LINUX.ORG.RU
ФорумAdmin

Нужна подсказка по администрировании локальной сети на базе Linux.

 , ,


0

2

Устроился на предприятие. Там есть локальная сеть которая выходит в интернет через маршрутизатор (обычный дешевый D-link 100). Есть сервер. Поставлена задача: 1. Установить безопасное соединение для пользователей (пользователей 24 компьютера) 2. Заблокировать определенным пользователем IP (здесь я подразумеваю ip сайтов) т.к. прокси ставить нельзя. 3. Авторизация этих самых пользователей по логину и паролю.

Прошу ногами сильно не пинать. Знаний мало, интерес есть, желание тоже.

Есть мысль поставить FreeBSD, установить мост (bridge) и блокировать сайты по ipfw. Аутентификацию поднять на PPPOE server.

Подскажите пожалуйста, что можно сделать еще и возможно проще. Проще типа купить MikroTik или на подобии это сразу не рассматриваются. Денег нету у предприятия.

Ответ на: комментарий от Deleted

Похоже он хочет стать микропровайдером последней мили.

anonymous
()
Ответ на: комментарий от Deleted

Почему прокси нельзя ? По мне так затея с PPPoE странная.

Проблема, что бугалтерия использует свой прокси для определенных программ. Поэтому сказали без прокси. А PPPOE почему для вас кажется странным?

Domovou
() автор топика

Подход разный. Если у тебя есть опыт в какой-то из, то лучше выбрать то. Если опыта нет вообще, то лучше выбрать linux, так как fbsd тебе вряд ли пригодится в будущем, а досообразить разницу при необходимости будет сильно проще, чем наоборот.

В зависимости от операционной системы будут очень разные советы.

А ещё ты зря слушаешь бугогалтерию, они не в теме, гарантирую.

r3lgar ★★★★★
()
Ответ на: комментарий от r3lgar

Подход разный. Если у тебя есть опыт в какой-то из, то лучше выбрать то. Если опыта нет вообще, то лучше выбрать linux, так как fbsd тебе вряд ли пригодится в будущем, а досообразить разницу при необходимости будет сильно проще, чем наоборот.

В зависимости от операционной системы будут очень разные советы.

А ещё ты зря слушаешь бугогалтерию, они не в теме, гарантирую.

Я слушаю своего начальника, это он так сказал. Поднимал Ubumtu с непрозрачным прокси. Для своего интереса. Опыта не много, можно сказать очень мало. Что еще можете посоветовать. Я уже там почитаю и буду побывать. Пытался поднять непрозрачный прокси локалка не может выйти в интернет, пингов нету даже.

Domovou
() автор топика

Ubuntu (счас меня закидают помидорами) в нем squid в комплекте. И ничего больше. Далее инфы в инете тьма расжеванно. Удачи. НЕ слушай всяких выше беседешников. Живи спокойно.

Bootmen ☆☆☆
()
Последнее исправление: Bootmen (всего исправлений: 2)

обычный дешевый D-link 100
Заблокировать определенным пользователем IP (здесь я подразумеваю ip сайтов)

В характеристиках заявлена

Фильтрация web-сайтов
Фильтрация URL-адресов

Это не то?

anonymous
()
Ответ на: комментарий от anonymous

Фильтрация web-сайтов
Фильтрация URL-адресов

Это не то?

Вы правы. Но проблема в том, что он виснет и уходит в ребут. По этой причине и пришли к выводу, что нужно ставить сервер и настраивать его.

Domovou
() автор топика
Ответ на: комментарий от Domovou

Ну тогда задача состоит из двух частей:

  • заменить роутер на ПК
  • настроить ПК как роутер

По категории firewall на дистровотче кстати первую выдаёт freebsd. Но я всё-таки пригляделся бы к специализированным дистрам. Вдруг кроме pppoe где-нить прикрутили LDAP, например, прикрутили.

pppoe, я так понял, нужен что бы замена юзером своего ip не избавляла от блокировки? Чувствуется что есть более простое решение, но я его не знаю.

anonymous
()
Ответ на: комментарий от Domovou

Я слушаю своего начальника, это он так сказал.

Я бы задал ему встречный вопрос: надо шашечки, или ехать?

Что еще можете посоветовать.

Ты можешь резать левый трафик файерволлом, но это из пушки по воробьям.

А если клиентам дозволено ставить софт или хотя бы плагины в арбузер, то можешь вообще не упираться — поставят какой-нибудь онанимайзер, и будут всё равно ходить в свои втентакли/одноглазники мимо твоих проксей и файерволлов. Поднимай свой DNS для клокалочки, и раздавай всякие vk.com -> 127.0.0.1.

Да и твой дылинг не потянет столько юзеров нормально — будет либо сильно проседать, либо вообще падать.

r3lgar ★★★★★
()

2. Заблокировать определенным пользователем IP (здесь я подразумеваю ip сайтов) т.к. прокси ставить нельзя. 3. Авторизация этих самых пользователей по логину и паролю.

«Вы или крестик снимите, или трусы наденьте». Если не прокси, то остаётся только впн и туннели. Вопрос: зачем? Это же типичная задача для прокси. Начальская моча в голову ударила?

router ★★★★★
()
Ответ на: комментарий от router

«Вы или крестик снимите, или трусы наденьте». Если не прокси, то остаётся только впн и туннели. Вопрос: зачем? Это же типичная задача для прокси. Начальская моча в голову ударила?

Ругаться не хочу, но если вы прочитали бы внимательно то это поставлена такая задача.

Domovou
() автор топика
Ответ на: комментарий от r3lgar

А если клиентам дозволено ставить софт или хотя бы плагины в арбузер, то можешь вообще не упираться — поставят какой-нибудь онанимайзер, и будут всё равно ходить в свои втентакли/одноглазники мимо твоих проксей и файерволлов. Поднимай свой DNS для клокалочки, и раздавай всякие vk.com -> 127.0.0.1.

А можете подробнее описать данную схему, или сылочку скинуть на статью. Буду очень признателен.

Да и твой дылинг не потянет столько юзеров нормально — будет либо сильно проседать, либо вообще падать.

Тут я вас не понял. О каком дылинге вы говорите

Domovou
() автор топика
Ответ на: комментарий от Domovou

Еще столкнулся с такой проблемой. Настроил PPPOE соединение с провайдером. Настроил NAT. Прописал в интерфейсе компьютера и локальной сети настройки. Но трафика нету. В чем может быть проблема?

Настройка NAT.

#!/bin/sh

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A FORWARD -i enp4s0f1 -o ppp0 -j ACCEPT

iptables -t nat -A POSTROUTING -o ppp0 -s 10.0.0.0/24 -j MASQUERADE

iptables -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i ppp0 -o enp4s0f1 -j REJECT

Domovou
() автор топика
Ответ на: комментарий от Domovou

Тут я вас не понял. О каком дылинге вы говорите

Я немного упорот сегодня.

D-link 100

r3lgar ★★★★★
()
Ответ на: комментарий от Domovou

А можете подробнее описать данную схему

Теоретически — могу. Но вряд ли сегодня у меня получится связно выражать свои мысли.

или сылочку скинуть на статью

Понятия не имею, о каких статьях идёт речь.

Тут и без меня советчиков хватит, если ты будешь изъясняться полно, желательно с разжёвыванием что делал, как делал, что не получилось, что не понял и так далее. Я не в состоянии предлагать рациональные идеи. Да и иррациональные тоже не в состоянии.

r3lgar ★★★★★
()
Ответ на: комментарий от Domovou

Если не «на ты» с iptables, то лучше генерить скрипты какой-нибудь тулзой типа fwbuilder. Заодно посматривая что он выдаёт можно прокачаться.

anonymous
()
Ответ на: комментарий от anonymous

Если не «на ты» с iptables, то лучше генерить скрипты какой-нибудь тулзой типа fwbuilder. Заодно посматривая что он выдаёт можно прокачаться.

Записал в блокнот обязательно почитаю! Спасибо

Domovou
() автор топика
Ответ на: комментарий от Domovou

Это графический конфигуратор фаерволов. Так что не читать, а юзать надо. Есть и под венду - инсталлирует конфиг через ssh на целевую машину. Правда интерфейс у него немного инопланетный, но привыкнуть можно.

anonymous
()
Ответ на: комментарий от anonymous

Это графический конфигуратор фаерволов. Так что не читать, а юзать надо. Есть и под венду - инсталлирует конфиг через ssh на целевую машину. Правда интерфейс у него немного инопланетный, но привыкнуть можно.

Я вас понял. Буду испытывать на Ubumtu.

Domovou
() автор топика
Ответ на: комментарий от Domovou

Кстати там выскакивает предупреждение, если правилами себе заблокируешь доступ по ssh. Рекомендую его не игнорировать. Это не просто так.

anonymous
()
Ответ на: комментарий от anonymous

Кстати там выскакивает предупреждение, если правилами себе заблокируешь доступ по ssh. Рекомендую его не игнорировать. Это не просто так.

Приму к сведению. Но я наверное SSH совсем закрою. Т.к. в нем нету смысла. Дальше будет видно.

Domovou
() автор топика
Ответ на: комментарий от Domovou

Проще типа купить MikroTik или на подобии это сразу не рассматриваются. Денег нету у предприятия.
По этой причине и пришли к выводу, что нужно ставить сервер и настраивать его.

Меня одного что-то смущает в этих двух формулировках?

anc ★★★★★
()
Ответ на: комментарий от anc

Комп для «сервера» может уже быть «бесплатно».

zgen ★★★★★
()
Ответ на: комментарий от anc

Меня одного что-то смущает в этих двух формулировках?

А что вас смущает? Сервер есть в наличии, его покупать не нужно.

Domovou
() автор топика

PPPoE (или даже PPTP) это, конечно, клево, но по уму все делается вот так: https://en.wikipedia.org/wiki/IEEE_802.1X

денег нету

Во-первых, нету ножек - нету мультиков (с). Во-вторых, на чем ездит директор? Какой у него ноутбук, какой телефон?

По сабжу: нарезка доступа к сайтам - крайне дурацкая задача, между прочим - начинается на юзерских тачках. Если юзер имеет возможность ставить софт / править hosts / конфигурить браузер / менять DNS, то ему похер твои запреты.
А нарезка доступа методом блокировки IP - дурацкий способ решения дурацкой задачи, не делай так. При ограниченных правах совершать вышеуказанные действия на юзерских станциях тебе достаточно поставить свой DNS и принудить всех использовать его. Да и то, ты задолбаешься разруливать «задачи» типа «клавдия николаевна из бухгалтерии должна иметь доступ к одноклассникам в обеденный перерыв».

thesis ★★★★★
()
Ответ на: комментарий от thesis

PPPoE (или даже PPTP) это, конечно, клево, но по уму все делается вот так: https://en.wikipedia.org/wiki/IEEE_802.1X

Спасибо почитаю не когда не сталкивался с данным стандартом.

Domovou
() автор топика
Ответ на: комментарий от Domovou

Ну правильно.
База юзеров в лдап-каталоге, а для аутентификации - радиус. Это в любом случае, делаешь ли ты пппое|пптп на писюке, или купил железяку с 802.1x.

thesis ★★★★★
()

Подскажите пожалуйста, что можно сделать еще и возможно проще

Бежать отуда сломя голову.

Денег нету у предприятия.

Когда я был наивный как ты, мне тоже так говорили. А потом я узнал, что денег у них было ну очень много. Просто натура у людей жлобская, стараются хоть на копейку, но наипать. Мне потом бухгалтерша даже написала из лагеря. Но я отвечать не стал.

Bobby_
()

Есть мысль поставить FreeBSD

Ты можешь ставить что угодно, но в любом случае придётся поработать ручками.

Deleted
()

1. Установить безопасное соединение для пользователей (пользователей 24 компьютера)

соединение с чем

targitaj ★★★★★
()
Ответ на: комментарий от Domovou

Пытался поднять непрозрачный прокси локалка не может выйти в интернет, пингов нету даже.

*свалился пацтул от хохота*

так на каком порту, говоришь, пинги работают?

targitaj ★★★★★
()
Последнее исправление: targitaj (всего исправлений: 1)
Ответ на: комментарий от Bobby_

Не, чо, я подрабатываю приходящим на таком «нищебродском» предприятии. Денег у них не то, чтобы нет совсем. Скажем так, их нужно уметь выпрашивать. Обосновывать свои хотелки.

Как только я намылился оттуда свинтить, сразу отыскались и надбавочки, и премиальные. Даже путёвку предложили. Только я её не взял.

Deleted
()
Ответ на: комментарий от router

Начальская моча в голову ударила?

В юности любой начальник кажется мудрым Богом. Но время помогает избавиться от этих иллюзий.

Deleted
()
Ответ на: комментарий от Deleted

А чего он вообще должен для них костыли городить? Профессиональное решение - загуглить «How to Allow or Block a Website or URL by using GPO» и запилить за 10 минут.

Bobby_
()

Ааааааа!! Они существуют, эти Рога и Копыта еще существуют со своими задачами.

Честный совет: беги к любому прову, кланяйся техдиру в ноги, может научат.

Гугель, пытайся, но беги.... как только сделаешь! аааа! жлобы!

Deleted
()
Ответ на: комментарий от Domovou

Чувак, для твоих интернет , нет, не твоих, для запросов тех чудаков, есть решения от всяких микротиков и Macafe или как их там, но ты не первый, ты не последний, кому по ушам катают маразмом запрещазма.

Совет даю: делай как Эрзент, чтобы после тебя стоило очень дорого переделывать.

Deleted
()
Ответ на: комментарий от Bobby_

Да я ж говорю, по неопытности хочется войти в историю и оставить след =)

Deleted
()

По поводу ФриБСД - поставить можно, но на следующей работе запись сделанного на ЦентОС/Убунту-сервер будет намного ценней.

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.