Linux шлюз

0

1

Доброго времени суток, Собираюсь реализовать шлюз на линуксе, необходимо:

1) Раздать инет 60 машинам 2) Мониторить внешний трафик 3) Ограничивать доступ к определенным ресурсам 4) Распределять скорость определенным группам пользователей 5) Желательно чтобы была вэб морда для управления 6) Если можно без прокси...

Подскажите , что на сегодняшний день является более оптимальным вариантом, какие службы нужно поднять, расписывать не нужно просто по пунктам, конкретно, дальше сам разберусь , так уж вышло что пару лет как отошел от линукса. Заранее благодарен.

Ссылка

←	Запрет доступа к серверу при обращении по ip

Статистика звонков по регионам.

→

пункты 1-5 легко реализуются использованием проксика squid + sams2

KJIayC ★
(15.11.13 08:31:49 MSK)

Ссылка

Пункт 2) с 6) не взлетит ИМХО. А так - кури iptables, iproute2 и squid. Конкретные вопросы по ходу дела - задавай сюда...

anonymous
(15.11.13 08:31:54 MSK)

По идее есть всякие специализированные дистрибутивы для таких вещей типа vyatta и т.п..

1) iptables

2) netFlow, softFlow и т.п.

3) iptables

4) iptables + шейпер (tc, htb, ...)

5) ? (для себя бы сам написал)

6) iptables

gfh ★★★
(15.11.13 08:50:39 MSK)

Ссылка

1) ClearOS, pfSense - если нужно из коробки и с веб мордой. В будущем могут быть проблемы, если потребуется реализовать какой-то более-менее нестандартный функционал.

Любой линукс или BSD дистрибутив и iptables, tc, squid - если хочется руками и с пониманием того, что делаешь.

BOOBLIK ★★★
(15.11.13 11:20:14 MSK)

Ответ на: комментарий от BOOBLIK 15.11.13 11:20:14 MSK

Любой линукс или BSD дистрибутив и iptables, tc, squid - если хочется руками и с пониманием того, что делаешь.

Спасибо, а в случае со squid мне придется на каждой машине проксю указать?

quas
(15.11.13 12:35:07 MSK) автор топика

Всем спасибо за внимание, в случае возникших затруднейний отпишусь.

quas
(15.11.13 12:35:53 MSK) автор топика

Ссылка

Ответ на: комментарий от quas 15.11.13 12:35:07 MSK

а в случае со squid мне придется на каждой машине проксю указать?

Если настраивать прозрачное проксирование, то не надо.

KJIayC ★
(15.11.13 13:03:58 MSK)

Ответ на: комментарий от KJIayC 15.11.13 13:03:58 MSK

Если настраивать прозрачное проксирование, то не надо.

спс

quas
(15.11.13 13:10:28 MSK) автор топика

за эту пару лет ничего не изменилось

ваши задачи решаются за несколько минут с помощью squid и iptables, дистрибутив по вкусу. И да если это действительно сервер то гуи и веб-морды не нужны.

vxzvxz ★★★
(15.11.13 13:36:19 MSK)

Ответ на: комментарий от quas 15.11.13 13:10:28 MSK

забудь про прозрачное проксирование, оно не умеет https

vxzvxz ★★★
(15.11.13 13:37:22 MSK)

Ссылка

на сколько вообще надежны сейчас зюзероутеры?
не проще ли купить профильное железо, со всем готовым?

Deleted
(15.11.13 13:39:16 MSK)

https://help.ubuntu.com/12.04/serverguide/zentyal.html

/thread

Ip0 ★★★★
(15.11.13 13:43:32 MSK)

Ссылка

Ответ на: комментарий от vxzvxz 15.11.13 13:36:19 MSK

И да если это действительно сервер то гуи и веб-морды не нужны.

Есть второй админ который страдает терминалофобией

quas
(15.11.13 14:06:48 MSK) автор топика

Ответ на: комментарий от quas 15.11.13 14:06:48 MSK

ну на всякие зентаилы и промоксы также смотреть не надо, это для школьников, sams мертвый проект его больше не разрабатывают, гуи тянут за собой много софта и соответственно много дыр в безопасности, которые на сервере не нужны, между терминалофобией и безопасностью нужно выбирать последнее

vxzvxz ★★★
(15.11.13 15:28:30 MSK)

Ответ на: комментарий от vxzvxz 15.11.13 15:28:30 MSK

sams мертвый проект его больше не разрабатывают

второй самс виноградов перестал пилить, но его эстафету вроде перехватил некто из пользователей.

KJIayC ★
(15.11.13 16:32:48 MSK)

Ответ на: комментарий от KJIayC 15.11.13 16:32:48 MSK

Да забили на него и актуальность данный софт потерял после появления безлимитов для юриков

vxzvxz ★★★
(15.11.13 16:40:51 MSK)

Ссылка

Ответ на: комментарий от anonymous 15.11.13 08:31:54 MSK

Пункт 2) с 6) не взлетит ИМХО

Взлетит. ipt_NETFLOW + nfsen.

AS ★★★★★
(15.11.13 17:07:34 MSK)

Ссылка

Ответ на: комментарий от Deleted 15.11.13 13:39:16 MSK

на сколько вообще надежны сейчас зюзероутеры ?

На сколько надёжна железка и на сколько надёжен дистрибутив. Не собирай на фигне, и будет счастье.

AS ★★★★★
(15.11.13 17:10:29 MSK)

Ссылка

Ответ на: комментарий от quas 15.11.13 14:06:48 MSK

Есть второй админ который страдает терминалофобией

Значит, пусть страдает. ;-) Может заняться этим самым UI. Напрмер, взять ALT Linux, alterator и писать к нему модуль управления tc. Для iptables кое-что там есть уже.

AS ★★★★★
(15.11.13 17:19:54 MSK)

Ссылка

Мониторить внешний трафик

Что именно под этим подразумевается?

MrClon ★★★★★
(15.11.13 18:19:06 MSK)

Ответ на: комментарий от MrClon 15.11.13 18:19:06 MSK

Что именно под этим подразумевается?

смотреть коннекты, куда че летает...

quas
(16.11.13 14:16:38 MSK) автор топика

Ответ на: комментарий от quas 16.11.13 14:16:38 MSK

Если дальше четвёртого уровня OSI не заглядывать то можно использовать что-то вроде iptraf, подобных утилит вроде много. Ну или tcpdump

MrClon ★★★★★
(16.11.13 15:41:45 MSK)

Ссылка

Два дистра уже порекомендовали, добавлю третий Untangle (собран на базе Debian) Далее по пунктам

1) Раздать инет 60 машинам - есть

2) Мониторить внешний трафик - штатно нет, надо что-то думать, как вариант squid + lightsquid например, ну или снимать трафик, а потом его анализировать. В случае применения squid пункт 3 и 4 средствами squid

3) Ограничивать доступ к определенным ресурсам - есть

4) Распределять скорость определенным группам пользователей - штатно нет, как вариант tc

5) Желательно чтобы была вэб морда для управления - есть

6) Если можно без прокси... Относительно squid его можно зделать прозрачным (у пользователей ничего писать не надо) прсто завернуть на него обращения к ресурсам по 80 порту

aksi2000
(16.11.13 18:39:37 MSK)