LINUX.ORG.RU
ФорумAdmin

подписался на разовую работу, пара вопросов


0

0

Здравствуйте друзья. Есть пара вопросов, помогите. Предложили разовую работу: Есть сеть из ~30 компьютеров, есть nat на виндовсе с внешним ip адресом с одной стороны и сетью с другой. попутно компьютер выполняет функцию rdp сервера, на который подключается некий бухгалтер или несколько бухгалтеров и работают на нем в 1с. есть почта на провайдерском сервере (в интернете), с которого, почему-то по очереди, получают почту сотрудники из этой локалки.

Что требуется: 1) перевести nat на линукс

2) проверять на вирусы входящий траффик Вопрос: можно ли траффик проверять без помощи proxy, а только средствами iptables + clamav. Или тут нужен iptables + proxy + clamav ???? если да, то какой прокси может работать в паре с clamav???? 3) требуется собирать почту с провайдерского сервера на этот шлюз и оттуда выдавать ее пользователям сети. Вопрос: для этого нужен dns сервер, если не ошибаюсь ????

4) требуется обеспечить подключение бухгалтеров по rdp. вопрос: видимо придется перебрасывать из вне в нутрь, на какой-то rdp сервер ??? На сколько я понимаю - это довольно не безопасное решение, так как - для чего тогда вообще ставить линукс на шлюз, если внутри сети будет машина с виндовсом, которая будет видна из интернета, и которая будет иметь все права в локальной сети ???? видимо решением проблемы будет vpn

Ну и главный впрос, сколько вы бы взяли денег за такую работу и за какой срок ее можно выполнить. Есть еще одно условие, дать пару уроков ихнему аникейщику, дабы смог потом это все обслуживать???

и еще один вопрос, компьютер, на котором все это планируется Celeron 3 900 mhz 512 mb RAM - Потянет?

Большое спасибо всем ответившим, очень нуждаюсь в товарищеском плече)))))

★★★

и еще один вопрос, компьютер, на котором все это планируется Celeron 3 900 mhz 512 mb RAM - Потянет?

уж если винда тянет...

melkor217 ★★★★★ ()
Ответ на: комментарий от IvanR

В случае чего, ничего страшнее низкой скорости передаче данных неслучится.

melkor217 ★★★★★ ()

У меня удачно работает связка squid3 прозрачно c-icap и clamav. Насчет денег за работу - в зависимости от твоей ответственности и цен конкурентов

uspen ★★★★★ ()

ну хз как договоришься от 10 круб за настройку это по минимуму
осла учить в эту сумму не входит )))

evolutionX ()

Мнэ-э-ау... Не совсем понял... Либо планируется перенести терминальный сервер на другую машину (зачем тогда делать её видимой из инета?), либо поднимать всё на той, что есть (а это, скорее всего, FreeNX, и всё, что с этим связано... тут и расценки другие;-))?

nbw ★★★ ()

> можно ли траффик проверять без помощи proxy, а только средствами iptables + clamav

Нет конечно. Вирусы это файлы, а iptables не знает что это такое. Зато прокси знает. Ещё прокси знает что такое NTLM, с чем тебе тоже видимо придётся познакомиться при переводе шлюза на линукс.

3) требуется собирать почту с провайдерского сервера на этот шлюз и оттуда выдавать ее пользователям сети. Вопрос: для этого нужен dns сервер, если не ошибаюсь ????

Не очень понимаю в каком месте он нужен чтобы забрать почту по pop3 и выложить её юзерам дальше. Хотя в любом случае bind в минимальной конфигурации не помешает, да и во многих дистрибутивах он сразу идёт именно в таком виде.

вопрос: видимо придется перебрасывать из вне в нутрь, на какой-то rdp сервер ??? На сколько я понимаю - это довольно не безопасное решение, так как - для чего тогда вообще ставить линукс на шлюз, если внутри сети будет машина с виндовсом, которая будет видна из интернета, и которая будет иметь все права в локальной сети ???? видимо решением проблемы будет vpn

Какой смысл в VPN, если RDP вполне себе шифруется, а без него в данном случае никак.

Вообще вещь достаточно стрёмная, бухгалтерию так выставлять в интернет. Любые пароли можно снять клавиатурным шпионом на домашнем компе бухгалтера, причём и пароль на VPN тоже. К IP разве что привязывать.

Ну и главный впрос, сколько вы бы взяли денег за такую работу и за какой срок ее можно выполнить

На базе Kerio (на любой платформе) в районе 2000-3000 рублей, 1-2 рабочих дня. На базе squid, iptables, postfix и т.д. - в пределах собственной наглости и терпения заказчика соответственно. Больше 5000 врядли дадут, не один ты такой ушлый.

> и еще один вопрос, компьютер, на котором все это планируется Celeron 3 900 mhz 512 mb RAM - Потянет?

Более чем.

tx ()

rdp, вроде как более менее нормально шифрует трафик. Если уж захотят ломать, будут, ИМХО, ломать компьютеры бухгалтеров, а не перехватывать и расшифровывать тарфик. VPN только усложнит жизнь бухгалтерам, наверное, лучше просто разрешить доступ к rdp на нестандартном порту только с определённых ip-адресов (создать отдельную цепочку в iptables с логирование отброшенных ip-адресов). Местному эникейшику объяснить в какой лог смотреть и куда добавлять правила (допустим через webmin).

А для почты вам понадобится pop3-сервер чтобы раздавать по локалке и fetchmail/procmail, чтобы забирать от провайдера и раскидывать по ящикам. Это если это нужно, может всех и так устраивате поочерёдное чтение почты.

mky ★★★★★ ()
Ответ на: комментарий от mky

по поводу денег, сначала попросил 10000р., сделали большие глаза)))) в общем я так примерно на 5 и рассчитываю.

по поводу rdp: если я правильно понимаю, то принимать подключения по rdp все равно придется на машине с виндовсом, вижу 2 варианта реализации

1 выставить машину с виндовсом в интернет, дабы на ней принимать подключения по rdp

2 поднять vpn, тогда машина с виндовсом будет видна только из локалки или из vpn тоннеля, думаю так будет все же безопаснее, так как сама по себе машина с виндовсом, которую видно из интернета - уже не безопасно

если есть третий вариант, то прошу озвучить, если он уже был озвучен, прошу повторить, так как не догнал))))

Какой смысл в VPN, если RDP вполне себе шифруется, а без него в данном случае никак

я думаю в том, чтобы спрятать в локалку rdp сервер

мейл сервер пока не парит, может их и правда устроит по очереди почту получать

IvanR ★★★ ()
Ответ на: комментарий от IvanR

с ntlm сталкивался, геморное дело, но я думаю, что доступ в интернет будет анонимным, а если понадобится кого-то отследить, то можно по ip адресам

IvanR ★★★ ()
Ответ на: комментарий от nbw

>Мнэ-э-ау... Не совсем понял... Либо планируется перенести терминальный сервер на другую машину (зачем тогда делать её видимой из инета?)

а как еще к ней будут подключаться из интернета???

IvanR ★★★ ()
Ответ на: комментарий от IvanR

RDP

RDP сервер ставите в локалку, и просто пробросьте порт 3389 до этого сервера на ружу, винда смотрящая во внешку не есть хорошо.

dik-m ()
Ответ на: RDP от dik-m

>RDP сервер ставите в локалку, и просто пробросьте порт 3389 до этого сервера на ружу, винда смотрящая во внешку не есть хорошо.

понятно что так, но это я и имел в виду, когда писал вот это:

1 выставить машину с виндовсом в интернет, дабы на ней принимать подключения по rdp

IvanR ★★★ ()
Ответ на: комментарий от IvanR

Выставить в интернет машину с виндовсом, но ограничить список ip-адресов, с которых может происходить подключение. Если бухгалтера подключаются с более-менее постоянных адресов, то их можно забить в firewall. Можно даже вместо отдельных адресов забивать сети класса C, если у провайдера динамически выдаётся ip-адрес. И пусть за всем этим следит местный эникейщик. Хотя в 5 т.р., ИМХО, обучение эникейщика не входит.

OpenVPN, может и хорошо, но надо устанавливать его на компьютеры бухгалтеров, кто это будет делать?

А вобще, из ваших постов не совсем понятно, откуда подключатся бухгалтера, то ли это постоянные сотрудники в командировке, то ли, различные совместители, работающие из дому.

mky ★★★★★ ()
Ответ на: комментарий от mky

всем спасибо, работа обломилась))))

openswan не требует никакого дополнительного по на стороне с виндовсом

IvanR ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.