Squid вместо Kerio

[Testall]

Добрый день!
Хочу перевести свой шлюз на серверную платформу и заодно и лицензировать его. Сейчас это просто системный блок с 4 сетевухами: 2 локалки и 2 интернета в режиме отработки отказа. Маршрутизация между локалками настроена, да и в целом все хорошо работает. Хочется перейти на более профессиональный уровень и отказаться от Kerio(до этого стоял ЮзерГейт и еще раньше ИСА). Вот соответственно вопрос в том, что сможет ли сквид удовлетворить потребности организации.

1. Нужно две сети пускать в интернет, должна работать маршрутизация между сетями.
2. Нужен DHCP, DNS(резервный, что б инет не упал если DC вырубится - хотя такого пока не было)
3. Авторизация по имени хоста, или по IP - но тогда нужен что б DHCP умел резервировать IP по маку.
4. Конечно логи - кто где когда был и ограничения на скорость и ресурсы сети(www).
5. Должны быть закрыты все порты, кроме указанных.
6. Должно быть автоматическое переключение между интернет каналами при отказе основного и обратно при его починке.
7. Как выпускать в интернет тех кому нужен не HTTP протокол? vpn, rdp, тыщщи их...

Я перечислил все, что мне нужно, хотя уже многое почитал в инете. Совсем не понятно по маршрутизации между ланами, логами посещений, 6-7 вопросу.

В принципе мне денег дают и на Kerio или на любой др. платный продукт. Но мне хочется расти как специалисту и отказываться от попсовых решений. Да и пару простых шлюзов, хотя и без сквида, я на дебиане делал.

[ArcFi]

1) курить доки по маршрутизации
2) dnsmasq
3) умеет
4) squid, squidguard, sarg
5) курить руководство по iptables
6) маршрутизация, скриптом
7) iptables

PS
Поиск по форуму и wiki даст ответ на большинство ваших вопросов.

[Yuriy_Y]

Ubuntu 12.04 сервер рулит. Даже хватит какого-нть дохлого целерона и памяти аж 512 метров. Ну и хард, если меньше 120-ки найдешь, то 80 за глаза.

2. Поднять bind9. Заодно он и будет кешировать ДНС запросы из локалки. И свои домены локальные можно на нем держать.
3. в 12.04 сервер называется isc-dhcp-server.
6. Где-то была на форуме тема про резервирование каналов.
7. Противоречит п. 5, не? Если нужно порты закрыть из внешки, то iptables. Изнутри, если порты позакрывать, юзвери ничего сделать не смогут. А разрешить им все наружу - одна строчка в iptables.

[yodev]

а tinyproxy пробовали?

[gizomo]

1. Для маршрутизации между сетями нужно лишь настроить netfilter (а точнее вписать правила соответствующие для iptables)
2. DHCP - нет проблем, вопрос в другом, какой от него нужен функционал? MAC-и не проблема, но если нужен домен для ЛВС, то тогда надо настраивать в связке с bind9 для DDNS.
   DNS - тоже не проблема, универсальный вариант bind9. Доступ к инету от DC мало зависит, главное чтобы шлюз провайдера работал.
3. Авторизация для чего? Если для squid, то можно и по именам хостов, и по IP, да хоть по пользователям, хоть только в рабочее время и на определенное время, хоть с автоматической авторизацией по доменным пользователям. От конфигурации squid зависит, что к нему еще прикручивать придется или не придется.
4. Если под логами понимается статистика только трафика squid, то опять же нет проблем, парсинг логов squid и пару скриптов для подсчета трафика и его отображения. Блокировка сайтов - squidguard или опять же скриптом.
5. Порты закрываются в правилах iptables.
6. Опять же iptables, скорее всего через скрипты.
7. Ну тут просто исключения для портов в iptables и если нужно, то защита на уровне фаервола.

[fisher74]

а tinyproxy пробовали?

Так ведь пишет же

на более профессиональный уровень

Не в обиду разрабам tinyproxy, но кальмар явно опережает его по рейтингам.

да и в целом все хорошо работает. Хочется перейти на более профессиональный уровень

Иначе говоря: "хочется новых ощущений"

вопрос в том, что сможет ли сквид удовлетворить потребности организации.

Кальмар в единственном своём проявлении - нет. В комплексе с другими инструментами - да. Даже скорее всего будут бонусы, о которых Вы даже не подозреваете.

[Quarck]

Для шлюза есть замечательная сборка на основе FreeBSD, называется pfSense. Все ваши хотелки в нём можно реализовать, плюс приятный веб-интерфейс. Сам использую на своём месте работы. Очень доволен.