Интернет шлюз с авторизацией через Active Directory

это че веб-гуевая поделка чтоль? SAMS не видел чтоль?

это че веб-гуевая поделка чтоль? SAMS не видел чтоль?

тут функционал побольше чем у SAMS

тебе бы это отдельным сайтом оформить и потом в новости запостить, полезного выхлопа будет гораздо больше, чем просто от темы на форуме

функционал побольше чем у SAMS

Все это не нужно, включая самс

это ты сейчас просто в лужу пернул или у тебя есть аргументы чем заменить?

чем заменить?

ну и за каким хером нужны все эти гуи написанные школьниками, что в них такого что невозможно сделать через терминал, лишняя прокладка напичканная дырами.

все с тобой понятно, очередной админ локалхоста

физкульт привет гуевофилам!

когда у тебя будет 4-5 офисов, с разными доступами, ты быстро возненавидишь iptables и его конфиги, а уж когда начальство захочет секьюрности, вообще повесишься.

ты быстро возненавидишь iptables

схренали? это самая логичная и прозрачная прога в ляликсе

начальство захочет секьюрности

эти хотелки давно удовлетворены путем превода всего производства на ляликс

ну и в-третьих я сам прогер и мне больно видеть внутренности энтих гуев.

ну ну, то-то большинство предпочитает pfsence and ipfire вместо голого iptables.

pfsence

Во-первых pfsenSe, а во-вторых при чем тут bsd-based дистрибутив если разговор про iptables?

pfsence and ipfire

ну я вот даже не знаю о чем ты опять бредишь, в iptables все просто как 2х2

к тому что он гуёвый.

ну ну, 1000 узлов, 12 сетей, 8 групп допуска, разная скорость вперёд, сколько в твоём любимом iptables это делать?

гуёвый.

я х-з о чем ты, но по-моему в первой букве ашибка. )))

UserGate чего не приплел тогда?

1000 узлов, 12 сетей, 8 групп допуска, разная скорость вперёд

круто-че. )))

не пользовался.

Прокси тут нет, только NAT

Все это не нужно, включая самс

Для сети с большим числом узлов получающих адреса по dhcp, большим числом пользователей не привязанных к конкретным машинам, необходимостью работы через NAT и привязкой ограничений к пользователям править конфиги вручную?

К тому же не стоит преувеличивать значимость GUI в моей программе, оно скорее декоративный элемент для удобства просмотра активности пользователей... Основная настройка параметров маршрутизации все также ручками.

Наверное не очень удачно тему начал. Тут общее описание http://citsk.ru/index.php/soft/zbilling-menu#content Инструкция по установке http://citsk.ru/files/zbilling/zbilling-install.pdf Кому лень заходить, основные возможности: Распределение и управление доступом компьютеров лвс в Интернет через NAT (iptables+ipset) без прокси сервера, возможность авторизации пользователей по IP или через Active Directory для рабочих станций windows в зависимости от принадлежности пользователя группе (клиент авторизации), учет потребленного трафика с возможностью выставления лимитов потребления для пользователей, ограничение скорости для отдельных пользователей (через правила tc). Автоматическое добавление пользователей и «тарифных планов» из Active Directory (по шаблонным именам групп безопасности). Возможность организации Captive Portal с «произвольной» авторизацией (анализ таблиц ARP).

Для сети с большим числом узлов получающих адреса по dhcp, большим числом пользователей не привязанных к конкретным машинам, необходимостью работы через NAT и привязкой ограничений к пользователям править конфиги вручную?

Не поверишь - ДА.

Интересно как? При условии привязки ограничений к пользователям.

p.s. Без обид. Это не сарказм, а профессиональный интерес.

Интересно как?

у него, видимо, ЗП достаточно большая, чтобы таким заниматься вручную

да епт-ти, накой хрен мне натить всех подряд, прогоню через прокси, там и порежу че надо, и группы и скорости и размер файлов и видео и флеш повырезаю, и по ключевым словам побаню, и ченосписок подсуну и перенаправлю куда надо, через нат идут тока клиент-банки, банковские терминалы, и бухи, и то им разрешено в инет стучаться только по определенным портам.

выставления лимитов потребления для пользователей

ну и зачем это во времена безлимиток и быстрого инета по оптике?

рабочих станций windows

у меня их нет, windows сервера есть, а все раб. станции на линухе

натить клиентов только для их хождения по сайтикам - это абсурд.

да епт-ти, накой хрен мне натить всех подряд, прогоню через прокси, там >и порежу че надо, и группы и скорости и размер файлов и видео и флеш >повырезаю, и по ключевым словам побаню, и ченосписок подсуну и >перенаправлю куда надо, через нат идут тока клиент-банки, банковские >терминалы, и бухи, и то им разрешено в инет стучаться только по >определенным портам

С годами заниматься такой ерундой желание пропадает :) Хочется решение из разряда «поставил и забыл», ну или с минимальными требованиями к сопровождению.

ну и зачем это во времена безлимиток и быстрого инета по оптике?

Для дисциплинирования пользователей :), ну а если серьёзно, то этот кусок пришел «из времен лимиток и инета по меди» да и сейчас периодически востребовано.

у меня их нет, windows сервера есть, а все раб. станции на линухе

Обычно все наоборот - Linux сервера есть, a все раб. станции на винде

натить клиентов только для их хождения по сайтикам - это абсурд.

Абсурд для задачи «хождения по сайтикам» использовать жрущий гораздо больше ресурсов чем NAT прокси. Да и вообще, для такой задачи есть железки от 1к рублей.

С годами заниматься такой ерундой желание пропадает

какой еще ерундой? сервера разворачиваются в виртуале на них все уже настроено, максимум, что требуется подправить адресочки и все. ввод сервера в эксплуатацию у меня занимает несколько минут.

жрущий гораздо больше ресурсов чем NAT прокси

ой-ли, времена использования кешей давно прошли.

Да и вообще, для такой задачи есть железки от 1к рублей.

такой херней не пользуюсь и другим не советую.

NAT

ты представь, что будет, если в лок. сети в виндах поселятся сетевые паразиты, они тебе все положат.

ввод сервера в эксплуатацию у меня занимает несколько минут.

Я не про ввод в эксплуатацию сервера говорил, а про «ввод в эксплуатацию» пользователей.

Интересно как? При условии привязки ограничений к пользователям.

И тут я про это спрашивал. Смысл всей задумки в том, чтобы хранить данные о пользователе в одном месте, в том числе и разрешения для доступа к Интернет с отвязкой от рабочих станций. Мухи (пользователи) отдельно, котлеты (маршрутизация) отдельно. Не нужно даже попадать в «эту че веб-гуевую поделку», достаточно создать пользователя в службе каталогов и добавить его в нужную группу, и не забивать себе голову тем за какой рабочей станцией он работает в какой подсети находится как его комп получает ip адрес, какие программы он использует, а когда этот человек уволится со спокойной совестью удалить его учетную запись и благополучно забыть.

Смысл всей задумки в том, чтобы хранить данные о пользователе в одном месте, в том числе и разрешения для доступа к Интернет с отвязкой от рабочих станций.

без проблем решается squid+samba+AD, все тоже самое.

Не нужно даже попадать в «эту че веб-гуевую поделку»

вот и я о том же - ненужно.

ой-ли, времена использования кешей давно прошли.

Даже не смотря на это, NAT будет быстрей, а при условии «порежу че надо, и группы и скорости и размер», я вообще молчу... Видимо еще ни разу не «упирались» в потолок производительности железа.

такой херней не пользуюсь и другим не советую.

Довольно спорный совет, все от задачи зависит, где-то и такого железа будет вполне достаточно.

ты представь, что будет, если в лок. сети в виндах поселятся сетевые >паразиты, они тебе все положат.

В 99 случаях из 100, тоже самое что и в случае использования прокси, это скорее проблема антивирусной защиты и безопасности сети в целом, чем шлюза.

без проблем решается squid+samba+AD, все тоже самое.

Давайте будем откровенны :) не без проблем (в том числе проблем конечного пользователя). А с условием -

через нат идут тока клиент-банки, банковские >терминалы, и бухи, и то >им разрешено в инет стучаться только по >определенным портам

то дополнительные действия все же требуются и от администратора, squid порты не пробросит при авторизации «буха» автоматом с учетом его текущего ip.

в потолок производительности железа.

ну да транзинтный трафик на святом духе работает, и длинные цепочки правил совсем этому не мешают.

В 99 случаях из 100, тоже самое что и в случае использования прокси, это скорее проблема антивирусной защиты и безопасности сети в целом, чем шлюза.

не-а, в бурные времена конфикеров, сети завязанные на нат ложились на раз, а там где была прокся, все кое-как да ворочилось.

squid порты не пробросит при авторизации «буха» автоматом с учетом его текущего ip.

ты предлагаешь с любого рабочего места давать доступ к клиент-банкам и прогам для отправки отчетности, хороший ход в рамках безопасности. И о пробросе портов здесь речи не идет, компам использующим нат, разрешается шарится только на определенные порты назначения.

ну да транзинтный трафик на святом духе работает, и длинные цепочки >правил совсем этому не мешают.

Все зависит от правил. При помощи кривых рук сервер можно повесить чем угодно. Но в общем случае пропуск пакета через NAT сожрет меньше ресурсов чем пропуск данных через прокси.

не-а, в бурные времена конфикеров, сети завязанные на нат ложились на >раз, а там где была прокся, все кое-как да ворочилось.

Да жил у меня этот конфикер - ничего ужасного :) чпокались они между собой в локальной сети большей частью.

ты предлагаешь с любого рабочего места давать доступ к клиент-банкам и >прогам для отправки отчетности, хороший ход в рамках безопасности.

В этом то и весь смысл - уйти от рабочих мест (превратить их в серую массу) и прийти к пользователям, утвердить так сказать превосходство человека над машиной.