Форум русскоязычного сообщества Ubuntu


Автор Тема: Squid вместо Kerio  (Прочитано 3152 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Testall

  • Автор темы
  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
Squid вместо Kerio
« : 21 Мая 2013, 20:29:46 »
Добрый день!
Хочу перевести свой шлюз на серверную платформу и заодно и лицензировать его. Сейчас это просто системный блок с 4 сетевухами: 2 локалки и 2 интернета в режиме отработки отказа. Маршрутизация между локалками настроена, да и в целом все хорошо работает. Хочется перейти на более профессиональный уровень и отказаться от Kerio(до этого стоял ЮзерГейт и еще раньше ИСА). Вот соответственно вопрос в том, что сможет ли сквид удовлетворить потребности организации.

1. Нужно две сети пускать в интернет, должна работать маршрутизация между сетями.
2. Нужен DHCP, DNS(резервный, что б инет не упал если DC вырубится - хотя такого пока не было)
3. Авторизация по имени хоста, или по IP - но тогда нужен что б DHCP умел резервировать IP по маку.
4. Конечно логи - кто где когда был и ограничения на скорость и ресурсы сети(www).
5. Должны быть закрыты все порты, кроме указанных.
6. Должно быть автоматическое переключение между интернет каналами при отказе основного и обратно при его починке.
7. Как выпускать в интернет тех кому нужен не HTTP протокол? vpn, rdp, тыщщи их...

Я перечислил все, что мне нужно, хотя уже многое почитал в инете. Совсем не понятно по маршрутизации между ланами, логами посещений, 6-7 вопросу.

В принципе мне денег дают и на Kerio или на любой др. платный продукт. Но мне хочется расти как специалисту и отказываться от попсовых :) решений. Да и пару простых шлюзов, хотя и без сквида, я на дебиане делал.
« Последнее редактирование: 21 Мая 2013, 20:33:47 от Testall »

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: Squid вместо Kerio
« Ответ #1 : 21 Мая 2013, 21:01:51 »
1) курить доки по маршрутизации
2) dnsmasq
3) умеет
4) squid, squidguard, sarg
5) курить руководство по iptables
6) маршрутизация, скриптом
7) iptables

PS
Поиск по форуму и wiki даст ответ на большинство ваших вопросов.
« Последнее редактирование: 21 Мая 2013, 21:12:18 от ArcFi »

Оффлайн Yuriy_Y

  • Старожил
  • *
  • Сообщений: 1736
    • Просмотр профиля
    • Новоишимка
Re: Squid вместо Kerio
« Ответ #2 : 21 Мая 2013, 21:13:06 »
Ubuntu 12.04 сервер рулит. Даже хватит какого-нть дохлого целерона и памяти аж 512 метров. Ну и хард, если меньше 120-ки найдешь, то 80 за глаза.

2. Поднять bind9. Заодно он и будет кешировать ДНС запросы из локалки. И свои домены локальные можно на нем держать.
3. в 12.04 сервер называется isc-dhcp-server.
6. Где-то была на форуме тема про резервирование каналов.
7. Противоречит п. 5, не? Если нужно порты закрыть из внешки, то iptables. Изнутри, если порты позакрывать, юзвери ничего сделать не смогут. А разрешить им все наружу - одна строчка в iptables.
С уважением, Юрий.

Оффлайн yodev

  • Любитель
  • *
  • Сообщений: 59
    • Просмотр профиля
Re: Squid вместо Kerio
« Ответ #3 : 29 Мая 2013, 03:53:33 »
а tinyproxy пробовали?

Оффлайн gizomo

  • Любитель
  • *
  • Сообщений: 63
    • Просмотр профиля
Re: Squid вместо Kerio
« Ответ #4 : 05 Июня 2013, 19:52:12 »
1. Для маршрутизации между сетями нужно лишь настроить netfilter (а точнее вписать правила соответствующие для iptables)
2. DHCP - нет проблем, вопрос в другом, какой от него нужен функционал? MAC-и не проблема, но если нужен домен для ЛВС, то тогда надо настраивать в связке с bind9 для DDNS.
   DNS - тоже не проблема, универсальный вариант bind9. Доступ к инету от DC мало зависит, главное чтобы шлюз провайдера работал.
3. Авторизация для чего? Если для squid, то можно и по именам хостов, и по IP, да хоть по пользователям, хоть только в рабочее время и на определенное время, хоть с автоматической авторизацией по доменным пользователям. От конфигурации squid зависит, что к нему еще прикручивать придется или не придется.
4. Если под логами понимается статистика только трафика squid, то опять же нет проблем, парсинг логов squid и пару скриптов для подсчета трафика и его отображения. Блокировка сайтов - squidguard или опять же скриптом.
5. Порты закрываются в правилах iptables.
6. Опять же iptables, скорее всего через скрипты.
7. Ну тут просто исключения для портов в iptables и если нужно, то защита на уровне фаервола.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Squid вместо Kerio
« Ответ #5 : 06 Июня 2013, 18:55:42 »
а tinyproxy пробовали?
Так ведь пишет же
на более профессиональный уровень
Не в обиду разрабам tinyproxy, но кальмар явно опережает его по рейтингам.

да и в целом все хорошо работает. Хочется перейти на более профессиональный уровень
Иначе говоря: "хочется новых ощущений" :)

вопрос в том, что сможет ли сквид удовлетворить потребности организации.
Кальмар в единственном своём проявлении - нет. В комплексе с другими инструментами - да. Даже скорее всего будут бонусы, о которых Вы даже не подозреваете.

Оффлайн Quarck

  • Новичок
  • *
  • Сообщений: 29
    • Просмотр профиля
    • Arrhythmia Sound
Re: Squid вместо Kerio
« Ответ #6 : 11 Июня 2013, 07:00:11 »
Для шлюза есть замечательная сборка на основе FreeBSD, называется pfSense. Все ваши хотелки в нём можно реализовать, плюс приятный веб-интерфейс. Сам использую на своём месте работы. Очень доволен.

 

Страница сгенерирована за 0.04 секунд. Запросов: 25.