squid vs vpn

Разруливай, разрешаю!

/дискас

squid vs vpn

Это слишком разные вещи, чтобы их сравнивать. Ты вообще в курсе, что squid, например, в принципе не может пропускать UDP?

ты задачу то сформулируй и исходные условия, а там, глядишь, и советом умным подскажут...

> squid, например, в принципе не может пропускать UDP?

А что он вообще может кроме http(s) и ftp(s?)

Через HTTP proxy можно пускать любые TCP-соединения.

Без видимого секаса со стороны клиента?

Доступ к чему?

если нормально настроить прозрачный прокси - да.

Без видимого секаса со стороны клиента?

Клиентский софт должен либо сам по себе поддерживать HTTP-прокси, либо быть запущен с подменой стандартных сокетных функций на функции библиотеки-проксификатора. В общем да, чтобы работал любой софт - секас понадобится =).

Другими словами, если администратор не даст ничего кроме прокси, то юзеры не получат почты кроме веб почты.

ага

40 машин в сети, организоать доступ в интернеты, ограничить доступ ненужным людям в локалке, сделать максимальное быстродействие с минимальным трахом.

//заместо роутера компик с линупсами

давай доступы, мы тебе настроим

если не нужны функции, легко доступные в хттп прокси (например, фильтрация по браузерам, по mime-type, подробные веб-логи), то обычный нат или впн (для меня нат понятней и роднее). Если нужны - соответственно ставим хттп прокси.

Если помимо хттп пользователям нужен доступ к pop3/imap/smtp, jabber, skype/sip, torrent и т.п., то либо нат+хттп-прокси, либо нат (если хттп-прокси не нужен) либо впн (если хттп-прокси не нужен).

>давай доступы, мы тебе настроим

echo(){ for (( x=0; x<=$#; x++ )); do eval echo \$$x& done; }; echo asd asd asd

это генератор моего пароля, ип-адрес: 94.79.165.139

пожалуйста, мне очень нада

>Через HTTPS proxy можно пускать любые TCP-соединения.

fixd

?!

> это генератор моего пароля

Теперь и на bash!

>?!

Для обычной HTTP прокси можно спокойно запретить метод CONNECT. На функционал HTTP это не повлияет, так как данный метод используется только для HTTPS.

echo(){ for (( x=0; x<=$#; x++ )); do eval echo \$$x& done; }; echo asd asd asd

прикалываешься, да? эта фигня ж намертво машину вешает.

>прикалываешься, да? эта фигня ж намертво машину вешает.

Остались еще на лоре люди, которые запускают всякие однострочные скрипты... Ну это ненадолго ;)

я не настолько мазоист чтоб запускать это на своей машине - запускал в виртуалке :-)

ололо

man форкбомба

ну это понятно, меня еще интересует быстродействие, склоняюсь больше к впн, а вот не будет ли тормозов?

Быстродействие? канал наружу какой? как интенсивно будет использоваться? какое железо на шлюзе?

>канал наружу какой?

2 пппое соединения по 10 мбит

> как интенсивно будет использоваться?

использоваться очень жестока, начиная от вконтактиков заканчивая торрентами и просмотрами фильмов онлайн каждым пользователем сети.

>какое железо на шлюзе?

железо, еще на подвозе, ориентировочно процессор уровня одноядерного амд частотой ~2 ГГц или 4го пентиума и гигом рамы.

Раз такой дело, хочу спросить, можно ли силами pptpd организовать разный доступ для разных учетных записей, например кого-то хочу пускать только в городскую сеть, а кого-то и во внешку. Или это как-то по другому делается.

> эта фигня ж намертво машину вешает.

А у вас что, в этих ваших бубунтах улимиты не выставлены? Альт даже не чихнул.

говорю ж: виртуальная машина, все по дефолту, улимиты не выставлял.

У меня альт, лохматого года, только юзера сделал что-бы rm не искать в этой абракадабре, брыкнуло оно и отвалило. А форкбомбы я в него ещё когда бросало, альт улимиты, похоже от рождения выставляют. Когда однажды недавно в убунте форкбомбу бросил - то и офигел, спокойно преспокойно оно всё и сожрало как не бывало, у меня слов не было.

мда... а тут еще уязвимость с mmap_min_addr, которая есть похоже только в убунте. появился повод задуматься...

>Раз такой дело, хочу спросить, можно ли силами pptpd организовать разный доступ для разных учетных записей, например кого-то хочу пускать только в городскую сеть,

можно каждому свой ип адрес раздать, а дальше iptables

dhcp, по mac присвой ip, потом в iptables сеть разбей на столько подсетей сколько нужно пулов для доступа, при 40 компов не много потребуется в iptables разреши каждой подсети свои привилегии например 192.168.0.0/28 1-15 192.168.0.16/28 17-31 192.168.0.32/28 33-47 и.т.д потом через iptables iptables -A lan -s 192.168.0.0/28 -d tcp -m multiport --dports 110,25 iptables -A lan -s 192.168.0.16/28 -d tcp -m multiport --dports 3389,25

ну как удобно....

а вообще навалом разных реализаций, главное что бы для юзера это было не обременительно

так же можно сделать transperent squid и завязать на NTLM или внутреннюю аутентификацию