Про програмные интернет шлюзы
6370
49
хочу поставить програмку типа Lan2Net или trafic inspector и т д, есть linux-сервак, в принципе хорошо раздаёт инет , ведёт статистику, но хотелось бы на винде и с большей функциональностью, отчёт по юзерам , блокировки сайтов и т д.

пока присматриваюсь к LAN2 NET хотя вот ещё нашёл http://www.ideco-software.ru/

кто-нибудь имел опыт?
TranceGate
Вам для каких целей, с какой нагрузкой ?
Ideco вещь недешёвая...
Tt002
да цели просты, разавать инет на 20 компов, мониторить расход трафика ит д, вообще lan2net подходит судя по описанию, по-поводу ideco- а кряки вроде не отменяли:смущ:
TranceGate
Странно... А на линуксе какого функционала не хватает? Там помоему все намного проще, и бесплатнее чем на винде...

ЗЫ К линуксу/фре можно прикрутить NetAMS.
TranceGate
Воровать нехорошо.
Если вопрос денег стоит так остро зачем тогда винда? Под линукс есть куча биллингов. На 20 то пользователей вообще проблем не должно быть, не 20 тысяч...
Tt002
блин ребята, да причём тут цена? меня интересует кто имел опыт, какие глюки есть, плюсы и минусы.
на линксе то всё хорошо, тока я в нём ни бум-бум, ставил знакомый, которого уже нету в стране
TranceGate
Отчет именно по хттп - есть сквид и много-много к нему лог-анализеров, так же есть юзергейт, вингейт - но с этими плохо работал - глюки не расскажу. Впринципе любой прокси позволяет запрещать адреса и урлы - главное чтобы пользователь им пользовался (то бишь не был поднят нат для хттп).

В принципе в полу-онлайн режиме работает последняя версия Kerio Winroute Firewall, модуль Star - статистика через веб-интерфейс, из глюков - неправильно пролеченный керио как только лезет на свой сайт и узнает что его "вылечили" блокирует сервис до перезапуска. Из решений - правильно лечить его:улыб:

А линукс - в инете есть русский мануал по iptables- если работали с керио то там все понятно - добавляете список правил в таблицы и все работает. Считалку к ней можно прикручивать netams - для средних и малых офисов без претензий на провайдинг - самое то, да еще и с веб-интерфейсом. А еще - можете ставить линукс вместе с Х-сервером и любой рабочей средой - гном, кде - от винды мало чем отличается, и гуй-морды на многие вещи уже написаны (в частности на самбу, настройку сети и др).
TranceGate
Ну если сложности с пониманием настройки, то Kerio Winroute Firewall. Если посложнее и пофункциональней, то Трафик Инспектор.
Tt002
Если посложнее и пофункциональней, то Трафик Инспектор
Лол...

Посложнее - это MS ISA. ТИ - детский сад...
PN
...
Посложнее - это MS ISA. ТИ - детский сад...
Я думаю пользователю с начальными знаниями не до MS ISA, зачем его упоминать тогда.
TranceGate
типа на винде у чего-то, кроме ISA, есть большая функциональность чем у сквида на линухе?? бугага... зачем велосипед изобретать?
whiplash
Для человека с начальными знаниями в этой области большую роль играет юзабилити.
whiplash
есть большая функциональность чем у сквида на линухе
А, если чо, разговор не о прокси, а о шлюзе. И равнять ису и сквид - это нужно не знать ни то, ни другое:улыб:
PN
А, если чо, разговор не о прокси, а о шлюзе. И равнять ису и сквид - это нужно не знать ни то, ни другое
А что поделать, если для виндвого админа - интернет шлюз, а для юниксового - firewall, роутер, трафик шейпер, прокси, биллинг и т.д. и т.п.

Только виндовые админы могут назвать ISA - интернет шлюзом.
Stalker
firewall, роутер, трафик шейпер, прокси, биллинг и т.д. и т.п.
И все это Сквид?

А кто назвал ису шлюзом?
PN
Ну отчего же... Все это комплекс служб и утилит, который поставляется штатно и настраивается тоже штатными руками:улыб:Могу предложить роутер без сквида если это необходимо и вас так задевает :))))
Mad_Dollar
Могу предложить роутер без сквида
Да у меня как бы есть, спасибо :-)

Вопрос не в том, сквид или не сквид. Вопрос в том, что у топикстартера ЕСТЬ линух, на котором что-то и как-то работает. Но он по какой-то причине захотел виндовое решение. Мало ли зачем. И сразу набежали линуксоиды, а также те, кто таковыми себя считают, и давай напропалую пытаться донести, что на линухе все это усраться, как круче, а винда - чиста для лохов, мышкой тыкающих... Лично я вот не вижу никакого особого "понимания работы стека протокола тисипиайпи" в том, чтобы поправить конфиг того же пфа, ибо примеров готовых, с пошаговым расписанием, чего куда писать, хватает... И, так называемых, линух-админов, в футболках "мандрива-линукс", с трудом представляющих, как работает все то, что им удалось запинать в работу с помощью знающих людей с разных форумов, но, тем не менее, пальцующих во все стороны, что винда сасет, а пингвин рулит, на сегодня не меньше, чем видовых, "мышкой кликающих"...

Omnis comparatio claudicat, короче...
PN
а винда - чиста для лохов, мышкой тыкающих...
никто так не говорил - была мысль о том что это настраивается сложнее, но гибче.
Лично я вот не вижу никакого особого "понимания работы стека протокола тисипиайпи" в том, чтобы поправить конфиг того же пфа, ибо примеров готовых, с пошаговым расписанием, чего куда писать, хватает...
ну что холиварить то? ))))) Предложите мне стабильное решение уровня iptables'а на базе виндовса. Даже ISA не имеет половины этого функционала. А все это в связи с тем, что объективней винда проще в настройке за счет того что разработчики подогнали ее под типовые задачи, но отнюдь не гибче.

Простой пример - ограничьте мне количество сессий в минуту с одного произвольного IP на один произвольный порт на винде... Я таких решений не видел, хотя может и потому что винду не знаю так как Вы.
Mad_Dollar
ограничьте мне количество сессий в минуту
В ISA это называется "Configure Flood Migration Settings". Зная, какая крутилка там за что отвечает, можно и настроить. Хотя, да, есть нюанс, что уровней ограничения там всего два. Общий - для всех и кастом - для адресов из списка исключений. Так, чтобы ограничить одному адресу одним числом, другому - другим, десятому - десятым - такого нет, да...
PN
Дело не в том, что кто где у кого сосёт. А в главном админском правиле - РАБОТАЕТ - НЕ ТРОГАЙ. Особенно с таким уровнем познания предмета. Не для работы такие эксперименты. Проще тогда действительно кофеварку на выход поставить - то бишь какой-нить D-Link интернет центр.. Там тоже тычек много. И дешевле в итоге обойдётся.

И, так называемых, линух-админов, в футболках "мандрива-линукс", с трудом представляющих, как работает все то, что им удалось запинать в работу с помощью знающих людей с разных форумов, но, тем не менее, пальцующих во все стороны, что винда сасет, а пингвин рулит, на сегодня не меньше, чем видовых, "мышкой кликающих"...
Не путай начинающих админов локалхоста с нормальными админами.
Stalker
то бишь какой-нить D-Link интернет центр
топикстареру ж надо и статистику по юзерам и прочее...

Особенно с таким уровнем познания предмета. Не для работы такие эксперименты
дык он мож и хотел поэкспериментировать, пока у него есть работающее решение... что теперь, если линух есть, на другое и посмотреть нельзя? :-)

Не путай начинающих админов локалхоста с нормальными админами
Дык и не путаю :-) Оно само так получается - как только начинающий "админ" пошагово поставил линух и смог на нем настроить принтер - все, он сразу начинает себя считать наиебейшим админом, а виндоводы не стесняются себя считать просто юзерами, даже умея очень многое, как локалхост-админы:улыб:

Впрочем, ладно...
PN
Ну вот скажи... Как вообще можно о чём-то говорить, когда вместо чёткой постановки задачи пытаются выбрать просто программу?

Вот ты говоришь:

топикстареру ж надо и статистику по юзерам и прочее...
А где оно - это "надо"?

Авторизацию надо/нет?
Прокси надо/нет?
Кешировать странички надо/нет?
NAT использовать надо/нет?
Шейпер надо/нет?
Биллинг надо/нет?
Кешировать DNS-запросы надо/нет?
Фаервол надо/нет?
Защиту от атак надо/нет?
ACL-листы по пользователям/группам надо/нет?
Статистику надо/нет?
Рекламу резать надо/нет?
Следить за похождениями пользователей надо/нет?
и т.д. и т.п.

И какая часть этих "надо/нет" относиться к "программному интернет шлюзу"?

Вот и выходит, что столько времени обсуждаем "сферического коня в вакууме". А ты говоришь - линуксоиды весь моск проимели.
Потому я и говорил, что понимание OSS даёт, что для меня эти "надо/нет" - разные задачи.
TranceGate
Если есть Линух, то на мой взгляд луяше всего его и использовать. Пакет iptables, правила кое-какие на нем сделать можно. Конечно, супротив фряхи все это как-то несерьезно. Пока что из испробробованного фряха вне конкуренции. Но это, как говорится, на любителя.
crow
Но это, как говорится, на любителя.
В данном случае - на религию
Stalker
Ну, не совсем. У фряхи можно в ядро изменения вносить, в Линуксе и тем более Ideco - нет, в этом все ее беспрецедентное отличие в плане использования в качестве маршрутизатора. У Ideco при всей своей привлекательности довольно ограниченный функционал, что очень раздражает при дальнейшем использовании. Цена опять же. А у фряхи куча пакетов как прокси, так и фаейрволов. И все это работает с тех времен, когда никаких линуксов еще не было в помине. Работа же фаервола в режиме модуля, что мы имеем в Линуксе, это по-моему не совсем правильное решение.
crow
Полный ОФФ

Судя по Вашему посту, Линукс Вы видели только на картинках, и историю так же не учили. Мало того, с матчастью тоже очень плохо.

Первая версия Фряхи официально вышла в Декабре 1993г.
Первая Версия Линукса официально вышла в Марте 1994г. Разработка начата в 1991.
Разница в релизах 1.0 - грубо говоря - 3 месяца.

Именно по тону Вашего поста я и сказал, а теперь уточню - в Вашем случае это вопрос религии.
crow
А в чем вопрос в Линуксе вносить изменения в ядро? Вам именно ядро, или модули, работающие в режиме ядра? А для чего вам файрвол в режиме ядра - при нерационально написанных/расположенных правилах вы получите отнюдь не выигрыш в скорости, если сравнивать именно как роутеры, без посторонних функций, работающий iptabes в не будет работать медленнее ipfw, поверьте.

Опять же по поводу разных проксей и прочего - ничего не понимаю, сквид что, у фри особенный? Или может порт самбы, сендмайла (ну что еще в голову может прийти) разрабатывают другие разработчики? =) Здесь именно вопрос религии, и знание только одной стороны спора =)
Stalker
По поводу функциональности FreeBSD и линукса спорить пока не буду. Подучусь вот немного, тогда да... Вообще есть вероятность, что со временем Линукс перерастет всех вместе взятых, система очень перспективная. Ideco - это опять же Линукс, но за деньги (причем несоразмерные ). Прошу прощения, если наступил кому на любимый мозоль.
crow
Это не любимый мозоль. Я, например, из Юниксов не только Линукс админю. Есть и Фряха и Юниксварь. Просто не надо фанатизма. Различия не настолько кардинальны, чтобы кричать о рулезе и отстое. Причём различия и в ту, и в другую сторону. А при нормальном профессиональном подходе и винду надёжной сделать можно.
crow
Конечно, супротив фряхи все это как-то несерьезно. Пока что из испробробованного фряха вне конкуренции
И это глас человека, тут же недалеко задающего вопрос, "почему у меня аутлук почту не хочет отправлять"...
PN
вообщем пока идёт спор IDECO у меня работает без проблем, даже уже нравиться начала, но вот ещё наткнулся на такую штуку http://www.xserver.a-real.ru/deion/usage.php
TranceGate
Толковый проект.
На сайте информация подана, на мой взгляд, грамотно и понятно.
PN
> то бишь какой-нить D-Link интернет центр

папаша, D-Link - кака! :death:
мне вот на днях из московии под заказ привезли другую железку - ASUS WL-500G Premuim.
от це зачОтная железко! ASUS прям реабилитировался в моих глазах!
размером примерно как D-Link'овский восьмипортовый свитч типа 1008.
внутри камень 266 MHz MIPS архитектуры. 32 Mb мозга, работает под linux-2.4.20.
по дефолту 1 WAN интерфейс, внутрь 4 фастезернета и 1 бестпроводной.
все гибко рулицца - можно на VLAN'ы резать, можно второй WAN поднять.
дальше еще вкуснее - 2 USB порта. (я в один гиговую флеху засунул, а в другой - хаб на 4 USB-порта. к USB-хабу прицепил принтер - отлично работает).
теперь САМОЕ ВКУСНОЕ! эта железка поддерживает установку дополнительных пакетов на внешний USB-носитель (флеху или винт) или ДАЖЕ вообще загрузку (корневую систему) с внешнего носителя!

я в общем уже нехило эту железку втюнил :улыб:
ssh прям в NVRAM запихал, прибил убогий ftpd и пародию на самбу. поставил proftpd, прикрутил screen, cron.
в общем поставил все, что привык иметь в обычной UNIX-системе. для пострения файрвола - iptables к вашим услугам. умеет OpenVPN, poptop и т.п.
работает эта штука абсолютно бесшумно, не греется. я доволен. для дома / малого офиса - самое оно! стоит чуть дороже 100$.

З.Ы. понятно что для промышленного применения оно не годиццо.
gringo
хых, задумка хорошая, безусловно .. Особливо для внутренней сетки. А если использовать для руления трафика из инета, то стоит обратить внимание на такие тонкости, как ядро ядро 2.4.20. оно .. э-э-э .. слегка дыряво. Или Вы точно знаете, что Asus его пропатчил до бронебойности? Или можно это сделать самому?
marselAlex
ерунда это. все эти многочисленные уязвимости в ядре linux могут позволить ЛОКАЛЬНОМУ пользователю получить root привилегии на системе.
в 2.6.х ветке этих уязвимостей тоже полно. и чО теперь?
как эти уязвимости могут повлиять на "руление трафика из инета" ?

у того же D-Linkа тоже полно маршрутизаторов на древних ядрах linux. вот навскидку - ADSL-роутер D-Link DSL-504T - дык унутри тож MIPS-камень и тож linux-2.4.20. тока USB-портов конечно нема..
и чего? что-то я не слышал чтоб D-Link'овские маршрутизаторы массово крячили. :улыб:
gringo
Ну по поводу косячности DLink вот вам, навскидку, ссылочка
Как раз, массово накосячили.:улыб:И еще одна (тут уже удаленная уязвимость). Есть еще и не одна.:улыб:
Ну еще можно добавить что, например, свитчи DLink не очень хорошо себя ведут в нагруженных сетях, где больше 20 хостов. Как раз таки из-за устаревших ядер.
marselAlex
неконструктивно.:миг:

то что D-Link'овское железо кривое я и сам знаю и об этом выше писал.

НО я говорю что я НЕ слышал чтоб это самое железо массово крячили.

первая ваша ссылка - ниочем. ну подумаешь создают D-Link'овские маршрутизаторы аццкую нагрузку на какой-то там сервер в Дании. и чО? не ну хамство конечно, но на взломоустойчивость самих D-Link'овских маршрутизаторов НИКАК не влияет.
а вторая Ваша сцылка мертвая вообще-то.

а что касаемо D-Link'овских свичей - то основная их масса - неуправляемые, 2-го уровня. где никаких ядер вообще нет, что впрочем не мешает им периодически зависать.:улыб:
gringo
тем временем, уже купил IDECO enterprise на 30 юзверей
gringo
неконструктивно.:миг:НО я говорю что я НЕ слышал чтоб это самое железо массово крячили.
А зачем его ломать? Ломают то, что за ними стоит. Используя при этом уязвимости в этом самом железе. Соответственно, кто будет говорить о взломе неуправляемого свитча, если у него веб-сервер взломали?

а вторая Ваша сцылка мертвая вообще-то.
Действительно, ссылка "умерла". А была ссылка на багтрак, где публиковался отчет об удаленном эксплоите для беспроводного маршрутизатора DLink.
Надо же, наверное кому-то помешала инфа.:смущ:Ну, можно у гугла поинтересоваться. Он все расскажет:улыб:
а что касаемо D-Link'овских свичей - то основная их масса - неуправляемые, 2-го уровня. где никаких ядер вообще нет, что впрочем не мешает им периодически зависать.:улыб:
Речь то [у топикстартера] шла не о неуправляемом свитче. А о решении, которое позволит рулить трафиком из инета. А руление трафиком, даже на железке DLink, требует наличие хоть какой-нибудь системы.
marselAlex
разговор глухого со слепым млин! :улыб:

> А зачем его ломать? Ломают то, что за ними стоит.

совершенно идиотский вопрос. получив доступ к шеллу на линуховом роутере можно много чО делать. можно использовать роутер как плацдарм для дальнейшего проникновения, можно спокойно и неторопливо исследовать структуру ломаемой сети. с помошью iptables можно редиректить да хоть весь трафик на произвольный хост.
мало чтоле?

> Соответственно, кто будет говорить о взломе неуправляемого свитча, если у него веб-сервер взломали?

упс! срочна учить матчасть! вы маршрутизатор (роутер) от свитча в состоянии отличить?
и КАК вообще можно сломать НЕУПРАВЛЯЕМЫЙ свитч, а ? он же на 2-м уровне OSI работает! ЧТО там ломать то ?! он же только MAC-адресами оперирует и про протоколы более высокого уровня НИЧЕГО не знает!

ну и касательно взлома веб-сервера, который находится за роутером. роутер тут НУ СОВСЕМ ни при чем! он просто тупо транслирует пакеты пришедшие на 80й порт роутера на 80й порт веб-сервера, подменив адрес. если сломали веб-сервер - значит уязвимось была на вебсервере, а никак не на роутере. роутер тут вообще не при делах.

> А руление трафиком, даже на железке DLink, требует наличие хоть какой-нибудь системы.

руление трафиком, неважно на какой железке, требует умения работы на 3м уровне OSI. учить матчасть по поводу 7-ми уровневой модели OSI.
gringo
По поводу матчасти не к месту ... Видимо я не совсем точно выразился. Берем пятипортовый ADSL-модем, и что там стоит управляемый свитч? Простой роутер + неуправляемый свитч. Я об этом говорил.
Ну и касательно взлома ... Разве несанкционированное удаленное получение шелла на роутере -- это не есть уязвимость роутера?

P.S. И оставьте свои совет по поводу матчасти себе.
marselAlex
> По поводу матчасти не к месту ...

еще как к месту.:улыб:

> Берем пятипортовый ADSL-модем, и что там стоит управляемый свитч?

да запросто! навскидку - cisco 877
учить матчасть! :улыб:

> Разве несанкционированное удаленное получение шелла на роутере -- это не есть уязвимость роутера?

это зависит от метода, которым этот шелл получен. возможно просто рас$%здяйство админа роутера. :улыб:

> И оставьте свои совет по поводу матчасти себе.

да просто достали "администраторы мандривы" :улыб:
gringo
ну-ну ..
$ uname -a
Linux home 2.6.22-gentoo-r10 #2 SMP PREEMPT Sun Feb 3 14:20:11 NOVT 2008 i686 Intel(R) Pentium(R) 4 CPU 3.00GHz GenuineIntel GNU/Linux
marselAlex
бугага! :улыб:локалхост-администратор ? :улыб::):улыб:
-bash-3.00# uname -a
SunOS datacenter 5.10 Generic i86pc i386 i86pc
-bash-3.00#

bash-3.00# uname -a
OpenBSD gateway.nsb.local 4.0 GATE_20071112 i386
bash-3.00#

[root@mrout ~]# uname -a
FreeBSD mrout.nsb.local 5.5-RELEASE-p10 FreeBSD 5.5-RELEASE-p10 #0: Fri Jan 4 03:28:22 NOVT 2008 root@mrout.nsb.local:/usr/src/sys/i386/compile/MROUT-20080104-01 i386
[root@mrout ~]#

c1721#sh ver
Cisco IOS Software, C1700 Software (C1700-ADVSECURITYK9-M), Version 12.4(10), RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2006 by Cisco Systems, Inc.
...................................
...................................
c1721#


ну и чО?:улыб:
gringo
C:\>ver

Microsoft Windows XP [Версия 5.1.2600]
Парни, закругляйтесь... :1:
Stalker
.... а потом пришел лесник и выгнал всех из леса! :улыб:
gringo
слушай, то есть вышеказанный Азуз стоит брать? номрально железка работает?
whiplash
> слушай, то есть вышеказанный Азуз стоит брать?

смотря для каких целей. для промышленного применения ничего лучше цЫски / нортела пока нету.
а для дома / малого офиса я за такой ценнег ничего лучше не видел.

на работу нареканий нет. совсем.