LINUX.ORG.RU

Untangle 7.1

 , ,


0

0

Вышел релиз Untangle 7.1 — специализированного дистрибутива, основанного на Debian GNU/Linux и предназначенного для быстрого развертывания корпоративных шлюзов. Прочитать краткое описание его возможностей можно здесь.

В новой версии отмечены улучшения по следующим направлениям:

  • Управление политиками (правилами) доступа:
    • Структура правил теперь является иерархической, т.е. между правилами введены отношения «родитель–потомок». Изменения в правиле-родителе отображаются на все правила-потомки.
    • Добавлено автоматическое завершение активных сеансов при смене правил, в том числе по таймеру. Например, если разрешить использование IM только до 11 часов, то ровно в 11 часов не только запрещается открытие новых IM-соединений, но и блокируются все активные на текущий момент.
  • Фильтрация веб-контента:
    • Поддерживается централизованное управление настройками фильтрации результатов поиска (safe search) для ряда популярных поисковых движков (в частности, Google).
    • Добавлена возможность снятия ограничений для отдельных пользователей с использованием авторизации по паролю. Например, можно закрыть доступ в социальные сети для рядовых сотрудников, оставив его для начальства.
    • Временно разблокированные сайты теперь автоматически блокируются по таймауту.
  • Отчеты:
    • Введен отдельный уровень привилегий, позволяющий только просматривать отчеты, без доступа к администрированию системы.
      Например, чтобы начальство могло просматривать отчеты, и вы при этом не опасались, что оно что-то наворотит в админке.
    • Теперь к отчетам, отправляемым на e-mail, прикрепляется архив с CSV-файлом, содержащим детальный отчет.
  • Добавлены новые средства для тестирования работы сети и выявления ошибок:
    • ping.
    • Проверка DNS.
    • traceroute.
    • Проверка подключения к заданному порту по TCP.
    • tcpdump.
  • Поддержка работы на серверах с одной сетевой картой.
  • Доступна 64-битная сборка.

>>> Подробности

★★★★

Проверено: boombick ()

Добавлены новые средства для тестирования работы сети и выявления ошибок:

* ping. * Проверка DNS. * traceroute. * Проверка подключения к заданному порту по TCP. * tcpdump.

А зачем выпиливали? =)

nerfur ★★★
()

Добавлена возможность снятия ограничений для отдельных пользователей с использованием авторизации по паролю. Например, можно закрыть доступ в социальные сети для рядовых сотрудников, оставив его для начальства.

оно !

unrealix
()

> Добавлены новые средства для тестирования работы сети и выявления ошибок:

ping.

P_P

melkor217 ★★★★★
()
Ответ на: комментарий от unrealix

на прежней работе, когда подбивали итоги месяца по лимитному инету, в статистике начальства всегда находили самый отборный прон.

VladimirMalyk ★★★★★
()

несколько раз скачивал прошлые версии но поставить попробовать руки не доходили

tommy ★★★★★
()

клево! Да еще и 64-битная есть.

doroshew
()

Не, ну супер конечно же! Но оно надо ? :)

Jetty ★★★★★
()
Ответ на: комментарий от nerfur

> А зачем выпиливали? =)

А чтобы потом добавить )

m0rph ★★★★★
()

Добавлены новые средства для тестирования работы сети и выявления ошибок:

* ping.

ололо

vinnni
()
Ответ на: комментарий от VladimirMalyk

>на прежней работе, когда подбивали итоги месяца по лимитному инету, в статистике начальства всегда находили самый отборный прон.

Мне в одной конторе начальник сразу сказал, что будет качать порнуху. Ну я ему лялипс в дуалбут и воткнул.

linux4ever
()
Ответ на: комментарий от unrealix

>Например, можно закрыть доступ в социальные сети для рядовых сотрудников, оставив его для начальства.

ОО!! А вот об этом поподробнее. Какими именно средставами можно так забанить доступ к определенным ресурсам? Обычным айпитейблзом сам раньше банил доступ к вконтакту, НО лично видел как один чел потом все равно в вконтакт заходил, спрашивается как... Сквид ставить неинтересно... Кто в теме поясните это поподробнее...

anonymous
()
Ответ на: > спрашивается как... от bon

>Через анонимный прокси?

Исключено.

Когда в ойпитейблз добавляешь правило чтобы дропать все пакеты которые уходят на хост vkontakte.ru то реально в правило попадает айпишнег, прикол в том что у вконтакта есть или какието хитрые зеркала на неведомых айпишнегах или хз вообще что, и получается что что чел спокойно себе заходил на вконтакт както.

anonymous
()
Ответ на: комментарий от anonymous

>особая контактная магия действует только на тех, кто не освоил протоколирование

А поподробней что это такое нельзя?

Я вообще можно сказать нуб в этом вопросе. Раньше Линуксы ставил и немного сетки настраивал сейчас переквалифицировался, но все равно иногда приходится этими вопросами заниматься. Поподробней!

anonymous
()

А там есть возможность обновиться со старой версии?

madcore ★★★★★
()

>Добавлены новые средства для тестирования работы сети и выявления ошибок:

ping.

traceroute.


tcpdump.



энтерпрайзненько.

anonymous
()
Ответ на: комментарий от anonymous

Увы, но какой-то адекватной глобальной фильтрации на низком уровне по юзерам (скажем из LDAP) в распространенных тулзах видимо нету. Отдельно по приложениям - пожалуйста. В Сквиде для этого всё вроде должно быть. Делаешь редирект через iptables всего трафика на Сквид и им уже фильтруешь. Не слишком изящно, но что есть, то есть. Если кому-то нужен доступ на особые порты, которые поверх прокси не работают, - то, увы, исключения тоже в iptables, уже по IP клиента, которому нужен доступ.

Классно было бы если, инфраструктура iptables умела LDAP. Много проблем наверняка разом бы решилось.

anonymous
()
Ответ на: комментарий от anonymous

Может он Tor использует для обхода?

anonymous
()

из-за их тупых скриптов на сайте крешится опера. не могу скачать. кретины

tommy ★★★★★
()
Ответ на: комментарий от anonymous

какието хитрые зеркала на неведомых айпишнегах или хз вообще что, и получается что что чел спокойно себе заходил на вконтакт както.


Не драматизируй.
В сети навалом веб прокси, к которым подключаешься как к обычному вебсерверу, вводишь там в форме адрес сайта, этот сервер скачивает содержимое себе и тебе его отображает.

Поэтому надо резать вконтакты по контенту. Тогда враг не прорвется ! (но тогда они начнут ходить вконтакт с своих айфонов, на работе, это пройденный этап, гыгы)

anonizmus
()
Ответ на: комментарий от anonizmus

Особо по контенту не отфильтруешь (честно говоря кроме privoxy сразу в голову ни приходит ничего) - приведите пример чем можно это сделать? Да и работать будет пока не наткнуться на https анонимайзер

nitrogear
()
Ответ на: комментарий от anonizmus

> Поэтому надо резать вконтакты по контенту. Тогда враг не прорвется ! (но тогда они начнут ходить вконтакт с своих айфонов, на работе, это пройденный этап, гыгы)

Зачем вообще что-то резать? Раз у людей есть «свободное рабочее время», то зачем их заставлять скучать? Работу за день я так понял все равно никто не проверяет. Ну не будут лезть в контакт, будут другим маяться. Главное спрашивать за выполненную работу, какая разница чем еще походу человек занимался.

Buy ★★★★★
()

ну ё-моё, делать сервер с кривой докачкой это круто? два часа коту под хвост :(

anonymous
()
Ответ на: комментарий от Buy

> Зачем вообще что-то резать? Раз у людей есть «свободное рабочее время», то зачем их заставлять скучать? Работу за день я так понял все равно никто не проверяет. Ну не будут лезть в контакт, будут другим маяться. Главное спрашивать за выполненную работу, какая разница чем еще походу человек занимался.

эффективность зависит от многих причин. прежде всего - от концентрации. а какая концентрация может быть, если каждые 5 минут контактик проверяешь

хотя да, я согласен, гнать к такой-то матери

anonymous
()
Ответ на: комментарий от ip1981

Точно, полное дерьмо!

//Ассенизатор селёдкин

anonymous
()
Ответ на: комментарий от anonymous

> Когда в ойпитейблз добавляешь правило чтобы дропать все пакеты которые уходят на хост vkontakte.ru то реально в правило попадает айпишнег, прикол в том что у вконтакта есть или какието хитрые зеркала на неведомых айпишнегах или хз вообще что, и получается что что чел спокойно себе заходил на вконтакт както.

ну подумаешь. кроме http прокси есть ещё https прокси, есть допустим ещё ssh-tunnel. последний и я использую, что бы не заморачиваться на происки наших админов.

hawai
()
Ответ на: комментарий от nitrogear

Особо по контенту не отфильтруешь (честно говоря кроме privoxy сразу в голову ни приходит ничего)


для iptable есть фича что можно по маскам в заголовках пакеты фильтровать %) Ну например запретить EXE (по сигнатуре внутри файла) или включение вконтактовских тегов (регэкспом) %)) короче вот сюда копни

anonizmus
()
Ответ на: комментарий от Buy

Зачем вообще что-то резать?


На самом деле резать надо, но по времени использования этих служб. Иначе многие люди реально начинают забивать на работу и сидеть в этих сетях. Я серьезно %) запарился когда админством промышлял в паре серьезных контор %)

anonizmus
()
Ответ на: комментарий от hawai

кроме http прокси есть ещё https прокси, есть допустим ещё ssh-tunnel


обычно в корпоративных сетях ж00сткое анальное рабство, подключение тока к внутреннему прокси (обычно просто сквозное, без прописок прокси а заворачивая порты), почта - толоько рабочая (подключения), и т.п.

Поэтому проще.

anonizmus
()

Поверить не могу, это шлюзовый дистр, а в нем раньше не было ping, traceroute и tcpdump.

holka
()
Ответ на: комментарий от anonizmus

есть вопросы, есть ответы. всё возможно при определённом желании. но да, у нас всё не слишком строго - просто любят погонять за IM на работе.

hawai
()
Ответ на: комментарий от anonymous

Фильтрация по контенту не нужна. Да кто вы такие, чтобы решать, что мне можно смотреть, а что нет? Считаю допустимым резать только баннеры/рекламу. Проблема работоспособности сотрудников решается установкой надсмотрщика с плёткой.

anonymous
()
Ответ на: комментарий от anonymous

еще есть проблема вирусов, скачиваемых анонимусами с порно-варез-говно-сайтов. А факт того что ты весь день фапаешь на работе админам на самом деле паралелен, всеравно скорость тебе обрезана.

af5 ★★★★★
()
Ответ на: комментарий от anonymous

Учи матчасть же, у вконтакта достаточно много айпишников, айпитейблс же по имени рубить особо не умеет, рубит он исключительно первый айпишник, который отрезольвится им, на остальные же айпишники доступ продолжается. Соответственно либо блочишь все айпишники вконтакта, либо режешь хост через сквид.

Ip0 ★★★★
()
Ответ на: комментарий от anonizmus

Как-то тут пристал один черт ко мне с просьбой отрезать юзеру доступ на контакт и одноклассники. Средств, которыми можно было бы просто и быстро сие реализовать в конторе не оказалось. Но юзер нифига не продвинутый (про ананомайзены не шарит) и сидит под оффтопиком...

Тык я залез в hosts мастдая, и прописал там расшифровку имён vkontakte.ru, www.vkontakte.ru и.т.д. по сабжу несколько вариантов (стырил список у какого-то вируса, который так к себе редиректил) на IP 77.88.21.11

Теперь попытка прийти на эти сайты приводит на яндекс.

Судя по логам - пока работает. Хотя я не думаю, что та девица, которая там сидит, обойдёт такой вариант.

AndreiBA
()
Ответ на: комментарий от Ip0

Учи матчасть же, у вконтакта достаточно много айпишников, айпитейблс же по имени рубить особо не умеет, рубит он исключительно первый айпишник, который отрезольвится им, на остальные же айпишники доступ продолжается.

Сдается мне, матчасть здесь нужно учить кое-кому другому ;)

[root@lenin ~]# iptables -N test_ips
[root@lenin ~]# iptables -A test_ips -s vkontakte.ru -j DROP
[root@lenin ~]# iptables -vnL test_ips
Chain test_ips (0 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  *      *       93.186.227.125       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.227.126       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.227.129       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.227.130       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.228.129       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.229.2         0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.229.3         0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.231.218       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.231.219       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.231.220       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.231.221       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.231.222       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.224.239       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.225.6         0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.225.211       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.225.212       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.226.4         0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.226.5         0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.226.129       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.226.130       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.227.123       0.0.0.0/0
    0     0 DROP       all  --  *      *       93.186.227.124       0.0.0.0/0

На закуску советую позадавать многоайпишниковые домены сразу в -s и -d ;)

nnz ★★★★
() автор топика

Господа, а садбж-то хоть кто-нибудь юзает? Как оно работает в кач-ве шлюза?

anonymous
()
Ответ на: От оно как... от AndreiBA

кто в нем с OpenVPN разобрался?

такой вопрос: насколько просто настроить доступ в корпоративную сеть с помощью Untangle. Кто пробовал этот модуль в нем?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.