LINUX.ORG.RU

Интернет шлюз с авторизацией через Active Directory

 


2

1

Добрый день, хочу представить на обозрение сообщества свой небольшой проект. Предназначение у него довольно банальное, предоставление доступа к сети Интернет для компьютеров в локальной сети. Скачать можно тут http://citsk.ru/files/zbilling-1.0.tar.bz2 описание и инструкция по установке внутри архива.


тебе бы это отдельным сайтом оформить и потом в новости запостить, полезного выхлопа будет гораздо больше, чем просто от темы на форуме

JB ★★★★★ ()
Ответ на: комментарий от JB

чем заменить?

ну и за каким хером нужны все эти гуи написанные школьниками, что в них такого что невозможно сделать через терминал, лишняя прокладка напичканная дырами.

axelroot ()
Ответ на: комментарий от axelroot

когда у тебя будет 4-5 офисов, с разными доступами, ты быстро возненавидишь iptables и его конфиги, а уж когда начальство захочет секьюрности, вообще повесишься.

erzent ☆☆ ()
Ответ на: комментарий от erzent

ты быстро возненавидишь iptables

схренали? это самая логичная и прозрачная прога в ляликсе

начальство захочет секьюрности

эти хотелки давно удовлетворены путем превода всего производства на ляликс

ну и в-третьих я сам прогер и мне больно видеть внутренности энтих гуев.

axelroot ()
Последнее исправление: axelroot (всего исправлений: 1)
Ответ на: комментарий от erzent

гуёвый.

я х-з о чем ты, но по-моему в первой букве ашибка. )))

axelroot ()
Ответ на: комментарий от erzent

1000 узлов, 12 сетей, 8 групп допуска, разная скорость вперёд

круто-че. )))

axelroot ()
Ответ на: комментарий от axelroot

Все это не нужно, включая самс

Для сети с большим числом узлов получающих адреса по dhcp, большим числом пользователей не привязанных к конкретным машинам, необходимостью работы через NAT и привязкой ограничений к пользователям править конфиги вручную?

К тому же не стоит преувеличивать значимость GUI в моей программе, оно скорее декоративный элемент для удобства просмотра активности пользователей... Основная настройка параметров маршрутизации все также ручками.

zldo ()

Наверное не очень удачно тему начал. Тут общее описание http://citsk.ru/index.php/soft/zbilling-menu#content Инструкция по установке http://citsk.ru/files/zbilling/zbilling-install.pdf Кому лень заходить, основные возможности: Распределение и управление доступом компьютеров лвс в Интернет через NAT (iptables+ipset) без прокси сервера, возможность авторизации пользователей по IP или через Active Directory для рабочих станций windows в зависимости от принадлежности пользователя группе (клиент авторизации), учет потребленного трафика с возможностью выставления лимитов потребления для пользователей, ограничение скорости для отдельных пользователей (через правила tc). Автоматическое добавление пользователей и «тарифных планов» из Active Directory (по шаблонным именам групп безопасности). Возможность организации Captive Portal с «произвольной» авторизацией (анализ таблиц ARP).

zldo ()
Ответ на: комментарий от zldo

Для сети с большим числом узлов получающих адреса по dhcp, большим числом пользователей не привязанных к конкретным машинам, необходимостью работы через NAT и привязкой ограничений к пользователям править конфиги вручную?

Не поверишь - ДА.

axelroot ()
Ответ на: комментарий от axelroot

Интересно как? При условии привязки ограничений к пользователям.

p.s. Без обид. Это не сарказм, а профессиональный интерес.

zldo ()
Ответ на: комментарий от zldo

Интересно как?

у него, видимо, ЗП достаточно большая, чтобы таким заниматься вручную

reprimand ★★★★★ ()
Ответ на: комментарий от zldo

да епт-ти, накой хрен мне натить всех подряд, прогоню через прокси, там и порежу че надо, и группы и скорости и размер файлов и видео и флеш повырезаю, и по ключевым словам побаню, и ченосписок подсуну и перенаправлю куда надо, через нат идут тока клиент-банки, банковские терминалы, и бухи, и то им разрешено в инет стучаться только по определенным портам.

axelroot ()
Ответ на: комментарий от zldo

выставления лимитов потребления для пользователей

ну и зачем это во времена безлимиток и быстрого инета по оптике?

axelroot ()
Ответ на: комментарий от zldo

рабочих станций windows

у меня их нет, windows сервера есть, а все раб. станции на линухе

натить клиентов только для их хождения по сайтикам - это абсурд.

axelroot ()
Последнее исправление: axelroot (всего исправлений: 1)
Ответ на: комментарий от axelroot

да епт-ти, накой хрен мне натить всех подряд, прогоню через прокси, там >и порежу че надо, и группы и скорости и размер файлов и видео и флеш >повырезаю, и по ключевым словам побаню, и ченосписок подсуну и >перенаправлю куда надо, через нат идут тока клиент-банки, банковские >терминалы, и бухи, и то им разрешено в инет стучаться только по >определенным портам

С годами заниматься такой ерундой желание пропадает :) Хочется решение из разряда «поставил и забыл», ну или с минимальными требованиями к сопровождению.

ну и зачем это во времена безлимиток и быстрого инета по оптике?

Для дисциплинирования пользователей :), ну а если серьёзно, то этот кусок пришел «из времен лимиток и инета по меди» да и сейчас периодически востребовано.

у меня их нет, windows сервера есть, а все раб. станции на линухе

Обычно все наоборот - Linux сервера есть, a все раб. станции на винде

zldo ()
Ответ на: комментарий от axelroot

натить клиентов только для их хождения по сайтикам - это абсурд.

Абсурд для задачи «хождения по сайтикам» использовать жрущий гораздо больше ресурсов чем NAT прокси. Да и вообще, для такой задачи есть железки от 1к рублей.

zldo ()
Ответ на: комментарий от zldo

С годами заниматься такой ерундой желание пропадает

какой еще ерундой? сервера разворачиваются в виртуале на них все уже настроено, максимум, что требуется подправить адресочки и все. ввод сервера в эксплуатацию у меня занимает несколько минут.

axelroot ()
Ответ на: комментарий от zldo

Да и вообще, для такой задачи есть железки от 1к рублей.

такой херней не пользуюсь и другим не советую.

axelroot ()
Ответ на: комментарий от zldo

NAT

ты представь, что будет, если в лок. сети в виндах поселятся сетевые паразиты, они тебе все положат.

axelroot ()
Ответ на: комментарий от axelroot

ввод сервера в эксплуатацию у меня занимает несколько минут.

Я не про ввод в эксплуатацию сервера говорил, а про «ввод в эксплуатацию» пользователей.

Интересно как? При условии привязки ограничений к пользователям.

И тут я про это спрашивал. Смысл всей задумки в том, чтобы хранить данные о пользователе в одном месте, в том числе и разрешения для доступа к Интернет с отвязкой от рабочих станций. Мухи (пользователи) отдельно, котлеты (маршрутизация) отдельно. Не нужно даже попадать в «эту че веб-гуевую поделку», достаточно создать пользователя в службе каталогов и добавить его в нужную группу, и не забивать себе голову тем за какой рабочей станцией он работает в какой подсети находится как его комп получает ip адрес, какие программы он использует, а когда этот человек уволится со спокойной совестью удалить его учетную запись и благополучно забыть.

zldo ()
Ответ на: комментарий от zldo

Смысл всей задумки в том, чтобы хранить данные о пользователе в одном месте, в том числе и разрешения для доступа к Интернет с отвязкой от рабочих станций.

без проблем решается squid+samba+AD, все тоже самое.

Не нужно даже попадать в «эту че веб-гуевую поделку»

вот и я о том же - ненужно.

axelroot ()
Последнее исправление: axelroot (всего исправлений: 1)
Ответ на: комментарий от axelroot

ой-ли, времена использования кешей давно прошли.

Даже не смотря на это, NAT будет быстрей, а при условии «порежу че надо, и группы и скорости и размер», я вообще молчу... Видимо еще ни разу не «упирались» в потолок производительности железа.

такой херней не пользуюсь и другим не советую.

Довольно спорный совет, все от задачи зависит, где-то и такого железа будет вполне достаточно.

ты представь, что будет, если в лок. сети в виндах поселятся сетевые >паразиты, они тебе все положат.

В 99 случаях из 100, тоже самое что и в случае использования прокси, это скорее проблема антивирусной защиты и безопасности сети в целом, чем шлюза.

zldo ()
Ответ на: комментарий от axelroot

без проблем решается squid+samba+AD, все тоже самое.

Давайте будем откровенны :) не без проблем (в том числе проблем конечного пользователя). А с условием -

через нат идут тока клиент-банки, банковские >терминалы, и бухи, и то >им разрешено в инет стучаться только по >определенным портам

то дополнительные действия все же требуются и от администратора, squid порты не пробросит при авторизации «буха» автоматом с учетом его текущего ip.

zldo ()
Ответ на: комментарий от zldo

в потолок производительности железа.

ну да транзинтный трафик на святом духе работает, и длинные цепочки правил совсем этому не мешают.

В 99 случаях из 100, тоже самое что и в случае использования прокси, это скорее проблема антивирусной защиты и безопасности сети в целом, чем шлюза.

не-а, в бурные времена конфикеров, сети завязанные на нат ложились на раз, а там где была прокся, все кое-как да ворочилось.

squid порты не пробросит при авторизации «буха» автоматом с учетом его текущего ip.

ты предлагаешь с любого рабочего места давать доступ к клиент-банкам и прогам для отправки отчетности, хороший ход в рамках безопасности. И о пробросе портов здесь речи не идет, компам использующим нат, разрешается шарится только на определенные порты назначения.

axelroot ()
Ответ на: комментарий от axelroot

ну да транзинтный трафик на святом духе работает, и длинные цепочки >правил совсем этому не мешают.

Все зависит от правил. При помощи кривых рук сервер можно повесить чем угодно. Но в общем случае пропуск пакета через NAT сожрет меньше ресурсов чем пропуск данных через прокси.

не-а, в бурные времена конфикеров, сети завязанные на нат ложились на >раз, а там где была прокся, все кое-как да ворочилось.

Да жил у меня этот конфикер - ничего ужасного :) чпокались они между собой в локальной сети большей частью.

ты предлагаешь с любого рабочего места давать доступ к клиент-банкам и >прогам для отправки отчетности, хороший ход в рамках безопасности.

В этом то и весь смысл - уйти от рабочих мест (превратить их в серую массу) и прийти к пользователям, утвердить так сказать превосходство человека над машиной.

zldo ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.