LINUX.ORG.RU

ZBilling — Интернет-шлюз с авторизацией через Active Directory

 , , ,


2

1

Представляю на обозрение сообщества первую публичную версию своего проекта.
Основные возможности системы:

  • Управление доступом пользователей ЛВС к сети Интернет через NAT (iptables+ipset) без прокси сервера.
  • Возможность авторизации по IP или прозрачной авторизации пользователей Active Directory при помощи клиента авторизации.
  • Возможность ограничивать пользователей по объему потребленного трафика и максимальной скорости.
  • Ведение статистики потребления трафика пользователями с сохранением списка посещенных узлов.

>>> Домашняя страница проекта



Проверено: JB ()
Последнее исправление: cetjs2 (всего исправлений: 3)

Ответ на: комментарий от steemandlinux

это к программистам, я делал тз, какие функции мне были нужны, связка была ipfw+squid+sams(pfsesnse) а на другом серваке был вебсервер с этой хренью, на неё заходишь, нажимаешь на пользователя(авторизация была через AD), и там трафик вверху сайт где он больше всего был, сколько трафика времени и тд.Мне это делали 4 тимлида 2,5 месяца по 2 часа в день.

erzent ☆☆
()
Ответ на: комментарий от steemandlinux

причём анонимайзеры были бесполезны, трафик всегда показывал что это относиться к контакту, делал это программист который работал секьюрником в банке, делал похожее для банка.

erzent ☆☆
()
Ответ на: комментарий от anonymous

2015 год
разрабатывать на делфи

Его запретили что ли? Вот ребята из embarcadero расстроятся, только собрались новую версию выпускать...
Беда-печаль, не знал :(

zldo
() автор топика
Ответ на: комментарий от zldo

Дельфи сама по себе была неплохая штука. Но не осилила кроссплатформенность. Был kylix, да сдох. Вот понадобится кому-то твой клиент не под Windows - что, под вайном его пускать?

Я собствено, на Qt сбежал после того, как стало окончательно ясно, что kylix мёртв, и воскрешать его никто не будет.

hobbit ★★★★★
()
Ответ на: комментарий от zldo

Клиент авторизации под windows на Delphi

Ну вот испортили все настроение, я было подумал, что оно действительно с ад стыкуется, а тут еще и отдельный клиент нужен. Возникает вопрос а причем здесь АД?

anc ★★★★★
()
Ответ на: комментарий от AVL2

В принципе, ничто не мешает использовать прокси для веб-трафика. Просто прозрачно перенаправлять.

https тоже? MITM ащето-то.

anc ★★★★★
()
Ответ на: комментарий от steemandlinux

Для неосиляторов (таких как вы) как раз таки прокси не существует, т.к. не осилили даже разобраться с назначением и вариантами использования.

anonymous
()
Ответ на: комментарий от hobbit

Но не осилила кроссплатформенность.

Все не так плохо, на данный момент поддерживает win, mac, ios и андроид. С линуксом туговато конечно :(, но есть еще лазарус последние год-два работает вполне сносно, ну а там скомпилировать можно практически под что угодно.

Вот понадобится кому-то твой клиент не под Windows - что, под вайном >его пускать?

Не думаю что он в таком варианте кому-нибудь он потребуется, Изначально весь код затачивался под определенную задачу и на универсальность не претендует (это я про клиента авторизации). В серверной части все гораздо проще: управляем базой MySQL управляем трафиком пользователя (хоть прямые запросы из командной строки делай).

zldo
() автор топика
Ответ на: комментарий от anc

действительно с ад стыкуется

Без дополнительных средств с l3 на l7 не перепрыгнуть :( Как уже много писали тот же squid поддерживает прозрачную ntlm аутентификацию, косяк в том, что не все приложения ее поддерживают (m$ Internet Explorer, Firefox и кто еще?) только проблема в том, что Интернет не заканчивается браузерами, да и пользователи не всегда могут сообразить что для того чтобы скайп заработал нужно на какую-нибудь страничку зайти... Про «непрозрачную» авторизацию через Captive Portal я вообще молчу... Этот самый Captive Portal еще увидеть надо... в миранде например это будет очень сложно сделать.
Отсюда и появился клиент запускаемый на рабочих станциях, другого способа насколько я знаю еще не придумали. p.s.
Есть еще вариант с опросом рабочих станций с сервера, есть мысли по этому поводу, правда работать будет нормально только в сети без сегментов, в едином пространстве l2.

zldo
() автор топика
Ответ на: комментарий от anonymous

Прокси как раз легко настраивается, а вот полноценный DPI с логированием гораздо сложнее.

steemandlinux ★★★★★
()
Ответ на: комментарий от anc

Возникает вопрос а причем здесь АД?

В AD хранится информация о том можно ли пользователю в Интернет или нельзя, и если можно, то с какими ограничениями. Т.е. добавляем в AD пользователя, добавляем его в группу «Пользователи Интернет, 5mbps» и на этом настройка и заканчивается. Клиент в автозапуске через групповые политики, пользователь ввел свой пароль при включении компа и пользуется интернетом без доп действий с его стороны, статистика по нему бежит. Нужно поменять условия, меняем их в AD на сервере никаких действий производить не нужно.

zldo
() автор топика
Ответ на: комментарий от zldo

В AD хранится информация о том можно ли пользователю в Интернет или нельзя, и если можно, то с какими ограничениями. Т.е. добавляем в AD пользователя, добавляем его в группу «Пользователи Интернет, 5mbps» и на этом настройка и заканчивается. Клиент в автозапуске через групповые политики, пользователь ввел свой пароль при включении компа и пользуется интернетом без доп действий с его стороны, статистика по нему бежит. Нужно поменять условия, меняем их в AD на сервере никаких действий производить не нужно.

Мне, к счастью, не надо ничего из майкрософтовской платформы админить, но всё же любопытно: неужели проблема не решается штатными средствами и для этого нужен линукс с костылями? Я просто отказываюсь верить, что там всё так плохо.

anonymous
()
Ответ на: комментарий от anonymous

но всё же любопытно: неужели проблема не решается штатными средствами >и для этого нужен линукс с костылями?

Такая задача не решается штатными средствами, поэтому и существует целый класс программ для этого, причем платных, всякие разные User Gate, Trafic Inspector и т.д.

Мне, к счастью, не надо ничего из майкрософтовской платформы админить

В данном сегменте, я имею в виду интеграцию рабочих станций со службами каталогов, linux системы, к сожалению, сильно уступают windows :( (не столько по возможностям, сколько по удобству использования) так что не могу сказать что солидарен с вами :) Если реч о серверах, то тут да, однозначно.

zldo
() автор топика

Я уважаю приватность пользователей и не слежу кто куда ходил. Если нужно что бы сотрудник работал оставляем доступ только к нужным сайтам.

voltmod ★★★
()
Ответ на: комментарий от zldo

Имхо как-то оно узко применимо получается, видимо как раз для Вашего случая. (У меня тоже свой велосипед, которого мне хватает полностью, но врядли кому-нибудь он еще нужен :) ) . Хотя версия первая, есть куда развиваться. Принцип как я понял прост, не более чем принадлежность пользователя к конкретной группе? Просто интересно, насколько быстро изменения будут применены если например выкинуть пользователя из группы?

anc ★★★★★
()
Ответ на: комментарий от zldo

Такая задача не решается штатными средствами

Как это не решается штатными? Там же было что-то типа winproxy или как он теперь называется? Вряд ли же его выкинули.

anc ★★★★★
()
Ответ на: комментарий от voltmod

Я уважаю приватность пользователей

Я тоже

и не слежу кто куда ходил

но я слежу. Мне лично пофиг кто и куда, но сбор инфы кушать сильно не просит, зато в случае чего он есть. И на практике хоть и оч редко, но потребность поднять статистику возникала.

Если нужно что бы сотрудник работал оставляем доступ только к нужным сайтам.

Смешно, но ша эти соц сети настолько проникли во все сферы, что мне даже реально по работе пришлось открывать вконтактник нескольким сотрудникам.

anc ★★★★★
()
Ответ на: комментарий от anc

Имхо как-то оно узко применимо получается, видимо как раз для Вашего >случая

Согласен, но случай довольно распространенный, а и у серверной части довольно простая реализация написанная на понятном массам PHP, так что при желании авторизацию по чему угодно прикрутить можно, думаю польза от проекта будет.

насколько быстро изменения будут применены

По разному бывает, как AD прос... прорефрешится. Если кого-то срочно и моментально обрубить нужно, то это через web интерфейс сделать можно.

zldo
() автор топика
Ответ на: комментарий от anc

Как это не решается штатными?

Есть ICS, но он идет отдельно (за отдельную плату), да и именно такую «схему» не поддерживает.

zldo
() автор топика

я ссу на первую публичную версию твоего проекта

anonymous
()

На самом деле очень интересно. Особенно при наличии клиента авторизации. У вашего проекта похоже что куда больше областей применения чем просто резать «вконтактик». Можно вполне использовать его для управления доступом и к внутренним ресурсам. Очень напоминает такую штуку как nufw - фаервол уровня приложения, но для всей сети. Задавалось буквально какое приложение какого пользователя в сети куда и сколько может ходить. А потом nufw то-ли сдох, то-ли продался... я уже не помню. Удачи вам с вашим проектом!

codoranro
()
Ответ на: комментарий от zldo

По разному бывает, как AD прос... прорефрешится. Если кого-то срочно и моментально обрубить нужно, то это через web интерфейс сделать можно.

О, если не только через ад рулить можно, то годно.

anc ★★★★★
()
Ответ на: комментарий от codoranro

У вашего проекта похоже что куда больше областей применения чем просто резать «вконтактик»

zldo Я так понял, что резать то он как раз и не умеет. Или я не прав?

anc ★★★★★
()
Ответ на: комментарий от anc

Я так понял, что резать то он как раз и не умеет.

Не умеет.

zldo
() автор топика
Ответ на: комментарий от anc

https тоже? MITM ащето-то.

не совсем. Да, для полноценной регистрации урла нужно влезать в серединку, но чаще всего важно знать не весь урл, а достаточно знать сайт, например, вконтактик или фейсбук.

Так вот это как раз открытая информация и в логах она будет.

Ну а если есть возможность поставить свой ca-сертификат клиенту, то вообще проблем ноль...

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Ну прокси прокси рознь.

Согласен. Тогда вопрос: Кто умеет работать в режиме прозрачного для https ? Я реально не в курсе, а интересно, мало ли понадобиться.

anc ★★★★★
()
Ответ на: комментарий от anc

Можно подумать, выбор прокси-серверов так велик...

Squid умеет.

Другое дело, что для этого необходимо подключать свой са-сертификат и автоматом выписывать сертификаты на любой сайт. Причём в хром зашиты отпечатки сертификатов гугла, так что скандалы обеспечены. По идее, банить хром надо...

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Другое дело, что для этого необходимо подключать свой са-сертификат и автоматом выписывать сертификаты на любой сайт.

Так я с этого и начал. Т.е. по факту считай, что и не умеет, так вся прелесть прозрачность сводиться на нет.

anc ★★★★★
()
Ответ на: комментарий от anc

Ты какой то странный. Тебе и в трафик залезть охота и ножек не обмочить. Сквид умеет и так и этак. Без влезания получишь только имя хоста. А с влезанием все, но митм.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Так, стоп. Это не Ваша цитата?

Другое дело, что для этого необходимо подключать свой са-сертификат и автоматом выписывать сертификаты на любой сайт.

Или я ошибаюсь? Без «подпихивания» сертификата сквид в прозрачном режиме работать не будет. Я только про прозрачный.

anc ★★★★★
()
Ответ на: комментарий от anc

Без сертификата прозрачный прокси вполне возможен. Просто ничего, кроме имени хоста и сертификата хоста, к которому обращаются клиенты, ты не узнаешь, поскольку все остальное зашифровано.

Но если этого достаточно, то почему нет?

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Без сертификата прозрачный прокси вполне возможен. Просто ничего, кроме имени хоста и сертификата хоста, к которому обращаются клиенты, ты не узнаешь, поскольку все остальное зашифровано.

1. Вопрос не логах куда и кто, а вопрос о вообще работоспособности.
2. Может теперь стало и можно. Но все-таки вопрос Вы сами настраивали/использовали ?

anc ★★★★★
()
Ответ на: комментарий от anc

Я сейчас отошел от использования прокси. А вообще пробовал, работает.

Там много плясок с бубном, но с сертификатами всегда их много.

Здесь о них поподробнее пишут.

http://www.opennet.ru/openforum/vsluhforumID12/5890.html

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Ну собственно речь-то и идет о подмене сертификата, и на современных браузерах имхо без ca будет жуткий мат.

anc ★★★★★
()
Ответ на: комментарий от anc

Да, тут скорее режим pass-trough нужен. Как я понимаю, его squid не держит.

AVL2 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.