1 Тема от desperadik (04-12-2013 13:46:12 отредактировано desperadik)

  • desperadik
  • Стал больше говорить
  • Неактивен
  • Зарегистрирован: 20-02-2012
  • Сообщений: 84

Тема: Шлюз для спутникового интернета

Гуру, требуется Ваша помощь в разборе ТЗ!

Попросили, описать полное ТЗ, для создания шлюза:
"Нужен шлюз, который, блокировал бы IP адреса в диапазоне локальной сети (черный список), которые не используются рабочими станциями, локальный DNS-для кэширования, прозрачный прокси-для кэширования интернет-страниц, контроль трафика входящего и исходящего на каждый IP из белого списка и блокирования его по мере преодоления ограниченного трафика+веб-морда, контент-фильтр веб-страниц + веб-морда" - раскидал сам как мог, было устное ТЗ.

И ещё главное, трафик ограниченный - 8 Гб/мес. (входящий+исходящий)

Что я надумал:
ОС FreeBSD 9x - люблю я её
Kernel IPFW+NAT - для блокировки портов всяких виндовых служб внутри, и прочей дряни.
BIND9 - кэширующий DNS - alone (master)
Squid3.x - (mod transparent) + (Какой-нибудь контрольщик трафика)+Sams
Dansguardian+WebUI - контент-фильтр + веб-морда

Может как то можно легче решить задачку?
Или что-то стоит поменять?

2 Ответ от SatanaClause

  • Откуда: Вильнюс (Литва)
  • Зарегистрирован: 19-05-2005
  • Сообщений: 956

Re: Шлюз для спутникового интернета

Всегда можно легче, найти кто сделает или заплатить за платный софт или даже ка коробку.

Добавлено: 04-12-2013 11:58:22

Да, кстати, про шейпер не забудьте. И фильтровать надо по мак адресам. Так что нужен еще dhcpd желательно все это завязать на ldap чтобы работала единая авторизация для всех сервисов.

3 Ответ от desperadik (04-12-2013 14:15:50 отредактировано desperadik)

  • desperadik
  • Стал больше говорить
  • Неактивен
  • Зарегистрирован: 20-02-2012
  • Сообщений: 84

Re: Шлюз для спутникового интернета

хм...да dhcp обязательно....по макам..
а шейпер какой именно всвязке со сквидом...хтб ведь нельзя...

4 Ответ от SatanaClause

  • Откуда: Вильнюс (Литва)
  • Зарегистрирован: 19-05-2005
  • Сообщений: 956

Re: Шлюз для спутникового интернета

Я бы ограничивал трафик с ipfw или pf по ip адресам. Или просто побить сеть на сегменты и ограничивать им, задача не урезать скорость конкретному клиенту, а не дать засрать весь шланг. Максимум сколько можно выделить одному пользователю или сегменту это 70-80% и само собой при использовании в течении длительного времени клиент должен блокироваться, желательно автоматически на час или два. При такой раскладке проблема с качальщиками отпадет сама. Они либо научатся пользоваться ограничителями скорости либо будут по пол дня сидеть без интернета.

Во общем тут можно делать и делать. первая задача - это удостоверится в том что клиент который подсоединился - это действительно тот клиент. Тут вам поможет ipfw/pf, dhcp и ldap авторизация.

5 Ответ от desperadik

  • desperadik
  • Стал больше говорить
  • Неактивен
  • Зарегистрирован: 20-02-2012
  • Сообщений: 84

Re: Шлюз для спутникового интернета

Думаю по ТЗ лучше будет изпользовать IPFW, урезать и  блокировать по IP(в сети юзерей не много - школа в районе). Вот.

6 Ответ от SatanaClause

  • Откуда: Вильнюс (Литва)
  • Зарегистрирован: 19-05-2005
  • Сообщений: 956

Re: Шлюз для спутникового интернета

тогда все намного проще, все повесить на AD, каждому выдать пользователя, настроить всех как толстых клиентов и на squid настроить ldap авторизацию. И будут все посчитаны.