Интернет шлюз - нужен совет.

[OEvg85]

Боевая задача - интернет шлюз, на котором бы работали DNS, DHCP сервера, фаервол, ну и до кучи, чтоб он "резал" бы ненужный контент (а работать он будет в образовательном учреждении) , а также планирую туда поставить ПО для закачки баз KAV&KIS.

Имею следующую тачку:
CPU: Intel Celeron 1,2 GHz
RAM: 396 Mb (DIMM 100)
SVGA: GeF 2 MX 100/200 32 Mb
HDD: 60 Gb
+ 2 сетевушки DLink и Realtek (обе на чипах Realtek) обе 10/100 MBit

Вопрос №1: Хватит ли такой тачки для поставленной задачи?
Вопрос №2: Какую ось лучше поставить? (Ubuntu server?) чтоб возни поменьше, а может  Debian и стоит ли заморачиваться между версиями дистрибов?
Вопрос №3: Какой софт вы можете посоветовать, исходя из поставленных задач?

И еще вдогонку, в учреждении 30 тачек в сети под управлением Windows (есть 2 ПК с Win2k, 3 c Win7HB и остальные WinXP) и браузером сети никто жестко не назначен, так как шлюз на Win7HB сутками не выключается, выборы выигрывает он скорее всего. Я так понимаю убунтоидный шлюз никак браузером сети не сделать, если можно, то каким образом???

[koshev]

Вопрос №1: Хватит ли такой тачки для поставленной задачи?

Хватит. Должно хватить.

Вопрос №2: Какую ось лучше поставить? (Ubuntu server?) чтоб возни поменьше, а может  Debian и стоит ли заморачиваться между версиями дистрибов?

Между Ubuntu и Debian разница небольшая, но ставить советую по сети, чем меньше ненужных пакетов - тем лучше.

Вопрос №3: Какой софт вы можете посоветовать, исходя из поставленных задач?

Тут тербуется контент-фильтр, поэтому без прокси-сервера не обойтись. Можно поставить связку Sarg+DansGuardian+3proxy пакеты под последний для Lucid Lynx видел на форуме 3proxy. Ну и станартный набор для автоматического конфигурирования сети (DHCP) и локального DNS-сервера, или по отдельности, ics-dhcp-server + bind9, или в одном флаконе, попроще - dnsmasq. Про прваила iptables я рассказывать не стану - это кмк уже должно быть освоено.

И еще вдогонку, в учреждении 30 тачек в сети под управлением Windows (есть 2 ПК с Win2k, 3 c Win7HB и остальные WinXP) и браузером сети никто жестко не назначен, так как шлюз на Win7HB сутками не выключается, выборы выигрывает он скорее всего. Я так понимаю убунтоидный шлюз никак браузером сети не сделать, если можно, то каким образом???

Что такое браузер сети я не очень понял, если же это все-таки WINS-сервер, то да samba умеет это.
Так что дерзайте, что будет непонятно по конкретный случаям - спрашивайте, попробуем помочь.

[AnrDaemon]

Я так понимаю убунтоидный шлюз никак браузером сети не сделать

С чего вы это взяли? Ссылку приведите, которая навела вас на такие мысли.

[OEvg85]

С чего вы это взяли?

Уже понял из предыдущего ответа. А это догадка была, я ж только начинаю с пингвинарием знакомиться И пока вопросов слишком много 

[kobzar]

debian+squid+squidGuard+iptables
freebsd+squid+squidguard+pf
вместо squidguard можно rejik

[AnrDaemon]

С чего вы это взяли?

Уже понял из предыдущего ответа. А это догадка была, я ж только начинаю с пингвинарием знакомиться И пока вопросов слишком много 

Не надо догадок. Не знаете - спросите, а мозги себе забивать неверными и ни на чём не основанными предположениями не надо.

[Unreg]

+ Аккаунт на opendns.com, dns black hole, модуль string iptables

[OEvg85]

+ Аккаунт на opendns.com, dns black hole, модуль string iptables

спасибо за совет, а что проще/удобней squidguard, string iptables или настройка opendns.com?

и еще про dns black hole поподробней, плиз... Я как-то не задумывался еще про antivirus, antimalware и прочем ПО для обеспечения безопасности моего шлюза, наивно полагая, что правильно настроенный Linux и так обеспечивает необходимый уровень безопасности. Это не так?

[AnrDaemon]

Это уже зависит от ваших конкретных задач.
DNS blackhole - ресолвинг определённых имён в несуществующие адреса. Обычно в 0.0.0.0.
Как пример, посмотрите описание опции nsrecord в 3proxy.

[OEvg85]

Спасибо огромное всем за ответы. Теперь хотя бы знаю в какую сторону смотреть . Поразмыслив немного решил использовать связку Ubuntu server 10.04 + squid 0.5.2 + squidguard 1.4 + sarg 2.2.6 + apache 2 + samba 3 + kaspersky retranlator + cron. Благо все эти пакеты кроме ретранслятора присутствуют в репозиториях. Конфигурировать все это решил не спеша (хочу вникнуть), комп притащил домой.

Наконец-то руки дошли! Поставил Ubuntu server 10.04, начал настраивать самбу (предполагаю иметь зеркало обновлений для баз антивируса касперского) а так как в сети только Windows машины, очень хочу настроить именно гостевую (по аналогии с Win2k) модель доступа. Покопавшись в google и найдя http://smb-conf.ru/konfigurirovanie-servera-samba.html по рекомендациям в предыдущей теме на этом же сайте решил добавить нового пользователя "sambauser" с помощью useradd, накидал следующий конфиг smb.conf:

Код: [Выделить]

[global]
        netbios name = serv
        server string = Internet Getway
        security = USER
client lanman auth = yes
workgroup = MSHOME
#Я так понял, чем выше os level, тем больше вероятность того, что он мастер-браузером будет
os level = 200
#Возможно достаточно только local master = yes в сети без доменов
domain master = yes
local master = yes
#А для чего следующий параметр?
preferred master = yes

[Soft]
        comment = Soft
        path = /home/sambauser/Soft
        force user = sambauser
        force group = users
        read only = No
        create mask = 0777
        directory mask = 0777
guest ok = yes
И тут у меня возникла такая ситуация: захожу в расшаренную папку, ввожу пароль sambauser'a и не могу в папочку попасть, попадаю только с именем/паролем системного пользователя (не должно быть так). В чем ошибка и если можно про параметры с комментариями объясните. И если есть где человеческий мануал по самбе для полного чайника на русском, тыкните носом, пжалста, а то поиски приводят только на англоязычную документацию. Заранее спасибо всем, кто откликнется.

[AnrDaemon]

Почитайте ман что ли? O.o
Там же русским (ну ладно, английским - трансляторы никто не отменял) сказано, что делает опция force user/group... И для чего она нужна. (Подсказка - для управления доступом к диску самой самбы.)

[OEvg85]

Попробую еще поковыряться... О результатах отпишусь. Мне очень важно получать консультации людей которые в этих вещах лучше меня разбираются, ведь с Linux-ом я пока что на ВЫ. Спасибо за подсказку

[OEvg85]

Поборол samba наконец-таки. Не догадался с самого начала за что отвечает параметр

Код: [Выделить]

path to guest = Bad User, а он за гостевой доступ и отвечает и

Код: [Выделить]

os level = 66
# Сеть без доменов, поэтому
domain master = no
# Назначаем мастер-браузером
local master = yes
# Участвуем в выборах мастер-браузера
preferred master = yesНастроил kapersky retranslator и cron, но это особых затруднений не вызвало

Поставил iptables с конфигом по рекомендации http://posix.ru/network/iptables/
IP только свои прописал, доступ к шарам пропал ... Вывод: копаемся дальше! Благо на opennet'e инструкция ОООчень дельная имеется.

Подумываю, отказаться от squid'а (кэшировать не обязательно). Но ежели не отказываться, сколько желательно ОЗУ под него выделить и сколько на HDD места??? До сарга и сквидгарда руки пока не дошли (компом занимаюсь исключительно по ночам)...

[FaktorXaosa]

squid может и не кешировать...

[AnrDaemon]

Поборол samba наконец-таки. Не догадался с самого начала за что отвечает параметр

Код: [Выделить]

path to guest = Bad User, а он за гостевой доступ и отвечает

1. map to guest
2. Нифига он не отвечает за гостевой доступ.
Наоборот, он позволяет пользователям при ошибке авторизации обращаться к ресурсам под видом гостя.
А получат они доступ или нет - зависит от совершенно других настроек.