LINUX.ORG.RU
ФорумAdmin

Нужна подсказка по администрировании локальной сети на базе Linux.

 , ,


0

2

Устроился на предприятие. Там есть локальная сеть которая выходит в интернет через маршрутизатор (обычный дешевый D-link 100). Есть сервер. Поставлена задача: 1. Установить безопасное соединение для пользователей (пользователей 24 компьютера) 2. Заблокировать определенным пользователем IP (здесь я подразумеваю ip сайтов) т.к. прокси ставить нельзя. 3. Авторизация этих самых пользователей по логину и паролю.

Прошу ногами сильно не пинать. Знаний мало, интерес есть, желание тоже.

Есть мысль поставить FreeBSD, установить мост (bridge) и блокировать сайты по ipfw. Аутентификацию поднять на PPPOE server.

Подскажите пожалуйста, что можно сделать еще и возможно проще. Проще типа купить MikroTik или на подобии это сразу не рассматриваются. Денег нету у предприятия.

Ответ на: комментарий от Deleted

Ну по 20 летней дурости может и отхерачить, мне так разработку вэбмагазина за три дня присунули. 8-)

ну сделал так сделал :-)))) джва года. (тобто 24мес) почти.

Deleted
()
Ответ на: комментарий от Deleted

Это когда у тебя есть причина не свалить срочняком :-(


Но это баловство, т.е. на хорошего админа то нужно учиться, чтобы были наставники, чтобы просмотреть весь путь от прокладки витухи у Марь Иванны в бухгалтерии, до настройки шкафа. Но это не про нас.

Deleted
()

Проще типа купить MikroTik или на подобии это сразу не рассматриваются. Денег нету у предприятия.

ЛОООЛлака!

Deleted
()
Ответ на: комментарий от Deleted

Но, ТС, ты на стёб внимания не обращай.
Сделать можно, я думаю, главное не сильно распинайся перед начальство о тонкостях создания такой системы, держи фигу в кармане.
90% решения задачи стоит в понимании выдающего начальника, сути выдаваемого. Ты неопытный красноглазик, если тебя прессуют по этому поводу - вали, там просто упыри.

Deleted
()
Ответ на: комментарий от Deleted

Но это не про нас.

Пофигизм — наше фсьо =))
На кадры у нас было всегда наплевать. А админ - это расходный материал.

Deleted
()
Ответ на: комментарий от Deleted

не сильно распинайся перед начальство о тонкостях создания такой системы

Тем более, что начальнику обычно наплевать на тонкости. Да и не разбирается он в технологиях настолько, чтобы стоило распинаться.

«Не мечите бисер перед свиньями»

Deleted
()
Ответ на: комментарий от Deleted

Но, ТС, ты на стёб внимания не обращай.
Сделать можно, я думаю, главное не сильно распинайся перед начальство о тонкостях создания такой системы, держи фигу в кармане.
90% решения задачи стоит в понимании выдающего начальника, сути выдаваемого. Ты неопытный красноглазик, если тебя прессуют по этому поводу - вали, там просто упыри.

Да это понятно. Я и для себя хочу, опыт как не как.

Domovou
() автор топика
Ответ на: комментарий от Deleted

Денег у них не то, чтобы нет совсем. Скажем так, их нужно уметь выпрашивать. Обосновывать свои хотелки.

Угу, но соглашусь с вами отчасти. Бывает как не обосновывай пофиг.
Кстати абстрагируясь «подобная» же хрень происходит и больших конторах с «урезанным» бюджетом на автоматизацию и ИТ. Да масштабы другие, проблемы по другому решаются, но смысл в целом тот же, «соберите из пластилина и желудей».
Общий смысл - экономия на спичках, в не зависимости от размера компании, затраты на основное производство во мнооого-много раз превышают затраты за ИТ, но пытаемся сэкономить. Мне кажется в этой стране такое еще долго будет, старое мышление компьютер==интертеймент. По моему опыту, в большей свой мере свойственно руководителям «по старше», обращаю внимание не однозначно, а только процентное соотношение в их сторону.

anc ★★★★★
()
Ответ на: комментарий от Domovou

Я и для себя хочу, опыт как не как.

Тогда пара советов:
1. Сначала читай документацию - потом делай. Не наоборот.
2. Если сделаешь - сразу не беги, подводные камни еще появятся, это и будет опытом.

anc ★★★★★
()
Ответ на: комментарий от Deleted

Честный совет: беги к любому прову, кланяйся техдиру в ноги, может научат.

Только если к некрупному. В крупных телекомах до пенсии можешь просидеть младшим подаваном младшего подавана. Старый анек. «Папа а генералом я стану? Нет сынок. Почему? Потому что у генерала тоже есть дети.» Шутка лишь отчасти, у нас работал парень сваливший из крупного телекома, как раз по причине того что хотелось развития и его вроде должны были поставить на другую должность, а тут хренах, «набижали» сынки руководства и все места заняли, вобщем хрен тебе парень а не развитие.

anc ★★★★★
()

pptp сервер на линукс поставь, настраивается за 5 минут.

vasya_pupkin ★★★★★
()

1) Безопасное соединение для пользователей... Так локалка же и так защищена пограничным маршрутизатором (он и файрволл), или он не настроен никак? Закрыть все порты, открыть необходимые 2) на сервере - выделить нужных пользователей (которым нужно блокировать что-либо) в группу, и выдавать им статические адреса, остальным динамику, потом создавать правила iptables для этих групп по вкусу, вроде iptables переваривает доменные имена. Т.о запустить dns, dhcp, iptables, и настроить маршрут к вашему длинку. Получится что длинк только держит сессию от провайдера, а дальше ваш сервер фильтрует все что нужно. Этот же сервер указать клиентам как шлюз, днс, и т.д.

3) Авторизация где, и зачем, и для чего? Домен AD?

Aborigen1020
()
Ответ на: комментарий от Aborigen1020

3) Авторизация где, и зачем, и для чего? Домен AD?

Авторизация что-бы пользователи заходили под своим логином и паролем.

Domovou
() автор топика

Установить безопасное соединение для пользователей

Соединение с чем?...

Заблокировать определенным пользователем IP

Забей это не будет работать... Тут надо проводить беседу с персоналом .. а то получится как у РКН с одним месенджером

Авторизация этих самых пользователей по логину и паролю.

Авторизация в чем?

jo_b1ack ★★★★★
()

Проблема, что бугалтерия использует свой прокси для определенных программ.

Открою секрет: «определенные» программы даже не узнают про твой прокси, даже о прозрачном

Вот тебе кулстори решения твоей задачи:

1. Накатываешь любой Линукс дистр

2. Накатываешь сквид с авторизацией логин/пароль, в нем же накатываешь белые/черные списки

3. В iptables режешь по умолчанию все, добавляешь адреса для своих «особых» программ.

Все

jo_b1ack ★★★★★
()
Последнее исправление: jo_b1ack (всего исправлений: 1)
Ответ на: комментарий от jo_b1ack

1. Накатываешь любой Линукс дистр

2. Накатываешь сквид с авторизацией логин/пароль, в нем же накатываешь белые/черные списки

3. В iptables режешь по умолчанию все, добавляешь адреса для своих «особых» программ.

Все

Схему понял. Спасибо

Domovou
() автор топика
Ответ на: комментарий от jo_b1ack

А еще нужно сертификацию делать HHTPS не будет работать без него?

Domovou
() автор топика
Ответ на: комментарий от jo_b1ack

Накатываешь сквид

предлагаешь человеку обивать пороги IT-отделов, занимающихся поддержкой бух.софта по предмету их внешних адресов и портов?

если софтина одна, то конечно, не вопрос. пару дней ответа по емейлу и нужная инфа в кармане

Aborigen1020
()
Ответ на: комментарий от Domovou

Заходили куда? в интернет? на рабочий стол? в здание?

Если в интернет, то конечно, тут только Squid. ACL сильно помогут решить несколько вопросов с доступом к сайтам для разных групп пользователей

Aborigen1020
()
Ответ на: комментарий от Aborigen1020

если софтина одна, то конечно, не вопрос. пару дней ответа по емейлу и нужная инфа в кармане

А «завтра» они у себя там что-то поменяют... ты в отпуске... боюсь бухи не будут гореть желанием перечислить тебе зарплату. :)

anc ★★★★★
()
Ответ на: комментарий от anc

Да и я о том же. Пара дней посидеть бухам без бух.софта - чего тут такого? ;)

Aborigen1020
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.