Подскажите дистрибутив интернет-шлюза.
Всем доброго времени суток. Я новичок в администрировании, но все-таки приходится окунуться в этот волшебный мир. Возникла необходимость создания интернет-шлюза... В настоящий момент стоит Ideco, но она платная и мы не используем её возможности даже на половину. Подскажите? пожалуйста, nix-дистрибутив, который сможет отвечать следующим требованиям:
1. Не архисложная установка и настройка
2. Возможность проброса портов
3. Возможность подключиться по VPN
4. Добавление/удаление пользователей
5. Возможность блокирования ip и содержимого Всемирной паутины
6. Желательно, но не критично функция шейпера.
Заранее спасибо.
1. Не архисложная установка и настройка
2. Возможность проброса портов
3. Возможность подключиться по VPN
4. Добавление/удаление пользователей
5. Возможность блокирования ip и содержимого Всемирной паутины
6. Желательно, но не критично функция шейпера.
Заранее спасибо.
Ответы
В избранное
Подписаться на ответы
Сортировка:
Древо развёрнутое
Свернуть все
(1) planod,
ИМХО идеальный вариант для новичка в администрировании вам посоветовали в (2). Полностью этот совет поддерживаю.
Быстро и без проблем ставится и настраивается, красивый и удобный веб интерфейс, все интуитивно понятно, никаких проблем с пониманием после Ideco не возникнет.
Короче по всем пунктам вам подходит .
Лично я предпочитаю в большинстве случаев от , хоть она и платная, потому как стабильней, шустрей, и намного более гибкая в настройках.
Но у RouterOS следующие минусы -
за пару часов вы с настройкой не разберетесь.
платная (1000-3000р)
немного другой профиль, это чистый роутер, без встроенной авторизации пользователей.
ИМХО идеальный вариант для новичка в администрировании вам посоветовали в (2). Полностью этот совет поддерживаю.
Быстро и без проблем ставится и настраивается, красивый и удобный веб интерфейс, все интуитивно понятно, никаких проблем с пониманием после Ideco не возникнет.
Короче по всем пунктам вам подходит .
Лично я предпочитаю в большинстве случаев от , хоть она и платная, потому как стабильней, шустрей, и намного более гибкая в настройках.
Но у RouterOS следующие минусы -
за пару часов вы с настройкой не разберетесь.
платная (1000-3000р)
немного другой профиль, это чистый роутер, без встроенной авторизации пользователей.
(1) я бы советовал не полениться потратить 3-4 часа времени и разобраться с каким-нибудь линукс дистрибутивом. Установка ubuntu или debian нынче простая, установка и первичная настройка того, что заявлено в хотелках - тоже на уровне "сетап.ехе - next - next".
тебе нужно
- дистрибутив в минимальной конфигурации, только текстовый режим и интернет
- iptables (функционал маршрутизатора; встроен в систему, устанавливать не надо)
- squid (прокси-сервер, для разграничивания доступа в интернет по пользователям и для шейпинга трафика)
- openvpn
конфигов для начальной настройки iptables в сети полно. там от силы 10-20 строк.
squid работает "из коробки". для добавления пользователей придется немного "покурить" маны.
openvpn я не настраивал, ничего сказать не могу.
для простоты советую начать с установки midnight commander (консольный файловый менеджер) и установки его внутреннего редактора как основного.
тебе нужно
- дистрибутив в минимальной конфигурации, только текстовый режим и интернет
- iptables (функционал маршрутизатора; встроен в систему, устанавливать не надо)
- squid (прокси-сервер, для разграничивания доступа в интернет по пользователям и для шейпинга трафика)
- openvpn
конфигов для начальной настройки iptables в сети полно. там от силы 10-20 строк.
squid работает "из коробки". для добавления пользователей придется немного "покурить" маны.
openvpn я не настраивал, ничего сказать не могу.
для простоты советую начать с установки midnight commander (консольный файловый менеджер) и установки его внутреннего редактора как основного.
(6) planod,
я посоветовал исходя из контента вопроса - "Я новичок в администрировании,...". Но, сам не пользуюсь такими дистрибутивами, так как "мягкие" шлюзы делаю на FreeBSD. По Вашим пунктам скажу:
1. Не архисложная установка и настройка - установка базовой части 10-15 минут, портснап и установка дополнительного ПО отнимает 1-2 часа.
2. Возможность проброса портов - уже встроено - ipnat.
3. Возможность подключиться по VPN - openvpn - установка и настройка - полчаса.
4. Добавление/удаление пользователей - можно в консоли, но можно и Вебмин поставить - тоже не сложно.
5. Возможность блокирования ip и содержимого Всемирной паутины - тут я ставлю прокси-сервер Squid - установка и настройка полчаса.
6. Желательно, но не критично функция шейпера - уже встроено - ipfw + dummynet.
На самом деле, у меня за много лет работы с FreeBSD уже скопился набор готовых конфигов под определённые задачи, которые я просто подкидываю на машину после установки ОС и ПО. У меня на разворачивание обычного шлюза (postfix+procmail+sasl, popa3d, squid+sarg, nat, webmin, apache+php+mysql, portaudit) уходит 2-3 часа. Раньше уходило 7-8, но сейчас, и процы мощные и памяти дофига :-). Потом portsnap в cron и при необходимости portupgrade -auR или portupgrade -aufR. Также периодически, после опубликования FreeBSD-SA приходится делать обновление ОС, которое на 99% автоматизировано скриптами (заходишь в почту и читаешь уведомление от SA, запускаешь на консоли скрипт и идёшь по своим делам, получаешь на почту результат о готовности, ребутишь машину).
я посоветовал исходя из контента вопроса - "Я новичок в администрировании,...". Но, сам не пользуюсь такими дистрибутивами, так как "мягкие" шлюзы делаю на FreeBSD. По Вашим пунктам скажу:
1. Не архисложная установка и настройка - установка базовой части 10-15 минут, портснап и установка дополнительного ПО отнимает 1-2 часа.
2. Возможность проброса портов - уже встроено - ipnat.
3. Возможность подключиться по VPN - openvpn - установка и настройка - полчаса.
4. Добавление/удаление пользователей - можно в консоли, но можно и Вебмин поставить - тоже не сложно.
5. Возможность блокирования ip и содержимого Всемирной паутины - тут я ставлю прокси-сервер Squid - установка и настройка полчаса.
6. Желательно, но не критично функция шейпера - уже встроено - ipfw + dummynet.
На самом деле, у меня за много лет работы с FreeBSD уже скопился набор готовых конфигов под определённые задачи, которые я просто подкидываю на машину после установки ОС и ПО. У меня на разворачивание обычного шлюза (postfix+procmail+sasl, popa3d, squid+sarg, nat, webmin, apache+php+mysql, portaudit) уходит 2-3 часа. Раньше уходило 7-8, но сейчас, и процы мощные и памяти дофига :-). Потом portsnap в cron и при необходимости portupgrade -auR или portupgrade -aufR. Также периодически, после опубликования FreeBSD-SA приходится делать обновление ОС, которое на 99% автоматизировано скриптами (заходишь в почту и читаешь уведомление от SA, запускаешь на консоли скрипт и идёшь по своим делам, получаешь на почту результат о готовности, ребутишь машину).
(8) mrdc, FreeBSD это лучшее что придумали великие умы для серверов, жаль не многие это понимают и используют всякие там линухи и гейты под виндой.
Пример: комп 1998 год выпуска(800 гц 1 гб оперативы встроенная видео, 2 диска по 40 Гб) работает последние 5 лет как интернет шлюз в гостинице на 60 номеров и администрация, контролирует 2 подсети , считает трафик, проверяет на вирусы, ограничивает скорость клиентов и т.д. вообщем БСД рулит. Если незнаком с БСД то продают готовый шлюз на FreeBSD вот ссылка
неплохое решение
Пример: комп 1998 год выпуска(800 гц 1 гб оперативы встроенная видео, 2 диска по 40 Гб) работает последние 5 лет как интернет шлюз в гостинице на 60 номеров и администрация, контролирует 2 подсети , считает трафик, проверяет на вирусы, ограничивает скорость клиентов и т.д. вообщем БСД рулит. Если незнаком с БСД то продают готовый шлюз на FreeBSD вот ссылка
неплохое решение
однозначно
но лучше аппаратную штучку МИКРОТИК позволяет все что вы сказали + стоит не дорого RB750 - 1470 руб
все ваши пункты убивает ... правда придется м поучиться как с ним работать но за 1000 вам его настроят так как надо и покажут что дальше делать ... МОЖЕТ ВСЕ ... и даже больше
но лучше аппаратную штучку МИКРОТИК позволяет все что вы сказали + стоит не дорого RB750 - 1470 руб
все ваши пункты убивает ... правда придется м поучиться как с ним работать но за 1000 вам его настроят так как надо и покажут что дальше делать ... МОЖЕТ ВСЕ ... и даже больше
(7) kj6370,
Вот тут немного не согласен, микротик шикарная железка, но вот топикстартеру указал в числе требований авторизацию пользователй.
Микротик сам авторизацией не занимается, нет у него такого функционала, можно только через RADIUS сервер.
В общем если топикстартеру обязательно нужна авторизация, то это вообще не вариант.
А вот если авторизация и руление пользователями некритично, то это идеальный вариант.
И кстати не обязательно железку брать, можно просто лицензию на RouterOS купить, стоит копейки.
МИКРОТИК позволяет все что вы сказали
Вот тут немного не согласен, микротик шикарная железка, но вот топикстартеру указал в числе требований авторизацию пользователй.
Микротик сам авторизацией не занимается, нет у него такого функционала, можно только через RADIUS сервер.
В общем если топикстартеру обязательно нужна авторизация, то это вообще не вариант.
А вот если авторизация и руление пользователями некритично, то это идеальный вариант.
И кстати не обязательно железку брать, можно просто лицензию на RouterOS купить, стоит копейки.
для самого начала пойдет Ipcop, сам , конечно, не смогу больше его поставить, но для первоначального знакомства с шлю*остроением пойдет. ещё простой вариант это дэбиан/убунта и TraffPro есть фриварная версия, функционирует месяц, есть возможность блокирования узлов как до шлюза, так и за ним, возможно лимитирование трафика и скорость.
Сквид с иптэйблами можно пользовать, хотя, наверное, рано.
Сквид с иптэйблами можно пользовать, хотя, наверное, рано.
Сам когда-то использовал
m0n0wall
в принципе все что надо то и есть
Но вам скорее всего подойдет Pfsense
в нем есть встроенный squid (прокси сервер для HTTP)c возможностью авторизации по пользвателям
Если у Вас не критично
4. Добавление/удаление пользователей
То лучше использовать железное решение Mikrotik
Есть практически все что душе угодно для допуска конторы в интернет
Сам взял такую железку из-за того что пришлось настраивать одновременно несколько каналов в интернет
За цену ~ 2000 р Конкурентов для такой железки просто нет.
m0n0wall
в принципе все что надо то и есть
Но вам скорее всего подойдет Pfsense
в нем есть встроенный squid (прокси сервер для HTTP)c возможностью авторизации по пользвателям
Если у Вас не критично
4. Добавление/удаление пользователей
То лучше использовать железное решение Mikrotik
Есть практически все что душе угодно для допуска конторы в интернет
Сам взял такую железку из-за того что пришлось настраивать одновременно несколько каналов в интернет
За цену ~ 2000 р Конкурентов для такой железки просто нет.
Если честно, то я бы настраивал все вручную (ну не доверяю всяким там мордам). Поставил бы Slackware (и без графики и разобрался бы в настройках iptables, squid, htb). После того как разгребешь данный завал, то и добавлять пользаков станет куда проще. А нет так какой нить биллинг бесплатный на любую систему.
Согласен с установкой полноценного дистриба (дебиан=убунту), и на нём уже прикручивать сквид и кавырять айпитейблс... просто в дальнейшем эот шлюз можно более широко использовать (я со временем реших заставить его делать пару зеркал обновлений антивирусника, по ночам тянуть бекапы сайта, настроил опенвпн и тр.)...
а для первоначальных нужд - хватит установить и айпитейблс установить.... а по ходу можешь уже и свид настраивать и ФТП...
Мне оказалось с коробочным шлюзом сложнее разобраться
а для первоначальных нужд - хватит установить и айпитейблс установить.... а по ходу можешь уже и свид настраивать и ФТП...
Мне оказалось с коробочным шлюзом сложнее разобраться
поддерживаю , pFsense лучшее решение как раз на базе freeBSD сделан , несколько офисов крутятся на нем, все туннелями соединены между собой , дополнительные модули есть . Настраивать довольно легко тем более в интернете много мануалов есть , короче я за него .
Есть очень много различных бесплатных прокси серверов.
К примеру как то настраивал IPSec, оказалось довольно интересная штука, ей не много нужно системных ресурсов, можно запустить даже на 333 машине. Винт нужен только для файлов конфигурации и кэша.
У нее есть еще настройки почтового сервера, можно поднять еще и почтовый сервер. Но его не про бывал так как задачи такой не стояло. может объединять каналы, раздавать в разные под сети. Довольно интересная штука. Мне понравилась.
Но в инете можно найти еще много аналогов, вот рассказываю то что про бывал сам.
К примеру как то настраивал IPSec, оказалось довольно интересная штука, ей не много нужно системных ресурсов, можно запустить даже на 333 машине. Винт нужен только для файлов конфигурации и кэша.
У нее есть еще настройки почтового сервера, можно поднять еще и почтовый сервер. Но его не про бывал так как задачи такой не стояло. может объединять каналы, раздавать в разные под сети. Довольно интересная штука. Мне понравилась.
Но в инете можно найти еще много аналогов, вот рассказываю то что про бывал сам.
Либо PfSence либо любой дистрибутив nix (мне нравится Ubuntu, хотя freebsd стартует даже на хламе 10-15 летней давности) и настраиваете в нем NAT+прозрачный прокси.
Nat нужен для всяких скайпов и т.п. ерунды
Из прокси я бы советовал не Squid, а 3proxy - он меньше, не кэшируемый и легче в освоении. Шейпер, авторизация, лимиты - все есть. Автор из России и отвечает на форуме программы сам.
Чтобы прокся стала прозрачной, в iptables дописываете правила, которые заворачивают весь трафик с 80 порта на 3128 (или какой вы используете для прокси)
Хороший пример описан в цикле статей тут _http://interface31.ru/tech_it/2009/11/linux-nastrojka-routera-nat-dhcp-squid.html
Nat нужен для всяких скайпов и т.п. ерунды
Из прокси я бы советовал не Squid, а 3proxy - он меньше, не кэшируемый и легче в освоении. Шейпер, авторизация, лимиты - все есть. Автор из России и отвечает на форуме программы сам.
Чтобы прокся стала прозрачной, в iptables дописываете правила, которые заворачивают весь трафик с 80 порта на 3128 (или какой вы используете для прокси)
Хороший пример описан в цикле статей тут _http://interface31.ru/tech_it/2009/11/linux-nastrojka-routera-nat-dhcp-squid.html
Ну например 4. Добавление/удаление пользователей
логи по пользователям ограничение трафика пользователю
Как новичек без поллитра сделает на микротик ?
Сам с удовольствием пользуюсь микротик - но когда работа с пользователями - не лучший вариант !
И если сравнивать стабильность у меня она примерно одного уровня микротик vs компьютер + linux
логи по пользователям ограничение трафика пользователю
Как новичек без поллитра сделает на микротик ?
Сам с удовольствием пользуюсь микротик - но когда работа с пользователями - не лучший вариант !
И если сравнивать стабильность у меня она примерно одного уровня микротик vs компьютер + linux
Использую pfSense как на виртуалках так и аппаратные решения есть. Возможностей куча но придется поломать мозг. Микротик дешево и функционально, но если будет большая нагрузка может просесть. Еще щупал берем подходящий роутер и перепрошиваем. Очень бюджетный вариант получаетс. Если на шлюзе нужна вафля то FreeBSD не годится ибо не поддерживает n стандарт поддержка которого будет в 9 релизе.
Linix какой нибудь плюсы со временем можно расширить список хотелок а на аппаратном решении трудно что ли будет дальше масштабировать ну если с бюджетом туговато тут старенький системник с двумя сетевыми картами ИМХО.
planod если что стукни в личку дам контакты свои, можешь интересоваться.
planod если что стукни в личку дам контакты свои, можешь интересоваться.
Лучше всего использовать MikroTik. Лицензия стоит не так уж и дорого, а если и вовсе не хочется платить, на других сайтах есть пути решения.
Да, Mikrotik несколько сложнее в настройке чем многие Linux шлюзы, но потратив совсем немного времени, резульат вам очень понравится. Кроме того настраивать можно с помощью GUI утилиты Winbox, которая под Linux тоже работает, либо через веб-интерфейс. По MikroTik есть очень много информации в интернете, так что настроить его не будет большой проблемой.
Да, Mikrotik несколько сложнее в настройке чем многие Linux шлюзы, но потратив совсем немного времени, резульат вам очень понравится. Кроме того настраивать можно с помощью GUI утилиты Winbox, которая под Linux тоже работает, либо через веб-интерфейс. По MikroTik есть очень много информации в интернете, так что настроить его не будет большой проблемой.
Если software : m0n0wall или pfsense - WebGUi и все задачи покрывает
hardware : Mikrotik - поставил настроил и забыл
Я за Mikrotik:
0) Был m0n0wall , но PC просто мешался по размерам - не эстетично, да и при отключении питания
была небольшая вероятность поломки винта
1) У самого была проблема: 2 провайдера, линки нессиммертичные и чтобы это все автоматически
само разруливолась, в случае падения одного из них
2) Очень мощная система мониторинга за сетевой активностью
3) Nat, PPTP , форвардинг портов, и проброс их из внешней сети и тд
4) Маленький размер коробки
5) цена ~ 2000 руб Routerboard 750Up ( при количестве компов в сети ~ 100 вообще копейки)
6) Много готовых рецептов на форумах
Купи хотя бы для общего развития и не пожалеешь
hardware : Mikrotik - поставил настроил и забыл
Я за Mikrotik:
0) Был m0n0wall , но PC просто мешался по размерам - не эстетично, да и при отключении питания
была небольшая вероятность поломки винта
1) У самого была проблема: 2 провайдера, линки нессиммертичные и чтобы это все автоматически
само разруливолась, в случае падения одного из них
2) Очень мощная система мониторинга за сетевой активностью
3) Nat, PPTP , форвардинг портов, и проброс их из внешней сети и тд
4) Маленький размер коробки
5) цена ~ 2000 руб Routerboard 750Up ( при количестве компов в сети ~ 100 вообще копейки)
6) Много готовых рецептов на форумах
Купи хотя бы для общего развития и не пожалеешь
Вкраце: freebsd 9.1 -связка squid 3.2 -3.3(авторизация по kerberos,NTLM,прозрачный режим, смотря как IPFW завернешь),IPA,Сборка ядра(IPFW- (dymmet,fordw... и т.д. описывать статье много в инете)), NAT вообще еще куча всего.
5 лет отработала 7.3 версия - заменил из-за blacklista в (600 тыс строк-доменов), squid 2.6 не потянул такое количество.
9.1 работает несколько месяцев....Полет нормальный. Написать админку под свои нужды это тоже вопрос времени, если не ленится.
5 лет отработала 7.3 версия - заменил из-за blacklista в (600 тыс строк-доменов), squid 2.6 не потянул такое количество.
9.1 работает несколько месяцев....Полет нормальный. Написать админку под свои нужды это тоже вопрос времени, если не ленится.
pfsense. Вообще почти все, что вы указали - базовая возможность большинства современных шлюзов. pfsense хорош тем, что на нем можно поднять и множество других вещей, и так же из веб интерфейса ими управлять. Кроме того, он постоянно развивается.
Сам пробовал собственные debian серверы, clearos. Потом решил выбрать какой-то унифицированный дистрибутив и остановился на pfsense.
Сам пробовал собственные debian серверы, clearos. Потом решил выбрать какой-то унифицированный дистрибутив и остановился на pfsense.
pfSense — дистрибутив для создания межсетевого экрана/маршрутизатора, основанный на FreeBSD. pfSense предназначен для установки на персональный компьютер, известен своей надежностью и предлагает функции, которые часто можно найти только в дорогих коммерческих межсетевых экранах. Настройки можно проводить через web-интерфейс что позволяет использовать его без знаний базовой системы FreeBSD. pfSense обычно применяется в качестве периметрового брандмауэра, маршрутизатора, сервера DHCP/DNS, и в качестве VPN hub/spoke.
Название происходит от факта, что pfSense помогает использовать инструмент фильтрации пакетов pf из OpenBSD более осознано для непрофессиональных пользователей.
Название происходит от факта, что pfSense помогает использовать инструмент фильтрации пакетов pf из OpenBSD более осознано для непрофессиональных пользователей.
Ideco ICS - надежный интернет-шлюз для контроля и управления доступом в Интернет и защиты от электронных угроз. Включает все необходимые компоненты современной сетевой инфраструктуры.
Стандартная до 10 машин бесплатно. Ну а там сам реши. Есть все + своя система ставится на чистую машину и есть возможность под веб интерфейсом админить. Я очень доволен.
Стандартная до 10 машин бесплатно. Ну а там сам реши. Есть все + своя система ставится на чистую машину и есть возможность под веб интерфейсом админить. Я очень доволен.
(65) Petroff1, Linux на AMD K6 233 МГц, ОЗУ 128 МБ вполне, я думаю, потянет такое количество клиентов.
Впервые слышу о подобной идеологии. Если Линукс рабочая станция, то нафига в наборе каждого дистрибутива присутствуют серверные службы?
Я сейчас держу шлюз на CentOS (помимо шлюза, он выполняет мнооого других функций), но Debian тоже очень даже неплох, согласен.
FreeBSD - Сервер, Linyx - рабочая станция
Впервые слышу о подобной идеологии. Если Линукс рабочая станция, то нафига в наборе каждого дистрибутива присутствуют серверные службы?
посмотрите в сторону дэбиана 7.0
Я сейчас держу шлюз на CentOS (помимо шлюза, он выполняет мнооого других функций), но Debian тоже очень даже неплох, согласен.
(67) Predator.Cat,
Если Линукс рабочая станция, то нафига в наборе каждого дистрибутива присутствуют серверные службы?
а наличие веб сервиса во win xp не является утверждением что это серверная ОС, согласны?? Главным отличием СЕРВЕРНЫХ ОС это режим работы работы с пользователями, сетевыми службами и ВЫДЕЛЕНИЕ МАКСИМУМ РЕСУРСОВ ПОД ЭТИ НУЖДЫ а не как под пользовательский интерфейс и графические фишечки.
Ну и последний довод, это идеология FreeBSD - Сервер, Linyx - рабочая станция. 1С можно то же запустить на линухе, вот только там косяк с формами бывает, чего нет в винде. Да еще много можно доводов и аргументов. Эсли Вы так настроеты на Линух и религия не позволяет сесть за фряху, то посмотрите в сторону дэбиана 7.0
Поддерживаю тему про FreeBSD. Есть опыт общения с ней и Linux, с первой разобраться оказалось гораздо проще. Система инициализации, pf проще iptables. Система портов, правда, хуже, чем apt-get install или yum install, но преимущества - простота настройки и скорость работы.
ставите любой никс, который вам больше нравится и настраиваете iptables или поставьте pfsence у него возможности колоссальные, а веб интерфейс не сложнее DIR-300
Сейчас перехожу на Microtic, у них тоже есть софтовое решение
Сейчас перехожу на Microtic, у них тоже есть софтовое решение
ставьте то в чем сможете разобраться!
плюс ко всему все зависит от конкретно ВАШЕЙ задачи и посоветовать что либо тут очень сложно - хотелки вы озвучили, но для нормального совета этого недостаточно.
нужно:
1. количество пользователей
2. есть ли домен
3. ширина входящего канала.
4. т.д.
это навскидку. а ставить фряху на 5 пользователей нет никакого смысла.
плюс ко всему все зависит от конкретно ВАШЕЙ задачи и посоветовать что либо тут очень сложно - хотелки вы озвучили, но для нормального совета этого недостаточно.
нужно:
1. количество пользователей
2. есть ли домен
3. ширина входящего канала.
4. т.д.
это навскидку. а ставить фряху на 5 пользователей нет никакого смысла.
(78) Если уж хочется, чтобы был именно дистр инет-шлюза, то тогда можно посмотреть Zentyal, либо ClearOS. Первый на Ubuntu, второй - на кошерном CentOS. Я, вообще-то, сторонник CentOS, но в данном конкретном случае - обоими руками за Zentyal. Умеет все (кроме, как ни странно, нормального ftp-сервера с авторизацией, его надо поднимать отдельно), кстати, резервное соединение настраивается легко и непринужденно.
(81) Да как Вам сказать... Зентиалов, по-сути, 3 вида: 2.х, 3.2 и 3.3.
Принципиально отличаются версией базовой системы, самбой (в 3.х - самба 4) и, наверное, режимом обновлений: устаревшая 2.х - только обновления базовой системы, в 3.2 обновляются как ОС, так и зентиаловские модули, 3.3 хоть и экспериментальная, но в боевых условиях вполне годная система, там обновления каждый день, багфиксы и новые фичи. В продакшене стоят в основном 3.2.
У 2.х интерфейс тормознутый слегка, обновления идут медленно и кажется иногда, что вообще система виснет, например, если обновляется апач. Смысла использовать никакого.
3.2 и 3.3 работают гораздо отзывчивее, быстрее, тормозов не заметил.
Что касается тормозов в работе, все зависит от того, какие модули используются, какие функции система выполняет, как настроено журналирование и, конечно же, на каком железе все это крутится.
Вот пример, работает на версии 3.2.
Основные функции: DHCP+DNS, роутер (4 сетевые, DMZ, два внешних WAN и одно внутреннее), сквид, прокси с GeoIP, IDS/IPS, IPsec, NTP, Trafic Shaping, всякие анализаторы трафика, нагиос, виртуалка с ftp.
WAN0 основной - оптика, WAN1 резервный - ADSL.
Обслуживает 100-120 пользователей.
Железо: материнка Intel S1200BTSR, проц E3-1245V2, RAID-контроллер Intel RS2BL080 с батарейкой, дисковая - 4 RAID1 по два винта, там это действительно нужно, 32 ГБ ОЗУ, можно и 16, но чего мелочиться. Сетевые: встроенные и 2 Intel 10/100/1000 PCI-E. Корпус обычный, но БП Delta серверный.
Подключено к APC SUA-3000.
По логам загрузка проца не превышает нескольких процентов, память 2-4 ГБ, еще 2 у виртуалки. Субъективно работа сервера вообще не заметна. Просто работает, и все.
Принципиально отличаются версией базовой системы, самбой (в 3.х - самба 4) и, наверное, режимом обновлений: устаревшая 2.х - только обновления базовой системы, в 3.2 обновляются как ОС, так и зентиаловские модули, 3.3 хоть и экспериментальная, но в боевых условиях вполне годная система, там обновления каждый день, багфиксы и новые фичи. В продакшене стоят в основном 3.2.
У 2.х интерфейс тормознутый слегка, обновления идут медленно и кажется иногда, что вообще система виснет, например, если обновляется апач. Смысла использовать никакого.
3.2 и 3.3 работают гораздо отзывчивее, быстрее, тормозов не заметил.
Что касается тормозов в работе, все зависит от того, какие модули используются, какие функции система выполняет, как настроено журналирование и, конечно же, на каком железе все это крутится.
Вот пример, работает на версии 3.2.
Основные функции: DHCP+DNS, роутер (4 сетевые, DMZ, два внешних WAN и одно внутреннее), сквид, прокси с GeoIP, IDS/IPS, IPsec, NTP, Trafic Shaping, всякие анализаторы трафика, нагиос, виртуалка с ftp.
WAN0 основной - оптика, WAN1 резервный - ADSL.
Обслуживает 100-120 пользователей.
Железо: материнка Intel S1200BTSR, проц E3-1245V2, RAID-контроллер Intel RS2BL080 с батарейкой, дисковая - 4 RAID1 по два винта, там это действительно нужно, 32 ГБ ОЗУ, можно и 16, но чего мелочиться. Сетевые: встроенные и 2 Intel 10/100/1000 PCI-E. Корпус обычный, но БП Delta серверный.
Подключено к APC SUA-3000.
По логам загрузка проца не превышает нескольких процентов, память 2-4 ГБ, еще 2 у виртуалки. Субъективно работа сервера вообще не заметна. Просто работает, и все.
(81) Дополню. Еще один с 3.2 работает только как Samba с АД и т.п. Антивирус включен (на роутере, кстати, тоже). Обслуживает порядка 120-150 клиентов. Железо примерно такое же, но дисковая, разумеется посерьезнее, корзины, сас-винты.
Нареканий нет, были по началу неприятности с большими файлами (медленно передавались, скорость едва 7 МБ/сек), но проблема оказалась в свитче, вернее, в его настройках.
Кстати, сетевые карты только Intel, всякая шелуха типа Asus или Realtek - в сад, в лес и в топку.
Обе указанных машинки работают у клиента уже больше года, проблемы были только с сетевыми.
Нареканий нет, были по началу неприятности с большими файлами (медленно передавались, скорость едва 7 МБ/сек), но проблема оказалась в свитче, вернее, в его настройках.
Кстати, сетевые карты только Intel, всякая шелуха типа Asus или Realtek - в сад, в лес и в топку.
Обе указанных машинки работают у клиента уже больше года, проблемы были только с сетевыми.
pfSense + Squid + LightSquid + антивирус + итд. Умеет все перечисленное . Удобная веб-морда. Пашет даже на древних и слабых машинах. Отличный выбор для фаерволла, шлюза, прокси итд. Основан на FreeBSD, в принципе это она и есть, только сильно урезанная.Относительно простая установка и настройка, особенно для новичка.. У меня заняло 2 рабочих дня с тонкой настройкой под "себя", зато больше никаких проблем. VPN и перенаправление портов работает.
А впринципе любой дистрибутив линукса с грамотно настроеным сетевым фильтром и проксиком выполнит большенство поставленных задач.
А впринципе любой дистрибутив линукса с грамотно настроеным сетевым фильтром и проксиком выполнит большенство поставленных задач.
В последнее время pfsense показывает очень большую загрузку (Load Averange ~ 10.0). Буду пробовать ставить его форк
Из преимуществ - основано на FreeBsd 10 x64 (pfsense на FreeBsd 8)
Из недостатков - более высокие требования к железу. Как сделаю отпишусь.
Из преимуществ - основано на FreeBsd 10 x64 (pfsense на FreeBsd 8)
Из недостатков - более высокие требования к железу. Как сделаю отпишусь.
У нас поднят PFsense 2.2 работает на двух разных гипервизорах VMWare и Hyper-V 2012, обслуживает около 100 пользователей.
Используем следующие компоненты
Используем следующие компоненты
- DarkStat 3.0.714
OpenVPN server
Proxy server(Squid 2.7.9 pkg v.4.3.6)
Proxy server filter (squidGuard 1.4_7 pkg v.1.9.10)
упомяну про untangle.
- элементарная установка
- простой и интуитивно понятный мастер настройки
- бесплатный набор плагинов (есть конечно и платные, но за 8 лет эксплуатации нужды в них не вижу)
- абсолютная не требовательность к железу (у меня крутится на селероне 1800 с винтом 40гб и памятью 1гб)
- мощный инструмент аудита действий пользователей и солидный механизм ограничения доступа к определенным ресурсам
- привзяка к АД.
в 2007, когда появилась задача ограничить посещение сотрудников к всевозможным контактам-одноклассникам, провел довольно обширное исследование подобных систем.
из бесплатного - лучший выбор.
ЗЫ: кстати, про обслуживание. стоит он у меня у стойки. без монитора, клавы, мыши...
вспоминаю о нем только при отключении электропитания. да и народ уже привык, что в определенные места ходить просто бесполезно...
- элементарная установка
- простой и интуитивно понятный мастер настройки
- бесплатный набор плагинов (есть конечно и платные, но за 8 лет эксплуатации нужды в них не вижу)
- абсолютная не требовательность к железу (у меня крутится на селероне 1800 с винтом 40гб и памятью 1гб)
- мощный инструмент аудита действий пользователей и солидный механизм ограничения доступа к определенным ресурсам
- привзяка к АД.
в 2007, когда появилась задача ограничить посещение сотрудников к всевозможным контактам-одноклассникам, провел довольно обширное исследование подобных систем.
из бесплатного - лучший выбор.
ЗЫ: кстати, про обслуживание. стоит он у меня у стойки. без монитора, клавы, мыши...
вспоминаю о нем только при отключении электропитания. да и народ уже привык, что в определенные места ходить просто бесполезно...
Пробовал Untangle. Наверно это решение для сервера рабочих групп. LDAP + Файловый сервер + почта и т.д.
Для раздачи Интернета pfsense все-таки для меня решение №1. Завел всех пользователей в Radius и все заходят через Captive portal. Ограничения по url через Squid+Squidguard, отчеты по трафику LightSquid. На сегодняшний день из бесплатных лучше ничего не нашел. Тот же Untangle на той же машине работает гораздо тяжелее. Также стоит без монитора, клавы, подключено только питание и два сетевых интерфейса. Работает месяцами без перезагрузки.
Новая версия pfsense 2.2 основана на freebsd 10, поэтому форк opensense ставить не стал, то же самое, только нет поддержки пакетов, а без freeradius, sqiud, squidguard и lightsquid он не обеспечивает мои потребности.
Для раздачи Интернета pfsense все-таки для меня решение №1. Завел всех пользователей в Radius и все заходят через Captive portal. Ограничения по url через Squid+Squidguard, отчеты по трафику LightSquid. На сегодняшний день из бесплатных лучше ничего не нашел. Тот же Untangle на той же машине работает гораздо тяжелее. Также стоит без монитора, клавы, подключено только питание и два сетевых интерфейса. Работает месяцами без перезагрузки.
Новая версия pfsense 2.2 основана на freebsd 10, поэтому форк opensense ставить не стал, то же самое, только нет поддержки пакетов, а без freeradius, sqiud, squidguard и lightsquid он не обеспечивает мои потребности.
Добрый день! Скока я не пользовал дистров как шлюзы - все не то.
Пока сам ручками не настроешь Слаку иль Убунтуху не получишь толком норм шлюза. Есть конечно циски с их охрененнымиценами возможностями, но в них маны читать не меньше, а тут свое! Че собрал то и будет, пускай и машинка на целероне 1,7 Ггц и 128 Мб оперативки.
Пока сам ручками не настроешь Слаку иль Убунтуху не получишь толком норм шлюза. Есть конечно циски с их охрененными