Архив форумов ЦИТФорума

[_Igor_]

Доброго всем!
Хочу решить задачку следующего содержания...
на данный момент есть локалка и роутер циска для выхода в инет, где разрешено всем и все...непорядок какой-то...
Нужно дело немного порезать. И интересно, и необходимо. куда воткнуть фрю(с ней дело имею 1 неделю, просто стало интересно). ткните пальцем, куда ковырять? где поискать?

[XperT]

Фрю врезать м/у Циской и сетью одним кабелем (Циска будет роутить Фрю, а она всю сеть). Доки
http://www.tutorial.ru/index.php/tutorial/1/
_________________
Век живи, век учись, блин

[else]

А почему бы не настроить access-lists на циске, чем городить еще одну машину? Если вы не знакомы с Cisco IOS, то не так страшен черт как его малютка - настроить фаерволл ненамного сложнее чем на FreeBSD, время на изучение этого вопроса не превышает времени на поднимание Фри
_________________
nothing else

[_Igor_]

немного не раскрыл задачку, но мне нужно чтоб все ходили в инет...но с ограничениями по сайтам времени...плюс резка баннеров...плюс вырезать скачивание мп3...да и лог отследить неплохо бы было кто куда зачем... в общем прокси (наверное сквид, если знаете лучше посоветуйте)...да и интересно для развития фри + циско...

[else]

А, ну тогда да, сквид+фря. Но, кстати, варианты - прокси сервер не обязательно должен стоять между локалкой и циской. Он может просто стоять в локалке, допустим на циске открываем доступ в инет с фри, а всем остальным закрываем, а на фре ставим прокси и всем прописываем ходить в инет через фрю. Или на циске через нат организовываем заворот 80 порта на фрю и получаем прозрачное проксирование.
_________________
nothing else

[XperT]

else, нахрена? А? Человека помучить что-ли? Или для самоутверждения?

_Igor_ , ставь м/у Циской и локалью... и не выдумывай. Это САМЫЙ простой вариант заполучить то , что хочется.

(Я не говорю, что варианты предложенные els'ой бессысленны-они очень даже "смыслены", но для более опытных людей)
_________________
Век живи, век учись, блин

[crash]

[XperT]

Для меня лично - проблемы не составит ни то, ни другое... А для _Igor_'я ?
Да я считаю, что легче один раз настроить Фрю, чем настроить Фрю и Циску. Тем более, что "простое подрубание в сеть Фри" ничего ровным счетом без её дальнейшей настройки НЕ ДАСТ. Или я не прав?
И что значит маршрутизация м/у двумя карточками? Это лабуда какая-то. Фигня, я бы даже осмелился сказать. (Или Вы предлагаете соединить циску с Фрей кроссом? )

З.Ы. Без обид...
_________________
Век живи, век учись, блин

[and3008]

Умная девочка говорит правильно.

Богу - богово, Циске - роутинговое и FireWall-ное, FreeBSD - проксирование и всякое интелектуально обрабатываемое (это я про банеры).

Сделав по совету else вы будете избавлены вести двойной FireWall (на Циске и на Фре) + получите возможность легко и без напрягов ставить компы с Интернет-адресами в своей сети. Я не говорю, что с Фрей это не возможно. Возможно. Только прийдется вести два разных конфига. На фига козе баян?

[crash]

[_Igor_]

Спасибо, всем кто откликнулся!
Для себя сделал выводы следующего содержания...
1.фрю просто врубить в локалку(это будет легче в тестировании фри+сквид, и по моему мнению будет более гибкая система )
2.оптимально фри+сквид
предлагаю оценить выводы господа Xpert'ы)))

[and3008]

[else]

Я бы отметила, что во втором варианте суть происходит дублирование функций циски и собственно при таком раскладе циску можно и вовсе выкинуть. Ибо ну ее нафик, эту IOS изучать. Опять же - вместо одного рискового звена появляется два - чтобы не навернулось, доступа в инет не будет. При первом варианте в случае сбоя-изучения-тестирования-обновления прокси можно выпустить всех на скорую руку напрямую.
Еще учитывая небольшой опыт работы с Фрей и циской и главное (или мне показалось?) интерес к данному вопросу, я думаю что решение разместить проксю в локалке действительно оптимально. А access-lists в циске ну очень похожи на правила ipfw. Учитывая справочную систему IOS на Ты я перешла когда-то буквально за полчаса. Это я не к вопросу что я умная или циска хорошая, а к тому что для новичка освоение одного за другим в любом порядке должно пройти не сложнее чем изучение чего-то одного.
_________________
nothing else

[and3008]

А чего выводы? Они уже понятны всем.
Делай как умеешь и будет тебе счастье.

При создании любой системы старайся ее не усложнять без меры. Вот и все.

[TechNoir]

Делал во втором варианте, то есть подрубал фрю между циской и локальной сетью.
Руководствовался плохим знанием циски, и более менее приличным знанием фаервола FreeBSD.
Да и фильтрация необходима была на уровне приложений.
Плюс умел подсчитывать траффик на Фре.
Да, и самое главное:

Необходимо было несколько подсетей. Средствами циски, имеющей всего два интерфейса такое сделать было невозможно
_________________
Vive la Russie!

[and3008]

[XperT]

Давайте не пудрить человеку мозги. Пусть сделает так, как может позволить ему его опыт...
_________________
Век живи, век учись, блин

[TechNoir]

[and3008]

Ессесно нет. Сегменты порезаны на VLAN-ы. Все VLAN-ы сведены в один порт, который и приходит на Cisco.

[TechNoir]

Ааа, ну вот видите как. Спецсредства используете
_________________
Vive la Russie!