[Sysadmins] сервер интернет

[Sysadmins] сервер интернет

[Віталій Харченко]

Подскажите, пожалуйста, как правильно настроить и какие пакеты
устаналивать для того, чтобы доступ пользователей к интернету
осуществлялся через логин и пароль а не по IP-адресу? Имеется сервер с
двумя сетевыми картами (одна смотрит с локальную сеть, другая в
интернет) на базе Office Server 4.0. Спасибо.

Re: [Sysadmins] сервер интернет

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 744 bytes --]

В?тал?й Харченко пишет:
> Подскажите, пожалуйста, как правильно настроить и какие пакеты
> устаналивать для того, чтобы доступ пользователей к интернету
> осуществлялся через логин и пароль а не по IP-адресу? Имеется сервер с
> двумя сетевыми картами (одна смотрит с локальную сеть, другая в
> интернет) на базе Office Server 4.0. Спасибо.
 Сквид настроить с авторизацией.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] сервер интернет

[Denis Kirienko]

Віталій Харченко пишет:
> Подскажите, пожалуйста, как правильно настроить и какие пакеты
> устаналивать для того, чтобы доступ пользователей к интернету
> осуществлялся через логин и пароль а не по IP-адресу? Имеется сервер с
> двумя сетевыми картами (одна смотрит с локальную сеть, другая в
> интернет) на базе Office Server 4.0. Спасибо.

Поставьте прокси-сервер squid, если он еще не стоит.

Настройте squid - файл /etc/squid/squid.conf.

Ищите параметры auth_param и http_access.

Соответственно, доступ в интернет - только через прокси, роутинг из 
локальной сети в интернет нужно отключить.

--
Денис

Re: [Sysadmins] сервер интернет

[Denis Kirienko]

Dmitriy Kruglikov пишет:
> 
> 
> 8 августа 2008 г. 15:21 пользователь Denis Kirienko  написал:
> 
> 
>     ... роутинг из локальной сети в интернет нужно отключить.
> 
> За такие советы можно и канделябром схлопотать ...
> Роутинг отключать не нужно ...
> А если путать форвардинг с роутингом, то следует помнить, что молчание - 
> золото ...

Да, извините, спасибо за поправку.

--
Денис

Re: [Sysadmins] сервер интернет

[Sergey]

On Friday 08 August 2008, Віталій Харченко wrote:

> Подскажите, пожалуйста, как правильно настроить и какие пакеты
> устаналивать для того, чтобы доступ пользователей к интернету
> осуществлялся через логин и пароль а не по IP-адресу? Имеется сервер с
> двумя сетевыми картами (одна смотрит с локальную сеть, другая в
> интернет) на базе Office Server 4.0. Спасибо.
 
Кроме варианта со squid можно ещё попробовать посмотреть netams. Вроде,
бы там такая возможность была. Тогда более прозрачное подключение будет.

-- 
С уважением, Сергей
a_s_y@sama.ru

Re: [Sysadmins] сервер интернет

[Yuri Bushmelev]

В сообщении от Воскресенье 10 августа 2008 JaMm написал(a):
> А как авторизовывать ВЕСЬ траффик проходящий через шлюз, учитывая то что
> большинсво клиентов на Win (а может в сети есть сервер AD)? Как
> авторизовывать pop3, smtp, telnet, ssh? Причём желательно не загружать
> пользователя вечными окнами авторизации? Не бегать же от пользователя к
> пользователю и разьяснять как
> авторизовываться на прокси? Мы единого решения не нашли. Пришлось
> потратится
>
> :(. Но что по этому поводу думает сообщество?

Ну если вопрос стоит вообще, то может банальный pptp/l2tp в локалке спасет 
отца русской демократии? Нужен интернет - установил соединение и пошел. Не 
нужен - отключил. У меня вот сейчас похожая задача - обсчитывать трафик 
сотрудников офиса в условиях сети с dhcp. Переезжать на статику не хочется.
Поэтому пока идей две. Одна - вышеупомянутый vpn. Вторая - сопоставлять ip с 
логином пользователя, например, установкой ssh-соединения.

-- 
С уважением,
Бушмелев Юрий

Re: [Sysadmins] сервер интернет

[Alexandr Ogurtsov]

1. PPPTP + radius
2. netams
3. если совсем попростому и побыстрому посмотрите на stargazer
разворачивается за час при этом получите авторизацию с аутентификацией и
аккаунтингом  - все 3-А в одном.
Локальная сеть будет работать сама по себе, выход наружу управлемый.
Траффик подсчитывается, прозрачное проксирование на усмотрение
администратора. Надежность решения попроще чем PPPTP + radius, но
намного выше чем привязка к IP+MAC

Re: [Sysadmins] сервер интернет

[Ivan Kuryaev]

>
> Всё это немного не то. Одна из задач администратора автоматизация
> делопроизводства на ПК. У нас, например, многие пользователи привыкли что
> тому что после включения компа сразу автоматом почта загружается. Есть компы
> в которые вообще не логинятся, а сеть (интернет) нужна. Так что это не
> идеальныё вариант. У нас тож DHCP да ещё и с ноутбуками прихотят - хотя с
> ними таки можно через VPN. А в целом решения под лицензией GPL или другой
> свободной (например DSD), всё таки нет.

Так всетаки есть AD в сети или нет? Может есть смысл использовать LDAP
авторизацию?

Re: [Sysadmins] сервер интернет

[Yuri Bushmelev]

В сообщении от Понедельник 11 августа 2008 JaMm написал(a):

> Подскажите, пожалуйста, как правильно настроить и какие пакеты
> устаналивать для того, чтобы доступ пользователей к интернету
> осуществлялся через логин и пароль а не по IP-адресу?
[skip]
> Всё это немного не то. Одна из задач администратора автоматизация
> делопроизводства на ПК. У нас, например, многие пользователи привыкли что
> тому что после включения компа сразу автоматом почта загружается. Есть
> компы в которые вообще не логинятся, а сеть (интернет) нужна. Так что это
> не идеальныё вариант. У нас тож DHCP да ещё и с ноутбуками прихотят -
> хотя с ними таки можно через VPN.

[JT] У вас в компании довольно странное представление о задачах системного 
администратора и об осуществлении доступа в интернет (расхождения между 
первой и второй цитатой).

А по теме - pptp может подниматься и при старте системы, если мне память не 
изменяет..

> А в целом решения под лицензией GPL или 
> другой свободной (например DSD), всё таки нет.

Смотря что считать решением.. Единого гуя с кнопочками - да, нету.. а пачка 
различных софтин, которые можно связать своими скриптами - есть :)

Кстати, я так понял, что предыдущая цитата предполагает наличие известных 
вам решений под несвободной лицензией. Можно их огласить?

-- 
С уважением,
Бушмелев Юрий

Re: [Sysadmins] сервер интернет

[Alexandr Ogurtsov]

> А в целом решения под лицензией GPL или другой свободной (например
DSD), всё таки нет.
пожалуйста в следующий раз добавляйте "известных мне" (то есть вам лично)
Возможные варианты перечислены в моём ответе на начало этого поста

Re: [Sysadmins] сервер интернет

[Michael Shigorin]

On Fri, Aug 08, 2008 at 05:16:54PM +0400, Denis Kirienko wrote:
> >За такие советы можно и канделябром схлопотать ...
> >Роутинг отключать не нужно ...  А если путать форвардинг с
> >роутингом, то следует помнить, что молчание - золото ...
> Да, извините, спасибо за поправку.

И за вежливость спасибо -- какая фиг разница, будет ли роутинг,
если отключить форвардинг? ;-)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] сервер интернет

[Michael Shigorin]

On Sun, Aug 10, 2008 at 10:27:18PM +0400, Yuri Bushmelev wrote:
> У меня вот сейчас похожая задача - обсчитывать трафик
> сотрудников офиса в условиях сети с dhcp. Переезжать на статику
> не хочется.

А что мешает прибить по MAC и поставить arpwatch?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] сервер интернет

[Yuri Bushmelev]

В сообщении от Понедельник 11 августа 2008 Michael Shigorin написал(a):
> On Sun, Aug 10, 2008 at 10:27:18PM +0400, Yuri Bushmelev wrote:
> > У меня вот сейчас похожая задача - обсчитывать трафик
> > сотрудников офиса в условиях сети с dhcp. Переезжать на статику
> > не хочется.
>
> А что мешает прибить по MAC и поставить arpwatch?

Природная лень.. даже ЛЕНЬ, я бы написал.. Это ж на каждый чих надо будет 
конфиг править.. Я уж лучше vpn'ом разрулю или велосипедом с authpf'ом..

-- 
С уважением,
Бушмелев Юрий

Re: [Sysadmins] сервер интернет

[Michael Shigorin]

On Mon, Aug 11, 2008 at 08:24:32PM +0400, Yuri Bushmelev wrote:
> > > У меня вот сейчас похожая задача - обсчитывать трафик
> > > сотрудников офиса в условиях сети с dhcp. Переезжать на
> > > статику не хочется.
> > А что мешает прибить по MAC и поставить arpwatch?
> Природная лень.. даже ЛЕНЬ, я бы написал.. Это ж на каждый чих
> надо будет конфиг править..

Если интересно, посмотри http://sauron.jyu.fi/; а если перенести
текущее состояние (при наличии роутера и arp.dat), то ещё
http://fly.osdn.org.ua/~mike/works/misc/arp2dns+dhcp.rb

> Я уж лучше vpn'ом разрулю или велосипедом с authpf'ом..

Ну, хозяин барин :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] сервер интернет

[Ivan Kuryaev]

например так squid, авторизация пользователей реализована через ldap +
sarg + Squid Traffic Counter


> AD, конечно, есть причем вин 2008. А в какой биллинговой системе  это
> реализовано (авторизация через LDAP, причём с особенностями LDAP от MS)?
>
> --
> С уважением, Андрей Степнов
>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
>

Re: [Sysadmins] сервер интернет

[Mikhail Kuligin]

подскажите пожалуйста что лучше выбрать для раздачи интернета в
небольшой "домашней" сети (планируется до 10 машин)
цель сети - взять канал aDSL на 4Мбит и разделить расходы на всех
(получается дешевле чем самому платит за анлим на 128 Кбит)
требования: простая авторизация, шейпинг канала
после прочтения этого треда возникло несколько вопросов:

1. есть ли в stargazer какой то способ ограничивать трафик (полосу
пропускания для каждого клиента)?
почитал на сайте описание системы и ничего такого не нашел
т.е как я понимаю канал нужно делить сторонними средствами, например htb
а stargazer просто считает трафик?
2. есть ли в NeTAMS какой то способ ограничивать трафик (полосу
пропускания для каждого клиента)?
почитал о NeTAMS
на главной странице нашел упоминание про "управление полосой пропускания"
но примера пока не нашел...

что будет проще поднять для моей цели?

сквид не предлагать, так как это домашняя сеть и у людей торенты и диси
именно из за пиринга проблема, так как он конкретно забивает канал и
мешает нормальному серфингу

после начала изучения документации по iptables и iproute2 понял, что
проблема довольно сложная
кроме разделения канала, нужно:
1. настроить NAT (с этим уже разобрался)
2. еще правильно разделить трафик по приоритетам с помощью iproute2
т.е в первую очередь пускать пакеты с DNS, открывающие и закрывающие
tcp соединения, потом http, а затем уже фтп и пиринг
3. настроить шейпер htb (желательно,что б он делил канал динамически в
зависимости от подключенных пользователей: т.е. сидит 1 чел. - канал
весь его, 2 чел, канал делиться пополам, но при этом не по кол-ву
сессий, а по ip, потому что пользователь может поставить на закачку
торент и при этом еще серфить)
4. настроить авторизацию и самый простой учет трафика

вряд ли я смогу такое осилить :(
есть ли свет в конце туннеля ?