Аналог isa server linux

unixforum.org

Замена ISA Server (Замена ISA Server на слабой машине)

Замена ISA Server

Сообщение AlexK » 04.07.2008 19:49

Есть слабенькая машинка:
— Pentium MMX 166 MHz
— 32 Mb RAM
— 850 Mb HDD
— 3 сетевые карточки LAN, WAN, WiFi PCI карточка от D-Link

Нужно сделать из нее роутер(NAT)+firewall+DNS Server+DHCP+Web Proxy+контентная фильтрация. Т.е. почти все то, что есть в ISA Server на Windows Server.

Требования к ОС:
— Чтобы работала на этом железе
— Web-интерфейс для полного управления сервером
— Дистрибутив «все-в-одном»
— Наличие детектора атак и блокировка IP или подсети, ограничение на опр. кол-во запросов с одного IP.

Смотрел pfSense и SmoothWall — первый понравился больше, только ни в одном из них нет ни детектирования атак и авт. блокировки IP ни контентной фильтрации.

Я новичок в Linux, помогите, пожалуйста выбрать дистирибутив.

Re: Замена ISA Server

Сообщение кодировщик » 04.07.2008 20:17

Какие именно карточки вы так и не написали.

Web-интерфейс управления — это бред, типа что-то webmin-a

Блокировка атак — portsentry && iptables

А вообще дистр может любой подойди, дело привычки и вкуса

В целом безопасность зависит от вас.

Re: Замена ISA Server

Сообщение yaleks » 04.07.2008 20:59

Если без прокси и контекстной фильтрации, то такая машинка вполне потянет что-н типа Slackware.
Но вот Windows Server вы туда точно не поставите

Задача не простая для новичков и требует чтения литературы.

Re: Замена ISA Server

Сообщение AlexK » 04.07.2008 21:58

> Какие именно карточки вы так и не написали.
Это имеет значение?

> Web-интерфейс управления — это бред, типа что-то webmin-a
Почему бред, хорошо, тогда пусть будет консоль MMC Есть такое?
Как по-вашему настраиваются хардварные роутеры? Через Web-интерфейс или Telnet.

Читайте также:  Linux file system logging

> Блокировка атак — portsentry && iptables
Я так понял это отдельные программы? которые нужно дополнительно ставить? Не надо мне этого.

> Если без прокси и контекстной фильтрации, то такая машинка вполне потянет что-н типа Slackware.

Меня интересует готовое решение типа pfSense, разбираться с настройками и установкой программ, да потом ещё копаться в командах никакого желания нет.

Хочу чтобы настройка была визуальная, с графиками загрузки канала и т.п. Чтобы я визуально видел какие порты закрыты, какие подсети заблокированы и т.п.

Источник

Аналог ISA на Linux

День добрый, уважаемые специалисты! В нашей компании стоит win 2003 ent + isa 2004. По скольку продукты уже порядком в возрасте, передо мной поставили задачу собрать информацию о целесообразности перехода с данного программного продукта на ISA 2006 или ForeFront. У нас парк около 100 машин (2 офиса, связь по оптике).VPN подключения извне, домен с керберосом.Так же планируется предоставление доступа клиентов к одному из виртуальных серверов для демонстрации П.О.

Как я понял, с технической точки зрения для перехода на TMG нужно обновить с 2004 на 2006 и + обновить платформу до 2008 64bit. Самих по себе отличий между 2004 и 2006 очень мало, скорее 2006 это доработанный 2004 с парочкой фич типа «уменьшения размера логов» и «http компрессия».Как я вижу смысл грейдиться до 2006 есть только при планировании последующего апргейда до ForeFronta.

Судя по ценникам микрософта это все влетит в много ноликов, приблизительно 100к (win 2008 + TMG). С точки зрения дирекции одно дело выделять деньги под НОВЫЙ рабочие станции НР + win7, другое выделить деньги под РАБОТАЮЩИЙ софт который и так работает.

По этому я изучаю так же вопрос о переходе на linux-based решение. Я уже поднял сервер с Меркуриалом и Nagios, и подумал что неплохо было бы на нем же реализовать проксю + мониторить можно было неотходя от кассы.Конечно, не будет приятных мелочей вроде firewall client, но главное чтобы это окупалось производительностью, стабильностью и гибкостью.

Читайте также:  What is java linux rpm

Вопрос в том, с чем лучше будет связать Squid чтобы получить конфигурацию аналогичную ISA.

Источник

Аналог isa server linux

Как я понял, с технической точки зрения для перехода на TMG нужно обновить с 2004 на 2006 и + обновить платформу до 2008 64bit. Самих по себе отличий между 2004 и 2006 очень мало, скорее 2006 это доработанный 2004 с парочкой фич типа «уменьшения размера логов» и «http компрессия».Как я вижу смысл грейдиться до 2006 есть только при планировании последующего апргейда до ForeFronta.

Судя по ценникам микрософта это все влетит в много ноликов, приблизительно 150-300к (win 2008 + TMG). С точки зрения дирекции одно дело выделять деньги под НОВЫЙ рабочие станции НР + win7, другое выделить деньги под РАБОТАЮЩИЙ софт который и так работает.

По этому я изучаю так же вопрос о переходе на linux-based решение. Я уже поднял сервер с Меркуриалом и Nagios, и подумал что неплохо было бы на нем же реализовать проксю + мониторить можно было не отходя от кассы.Конечно, не будет приятных мелочей вроде firewall client, но главное чтобы это окупалось производительностью, стабильностью и гибкостью.

Как я понял, Squid стабильно работает в связке с iptables или squidguard в качестве фаервола, openvpn для vpn-доступа и SAMS в качестве веб.интерфейса. так же на freebsd вариант с pfsence тоже на мой взгляд подходящий, хотя досконально я еще не изучил.

Есть еще варианты, стоящие внимания?

У меня по Squid’у несколько вопросов:

1.есть возможность squid3 подружить с керберосом?)
2если в компании есть второй офис и там сейчас к примеру стоит дочерний isa. можно ли сделать такой же дочерний сервер на squid3?

Цитата:

1.есть возможность squid3 подружить с керберосом?)

да

Цитата:

2если в компании есть второй офис и там сейчас к примеру стоит дочерний isa. можно ли сделать такой же дочерний сервер на squid3?

да

да, согласен, об SquidGuard я ошибся, я сначала написал потому уже начал про него читать)

iptables както сложно у меня пошло, поможете ссылками на документацию, только не официальную?

Читайте также:  Truncating log file linux

Цитата:

iptables както сложно у меня пошло, поможете ссылками на документацию, только не официальную?

сам не особо знаком с iptables , так как предпочитаю FreeBSD, где использую ipfw и pf(в зависимости от ситуации)

Цитата:

при связке с AD есть какието ньюансы? поможете мануальчиком?)

по сути ничего сложного — необходима установка Samba, откуда по сути необходим только winbind. Пример связки со сквидом http://www.lissyara.su/articles/freebsd/programms/squid+ad/ Сайт довольно толковый, но ориентирован на BSD системы(тут же есть статьи по BSD фаерволам)

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Аналог ISA на Linux

Реклама на форуме Ru.Board.

Powered by Ikonboard «v2.1.7b» © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2023

Источник

firewall ntlm

Здравствуйте! Скажите, есть ли аналог isa server в линуксе? Не squid, прокси не так важен. Смысл в следующем — иса по позволяет создавать файервольные правила под конкретного пользователя домена(AD), есть ли аналог в линуксе? Насколько понял iptables не поддерживают ntlm аутентификацию. Грубо так — с помощью чего можно разрешить допустим 25 порт только конкретному пользователю (группе) из домена ?

Re: firewall ntlm

а что windows изменяет стандартный вид tcp пакета и добавляет к нему указание какому пользователю он принадлежит?

тогда вывод, что надо значит содержать где-то таблицу ип адресов которым можно что-то разрешить. например в LDAP, и раз в пару минут сравнивать правила текущие и какие есть

возможно что надо использовать что-то типа GSSAPI или там kerberos какой

Re: firewall ntlm

Мущина, я спросил есть ли аналог. Я не утверждал что окна изменяют вид tcp пакета, а всего лишь привел пример того что мне нужно получить.

Re: firewall ntlm

Оставьте сударь ваши возмущения, ЛОР есть ЛОР. Здесь не оперируют абстрактными объектами. Смежная тема http://www.linux.org.ru/view-message.jsp?msgid=3596794&lastmod=1238528129924

Если по делу, то придётся самому мутить привязку текущего пользователя к текущему рабочему месту и его IP. Я пока что чего то готового не нашёл.

Источник

Оцените статью
Adblock
detector