unixforum.org
Замена ISA Server (Замена ISA Server на слабой машине)
Замена ISA Server
Сообщение AlexK » 04.07.2008 19:49
Есть слабенькая машинка:
— Pentium MMX 166 MHz
— 32 Mb RAM
— 850 Mb HDD
— 3 сетевые карточки LAN, WAN, WiFi PCI карточка от D-Link
Нужно сделать из нее роутер(NAT)+firewall+DNS Server+DHCP+Web Proxy+контентная фильтрация. Т.е. почти все то, что есть в ISA Server на Windows Server.
Требования к ОС:
— Чтобы работала на этом железе
— Web-интерфейс для полного управления сервером
— Дистрибутив «все-в-одном»
— Наличие детектора атак и блокировка IP или подсети, ограничение на опр. кол-во запросов с одного IP.
Смотрел pfSense и SmoothWall — первый понравился больше, только ни в одном из них нет ни детектирования атак и авт. блокировки IP ни контентной фильтрации.
Я новичок в Linux, помогите, пожалуйста выбрать дистирибутив.
Re: Замена ISA Server
Сообщение кодировщик » 04.07.2008 20:17
Какие именно карточки вы так и не написали.
Web-интерфейс управления — это бред, типа что-то webmin-a
Блокировка атак — portsentry && iptables
А вообще дистр может любой подойди, дело привычки и вкуса
В целом безопасность зависит от вас.
Re: Замена ISA Server
Сообщение yaleks » 04.07.2008 20:59
Если без прокси и контекстной фильтрации, то такая машинка вполне потянет что-н типа Slackware.
Но вот Windows Server вы туда точно не поставите
Задача не простая для новичков и требует чтения литературы.
Re: Замена ISA Server
Сообщение AlexK » 04.07.2008 21:58
> Какие именно карточки вы так и не написали.
Это имеет значение?
> Web-интерфейс управления — это бред, типа что-то webmin-a
Почему бред, хорошо, тогда пусть будет консоль MMC Есть такое?
Как по-вашему настраиваются хардварные роутеры? Через Web-интерфейс или Telnet.
> Блокировка атак — portsentry && iptables
Я так понял это отдельные программы? которые нужно дополнительно ставить? Не надо мне этого.
> Если без прокси и контекстной фильтрации, то такая машинка вполне потянет что-н типа Slackware.
Меня интересует готовое решение типа pfSense, разбираться с настройками и установкой программ, да потом ещё копаться в командах никакого желания нет.
Хочу чтобы настройка была визуальная, с графиками загрузки канала и т.п. Чтобы я визуально видел какие порты закрыты, какие подсети заблокированы и т.п.
Аналог ISA на Linux
День добрый, уважаемые специалисты! В нашей компании стоит win 2003 ent + isa 2004. По скольку продукты уже порядком в возрасте, передо мной поставили задачу собрать информацию о целесообразности перехода с данного программного продукта на ISA 2006 или ForeFront. У нас парк около 100 машин (2 офиса, связь по оптике).VPN подключения извне, домен с керберосом.Так же планируется предоставление доступа клиентов к одному из виртуальных серверов для демонстрации П.О.
Как я понял, с технической точки зрения для перехода на TMG нужно обновить с 2004 на 2006 и + обновить платформу до 2008 64bit. Самих по себе отличий между 2004 и 2006 очень мало, скорее 2006 это доработанный 2004 с парочкой фич типа «уменьшения размера логов» и «http компрессия».Как я вижу смысл грейдиться до 2006 есть только при планировании последующего апргейда до ForeFronta.
Судя по ценникам микрософта это все влетит в много ноликов, приблизительно 100к (win 2008 + TMG). С точки зрения дирекции одно дело выделять деньги под НОВЫЙ рабочие станции НР + win7, другое выделить деньги под РАБОТАЮЩИЙ софт который и так работает.
По этому я изучаю так же вопрос о переходе на linux-based решение. Я уже поднял сервер с Меркуриалом и Nagios, и подумал что неплохо было бы на нем же реализовать проксю + мониторить можно было неотходя от кассы.Конечно, не будет приятных мелочей вроде firewall client, но главное чтобы это окупалось производительностью, стабильностью и гибкостью.
Вопрос в том, с чем лучше будет связать Squid чтобы получить конфигурацию аналогичную ISA.
Аналог isa server linux
Как я понял, с технической точки зрения для перехода на TMG нужно обновить с 2004 на 2006 и + обновить платформу до 2008 64bit. Самих по себе отличий между 2004 и 2006 очень мало, скорее 2006 это доработанный 2004 с парочкой фич типа «уменьшения размера логов» и «http компрессия».Как я вижу смысл грейдиться до 2006 есть только при планировании последующего апргейда до ForeFronta.
Судя по ценникам микрософта это все влетит в много ноликов, приблизительно 150-300к (win 2008 + TMG). С точки зрения дирекции одно дело выделять деньги под НОВЫЙ рабочие станции НР + win7, другое выделить деньги под РАБОТАЮЩИЙ софт который и так работает.
По этому я изучаю так же вопрос о переходе на linux-based решение. Я уже поднял сервер с Меркуриалом и Nagios, и подумал что неплохо было бы на нем же реализовать проксю + мониторить можно было не отходя от кассы.Конечно, не будет приятных мелочей вроде firewall client, но главное чтобы это окупалось производительностью, стабильностью и гибкостью.
Как я понял, Squid стабильно работает в связке с iptables или squidguard в качестве фаервола, openvpn для vpn-доступа и SAMS в качестве веб.интерфейса. так же на freebsd вариант с pfsence тоже на мой взгляд подходящий, хотя досконально я еще не изучил.
Есть еще варианты, стоящие внимания?
У меня по Squid’у несколько вопросов:
1.есть возможность squid3 подружить с керберосом?)
2если в компании есть второй офис и там сейчас к примеру стоит дочерний isa. можно ли сделать такой же дочерний сервер на squid3?
Цитата:
| 1.есть возможность squid3 подружить с керберосом?) |
да
Цитата:
| 2если в компании есть второй офис и там сейчас к примеру стоит дочерний isa. можно ли сделать такой же дочерний сервер на squid3? |
да
да, согласен, об SquidGuard я ошибся, я сначала написал потому уже начал про него читать)
iptables както сложно у меня пошло, поможете ссылками на документацию, только не официальную?
Цитата:
| iptables както сложно у меня пошло, поможете ссылками на документацию, только не официальную? |
сам не особо знаком с iptables , так как предпочитаю FreeBSD, где использую ipfw и pf(в зависимости от ситуации)
Цитата:
| при связке с AD есть какието ньюансы? поможете мануальчиком?) |
по сути ничего сложного — необходима установка Samba, откуда по сути необходим только winbind. Пример связки со сквидом http://www.lissyara.su/articles/freebsd/programms/squid+ad/ Сайт довольно толковый, но ориентирован на BSD системы(тут же есть статьи по BSD фаерволам)
| Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Аналог ISA на Linux |
Реклама на форуме Ru.Board.
| Powered by Ikonboard «v2.1.7b» © 2000 Ikonboard.com Modified by Ru.B0ard © Ru.B0ard 2000-2023 firewall ntlmЗдравствуйте! Скажите, есть ли аналог isa server в линуксе? Не squid, прокси не так важен. Смысл в следующем — иса по позволяет создавать файервольные правила под конкретного пользователя домена(AD), есть ли аналог в линуксе? Насколько понял iptables не поддерживают ntlm аутентификацию. Грубо так — с помощью чего можно разрешить допустим 25 порт только конкретному пользователю (группе) из домена ?
Re: firewall ntlmа что windows изменяет стандартный вид tcp пакета и добавляет к нему указание какому пользователю он принадлежит? тогда вывод, что надо значит содержать где-то таблицу ип адресов которым можно что-то разрешить. например в LDAP, и раз в пару минут сравнивать правила текущие и какие есть возможно что надо использовать что-то типа GSSAPI или там kerberos какой Re: firewall ntlmМущина, я спросил есть ли аналог. Я не утверждал что окна изменяют вид tcp пакета, а всего лишь привел пример того что мне нужно получить.
Re: firewall ntlmОставьте сударь ваши возмущения, ЛОР есть ЛОР. Здесь не оперируют абстрактными объектами. Смежная тема http://www.linux.org.ru/view-message.jsp?msgid=3596794&lastmod=1238528129924 Если по делу, то придётся самому мутить привязку текущего пользователя к текущему рабочему месту и его IP. Я пока что чего то готового не нашёл. Adblockdetector |
