквиду же по icap можно присобачить фильтрацию хоть по контенту страницы (особенно в связке с ssl-mitm). Я как-то тестово делал, чтобы нельзя было даже через прокси-шмокси-анонимайзеры на какой-нибудь фтентаклик залезть, потому что оно его определяло по характерным кускам кода страницы и выдавало заглушку вместо.

Правда резать доступы к сайтам в эпоху мобильного интернета это борьба с ветряными мельницами.

infine ()
Последнее исправление: infine (всего исправлений: 1)

Я порекомендовал бы соориентироваться на debian, а так в целом, выбор дистрибутива лишь тема для холивара. Например голый дебиан без гуя потребляет 88мб оперативы.

В общем-то все уже подсказали - для прокси Squid, для статистики - LightSquid, у него есть веб-интерфейс, как помню не очень презентабельный, но лучше чем ничего.

1. Иметь возможность ограничивать скорость соединения некоторым пользователям и давать приоритеты лругим

Вот тут простор, можно хоть с vlan заморочиться. Но наверное, проще будет на основе squid сделать разбивку на группы, и для групп писать правила, как-то так.

5. необходимо организовать на этом же сервере сетевой диск с парольным доступом, т.е. чтобы только те у кого есть пароль имели доступ к папке в сети

Вот тут нужно погуглить про mdadm, и заиметь как минимум raid1, лучше на трех дисках, ну и про установку ос на массив. Поможет примерно вот такая команда

dpkg-reconfigure grub-pc

По сути весь «шлюз» - это десяток правил на iptables, и пара правок в конфигах.

Aborigen1020 ()
Ответ на: комментарий от Aborigen1020

Да я свой вопрос снимаю... но 25 человек и с дифференциацией штанов... это чересчур

Shulman ()


значит имеется организация с 15-25 одновременно подключенными к сети компами (иногда и в двое больше но крайне редко)

имеется старенький сервер на 4 пне с 2 ГБ ОЗУ (т.е. максимум 32 битная ОС)

Интернет канал 1 мегабит по оптике (больше не дают пока)



ЭТО НЕ ОРГАНИЗАЦИЯ!!!!

Deleted ()
Ответ на: комментарий от Shulman

«другого слова не знают» ну ладно специально для тебя напишу на твоем языке

я хочу резалку трафика и блокировалку сайтов для конкретных пользователей, чтобы никто в одиночку не мог забить канал на 100%, и расшаривалку папок с паролем на одной машине

no_name8914 ()
Ответ на: комментарий от infine

Правда резать доступы к сайтам в эпоху мобильного интернета это борьба с ветряными мельницами

ну вот и пускай кому нужно сидят с мобильного инета, а интернет общий используют рационально, для работы, хотя у нас контентная фильтрация извне, и все равно кто нибудь один забивает канал наглухо время от времени

no_name8914 ()

бери debian, ставь туда прокси-squid статистика-lightsquid, файрвол-shorewall, файл-принт-сервер-samba, админить все это добро через вебинтерфейс - webmin.

по железу - возьми да попробуй, с дебьяном можно.

conalex ★★★ ()
Последнее исправление: conalex (всего исправлений: 2)
Ответ на: комментарий от Aborigen1020

голый дебиан без гуя потребляет 88мб оперативы.

ну с памятью вроде проблемм нет, там даже если KDE поставить еще место останется для работы

«и заиметь как минимум raid1»

в принципе могу и аппаратный RAID организовать, железо то серверное, третий SCSI диск найти только надо с 10К оборотами и мне кажется это излишне, ибо это будет просто для обмена файлами между сотрудниками, там презентации, документы, фотографии, чтобы не бегали с флешками и не ломали разъемы ну и папка RO куда будут скидываться поступающие документы

no_name8914 ()
Ответ на: комментарий от no_name8914

Имхо, аппаратный рейд под такие требования - в жопу. Если вдруг контроллер улю - застрелишься восстанавливать, тем более, что он древний как говно мамонта, и чего-нибудь этакое может пойти не так в любой момент. А вот софтварный рейд 1 - самое оно.

infine ()
Последнее исправление: infine (всего исправлений: 1)
Ответ на: комментарий от infine

да на файлы на сервере - в принципе фиолетово эта папка будет тупо для обмена между сотрудниками поставлю систему, настрою - солью копию, и все

no_name8914 ()
Ответ на: комментарий от no_name8914

школа

а школе что, не положена железка-контент-фильтр от нашего замечательного государства? не верю.

t184256 ★★★★★ ()

...для начинающих...

имеется организация с 15-25 одновременно подключенными к сети компами...

Совсем начинающий? Тогда виндовз-сервер.

Deleted ()
Последнее исправление: rht (всего исправлений: 1)
Ответ на: комментарий от no_name8914

все верно порекомендовали насчет железного рейда, ведь почти наверняка нет второго такого контроллера в запасе, лучше не стоит связываться с недожелезным рейдом.

Если рассматривать со стороны производительности, то кмк первый упор в ней будет в самбе (из коробки настройки надо пошаманить, на старых версиях было актуально), а не со стороны дисков, поэтому их можно брать вообще любые. Почему-то представил что у вас там 500гб сата2.

железо то серверное
сервер на 4 пне с 2 ГБ ОЗУ

не связал

Третий диск он не для производительности, а для избыточности. Уверен почти наверняка, что при вылете из рейда 1 диска, замена ему будет покупаться очень долго ( школа же, привет госзакупки или что там?)

эта папка будет тупо для обмена между сотрудниками

вот тут как раз и будут лежать очень важные и нужные файлы, лучше заранее обеспокоиться о путях отступления бэкапах/синхронизации на другое железо

Aborigen1020 ()

Купить маршрутизатор, тот же mikrotik. В обслуживании будет дешевле + проще резервировать (купи 2ую такую железку в «холодный» резерв и настрой постоянный бэкап, например, с помощью oxidized, тогда в случае проблем за 10 минут восстановишь работу). Фильтрацию не умеет, но, ИМХО, достаточно настроить очереди и никто не займёт весь канал.

Фильтрацию сделать, либо на уровне антивируса на каждой рабочей станции (тот же Касперский это умеет), либо на уровне DNS (skydns, например).

Deleted ()
Ответ на: комментарий от ivn86

Хотел спросить по поводу Squid. Раньше, насколько я помню, реализация шейпера была такая — до сервера все приходит без ограничений, а потом сам сквид режет скорость на отдачу. Так же и осталось?

Zermond ()

Интернет канал 1 мегабит по оптике (больше не дают пока)

За Squid тоже подпишусь тогда, он хорошо умеет кешировать.

Zermond ()
Ответ на: комментарий от t184256

а школе что, не положена железка-контент-фильтр от нашего замечательного государства? не верю.

железка не положена, просто весь трафик наш идет через центр информатизации края и надо блокировать конкретным пользователям конкретные сайты, например зачем ученикам тот же ютуб, он хоть у нас и 90% видео не показывает по категориям, но работает но если его полностью закрыть - то тогда учителя не смогут показывать материалы ко всяческим тематическим урокам

no_name8914 ()
Ответ на: комментарий от Aborigen1020

вот тут как раз и будут лежать очень важные и нужные файлы

достаточно предупредить чтобы не хранили там свои файлы, а использовали для обмена и замутить скриптом очистку файлов старше недели, и все

no_name8914 ()
Ответ на: комментарий от no_name8914

я хочу резалку трафика и блокировалку сайтов для конкретных пользователей, чтобы никто в одиночку не мог забить канал на 100%, и расшаривалку папок с паролем на одной машине

Samba + netfilter и морда к нему вроде iptables или nftables, и по мере надобности дополнительные обвязки к ним. Каналом жонглировать проще средствами файрвола. Можешь хоть локальную чебурашку устроить.

Quasar ★★★★★ ()
Ответ на: комментарий от Ien_Shepard

да даже за 1К не выделяют средства хоть убейся да и к тому же потом крики «пилят средства бюджетные» а беда с каналом - от того что это гос контракт, провели оптику, а по контракту 1 мегабит

no_name8914 ()
Ответ на: комментарий от no_name8914

тот же ютуб, он хоть у нас и 90% видео не показывает по категориям, но работает но если его полностью закрыть - то тогда учителя не смогут показывать материалы ко всяческим тематическим урокам

Вот и пришли времена, когда в школах начали учить по ютубу...

для создания шлюза/прокси сервера в организации желательно с как можно более простой настройкой для начинающих

Лучше взять один раз нормального админа, чтобы настроил грамотно, и потом аккуратно самим поддерживать, а то один залетевший дятел какой-нибудь понимающий школьник может порушить вам всю ИТ-инфраструктуру, а вы беспомощными глазами будете хлопать около мониторов, не понимая что происходит.

anonymous ()

тут буквально в декабре чел открыл в публичный доступ свое коробочное решение, пошукай по темам

bvn13 ★★★★★ ()
Ответ на: комментарий от anonymous

Вот и пришли времена, когда в школах начали учить по ютубу...

так там и не особо то учат, просто не редко туда размещают материалы к каким либо министерским мероприятием, типо повышение цифровой грамотности, или там против курения

Лучше взять один раз нормального админа

а не лучше просто текущему постепенно развиваться в разных направлениях

какой-нибудь понимающий школьник может порушить вам всю ИТ-инфраструктуру

ну и ладно, получит 5 по информатике, да и возможности у него крайне ограничены, на компах линуксы где все запрещено кроме того что есть в учебнике

да и после настройки можно просто настроить оверлей в TMPFS, перезагрузка и компухтер как новенький

и на такой случай есть тупой роутер способный бездумно раскидывать инет в сеть

у нас вроде таких гениев создающих Bolgen OS нету

а вы беспомощными глазами будете хлопать около мониторов

собственно человек учится на своих ошибках, гугление, чтение логов, и вот уже правильно настроил

no_name8914 ()
Ответ на: комментарий от no_name8914

собственно человек учится на своих ошибках, гугление, чтение логов, и вот уже правильно настроил

Нет. Нормальный человек старается учится на чужих ошибках. Вы - саботажник, по факту. Наймите одного нормального админа, чтобы он сделал под ключ. Он оставит контакты, насоветует источников информации и объяснит «как правильно». Это намного больше даст вам и организации.

anonymous ()
Ответ на: комментарий от anonymous

наймите, купите, а деньги кто выделять будет

Это намного больше даст вам и организации.

организации это особо ничего не даст, собственно у меня сейчас администрирование сетью идет через отрубание кабелей по сегментам сети оно собственно и сейчас все нормально работает, но просто хочется иметь мониторинг внутри сети кто и куда лезет и назначать приоритеты кабинету где проходит тестирование больше, другому меньше, и все

no_name8914 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.