Subnets.ru

[makky]

Прошу прощения за глупые, порой, вопросы. Я ещё очень слабо шарю в UNIX-подобных системах. Многое делаю просто из интереса. В принципе мне нужно ядро, которое будет осуществлять очень ограниченную функцию.

Как это?

У меня есть локалка в виде домена Windows 2003, есть выход в корпоративную сеть через шлюз и в интернет через корпоративную сеть. Всё что мне нужно - это ограничить подключение пользователей. Надо дать разрешение группе пользователей только к имеющемуся списку сайтов, другой группе - только к одному сайту и третей группе - полный доступ, всем остальным запретить всё. Думаю, кроме ipfw для этого ничего больше не нужно.

И сквида с самбой, чтобы удобнее было.

NAT- это просто для пробы. Может быть полезным окажется и proxy. Попутно можно защититься от внешних поползновений. Решил сделать это через FreeBSD, с которой до этого дела не имел. Отсюда и глупые вопросы. За помощь большое спасибо. Советы ясные, вразумительные и действенные.

А как ты без ната собрался например банк-клиентов выпускать или какой-то подобный софт?
Все это можно сделать на винде не хуже. Если пускаешь сразу в боевые условия, то даже лучше.. Лучше делать на том, что знаешь лучше. Если интерес для дальнейшей работы, то все это другое. Я тебе посоветовал для начала понять разницу между файрволом, проксей, натом.. Почитай про тсп/ип хоть немного.

[root]

Думаю, кроме ipfw для этого ничего больше не нужно.

а я бы поставил squid в паре с IPFW

Код: Выделить всё

Port:  squid-2.7.6_1
Path:  /usr/ports/www/squid
Info:  HTTP Caching Proxy
Maint: tmseck@web.de
WWW:   http://www.squid-cache.org/

на этом основан один из наших "продуктов", дааавно написанных, как раз для офисных вариантов шлюзов

[makky]

Уважаемый, UID 0...

Прозрачный прокси не поддерживает ntlm аутентификацию в active directory, поэтому рулежка группами пользователей на основе данных active directory будет просто невозможна. Конечно , может топик-стартеру это и не надо, но мне такое в сетках от 10 рыл очень помогает, особенно если рулежка производится не сильно компетентным лицом при отсутствии связи с админом, который все это замутил. Кроме того, становится невозможно проксировать https трафик. Вообщем минусов достаточно много как и плюсов.

Я лично использую как правильно два проксика: один прозрачный, второй жесткий. Если интересно могу выложить правила, которые придумал давно и давно использую везде, очень от всякой шняжки из сети помогает. =)

PS: топик посвящен компиляции ядра с минимумом функций для работы прокси сервера squid в гетерогенной сети. =)
PPS: Кстати, может тема для статейки...

[slb51]

Разница между NAT, Proxy и Firewall понятна. Я думаю, что NAT мне не нужен, т.к. его функции уже реализованы средствами корпоративной сети вышестоящей организации. Я же в Windows ничего не настраиваю, просто указал шлюз в настройках DHCP. Ну и упражняюсь я, естественно, не на живой системе, так что могу позволить себе сколь угодно рискованные эксперименты. Что до остального, попробую.

[slb51]

на этом основан один из наших "продуктов", дааавно написанных, как раз для офисных вариантов шлюзов

Извини, я не разобрался, что, где и как надо искать на этом сайте. Там, наверное, как-то зарегистрироваться надо? Тоже не понял как.

[lehisnoe]

на этом основан один из наших "продуктов", дааавно написанных, как раз для офисных вариантов шлюзов

Извини, я не разобрался, что, где и как надо искать на этом сайте. Там, наверное, как-то зарегистрироваться надо? Тоже не понял как.

Да, там нужно ввести в кач-ве логина и пароля guest (о чем написано прямо на главной странице). После авторизации попадаешь в админку системы.

[slb51]

А из админки попадаешь только на описания продуктов и ссылки на Википедию. Я надеялся, что можно реально попробовать продукт.

[root]

Я надеялся, что можно реально попробовать продукт.

там можно все это
добавлять юзера, выставлять права и т.п.

[Андрей]

Привет всем.
Поделитесь, кто и чего удаляет из стандартного ядра и может это посоветовать удалить другим.
Я понимаю, что может получиться так, что не будет поддержки некоторого оборудования, но разумеется в пределах разумного править конфиг.

Вопрос возник не на пустом месте.
На 6й фре стоит NAS. Купили машину - теперь нужно переделать на 7ку. Сравнил 2 конфига исходных - разница ощутима.

Попутно вопрос (может и глупый).
собираю ядро с опциями NEGRAPH.
добавил опции

Код: Выделить всё

options NEGRAPH_PPP
options NEGRAPH_PPTPGRE

В дальнейшем хочу использовать l2tp. Возникает вопрос есть ли опция NETGRAPH_L2TPGRE (или аналогичная) или в ней нет необходимости, т.к. l2tp протокол наследовавший pptp?
Если есть эта опция, то подскажите, какую еще опцию надо использовать для организации l2tp?
Можно ли компилироать опции l2tp и pptp в одном ядре и как это скажется на системе?

Заранее благодарен.

[root]

Поделитесь, кто и чего удаляет из стандартного ядра и может это посоветовать удалить другим.

лишние устройства, которых нет в системе, аля:

SCSI устройства
RAID массивы, которых нет, а если какой то есть, то оставлю только тот который установлен в сервер
сетевухи, которые я точно никогда юзать не буду, особенно сетевухи "ISA Ethernet NICs", ISA порт чичас реально сложно найти
"Wireless NIC cards"
"USB support", "USB Serial devices", "USB Ethernet" - если поддержка USB не нужна
"FireWire support"
"PCCARD (PCMCIA) support"
device fdc
device atapifd # ATAPI floppy drives
device atapist # ATAPI tape drives
device gif # IPv6 and IPv4 tunneling
device faith # IPv6-to-IPv4 relaying (translation)

собираю ядро с опциями NEGRAPH.
добавил опции

а я бы добавил:

Код: Выделить всё

options NETGRAPH
options NETGRAPH_PPPOE
options NETGRAPH_SOCKET
options NETGRAPH_ECHO
options NETGRAPH_ETHER
options NETGRAPH_IFACE
options NETGRAPH_KSOCKET
options NETGRAPH_L2TP
options NETGRAPH_MPPC_ENCRYPTION
options NETGRAPH_PPP
options NETGRAPH_PPTPGRE

Возникает вопрос есть ли опция NETGRAPH_L2TPGRE (или аналогичная)

а ) все опции описаны в LINT, сделай "линт" и зри в него:
2) я тебе уже говорил, что прежде чем поднимать какой либо протокол, было бы совсем не лишним почитать о том как он работает, тогда подобных вопросов возникать не будет

Можно ли компилироать опции l2tp и pptp в одном ядре и как это скажется на системе?

ну а почему нет то ? например, демон mpd "держит" оба:

Mpd поддерживает множество типов соединений:
.............
pptp – соединение точка-точка через Internet по протоколу PPTP (Point-to-Point Tunnelling Protocol). Данный протокол поддерживается большинством производителей операционных систем и оборудования.

l2tp – соединение через Internet используя протокол 2-го уровня L2TP (Layer Two Tunnelling Protocol). L2TP является дальнейшей реализацией протокола PPTP и также поддерживается современными производителями операционных систем и оборудования.
............