LINUX.ORG.RU

Интернет шлюз с авторизацией через Active Directory

 


2

1

Добрый день, хочу представить на обозрение сообщества свой небольшой проект. Предназначение у него довольно банальное, предоставление доступа к сети Интернет для компьютеров в локальной сети. Скачать можно тут http://citsk.ru/files/zbilling-1.0.tar.bz2 описание и инструкция по установке внутри архива.



Последнее исправление: zldo (всего исправлений: 1)

тебе бы это отдельным сайтом оформить и потом в новости запостить, полезного выхлопа будет гораздо больше, чем просто от темы на форуме

JB ★★★★★
()
Ответ на: комментарий от JB

чем заменить?

ну и за каким хером нужны все эти гуи написанные школьниками, что в них такого что невозможно сделать через терминал, лишняя прокладка напичканная дырами.

axelroot
()
Ответ на: комментарий от axelroot

когда у тебя будет 4-5 офисов, с разными доступами, ты быстро возненавидишь iptables и его конфиги, а уж когда начальство захочет секьюрности, вообще повесишься.

erzent ☆☆
()
Ответ на: комментарий от erzent

ты быстро возненавидишь iptables

схренали? это самая логичная и прозрачная прога в ляликсе

начальство захочет секьюрности

эти хотелки давно удовлетворены путем превода всего производства на ляликс

ну и в-третьих я сам прогер и мне больно видеть внутренности энтих гуев.

axelroot
()
Последнее исправление: axelroot (всего исправлений: 1)
Ответ на: комментарий от axelroot

ну ну, 1000 узлов, 12 сетей, 8 групп допуска, разная скорость вперёд, сколько в твоём любимом iptables это делать?

erzent ☆☆
()
Ответ на: комментарий от erzent

гуёвый.

я х-з о чем ты, но по-моему в первой букве ашибка. )))

axelroot
()
Ответ на: комментарий от erzent

1000 узлов, 12 сетей, 8 групп допуска, разная скорость вперёд

круто-че. )))

axelroot
()
Ответ на: комментарий от axelroot

Все это не нужно, включая самс

Для сети с большим числом узлов получающих адреса по dhcp, большим числом пользователей не привязанных к конкретным машинам, необходимостью работы через NAT и привязкой ограничений к пользователям править конфиги вручную?

К тому же не стоит преувеличивать значимость GUI в моей программе, оно скорее декоративный элемент для удобства просмотра активности пользователей... Основная настройка параметров маршрутизации все также ручками.

zldo
() автор топика

Наверное не очень удачно тему начал. Тут общее описание http://citsk.ru/index.php/soft/zbilling-menu#content Инструкция по установке http://citsk.ru/files/zbilling/zbilling-install.pdf Кому лень заходить, основные возможности: Распределение и управление доступом компьютеров лвс в Интернет через NAT (iptables+ipset) без прокси сервера, возможность авторизации пользователей по IP или через Active Directory для рабочих станций windows в зависимости от принадлежности пользователя группе (клиент авторизации), учет потребленного трафика с возможностью выставления лимитов потребления для пользователей, ограничение скорости для отдельных пользователей (через правила tc). Автоматическое добавление пользователей и «тарифных планов» из Active Directory (по шаблонным именам групп безопасности). Возможность организации Captive Portal с «произвольной» авторизацией (анализ таблиц ARP).

zldo
() автор топика
Ответ на: комментарий от zldo

Для сети с большим числом узлов получающих адреса по dhcp, большим числом пользователей не привязанных к конкретным машинам, необходимостью работы через NAT и привязкой ограничений к пользователям править конфиги вручную?

Не поверишь - ДА.

axelroot
()
Ответ на: комментарий от axelroot

Интересно как? При условии привязки ограничений к пользователям.

p.s. Без обид. Это не сарказм, а профессиональный интерес.

zldo
() автор топика
Ответ на: комментарий от zldo

Интересно как?

у него, видимо, ЗП достаточно большая, чтобы таким заниматься вручную

reprimand ★★★★★
()
Ответ на: комментарий от zldo

да епт-ти, накой хрен мне натить всех подряд, прогоню через прокси, там и порежу че надо, и группы и скорости и размер файлов и видео и флеш повырезаю, и по ключевым словам побаню, и ченосписок подсуну и перенаправлю куда надо, через нат идут тока клиент-банки, банковские терминалы, и бухи, и то им разрешено в инет стучаться только по определенным портам.

axelroot
()
Ответ на: комментарий от zldo

выставления лимитов потребления для пользователей

ну и зачем это во времена безлимиток и быстрого инета по оптике?

axelroot
()
Ответ на: комментарий от zldo

рабочих станций windows

у меня их нет, windows сервера есть, а все раб. станции на линухе

натить клиентов только для их хождения по сайтикам - это абсурд.

axelroot
()
Последнее исправление: axelroot (всего исправлений: 1)
Ответ на: комментарий от axelroot

да епт-ти, накой хрен мне натить всех подряд, прогоню через прокси, там >и порежу че надо, и группы и скорости и размер файлов и видео и флеш >повырезаю, и по ключевым словам побаню, и ченосписок подсуну и >перенаправлю куда надо, через нат идут тока клиент-банки, банковские >терминалы, и бухи, и то им разрешено в инет стучаться только по >определенным портам

С годами заниматься такой ерундой желание пропадает :) Хочется решение из разряда «поставил и забыл», ну или с минимальными требованиями к сопровождению.

ну и зачем это во времена безлимиток и быстрого инета по оптике?

Для дисциплинирования пользователей :), ну а если серьёзно, то этот кусок пришел «из времен лимиток и инета по меди» да и сейчас периодически востребовано.

у меня их нет, windows сервера есть, а все раб. станции на линухе

Обычно все наоборот - Linux сервера есть, a все раб. станции на винде

zldo
() автор топика
Ответ на: комментарий от axelroot

натить клиентов только для их хождения по сайтикам - это абсурд.

Абсурд для задачи «хождения по сайтикам» использовать жрущий гораздо больше ресурсов чем NAT прокси. Да и вообще, для такой задачи есть железки от 1к рублей.

zldo
() автор топика
Ответ на: комментарий от zldo

С годами заниматься такой ерундой желание пропадает

какой еще ерундой? сервера разворачиваются в виртуале на них все уже настроено, максимум, что требуется подправить адресочки и все. ввод сервера в эксплуатацию у меня занимает несколько минут.

axelroot
()
Ответ на: комментарий от zldo

Да и вообще, для такой задачи есть железки от 1к рублей.

такой херней не пользуюсь и другим не советую.

axelroot
()
Ответ на: комментарий от zldo

NAT

ты представь, что будет, если в лок. сети в виндах поселятся сетевые паразиты, они тебе все положат.

axelroot
()
Ответ на: комментарий от axelroot

ввод сервера в эксплуатацию у меня занимает несколько минут.

Я не про ввод в эксплуатацию сервера говорил, а про «ввод в эксплуатацию» пользователей.

Интересно как? При условии привязки ограничений к пользователям.

И тут я про это спрашивал. Смысл всей задумки в том, чтобы хранить данные о пользователе в одном месте, в том числе и разрешения для доступа к Интернет с отвязкой от рабочих станций. Мухи (пользователи) отдельно, котлеты (маршрутизация) отдельно. Не нужно даже попадать в «эту че веб-гуевую поделку», достаточно создать пользователя в службе каталогов и добавить его в нужную группу, и не забивать себе голову тем за какой рабочей станцией он работает в какой подсети находится как его комп получает ip адрес, какие программы он использует, а когда этот человек уволится со спокойной совестью удалить его учетную запись и благополучно забыть.

zldo
() автор топика
Ответ на: комментарий от zldo

Смысл всей задумки в том, чтобы хранить данные о пользователе в одном месте, в том числе и разрешения для доступа к Интернет с отвязкой от рабочих станций.

без проблем решается squid+samba+AD, все тоже самое.

Не нужно даже попадать в «эту че веб-гуевую поделку»

вот и я о том же - ненужно.

axelroot
()
Последнее исправление: axelroot (всего исправлений: 1)
Ответ на: комментарий от axelroot

ой-ли, времена использования кешей давно прошли.

Даже не смотря на это, NAT будет быстрей, а при условии «порежу че надо, и группы и скорости и размер», я вообще молчу... Видимо еще ни разу не «упирались» в потолок производительности железа.

такой херней не пользуюсь и другим не советую.

Довольно спорный совет, все от задачи зависит, где-то и такого железа будет вполне достаточно.

ты представь, что будет, если в лок. сети в виндах поселятся сетевые >паразиты, они тебе все положат.

В 99 случаях из 100, тоже самое что и в случае использования прокси, это скорее проблема антивирусной защиты и безопасности сети в целом, чем шлюза.

zldo
() автор топика
Ответ на: комментарий от axelroot

без проблем решается squid+samba+AD, все тоже самое.

Давайте будем откровенны :) не без проблем (в том числе проблем конечного пользователя). А с условием -

через нат идут тока клиент-банки, банковские >терминалы, и бухи, и то >им разрешено в инет стучаться только по >определенным портам

то дополнительные действия все же требуются и от администратора, squid порты не пробросит при авторизации «буха» автоматом с учетом его текущего ip.

zldo
() автор топика
Ответ на: комментарий от zldo

в потолок производительности железа.

ну да транзинтный трафик на святом духе работает, и длинные цепочки правил совсем этому не мешают.

В 99 случаях из 100, тоже самое что и в случае использования прокси, это скорее проблема антивирусной защиты и безопасности сети в целом, чем шлюза.

не-а, в бурные времена конфикеров, сети завязанные на нат ложились на раз, а там где была прокся, все кое-как да ворочилось.

squid порты не пробросит при авторизации «буха» автоматом с учетом его текущего ip.

ты предлагаешь с любого рабочего места давать доступ к клиент-банкам и прогам для отправки отчетности, хороший ход в рамках безопасности. И о пробросе портов здесь речи не идет, компам использующим нат, разрешается шарится только на определенные порты назначения.

axelroot
()
Ответ на: комментарий от axelroot

ну да транзинтный трафик на святом духе работает, и длинные цепочки >правил совсем этому не мешают.

Все зависит от правил. При помощи кривых рук сервер можно повесить чем угодно. Но в общем случае пропуск пакета через NAT сожрет меньше ресурсов чем пропуск данных через прокси.

не-а, в бурные времена конфикеров, сети завязанные на нат ложились на >раз, а там где была прокся, все кое-как да ворочилось.

Да жил у меня этот конфикер - ничего ужасного :) чпокались они между собой в локальной сети большей частью.

ты предлагаешь с любого рабочего места давать доступ к клиент-банкам и >прогам для отправки отчетности, хороший ход в рамках безопасности.

В этом то и весь смысл - уйти от рабочих мест (превратить их в серую массу) и прийти к пользователям, утвердить так сказать превосходство человека над машиной.

zldo
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.