Настройка сети в школе

>Нужно сделать сеть толковую сеть с логином и паролем для входа в сеть и с ораничениями по сети

забыл добавить, пусть лучше этим занимается учитель, тебе надо двойку по родной речи исправлять

Ну я почитал мне понадобится LDAP и Squid, хотя кое где написано что мол гумно это всё и надо Radius ставить . Дак что же нужно то?

Да, библЕотека вогнала меня в состояние культурного шока.

А вообще, задача детская - поднять LDAP, настроить NFS-сервер для домашних каталогов и настроить squid, pam и sendmail

Сквид работает. У меня как прокси. По локалке же машины просто поделены на рабочие группы. Если в сквиде задать разным группам разные права, то, возможно, получится и логин/пароль на доступ к сети просить. Я пока не разобрался как, но в таком случае, по идее, даже запросы на локалку должны идти через прокси. Да, как вариант, права на доступ к расшаренным папкам через самбу настроить. там вроде и логины/пароли тож задать можно.

тут самое важное что бы директора имели полный доступ в интернет (кроме бухгалтера), а компьютеные классы всё по минимум, особенно ограничить социальные сети и прочую порнографию. через ldap я так понимаю всё это делается только вот в кратце как создать группы, пользователей для входа в сеть и т.д. ?

Не знаю как через ldap, но через сквид возможно выпускать разные группы по разным спискам/каждой группе свой блэклист из сайтов. Не знаю где брать блэклисты, я пока, в тестовом варианте запретил ВСЕМ vkontakte.ru и microsoft.com. Также выяснилось, что возможно запретить выход определённым браузерам (у меня запрещён выход через ИЕ)

раздай ip адреса и резай через сквид. Трубуется час времени.

э нет тут помимо сайтов еще и надо чтоб под теми же логин/паролем и могли в самбу заходить и тоже с ограничениями, то бишь например ученик не смог бы к директору в комп залезть по локалке.

А ты их в разные сети засунь, DHCP же в любом случае настраивать будешь.

ну тада как вариант - в самбе прописывать те же логины и пароли. я не знаю, как заюзать в сквиде логины/пароли, и возможно ли вообще через него на локалку ограничения ввести, ибо недавно юзаю всю эту фигню. Но если кто напишет как настроить такой доступ, буду ощенно благодарен :)

так ну допустим я знаю как настроить ограничения на доступ по самбе, но вот у директора то винда стоит там как быть ?

хз, в венде, кажись тоже что-то должно быть, что ограничивает, но я никогда не заморачивался, чтобы в венде огораживать шаровые папки. Возможно настраивается через какие-нить политики безопасности.

DHCP же в любом случае настраивать будешь.

Зачем? Проще статические айпишники сделать, чем мучиться с DHCP из-за несчастной пары-тройки сотен компьютеров...

у директора то винда стоит там как быть?

Для настройки мастдая придется ооочень дорогого специалиста вызывать. Это вам не линукс. Там все намного сложней...

>Зачем? Проще статические айпишники сделать, чем мучиться с DHCP из-за несчастной пары-тройки сотен компьютеров...

+100500
Я тоже все айпишнеги вручную ввожу, зато наизусть знаю какой айпи у какой машины и где она стоит :)
/me недоумевает по поводу нужности DHCP.

А еще неплохо наваять скриптик проверки соответствия айпишника заданному mac-адресу. Чтобы «левые» компьютеры в сеть не пытались включить :)

реквестирую такой скрипт :)

just google it :)

Стыдно должно быть, товарищ, за такие слова, acl на шару настроить даже школьник сможет.

Ага, поэтому может все-таки дхцп?

acl на шару настроить даже школьник сможет.

А сам мастдай настроить, чтобы «все работало», но «поломать» систему было невозможно (+ защита от «вирусов» без ненужных «антивирусов»), сможет лишь очень продвинутый вендоадмин.

Ну, можно таким образом и дхцп организовать, чтобы раздавал айпишники по mac-адресу сетевой карты, а если mac-адреса в базе нет, посылал бы нафиг... Но чем это будет лучше статического прописывания ip-адресов с периодической проверкой на соответствие их mac-адресам? Ведь в случае dhcp такую проверку все равно придется организовывать (мало ли кто захочет статический айпишник прописать).

ох как все усложнилось, четкий ответ есть на это, что нужно настроить что бы к примеру: директору и туда и сюда имел доступ, а ученик только к другому ученику и максимум яндекс ему.

Ви таки полагаете, что антивирус в сети не нужен? Аффтар предлагает же вайфай, а мало ли что они могут подцепить? Пусть тогда еще и кламав поднимает!

>мало ли кто захочет статический айпишник прописать

А кому это мы будем такие права давать?

Ничего сложного: только правильно настроить squid. Там даже авторизация не понадобится, если айпишники грамотно распределить по группам...

// если же вы хотите, чтобы, скажем, любой преподаватель мог иметь доступ в интернет с ученических компьютеров, придется таки в squid'е настраивать авторизацию.

Ви таки полагаете, что антивирус в сети не нужен?

Антивирус нужен только безмозглым лентяем. У грамотного админа проникновение «вируса» в систему невозможно!

мало ли кто захочет статический айпишник прописать

А кому это мы будем такие права давать?

А никому их давать и не надо: принесет кто-нибудь свой ноутбук, да подключит его к сети. В чем проблема-то?

>У грамотного админа проникновение «вируса» в систему невозможно!

Это как, он их у маршрутизатора сачком что ли вылавливает?

принесет кто-нибудь свой ноутбук

А вайфай будет вынесен в отдельный влан, и в пул дхцп для «чисто школьных машин» сторонние мак-адреса не внесены.

У грамотного админа проникновение «вируса» в систему невозможно!

Это как, он их у маршрутизатора сачком что ли вылавливает?

А вот будто бы вирусы сами в компьютер ломятся :) Файрволл настройте!

А вайфай будет вынесен в отдельный влан, и в пул дхцп для «чисто школьных машин» сторонние мак-адреса не внесены.

При чем тут файфай? Он вообще нафиг не нужен. Я говорю про физическое подключение к ближайшей сетевой розетке!

>А вот будто бы вирусы сами в компьютер ломятся :) Файрволл настройте!

Дык я и говорил выше - пусть кламав настроит, это не по файрволловой части, не?

физическое подключение к ближайшей сетевой розетке
в пул дхцп для «чисто школьных машин» сторонние мак-адреса не внесены

Я все сказал.

Дык я и говорил выше - пусть кламав настроит, это не по файрволловой части, не?

ClamAV - ненужный тормоз. И к файрволу он никакого отношения не имеет.

Как и вирусы, собственно.

людии! там не пентагон все таки там обычная школа, такие трудности не нужны, самый простой доступ ограничения и выход в интернет всё, фай-фай пока отбросим это только ПЛАНЫ и то через месяц он может появится, пока что всё по минимому.

А вот вирусы через файрволл пробиться не смогут, собственно :) Плюс если по-человечески настроить политики доступа, то вирусы вообще на вашем компьютере с мастдаем никогда не появятся. Для начала - хотя бы поставить noexec на все монтируемые ресурсы и домашнюю директорию и запретить обычному пользователю писать куда-либо, кроме своей домашней директории и сменных носителей.

Я вот ещё раз спрошу, возможно ли весь локальный трафик направить через сквид?

Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

И как из этих самых пакетов вылавливать вирусы, как не сачком? Я просто хочу напомнить в очередной раз, что это не задача файрволла - вирусы ловить. По ограничению доступа на ресурсы я только за.

Червяк через файрвол не пройдет. Вот и все. А копировать вирусы туда-сюда по сети можно сколько угодно: все равно с грамотной организацией прав их никто запустить не сможет :)

вобщем, по полочкам:

фаервол: iptables
адреса для локальных тачек: dhcp
учет трафика и контентная фильтрация: squid + dansguardian/netpolice
авторизация и аутентификация: ldap + kerberos (optional)
сетевые диски для линукс-машин: nfs
интеграция в вендовыми клиентами: samba

соответственно, в тех сервисах, которые требуют авторизации, настраиваешь работу с ldap.

накручивать можно до бесконечности. но для начала осиль это.

школа в каком городе? если вдруг, в НН, то номер скажи ;)

P.S.: happy school admin

самый простой доступ ограничения и выход в интернет всё

squid ???

aol, спасибо за разъяснение теперь всё намного понятнее.

Для школы достаточно настройки squid и dhcpd. Все требования при этом будут выполнены.

вообщем я примерно разобрался мне будет достаточно acl, samba, squid можно и ими обойтись пока