Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Аналог ISA на Ubuntu  (Прочитано 4111 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн r1sh

  • Автор темы
  • Новичок
  • *
  • Сообщений: 19
    • Просмотр профиля
Аналог ISA на Ubuntu
« : 25 Января 2011, 16:05:32 »
День добрый, уважаемые специалисты! В нашей компании стоит win 2003 ent + isa 2004. По скольку продукты уже порядком в возрасте, передо мной поставили задачу собрать информацию о целесообразности перехода с данного программного продукта на ISA 2006 или ForeFront. У нас парк около 100 машин (2 офиса, связь по оптике).VPN подключения извне, домен с керберосом.Так же планируется предоставление доступа клиентов к одному из виртуальных серверов для демонстрации П.О.

Как я понял, с технической точки зрения для перехода на TMG нужно обновить с 2004 на 2006 и + обновить платформу до 2008 64bit. Самих по себе отличий между 2004 и 2006 очень мало, скорее 2006 это доработанный 2004 с парочкой фич типа "уменьшения размера логов" и "http компрессия".Как я вижу смысл грейдиться до 2006 есть только при планировании последующего апргейда до ForeFronta.

Судя по ценникам микрософта это все влетит в много ноликов, приблизительно 150-300к (win 2008 + TMG). С точки зрения дирекции одно дело выделять деньги под НОВЫЙ рабочие станции НР + win7, другое выделить деньги под РАБОТАЮЩИЙ софт который и так работает.

По этому я изучаю так же вопрос о переходе на linux-based решение. Я уже поднял сервер с Меркуриалом и Nagios, и подумал что неплохо было бы на нем же реализовать проксю + мониторить можно было не отходя от кассы.Конечно, не будет приятных мелочей вроде firewall client, но главное чтобы это окупалось производительностью, стабильностью и гибкостью.

Вопрос в том, с чем лучше будет связать Squid чтобы получить конфигурацию аналогичную ISA.
« Последнее редактирование: 25 Января 2011, 16:08:11 от r1sh »

Оффлайн censor

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: Аналог ISA на Ubuntu
« Ответ #1 : 25 Января 2011, 20:48:13 »
давайте не будем проводить аналогии с продуктами мс, напишите просто что хотите от конечного сервера.

Оффлайн Lex_old

  • Новичок
  • *
  • Сообщений: 42
  • Всего в жизни добиваешься спустя время
    • Просмотр профиля
Re: Аналог ISA на Ubuntu
« Ответ #2 : 25 Января 2011, 21:46:53 »
Привет ))) вопрос до боли знаком, потому как когда то в прошлом сам занимался виндовыми серверами и при переезде на линь задался вопросом как бы мне сконфигурить сервер что бы по функционалу он не отличался от линейки MS ISA.
проведем описание задач и на чем можно и какое по применить:
                     
firewall - iptables
прокси - squid3 (если эта статья очень сильно устарела то может и выше) - хочешь к sql привязка, хочешь к AD, вообщем как хочешь
построить туннели хоть шифрованные хоть нет - в исе помоему не зашифрованные строить нельзя - ipsec + racoon
доступ для клиентов или сотрудников с удаленных ПК - pptpd или openvpn
Разный там проброс портов и так далее - см документацию iptables

теперь интереснее
что бы в исе ограничить клиента по скорости нужно вложиться на доп ПО - см документацию по squid

в принципе все можно сделать на лине, за исключением одного
есть стандарт уже точно непомню какой в котором описано что система не может передавать по сети идентификаторы и пароли пользователя
в исе это реализованно с помощью клиента исы, в линях этого нет
ты можешь конечно сам взять любой язык программирования и что то выдумать, например зашел юзер, прога поглядела в ад, ему в инет можно
так то и так то, и в определенные файлы добавила его ип, при перезагрузке прога этот ип удалила, но это извращение!!! нужно клиент серверное приложение работающее по какому либо протоколу
хоть свой выдумаю но в линях
Вообщем я бы сменил ису на линевскую сборку. использую не в одной компании и то и то, разница есть и линь на шаг в переди!

Оффлайн r1sh

  • Автор темы
  • Новичок
  • *
  • Сообщений: 19
    • Просмотр профиля
Re: Аналог ISA на Ubuntu
« Ответ #3 : 26 Января 2011, 10:20:45 »
давайте не будем проводить аналогии с продуктами мс, напишите просто что хотите от конечного сервера.

как раз проводя аналогию к конкретному продукту мс (isa 2004) я подразумеваю функционал, который хотелось бы увидеть.

Я же уже описал что от сервера требуется: кэширующий прокси, фаервол(перенаправление портов и маршрутов по возможности), впн, граф\веб интерфейс.

По возможности хотелось бы максимально упростить переход с продукта от МС и от его составляющих типа firewall client, на которых завязаны многие рабочие станции. Вобщем чтобы можно было перейти без сильных потерь и все было максимально централизованно к серверу.

Пользователь решил продолжить мысль 26 Января 2011, 10:31:24:
                 
firewall - iptables
прокси - squid3 (если эта статья очень сильно устарела то может и выше) - хочешь к sql привязка, хочешь к AD, вообщем как хочешь
построить туннели хоть шифрованные хоть нет - в исе помоему не зашифрованные строить нельзя - ipsec + racoon
доступ для клиентов или сотрудников с удаленных ПК - pptpd или openvpn
Разный там проброс портов и так далее - см документацию iptables

теперь интереснее
что бы в исе ограничить клиента по скорости нужно вложиться на доп ПО - см документацию по squid

в принципе все можно сделать на лине, за исключением одного
есть стандарт уже точно непомню какой в котором описано что система не может передавать по сети идентификаторы и пароли пользователя
в исе это реализованно с помощью клиента исы, в линях этого нет
ты можешь конечно сам взять любой язык программирования и что то выдумать, например зашел юзер, прога поглядела в ад, ему в инет можно
так то и так то, и в определенные файлы добавила его ип, при перезагрузке прога этот ип удалила, но это извращение!!! нужно клиент серверное приложение работающее по какому либо протоколу
хоть свой выдумаю но в линях
Вообщем я бы сменил ису на линевскую сборку. использую не в одной компании и то и то, разница есть и линь на шаг в переди!

здравствуй!)) спасибо за ответ)

а есть возможность squid3 подружить с керберосом?)

вот как раз в прошлом сообщении я писал про клиента исы. у нас все хосты используют этих клиентов. Если без них то необходимо будет везде вручную прописывать для каждой программы настройки? или на уровне AD можно будет указать дефолтные настройки шлюза, чтобы все запросы шли на него а там он уже спрашивал "Who are u? o_O"

кстати а если в компании есть второй офис и там сейчас к примеру стоит дочерний isa. можно ли сделать такой же дочерний сервер на squid3?

До прихода в эту компанию я не работал с виндовыми проксями. Не скрою, меня приятно удивила скорость установки (два клика) и простота настройки. Конечно, это не стоит тех денег, которые за нее просят, но просто было приятно.Поскольку сам серв 2008 у нас входит в подписку msdn, вопрос упирается в цену Forefronta, а она 40к за стандарт и...подожди подожди....180к за Энтерпрайз) На фоне этих цифр я, как отстаивающий права линукса в нашем отделе, привел аргументы в пользу линя и сейчас уже сделал полноценный доклад о переходе продуктов МС, осталось только добавить в него опенсорсовское решение и усе.
« Последнее редактирование: 26 Января 2011, 10:31:48 от r1sh »

Оффлайн drako

  • Старожил
  • *
  • Сообщений: 1422
    • Просмотр профиля
Re: Аналог ISA на Ubuntu
« Ответ #4 : 26 Января 2011, 11:52:29 »
Если у Вас в isa прописаны правила для групп пользователей, то про линь можете забыть.

З.Ы. Про систему апгрейда - где вы такой бред нашли?!

Оффлайн r1sh

  • Автор темы
  • Новичок
  • *
  • Сообщений: 19
    • Просмотр профиля
Re: Аналог ISA на Ubuntu
« Ответ #5 : 26 Января 2011, 16:55:06 »
Если у Вас в isa прописаны правила для групп пользователей, то про линь можете забыть.

З.Ы. Про систему апгрейда - где вы такой бред нашли?!

вы имеете виду правила на например для такого то пользователя при подключении с локалки во внешку по телнету разрешить доступ?) про это прямо таки можно забыть?


Про систему апргрейда статьи прочитал. и вам советую  :coolsmiley:

с isa 2004 нельзя перескочить на ForeFront простым импортом. Так же и операционку ForeFront требует win 2008.

Оффлайн Sam Stone

  • Старожил
  • *
  • Сообщений: 1131
    • Просмотр профиля
Re: Аналог ISA на Ubuntu
« Ответ #6 : 26 Января 2011, 18:33:32 »
ты еще учти, что тебе и сервак скорее всего придется менять: тмг прожорливая шо ппц. Понадобится 4 ядра и 4 (а лучше 8) гига оперативы.
Посмотри сперва всякие IPCop'ы, Zentyal'ы и тд.
Jellyfish 6.5.0-45-generic
2690v4 64Gb

Оффлайн drako

  • Старожил
  • *
  • Сообщений: 1422
    • Просмотр профиля
Re: Аналог ISA на Ubuntu
« Ответ #7 : 26 Января 2011, 20:08:25 »
вы имеете виду правила на например для такого то пользователя при подключении с локалки во внешку по телнету разрешить доступ?) про это прямо таки можно забыть?
Про систему апргрейда статьи прочитал. и вам советую  :coolsmiley:
с isa 2004 нельзя перескочить на ForeFront простым импортом. Так же и операционку ForeFront требует win 2008.

Имеено эти правила я и имел ввиду. Про лицензирование апгрейда, надо не статьи читать, а звонить в МС, они свободно на такие вопросы отвечают.

Оффлайн Lex_old

  • Новичок
  • *
  • Сообщений: 42
  • Всего в жизни добиваешься спустя время
    • Просмотр профиля
Re: Аналог ISA на Ubuntu
« Ответ #8 : 28 Января 2011, 01:55:51 »
Не совсем понял я что ты имел ввиду по дочерний сервер иса, а точнее функционал использования, опиши я тебе помогу! По поводу настройки всх компов, если  твои юзеры будут использовать только браузер для инета ну тоесть, им кроме http ftp ну и с шифрованием ни чего не надо, тогда все делается в ДХЦП, помнишь как wpad запись настраивается, ну вот точно также настраиваешь и на сквид, только надо будет файл автоматической настройки сделать и выдать в сеть либо по ftp без авторизации либо проще по HTTP это будет несложно сделать через апач, в АД через ГПО всем выставишь параметр в iexplorer чтобы стояла галочка автоматическое определение параметров, да хотя и без этого можно обойтись, если есть ГПО, параметры прокси можно выставить и так, там есть эта настройка, сквид настроишь через ауинтификацию ntlmssp, не используй просто ntlm, так как логины и пароли летят без шифрования, сам понимаешь чем это грозит, ntlmssp шифрует их base64, но на этом все, все остальное, например какая нить прога ходящая в инет, уже обломиться, и тебе прийдется открывать для машины ип и порт, по которой прога работает, IPtables умеет только локально распозновать UID и GID, например пользователи сидят у тебя на тонких клиентах, в терминале ну вообщем у них там работа, то на этом же сервер настраиваешь уже выход в инет по учетками пользователей, потому как они находятся на этом сервере и фаервол понимает кто сидит, тоже к стати решение не плохое, и отказоустойчивое потому как если сервер терминалов развернуть в облаках на двух кластерах, ладно я не об этом, ну воообще вот так в кратце)))

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28476
    • Просмотр профиля
Re: Аналог ISA на Ubuntu
« Ответ #9 : 28 Января 2011, 02:28:48 »
давайте не будем проводить аналогии с продуктами мс, напишите просто что хотите от конечного сервера.

как раз проводя аналогию к конкретному продукту мс (isa 2004) я подразумеваю функционал, который хотелось бы увидеть.

Этот "конкретный продукт", если смотреть на него с позиции *NIX, является зоопарком самых разнообразных функционалов.
Так что вместо того, чтобы вставать в позу "ничего не знаю, хочу и всё", напрягитесь и на русском языке изложите, что именно вам нужно. Без кивков в разные стороны.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.073 секунд. Запросов: 25.