LINUX.ORG.RU
ФорумAdmin

Настройка сети в школе


0

2

Здравствуйте. Нужна помошь в общем суть такова в школе сеть проводят компов примерно 40, два компьютеных класса и по кабинетам у остальных и интернет есть. Нужно сделать сеть толковую сеть с логином и паролем для входа в сеть с правами на всех и с ораничениями по сети и выход в интернет. Там сейчас система образования «За свободное ПО» то есть в комп. классах будет скорее всего Linux стоять. То есть что вообще для этого понадобиться и если не трудно как в кратце это настроить?

http://myphoto.nnov.ru/img/ZZmBA.jpg

Ответ на: комментарий от anonymous_sapiens

Ну я почитал мне понадобится LDAP и Squid, хотя кое где написано что мол гумно это всё и надо Radius ставить . Дак что же нужно то?

Serpico ()
Ответ на: комментарий от anonymous_sapiens

Да, библЕотека вогнала меня в состояние культурного шока.

А вообще, задача детская - поднять LDAP, настроить NFS-сервер для домашних каталогов и настроить squid, pam и sendmail

Nastishka ★★★★★ ()
Ответ на: комментарий от Serpico

Сквид работает. У меня как прокси. По локалке же машины просто поделены на рабочие группы. Если в сквиде задать разным группам разные права, то, возможно, получится и логин/пароль на доступ к сети просить. Я пока не разобрался как, но в таком случае, по идее, даже запросы на локалку должны идти через прокси. Да, как вариант, права на доступ к расшаренным папкам через самбу настроить. там вроде и логины/пароли тож задать можно.

Vier_E ★★★ ()
Ответ на: комментарий от Vier_E

тут самое важное что бы директора имели полный доступ в интернет (кроме бухгалтера), а компьютеные классы всё по минимум, особенно ограничить социальные сети и прочую порнографию. через ldap я так понимаю всё это делается только вот в кратце как создать группы, пользователей для входа в сеть и т.д. ?

Serpico ()
Ответ на: комментарий от Serpico

Не знаю как через ldap, но через сквид возможно выпускать разные группы по разным спискам/каждой группе свой блэклист из сайтов. Не знаю где брать блэклисты, я пока, в тестовом варианте запретил ВСЕМ vkontakte.ru и microsoft.com. Также выяснилось, что возможно запретить выход определённым браузерам (у меня запрещён выход через ИЕ)

Vier_E ★★★ ()
Ответ на: комментарий от alikhantara

э нет тут помимо сайтов еще и надо чтоб под теми же логин/паролем и могли в самбу заходить и тоже с ограничениями, то бишь например ученик не смог бы к директору в комп залезть по локалке.

Serpico ()
Ответ на: комментарий от Serpico

ну тада как вариант - в самбе прописывать те же логины и пароли. я не знаю, как заюзать в сквиде логины/пароли, и возможно ли вообще через него на локалку ограничения ввести, ибо недавно юзаю всю эту фигню. Но если кто напишет как настроить такой доступ, буду ощенно благодарен :)

Vier_E ★★★ ()
Ответ на: комментарий от Serpico

хз, в венде, кажись тоже что-то должно быть, что ограничивает, но я никогда не заморачивался, чтобы в венде огораживать шаровые папки. Возможно настраивается через какие-нить политики безопасности.

Vier_E ★★★ ()
Ответ на: комментарий от templar

DHCP же в любом случае настраивать будешь.

Зачем? Проще статические айпишники сделать, чем мучиться с DHCP из-за несчастной пары-тройки сотен компьютеров...

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от Serpico

у директора то винда стоит там как быть?

Для настройки мастдая придется ооочень дорогого специалиста вызывать. Это вам не линукс. Там все намного сложней...

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от Eddy_Em

>Зачем? Проще статические айпишники сделать, чем мучиться с DHCP из-за несчастной пары-тройки сотен компьютеров...

+100500
Я тоже все айпишнеги вручную ввожу, зато наизусть знаю какой айпи у какой машины и где она стоит :)
/me недоумевает по поводу нужности DHCP.

Vier_E ★★★ ()
Ответ на: комментарий от Vier_E

А еще неплохо наваять скриптик проверки соответствия айпишника заданному mac-адресу. Чтобы «левые» компьютеры в сеть не пытались включить :)

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от templar

acl на шару настроить даже школьник сможет.

А сам мастдай настроить, чтобы «все работало», но «поломать» систему было невозможно (+ защита от «вирусов» без ненужных «антивирусов»), сможет лишь очень продвинутый вендоадмин.

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от templar

Ну, можно таким образом и дхцп организовать, чтобы раздавал айпишники по mac-адресу сетевой карты, а если mac-адреса в базе нет, посылал бы нафиг... Но чем это будет лучше статического прописывания ip-адресов с периодической проверкой на соответствие их mac-адресам? Ведь в случае dhcp такую проверку все равно придется организовывать (мало ли кто захочет статический айпишник прописать).

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от templar

ох как все усложнилось, четкий ответ есть на это, что нужно настроить что бы к примеру: директору и туда и сюда имел доступ, а ученик только к другому ученику и максимум яндекс ему.

Serpico ()
Ответ на: комментарий от Eddy_Em

Ви таки полагаете, что антивирус в сети не нужен? Аффтар предлагает же вайфай, а мало ли что они могут подцепить? Пусть тогда еще и кламав поднимает!

templar ()
Ответ на: комментарий от Serpico

Ничего сложного: только правильно настроить squid. Там даже авторизация не понадобится, если айпишники грамотно распределить по группам...

// если же вы хотите, чтобы, скажем, любой преподаватель мог иметь доступ в интернет с ученических компьютеров, придется таки в squid'е настраивать авторизацию.

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от templar

Ви таки полагаете, что антивирус в сети не нужен?

Антивирус нужен только безмозглым лентяем. У грамотного админа проникновение «вируса» в систему невозможно!

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от templar

мало ли кто захочет статический айпишник прописать

А кому это мы будем такие права давать?

А никому их давать и не надо: принесет кто-нибудь свой ноутбук, да подключит его к сети. В чем проблема-то?

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от Eddy_Em

>У грамотного админа проникновение «вируса» в систему невозможно!

Это как, он их у маршрутизатора сачком что ли вылавливает?

принесет кто-нибудь свой ноутбук

А вайфай будет вынесен в отдельный влан, и в пул дхцп для «чисто школьных машин» сторонние мак-адреса не внесены.

templar ()
Ответ на: комментарий от templar

У грамотного админа проникновение «вируса» в систему невозможно!

Это как, он их у маршрутизатора сачком что ли вылавливает?

А вот будто бы вирусы сами в компьютер ломятся :) Файрволл настройте!

А вайфай будет вынесен в отдельный влан, и в пул дхцп для «чисто школьных машин» сторонние мак-адреса не внесены.

При чем тут файфай? Он вообще нафиг не нужен. Я говорю про физическое подключение к ближайшей сетевой розетке!

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от Eddy_Em

>А вот будто бы вирусы сами в компьютер ломятся :) Файрволл настройте!

Дык я и говорил выше - пусть кламав настроит, это не по файрволловой части, не?

физическое подключение к ближайшей сетевой розетке
в пул дхцп для «чисто школьных машин» сторонние мак-адреса не внесены

Я все сказал.

templar ()
Ответ на: комментарий от templar

Дык я и говорил выше - пусть кламав настроит, это не по файрволловой части, не?

ClamAV - ненужный тормоз. И к файрволу он никакого отношения не имеет.

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от templar

людии! там не пентагон все таки там обычная школа, такие трудности не нужны, самый простой доступ ограничения и выход в интернет всё, фай-фай пока отбросим это только ПЛАНЫ и то через месяц он может появится, пока что всё по минимому.

Serpico ()
Ответ на: комментарий от templar

А вот вирусы через файрволл пробиться не смогут, собственно :) Плюс если по-человечески настроить политики доступа, то вирусы вообще на вашем компьютере с мастдаем никогда не появятся. Для начала - хотя бы поставить noexec на все монтируемые ресурсы и домашнюю директорию и запретить обычному пользователю писать куда-либо, кроме своей домашней директории и сменных носителей.

Eddy_Em ☆☆☆☆☆ ()

Я вот ещё раз спрошу, возможно ли весь локальный трафик направить через сквид?

Vier_E ★★★ ()
Ответ на: комментарий от Eddy_Em

Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

И как из этих самых пакетов вылавливать вирусы, как не сачком? Я просто хочу напомнить в очередной раз, что это не задача файрволла - вирусы ловить. По ограничению доступа на ресурсы я только за.

templar ()
Ответ на: комментарий от templar

Червяк через файрвол не пройдет. Вот и все. А копировать вирусы туда-сюда по сети можно сколько угодно: все равно с грамотной организацией прав их никто запустить не сможет :)

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от Serpico

вобщем, по полочкам:

фаервол: iptables
адреса для локальных тачек: dhcp
учет трафика и контентная фильтрация: squid + dansguardian/netpolice
авторизация и аутентификация: ldap + kerberos (optional)
сетевые диски для линукс-машин: nfs
интеграция в вендовыми клиентами: samba

соответственно, в тех сервисах, которые требуют авторизации, настраиваешь работу с ldap.

накручивать можно до бесконечности. но для начала осиль это.

школа в каком городе? если вдруг, в НН, то номер скажи ;)

P.S.: happy school admin

aol ★★★★★ ()
Ответ на: комментарий от Serpico

самый простой доступ ограничения и выход в интернет всё

squid ???

alikhantara ()
Ответ на: комментарий от aol

aol, спасибо за разъяснение теперь всё намного понятнее.

Serpico ()

Для школы достаточно настройки squid и dhcpd. Все требования при этом будут выполнены.

Igron ★★★★★ ()
Ответ на: комментарий от Igron

вообщем я примерно разобрался мне будет достаточно acl, samba, squid можно и ими обойтись пока

Serpico ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.