Архив форумов ЦИТФорума

[grf]

Есть сетка примерно на 50 пользователей (2000 и XP) управляется серваком под 2003 (AD,DNS,DHCP, принт и файл сервера) Инет получаем через прокси на FreeBsd. Которая защищает нас от внешнего мира, почта и пр. Эта прокся находится вне зоны моей ответственности и соответственно доступ мне туда заказан. С другой стороны мне хотелось управлять траффиком пользователей, вести лог, кто сколько и закрывать доступ на некоторые сайты. Причем управлять использую группы и пользователей из AD. Отсюда мысля поставить свою проксю, которая будет следить за траффиком и перебрасывать пакеты на фрю.

Теперь самое главное, поставить отдельный сервак, даже слабый, даже кокой нибудь - нет возможности, и единственный путь ставить проксю на контроллер домена (безопасность с точки зрения взлома из внешнего мира здесь играет второстепенную роль, фри хоть что-то должна делать , а исключительно ради управления траффиком ) добавив в сервак оперативки. Сейчас это атлон 3000+, 1Гб. Хочу сделать 2 или 3 Гб.

Как ведет себя прокся на контроллере домена и какоую прогу посоветуйте.

Пока выбираю из ISA, UserGate и WinGate.

Сам не с одной из этих прог не работал. Требуется управление траффиком (подсчет объема (инет, почта) для разных пользователей, групп из AD и ограничение (разрешение, запрет) для различных сайтов также для разных пользователей и групп в AD.

Желательно интеграция с AD.

Сам склоняюсь к ISA (по личным соображениям, хочется выучиться и поработать с ней), но она очень прожорлива к железу, как я понял.



_________________
Errare humanum est

[Dragner]

И не только к железу, так же придется на все компы ставить клиентскую часть и перенастраивать подключение в свойствах браузера, да и еще что-то. Стоит ISA Server 2004 Interprise (или как там оно по англицки), хотели на ней поднять учет трафика, но в этом случае пришлось бы перенастраиввать все компы (~60), да и с выходом в и-нет и работы сетевых программ (когда клиентская часть внутри сети, а сам сервер снаружи) возникли проблемы. Так что... Решили интегрировать в ISA програмку для подсчета трафика и управлением квотами и разрешением на сайты BSpliter. Посмотри, вдруг понравится www.bspliter.com

[grf]

Спасибо.

Вы предлагаете помимо прокси, еще поставить клиента на пользовательские машины.

Мне кажется, что это слишком трудный путь.

Только непонятно, зачем нужна клиентская часть на прокси ???

Настройка IE переделывается средствами DHCP и Групповыми политиками.

Как мне казалась.

Неужели нет проги способной вытворять все, что мне надо?


_________________
Errare humanum est

[San_dok]

[Dragner]

Клиентская часть не на проксю, на ISA.

[grf]

Спасибо.

[Dragner]

Proxy
ISA и ISA а может и я ничего не понимаю.

[oleg_poruchikov]

ISA - это не только ценный прокси, но и хороший программный "роутер" с фильтрацией...
_________________
Вот такая картина маслом! (c)

[Dragner]

oleg_poruchikov пасиб!

[grf]

Спасибо! Появился еще один кандидат Kerio WinRoute FireWall

Помимо совета по выбору вопрос еще такой:
есть сеть клиентов с IP 192.168.0.1-192.168.0.100
есть сервак с AD и одной сетевухой с IP 192.168.0.101
есть прокся на фрибсд с 2 сетевухами, IP 192.168.0.102 и 111.222.333.444

Можно ли поставить проксю-фаерволл на AD в рамках вышеописанной задачи, не добавляя серваку сетевой карты.
т.е клиентам прописать шлюз 192.168.0.101, а серваку 192.168.0.102

так, что бы сервак с AD принимал все пакеты, обрабатывал их и пересылал через ту же сетевуху на фрю, а та дальше во внешний мир?


_________________
Errare humanum est

[oleg_poruchikov]

[a-m-d]

[oleg_poruchikov]

Немного не правильно выразился...
У Вас есть в таблице маршрутов
адрес 0.0.0.0 маска 0.0.0.0 шлюз 192.168.1.101
проверяем маршрут на 111.222.333.444 (tracert 111.222.333.444)
первый пакет проходит по правильному маршруту
1 <1ms <1ms <1ms 192.168.0.101
2 <1ms <1ms <1ms 111.222.333.444
вот после этого и происходит следующее:
добавляется маршрут
адрес 111.222.333.444 маска 255.255.255.0 шлюз 192.168.1.102
и следующий пакет на адрес 111.222.333.444 идет через 192.168.0.102

Если шлюзы лежат в разных подсетях, тогда Вы, a-d-m, правы...

Если я не прав, то докажите...
_________________
Вот такая картина маслом! (c)

[a-m-d]

У меня тоже неозвученное выше допущение и, возможно, ошибка
Изначально речь шла о прокси.
Допущение: на сервере 192.168.0.1 прокси таки установлен . Вот проксируемый-то трафик и пойдет на шлюз под управлением FreeBSD. И ответы шлюз будет слать обратно на прокси. А уж прокси "довернет" ответы на клиентов. Именно это допущение вызвало в конце вопрос о непроксируемом трафике.

"Возможно ошибка". При таком раскладе наверное корректнее указывать _адрес_прокси_ _приложениям_ клиента.

PS насчет того, что вдруг появляется описываемый маршрут что-то я не уверен. Показать его можете? Я бы даже эксперимент провел, да некогда такой огород городить.
_________________
Век живи - век учись!.. Дураком помрёшь.

[oleg_poruchikov]

Вот Вам и результат эксперимента, проведенного вчерась в 13:30
Настраиваю протокол TCP/IP на клиенте с IP 192.168.1.135 шлюз 192.168.1.12. На сервере с адресом 192.168.1.12 назначаю шлюзом IP интернет шлюза 192.168.1.10 и включаю маршрутизацию. 10.0.0.1 это адрес ADSL модема, подключенноко на второй сетевой интернет шлюза.
На клиенте

[100lyarov]

правильно настроенная ISA 2004 снимает очень много проблем в большой организации (у нас ~200 машин), т.к. отлично сношается с AD.
Для организации не большой советую UserGate. Никаких клиентских частей, лимитирование предоставления траффика, фильтры и проч.
Правда периодически UserGate глючит, но не систематично и без последствий. в + так же идет и цена.

[100lyarov]

правильно настроенная ISA 2004 снимает очень много проблем в большой организации (у нас ~200 машин), т.к. отлично сношается с AD.
Для организации не большой советую UserGate. Никаких клиентских частей, лимитирование предоставления траффика, фильтры и проч.
Правда периодически UserGate глючит, но не систематично и без последствий. в + так же идет и цена.

[100lyarov]

правильно настроенная ISA 2004 снимает очень много проблем в большой организации (у нас ~200 машин), т.к. отлично сношается с AD.
Для организации не большой советую UserGate. Никаких клиентских частей, лимитирование предоставления траффика, фильтры и проч.
Правда периодически UserGate глючит, но не систематично и без последствий. в + так же идет и цена.

[100lyarov]

Ой, пардон.
Что-то не срослось.

[and3008]

Во всем виновата ISA. Она посношалась с AD и решила, что ответ надо разместить 3 раза, вдруг кто не поймет с первого.

[oleg_poruchikov]

[a-m-d]

К тому "нарисовавшемуся" маршруту. Механизм примерно понял. Это действие arp'а и следствие того, что с icmp-пакетами (от tracert) на server'е (192.168.1.12) не проводились никакие преобразования (адрес отправителя остался оригинальным). Подробнее "Протокол ARP с представителем" и применительно к схеме эксперимента.

Каюсь, смешал маршрутизацию и проксирование.

Однако, IMHO, если можно на сервере обеспечить преобразование всех пакетов, подлежащих учету/проксированию, то можно воспользоваться и схемой "шлюз клиента - сервер; шлюз сервера - другой шлюз".
По _похожей_ схеме действуют прокси в DMZ.

...блин!.. полдня угрохал, чтобы найти подходящую картинку! Когда не надо - попадаются, когда надо - фиг найдешь ...

вот картинка: http://www.itc.ua/img/ko/2006/16/014966.png
из статьи http://www.itc.ua/print.phtml?ID=24197

На картинке явно присутствует прокси-сервер с одним интерфейсом внутри локальной сети (по постановке задачи grf осталось совместить прокси и контроллер домена. Только насколько приемлемо сможет ISA так работать?). На той же картинке для кучи прокси в DMZ и тоже с одним интерфейсом.
_________________
Век живи - век учись!.. Дураком помрёшь.

[grf]

Как много интересного узнаешь порой из-за лени.

Собственно мне нужна была одна карта в контроллере домена, что бы фря находилась в моей подсетке, со своим IP. Т.к. с подобными проксями я не работал, а сеть живая, то резать в слепую по живому не хотелось, и я надеялся сначала настроить прокси, а если что-то не пойдет, то одним движением руки (смена шлюза по умолчанию) вернуть все на исходную позицию.
Сейчас я понимаю, что такой номер не проходит.

В учебнике по ISA сказано, что на сервере с одной картой он может работать только как кеширующий сервер. И все!

Про остальные кандидаты не знаю. Не изучил еще доки.

Скорее всего остановлюсь все таки на ISA (исключительно из эгоистических соображений) но жду Ваших предложений, еще до конца не определился. Спасибо.


_________________
Errare humanum est

[grf]

[Dimasm]

для кучи...
посмотрите на Traffic Inspector
www.smart-soft.ru
прога очень даже ничего!
_________________
С уважением Dimasm