Внедрение линукс сервера

[BLACK_SHT]

Всем добрый вечер.
Ситуация такая.
в общем вот картинка а ниже описание:



значит на циско ничего не поднято кроме пппое, впн и пару пробросов портов.
больше на циске ничего поднимать нельзя и нет доступа.
далее идет свич а в нем контроллер домена и другие доменные пк.
на контроллере поднято днс и дхцп.
хочу вклинить линукс между циско и свичом. и адрессацию оставить как на картнке.
для чего все это нужно?
- для того чтобы:
1. разграничить инет по скорости и по контенту по отделам. (squid)
2. заходить на сервера из вне (shorewall)
3. контролить кто где сиди и сколько качает и что посещает, статиcтика за день за мес. за год. (lightsquid+apache)

в принципе у меня раньше линух стоял SUSe с этими функциями.
но сейчас сеть изменилась.
раньше на eth0 была одна подсеть а на eth1 другая.
теперь и там и там единые подсети.
я в линухе не силен, и прошлый сервак я поднимал с нуля 6 лет назад, но пользовался подсказкам и гуглом, а сейчас время жмет
старый сервак почему то не хочет фунциклировать, хоть я и сменил айпи на интерфейсах. да и потом на нем было впн и днс и дхцп, а сейчас там всего этого нету..все перенеслось на другие девайс.
решил склепать новый свежий сервер на UBUNTU server.
помогите разобраться плиз.
2 ночи не спал

я так понимаю, что я статически конфигурю два сетевых интерфейса и прописываю им их выбранные айпи.
шлюз прописываю циски, а днс указываю контроллер домена.
а в контролере домена шлюзом указываю eth1.

наставьте на путь истинный

[fisher74]

Вы так не сделаете. Подсети на интерфейсах должны быть разные. Не можете? Тогда Вы не имеете права ничего контролировать.

[BLACK_SHT]

Вы так не сделаете. Подсети на интерфейсах должны быть разные. Не можете? Тогда Вы не имеете права ничего контролировать.

хорошо другой сценарий:
1. проброс портов можно договорится сделать на циске.
2. а прокси сделать все же на линухе? но тогда не вклинивать а просто врубить eth0 d свич а редирект 80 порта прописать на циске?
мне нужен прозрачный прокси.

[ArcFi]

Можно выкинуть кошку и сделать шлюз на линуксах.
Тем более, что у вас там никаких сервисов нет.

[BLACK_SHT]

Можно выкинуть кошку, или задвинуть её в локалку и сделать шлюз на линуксах.
Можно оставить кошку, но тогда придётся поменять настройки сети на ней, либо менять сетевые настройки на всех остальных компах.

кошку выкинуть не могу, она от главного офиса.
а как же мне тогда на ней настроить сеть?
и что за настройки на остальных ПК?

[Nicom]

1. проброс портов можно договорится сделать на циске.

А подсеть на ней поменять, нельзя договориться?

[BLACK_SHT]

1. проброс портов можно договорится сделать на циске.

А подсеть на ней поменять, нельзя договориться?

на 99% что нет.
я вот еще думаю, если ничего не получится, тогда может интегрировать прокси в домен?

[ArcFi]

кошку выкинуть не могу, она от главного офиса.

У нас тоже была Cisco PIX 500 и тоже от главного офиса.
Дрянь редкостная и бестолковая.
Аминь, выкинули уже.

[fisher74]

А подсеть на ней поменять, нельзя договориться?

на 99% что нет.

А в обсуждаемой сети?

я вот еще думаю, если ничего не получится, тогда может интегрировать прокси в домен?

То есть Вы считаете, что надев клиенту тёмные очки Вы лишите его зрения? Не думали, что очки и приподнять можно.
Пользователь решил продолжить мысль 19 Октября 2014, 00:25:59:

(Нажмите, чтобы показать/скрыть)

У нас тоже была Cisco PIX 500 и тоже от главного офиса.

на одном объекте в работе ASA 5500... Не смотря на  всю мою любовь работать в консоли, я просто вынужден использовать её яваморду. Не смотря на её (яваморды) баги там хоть процесс управления правилами и списками не так сильно выносит мозг.
Был период, когда она исдохла... я 3 месяца чувствовал себя человеком, пока её заменял линуксовый щлюз. Но таки заменили по гарантии и она снова продолжает крушить мою нервную систему.

[BLACK_SHT]

А подсеть на ней поменять, нельзя договориться?

на 99% что нет.

А в обсуждаемой сети?

я вот еще думаю, если ничего не получится, тогда может интегрировать прокси в домен?

То есть Вы считаете, что надев клиенту тёмные очки Вы лишите его зрения? Не думали, что очки и приподнять можно.

в обсуждаемой сети тоже нет. там некоторые айпи четко регламентированные главным офисом.

что до очков, так там все решаю я. как скажу так и будет. кто не будет тот будет наказан рублем.
и потом что до юзеров, их всего 40 чел, в компах они не рубят...так чисто юзеры...

давайте соберем все до кучи и все же решим что можно сделать.
с пробросом я решу на стороне циски.
а вот прокси как быть? он обязательно должен быть включен в разрыв сети или все же можно обойтись как то?
Пользователь решил продолжить мысль 19 Октября 2014, 11:42:59:есть одна фишка как можно выкрутится.
поставить сквид на линухе с одной сетевой картой.
а в политике домена юзерам указать прокси этого линуха и порт 3128 как обычно.
и порезать права на изменения.


так же в политике днс и дхцп указать, запрет интернета не авторизованным пользователям.
так же политикой переименовать локальную учетку и поставить под пароль..или вовсе отключить.

[Nicom]

А если прописать дополнительный маршрут к прокси на клиентах?
Например
default route 192.168.11.1
0.0.0.0 via 192.168.11.1
192.168.10.0 via 192.168.10.1


Тогда один интерфейс прокси будет из подсети 192.168.10.0 смотреть на киску, а второй будет принимать запросы на всё, кроме 192.168.10.0, и иметь адрес, например, 192.168.11.1.

Не знаю можно ли это сделать политиками домена, или придётся топать пешком по всем клиентам.

[fisher74]

Все эти извращения от лукавого. Всё придёт к тому, что в конце концов ТС запутается и филиал встанет на сутки-другие.

Если совсем так хочется, то трафик на прокуси можно и на кошке завернуть...

[BLACK_SHT]

Все эти извращения от лукавого. Всё придёт к тому, что в конце концов ТС запутается и филиал встанет на сутки-другие.

Если совсем так хочется, то трафик на прокуси можно и на кошке завернуть...

я наверное  так и сделаю...поставлю прокси на линухе с одной сетевой...а на циске заверну на него траффик

[BLACK_SHT]

на прокси завернуть трафик с 80 порта не получилось...прописал прокси через доменную политику юзерам.
все работает на ура на всех ОС.