я бы доразобрался в pfsense, папки там да, как-то одаренно настраиваются, но если появятся дополнительные хотелки он все смогет.

ОС — любая, но учитывая древность железа я бы выбрал что-то нетребовательное, типа CentOS/Debian. Для организации доступа к Интернет (доступ, черные/белые списки, шейпер скорости) — Squid. Статистика доступа — LightSquid. Сетевой каталог с авторизацией — Samba. Чтобы меньше возиться с пользовательскими учётками посоветую на базе samba поднять контроллер домена и авторизацию squid завязать на этот контроллер.

Нафига я только не пойму поднимать проксю, или виндовые админы другого слова не знают?

А самые продвинутые используют нагромождение слов типа «прокси-шлюз», жду пояснений.

Линукс конечно же.

http://itdavid.blogspot.com/2012/05/howto-centos-6.html

жду пояснений.

и советов мудрых.

1. Иметь возможность ограничивать скорость соединения некоторым пользователям и давать приоритеты лругим

Вроде бы squid должен уметь это делать. Но удобнее и практичнее реализовать это через VPN.

2. Иметь возможность закрытия доступа к сайтам некоторым пользователям

Аналогично.

3. Иметь GUI для настройки хотя бы ограничения скорости и статистики

Такой GUI называется xterm.

4. необходимо чтобы прокси сервер был прозрачный

Squid. Но через VPN будет удобнее - безо всяких проксей.

5. необходимо организовать на этом же сервере сетевой диск с парольным доступом, т.е. чтобы только те у кого есть пароль имели доступ к папке в сети

Samba, FTP (с NFS будет посложнее).

Clear OS 6.7 - не качает пакеты и половина платных

У Devuan таких проблем нет: https://devuan.org/

Заодно там нет глючного systemd, из-за которого сервер просто так может сдохнуть ни с того ни с сего (были случаи окирпичивания материнских плат из-за systemd). Для настройки можно использовать руководства по Debian.

pfsense - так и не смог с ним подружиться - так же нет возможности расшарить папку

Это уже вопрос освоения.

Kerio старый - работал но он платный, нет возможности расшарить папку

На эту какашку даже смотреть не надо было.

Ну единственный метод шейпить трафик юзерам без проксей, который я знаю, - tc, и там по-моему туго с гуями.

А уж как резать пользователям доступ к определенным сайтам без прокси - совсем хз. Не банить же весь клаудфлер. К сквиду же по icap можно присобачить фильтрацию хоть по контенту страницы (особенно в связке с ssl-mitm). Я как-то тестово делал, чтобы нельзя было даже через прокси-шмокси-анонимайзеры на какой-нибудь фтентаклик залезть, потому что оно его определяло по характерным кускам кода страницы и выдавало заглушку вместо.

Правда резать доступы к сайтам в эпоху мобильного интернета это борьба с ветряными мельницами.

Я порекомендовал бы соориентироваться на debian, а так в целом, выбор дистрибутива лишь тема для холивара. Например голый дебиан без гуя потребляет 88мб оперативы.

В общем-то все уже подсказали - для прокси Squid, для статистики - LightSquid, у него есть веб-интерфейс, как помню не очень презентабельный, но лучше чем ничего.

1. Иметь возможность ограничивать скорость соединения некоторым пользователям и давать приоритеты лругим

Вот тут простор, можно хоть с vlan заморочиться. Но наверное, проще будет на основе squid сделать разбивку на группы, и для групп писать правила, как-то так.

5. необходимо организовать на этом же сервере сетевой диск с парольным доступом, т.е. чтобы только те у кого есть пароль имели доступ к папке в сети

Вот тут нужно погуглить про mdadm, и заиметь как минимум raid1, лучше на трех дисках, ну и про установку ос на массив. Поможет примерно вот такая команда

dpkg-reconfigure grub-pc

По сути весь «шлюз» - это десяток правил на iptables, и пара правок в конфигах.

Нафига я только не пойму поднимать проксю

если вам не было нужно, то не значит, что не нужно никому

Да я свой вопрос снимаю... но 25 человек и с дифференциацией штанов... это чересчур

значит имеется организация с 15-25 одновременно подключенными к сети компами (иногда и в двое больше но крайне редко)

имеется старенький сервер на 4 пне с 2 ГБ ОЗУ (т.е. максимум 32 битная ОС)

Интернет канал 1 мегабит по оптике (больше не дают пока)

ЭТО НЕ ОРГАНИЗАЦИЯ!!!!

организация которая имеет ИНН и ОГРН а называется эта организация - сельская школа

«другого слова не знают» ну ладно специально для тебя напишу на твоем языке

я хочу резалку трафика и блокировалку сайтов для конкретных пользователей, чтобы никто в одиночку не мог забить канал на 100%, и расшаривалку папок с паролем на одной машине

Правда резать доступы к сайтам в эпоху мобильного интернета это борьба с ветряными мельницами

ну вот и пускай кому нужно сидят с мобильного инета, а интернет общий используют рационально, для работы, хотя у нас контентная фильтрация извне, и все равно кто нибудь один забивает канал наглухо время от времени

бери debian, ставь туда прокси-squid статистика-lightsquid, файрвол-shorewall, файл-принт-сервер-samba, админить все это добро через вебинтерфейс - webmin.

по железу - возьми да попробуй, с дебьяном можно.

голый дебиан без гуя потребляет 88мб оперативы.

ну с памятью вроде проблемм нет, там даже если KDE поставить еще место останется для работы

«и заиметь как минимум raid1»

в принципе могу и аппаратный RAID организовать, железо то серверное, третий SCSI диск найти только надо с 10К оборотами и мне кажется это излишне, ибо это будет просто для обмена файлами между сотрудниками, там презентации, документы, фотографии, чтобы не бегали с флешками и не ломали разъемы ну и папка RO куда будут скидываться поступающие документы

Имхо, аппаратный рейд под такие требования - в жопу. Если вдруг контроллер улю - застрелишься восстанавливать, тем более, что он древний как говно мамонта, и чего-нибудь этакое может пойти не так в любой момент. А вот софтварный рейд 1 - самое оно.

да на файлы на сервере - в принципе фиолетово эта папка будет тупо для обмена между сотрудниками поставлю систему, настрою - солью копию, и все

школа

а школе что, не положена железка-контент-фильтр от нашего замечательного государства? не верю.

...для начинающих...

имеется организация с 15-25 одновременно подключенными к сети компами...

Совсем начинающий? Тогда виндовз-сервер.

Эх... бывает.

ЦентОС. :-(

все верно порекомендовали насчет железного рейда, ведь почти наверняка нет второго такого контроллера в запасе, лучше не стоит связываться с недожелезным рейдом.

Если рассматривать со стороны производительности, то кмк первый упор в ней будет в самбе (из коробки настройки надо пошаманить, на старых версиях было актуально), а не со стороны дисков, поэтому их можно брать вообще любые. Почему-то представил что у вас там 500гб сата2.

железо то серверное
сервер на 4 пне с 2 ГБ ОЗУ

не связал

Третий диск он не для производительности, а для избыточности. Уверен почти наверняка, что при вылете из рейда 1 диска, замена ему будет покупаться очень долго ( школа же, привет госзакупки или что там?)

эта папка будет тупо для обмена между сотрудниками

вот тут как раз и будут лежать очень важные и нужные файлы, лучше заранее обеспокоиться о путях отступления бэкапах/синхронизации на другое железо

Купить маршрутизатор, тот же mikrotik. В обслуживании будет дешевле + проще резервировать (купи 2ую такую железку в «холодный» резерв и настрой постоянный бэкап, например, с помощью oxidized, тогда в случае проблем за 10 минут восстановишь работу). Фильтрацию не умеет, но, ИМХО, достаточно настроить очереди и никто не займёт весь канал.

Фильтрацию сделать, либо на уровне антивируса на каждой рабочей станции (тот же Касперский это умеет), либо на уровне DNS (skydns, например).

Хотел спросить по поводу Squid. Раньше, насколько я помню, реализация шейпера была такая — до сервера все приходит без ограничений, а потом сам сквид режет скорость на отдачу. Так же и осталось?

Forefront Threat Management Gateway

Интернет канал 1 мегабит по оптике (больше не дают пока)

За Squid тоже подпишусь тогда, он хорошо умеет кешировать.

а школе что, не положена железка-контент-фильтр от нашего замечательного государства? не верю.

железка не положена, просто весь трафик наш идет через центр информатизации края и надо блокировать конкретным пользователям конкретные сайты, например зачем ученикам тот же ютуб, он хоть у нас и 90% видео не показывает по категориям, но работает но если его полностью закрыть - то тогда учителя не смогут показывать материалы ко всяческим тематическим урокам

вот тут как раз и будут лежать очень важные и нужные файлы

достаточно предупредить чтобы не хранили там свои файлы, а использовали для обмена и замутить скриптом очистку файлов старше недели, и все

Купить маршрутизатор, тот же mikrotik

угу, только выделил бы кто нибудь 7 тыс рублей на нормальное устройство

ну 7к, это «по-багатому», а тебе вполне hap lite подойдет за 1к.
Почему такая беда с каналом, по оптике и всего 1мбит ?

я хочу резалку трафика и блокировалку сайтов для конкретных пользователей, чтобы никто в одиночку не мог забить канал на 100%, и расшаривалку папок с паролем на одной машине

Samba + netfilter и морда к нему вроде iptables или nftables, и по мере надобности дополнительные обвязки к ним. Каналом жонглировать проще средствами файрвола. Можешь хоть локальную чебурашку устроить.

да даже за 1К не выделяют средства хоть убейся да и к тому же потом крики «пилят средства бюджетные» а беда с каналом - от того что это гос контракт, провели оптику, а по контракту 1 мегабит

тот же ютуб, он хоть у нас и 90% видео не показывает по категориям, но работает но если его полностью закрыть - то тогда учителя не смогут показывать материалы ко всяческим тематическим урокам

Вот и пришли времена, когда в школах начали учить по ютубу...

для создания шлюза/прокси сервера в организации желательно с как можно более простой настройкой для начинающих

Лучше взять один раз нормального админа, чтобы настроил грамотно, и потом аккуратно самим поддерживать, а то один залетевший дятел какой-нибудь понимающий школьник может порушить вам всю ИТ-инфраструктуру, а вы беспомощными глазами будете хлопать около мониторов, не понимая что происходит.

http://www.zentyal.org/

тут буквально в декабре чел открыл в публичный доступ свое коробочное решение, пошукай по темам

Вот и пришли времена, когда в школах начали учить по ютубу...

так там и не особо то учат, просто не редко туда размещают материалы к каким либо министерским мероприятием, типо повышение цифровой грамотности, или там против курения

Лучше взять один раз нормального админа

а не лучше просто текущему постепенно развиваться в разных направлениях

какой-нибудь понимающий школьник может порушить вам всю ИТ-инфраструктуру

ну и ладно, получит 5 по информатике, да и возможности у него крайне ограничены, на компах линуксы где все запрещено кроме того что есть в учебнике

да и после настройки можно просто настроить оверлей в TMPFS, перезагрузка и компухтер как новенький

и на такой случай есть тупой роутер способный бездумно раскидывать инет в сеть

у нас вроде таких гениев создающих Bolgen OS нету

а вы беспомощными глазами будете хлопать около мониторов

собственно человек учится на своих ошибках, гугление, чтение логов, и вот уже правильно настроил

Нельзя использовать dropbox? Мы тут на кафедре завели и довольны.

собственно человек учится на своих ошибках, гугление, чтение логов, и вот уже правильно настроил

Нет. Нормальный человек старается учится на чужих ошибках. Вы - саботажник, по факту. Наймите одного нормального админа, чтобы он сделал под ключ. Он оставит контакты, насоветует источников информации и объяснит «как правильно». Это намного больше даст вам и организации.

наймите, купите, а деньги кто выделять будет

Это намного больше даст вам и организации.

организации это особо ничего не даст, собственно у меня сейчас администрирование сетью идет через отрубание кабелей по сегментам сети оно собственно и сейчас все нормально работает, но просто хочется иметь мониторинг внутри сети кто и куда лезет и назначать приоритеты кабинету где проходит тестирование больше, другому меньше, и все

угу с ним инет в 1 мбит еще сильнее загнется