Раздача интернета юзерам локалки
3499
17
Требуется оптимальное решение для задачи "раздачи интернета" пользователям локальной сети. Сейчас выход осуществляется посредством одного из компьютеров ЛС, на котором установлены две сетевый карты и бегает Usergate. Если для этих целей использовать отдельный системник, то
- какую ОС использовать
- какими программами "раздавать" инет
- какие средства защиты (фрайервол, антивирусник) применять
- минимальные требования к системнику (проц, память...)
Электроник
OpenBSD + pf (файрволл) + ClamAV(антивирь) + squid(прокси) + trafd + MySQL + Apache (все три для учета трафика и показа его расхода зверям через вэб)- тогда машинка может реально быть очень простой по железу... :улыб:

На винде usergate - вполне себе вариант для небольшой сети...
Можно Kerio WinRoute (проект умирает), можно MS ISA Server (круто, если нужна интеграция шлюза с AD. Плохо подходит для учета траффика, но есть сторонние считалки. Простой NAT на ISA - стрельба из пушки по воробьям), можно WinGate (масса косяков, но есть свои плюсы)... Можно аппаратный шлюз, есть недорогие варианты...
PN
"Сквозь" Usergate не проходят некоторые приложения (клиент банка, например) Как мне кто-то пояснил, по другому поводу, правда, "Виндоус некорректно работает с пакетами". В сети есть системник, на котором стоит server 2003 и запущен АД. К нему же можно "пристегнуть" ISA Server?
Или для этих целей всё-таки нужен отдельный системник?
Электроник
Можно.
Но не рекомендуется все яйца хранить в одной корзине. Поэтому лучше всетаки отдельную машину.
Barlog
Если отдельный системник, то на него, видимо, лучше "водрузить" openBSD?
Электроник
не буду ратовать за то что винда безгрешна, но утверждение "что она некорректно работает с пакетами" это как то уже не проканывает, тут либо вопрос в кривизне рук утверждвющего, либо в софте, чьи пакеты она не хотела пропускать... bsd - гуд, но если вы с ней не знакомы, то лучше пока не трогать имхо, ибо "оно бесплатно, настолько насколько бесплатно ваше время" (С) не мой)) что касается винды, то имхо можно взять керь, слава богу достать последний дистриб и то что ее пропатчит до энтерпрайз - не проблема, траффик она считает, с AD интегрится без проблем, всяческие баны и рули и авторизации настраиваются, антивирус идет в комплекте от макафи, но есть полно плагинов, анализаторы логов есть wrspy.ru - кстати наш земляк, и бесплатно, нстраивается за 15 минут, все что необходимо для полноценной работы поддерживает. потому либо как сказал PN - OpenBSD, либо если не знакомы имхо керио.... вот только один нюанс, кто как, а я лично крайне рекомендую перед софтовым шлюзом - вешать аппартаный, так .. на всякий случай... благо Dlink di-604 стоит 1000 рублей, умеет много, конфигурится за пять минут и вообщем то связка достаточно проверенная.
Электроник
>> - какую ОС использовать
Озвучу ответ, неоднократно звучавший на этом форуме: "ту, которую ты знаешь лучше всего".
*nix (Linux, FreeBSD, OpenBSD) есть смысл ставить либо если рядом есть гуру, либо (как уже было сказано) если есть время на освоение.

>> - какими программами "раздавать" инет
Целиком и полностью отдаю свой голос за Kerio WinRoute Firewall.
Ставится и осваивается за 10 минут, интегрится с AD... впрочем, всё уже сказал Admitry:улыб:
Nestеr
Пытаюсь резюмировать
1 вариант Системник+Windows (XP наверное)+Kerio
2 вариант Системник+openBSD+ много чего перечисленного.
Куда-то еще рекомендуется включить шлюз DLINK (А адпак не справится с этой ролью?)

Гуру никаких поблизости нет, зато есть много времени. Думаю при желании можно никсы освоить.
Электроник
Аппаратный фаервол следует ставить между программным (т.е. компом, где крутится WinRoute) и сетью провайдера.
Т.е. схема доступа такая: юзер -> WinRoute -> D-link -> пров -> инет.
Nestеr
А там уже стоит VoIP шлюз, AddPac, его можно использовать?
Barlog
Саш, под ИСА Сервер, не "лучше", а "настоятельно рекомендуется" отдельную машину. Сами МС не рекомендуют ставить ее на контроллер...
Электроник
Надумаешь ставить ИСУ или поднимать на OpenBSD - стучи в аську, расскажу подробно, как чего...
PN
Спасибо, обязательно стукну. )))
Электроник
Как у меня сделано, причём почти год работает без косяков: Linux, PPPoE, немного колдовства с iptables и TA-Billing... и просто так не сопрёшь.. и особо не отвертишься... чесало это до недавнего времени на р166 нормально.. если не парсить месячную базу каждые 5 минут.. :улыб:Ща на pII266 сидит, так можно ещё mp3 параллельно на ходу жать.. :хехе::D
PN
Я это знаю. Так же как и все знают что "Минздрав предупреждает.." и что? Многие ли следуют этим советам и предупреждениям? ИМХО только те, кто на своем горбу понял ЧЕМ вызваны те или иные рекомендации.
T!m0n
Вообще-то в заголовке поста пишется, кому отвечено. Это ж не ПХПБэБэ какой-нить...
T!m0n
Нет. В твой адрес только нарушение п. 9 и неумение пользоватся кнопкой "Цитата". :death: