 Автор |
Сообщение |
DrozD
Гуру
 |
|
Если есть отдельная железка, можно посмотреть решения на базе Линукса или BSD. Есть специализированные дистрибы заточенные конкретно под Роутеры или фаерволы. поискать можно тут http://distrowatch.com/
Можно почитать вот это http://opensource.com.ua/article165.html
Freesco -- http://www.opennet.ru/base/net/free_time.txt.html
Понимаю, что не в тему с топиком, но может нужно просто "взглянуть пошире" 
А насчет взаимных оскорблений, честное слово, не ожидал здесь такое услышать. Думаю аппанентам должно быть стыдно, что на пустом месте дошли до такого безобразия... |
|
 |
|
 |
weer
Гуру
 Предупреждений : 2
|
|
Arkan
с тобой разговаривать уже лень. еще большая лень тебя искать чтобы по голове настучать за разговоры. земля круглая. пересечемся как нибудь....
просто откровенно говоря ты такую чушь несешь уже пару страниц, что тошно становиться.
вот скажи - откуда ты узнал что я
А) работаю сисадмином
Б) работаю сисадмином на 9 компов?
В) с чего ты взял что я этим горжусь?
тото и оно - неоткуда тебе это взять, так как ты в принципе не можешь знать мое место работы. и даже должность, кстати.....
единственное в интернете место где хранятся мои ФИО, должность и место работы - это майкрософт.ком
так как систему liveid ты очевидно не поломал, то делаем вывод - эти данные ты просто выдумал.
зачем ты это выдумал - фиг его знает. может чтобы потешить свое самолюбие, может ты получаешь сексуальное удовлетворение от чувства собственного "превосходства", а может у тебя просто система координат в голове съехала... я не врач и диагноз ставить не могу, но по мне так все совершенно очевидно. без посторонней помощи такие вопросы не решаются.
я уже мочу, что у тебя откровенная параноя по поводу "я прав все остальные идиоты". причем параноя настолько жестокая, что ты готов все что угодно ляпуть лишь бы что-нибудь человеку в ответ написать. ты даже готов написать откровенные глупости (я так подозреваю это от незнания). главное - что нить написать. я в детский сад не ходил, к сожалению. но из жизненного опыта знаю что обычно про такое поведение говорят "как в детском саде" или "детский сад развели"....
DrozD
первый топик почитай. афтар ищет замену аутпосту. какой нафиг файервол на базе никсов или бсд..... это нет от файервол о котором ты подумал |
|
| |
|
|
Arkan
Гуру
 |
|
Сказочник однако ты weer
на счет своей работы прочитай все свои сообщения за последние пол года - может повезет и вспомнишь о реальной работе где пашешь
На счет замены виндовому протрояненому говну под названием фаервол - никсы я не предлягал - читай выше - я высказал свое мнение о том что под никсами это протрояненое ХОВНО светится еще даже как - другими словами прослеживается недобросовесность разработчиков и скрытие моментов проверки валидности
Жду недождусь когда этот отстой под названием винда сдохнет от вирусов
ну я кстати думал что ты weer напишешь какуюнибудь очередную гадость и уже хотел немного информации выложить на счет тебя но - живи и радуйся - а я хоть денег немного сьэкономлю на твою поимку |
|
| |
|
|
TROLL_
Эксперт
|
|
Arkan
weer
в ввиде отступления и файворал и прочем.........
о виндовс и линукс
я тут где-то прочитал, ссылку бы дал да непомню где...
так вот,
при исследованиях винды и юниксах, выяснилось следующее, что линукс может и бесплатный, НО обучение персонала или уход сотрудника ставит компанию в неловкое положение зависимости от этой операционной системы линукс, при увеличении зарплаты линуксу-умельцам, через некоторое время, становиться что винду купить + админа содержать намного о дешевле, ИСКЛЮЧАЯ конечно веб-сервера - которые дешевле и в обслуживании и персоналом по сравнеию с виндой - линукс тут заслуженный чемпион.
я вобщем с этим согласен.  |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
TROLL_
вопрос не в выборе операционной системы. вопрос в отсутствии софта, который перекрывал бы потребности корпоративного сектора.
не могу сказать что это является проблемой..... тут надо головой думать каждый раз при выборе того или иного программного обеспечения
к примеру у меня в конторе нет НИ ОДНОГО сервера с линуксом. просто по причине того что особо нечего на линуксе запускать.
т.е. если быть точным - текущего оборудования с вин2003 хватает на выполнение любых задач. и если быть честным я в обозримом будущем не вижу задач для которых тербовался бы сервер с линуксом.
а с другой стороны можно рассмотреть конторы которые заняты в сфере IT. начиная от компьютерных магазинов, заканчивая провайдерами. у них обычно ситуация другая - кроме 1С нет задач, которые требовалось бы запускать на винде.
если уж мы тут ведем разговор про файерволы, то честно могу сказать - для решения простых задач маршрутизации и т.д. нет альтернатив использованию iptables или ipfw.
но вот опять таки взглянем на корпоративный сектор. большинство контор сидит на AD. и любой трафик необходимо идентифицировать по пользователю. если задача NTLM аунтификации на прокси под линухом еще разрешима, то задача идентификации по пользователю AD не-http трафика под линухом в текущий момент не решена. т.е. просто нет такого софта. весь софт который есть идентифицирует трафик либо по ip, либо использует клиента который требует ввода имени пользователя/пароля. для организации с количеством рабочих мест более 100 ни тот ни тот способ неприемлем.
для решения задачи есть софт либо на базе сана, либо на винде. на базе сана никаких денег не хватит, так как надо всю инфраструктуру под них менять. вот и приходится пользоваться isa
а вот если контора решит самостоятельно поддерживать свой сайт - тут практически нет алтернативы апачу. кто запускал апач под виндой тот сразу поймет - для реальных задач виндовозную версию использовать нельзя
вот два примера. они практически точно отражают сложившуюся ситуацию. а по поводу слов TROLL_ могу только сказать что надо рекламу меньше читать |
|
| |
|
|
Arkan
Гуру
|
|
weer
А может тебе про *nix маны покурить вместо таких баек про идентификацию
бредни же несешь
Софта всевозможного хватает вот только это настроить все правильно...... - таких покачто не встречал |
|
| |
|
|
TROLL_
Эксперт
|
|
weer
ё маё!! ну так это и есть что я говорил!!!. причем тут реклама?
сам и согласился  |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
| TROLL_ писал(а): |
| при исследованиях винды и юниксах, выяснилось следующее, что линукс может и бесплатный, НО обучение персонала или уход сотрудника ставит компанию в неловкое положение зависимости от этой операционной системы линукс, при увеличении зарплаты линуксу-умельцам, через некоторое время, становиться что винду купить + админа содержать намного о дешевле, |
вот про это я говорил когда имел ввиду рекламу.....
http://www.microsoft.com/Rus/CaseStudies/CaseStudy.aspx?id=480
пол рунета было завалено банерами майкрософта с сылкой на эту статью.
на самом деле реклама рекламой, но для крупной конторы ставить ведение своего бизнеса в зависимость от компании майкрософт - полнейший идиотизм. именно по этому в преведенном выше примере "забыли" упомянуть про pop/smtp сервер на базе unix, который обрабатывает в этом банке внешнюю почту в качестве одной из ролей exchange (на руборде обсуждали )
хотя если быть честным - замены exchange в области внутрикорпоративной переписки пока не предвидится (кроме lotus. но это очень дорогое решение)
Arkan
ту по ходу дела даже не догоняешь что я сказал.
поясняю на примере:
есть AD на базе windows (2000 и выше) - 3 контролера. все три в разных регионах. есть 100 рабочих станций и 100 юзеров. на рабочих станциях (по крайней мере на части станций) динамические айпишники. юзер может сегодня работать в Новосибирске, завтра - в Барнауле, послезавтра - в Москве (работа у него такая - начальник отдела кадров). к этим 100 рабочим станциям добавляются 15 лаптопов с которыми катаются манагеры в командировки. они из гостиниц подключаются к офису регулярно.
стоимость аренды канала от Новосибирска до Москвы - ниже стоимости трафика в Новосибирске (используем vlan). Трафик в Барнауле дешевле аренды канала до Москвы. (нет VLAN). Между новосибирском и Барнаулом интернет-vpn.
манагерам и всяким разным отморозкам из отдела кадров требуется доступ до почты и доступ до своего рабочего места из любой точки страны. а еще есть часть сотрудников, которые уговорили начальство разрешить им работать из дома временами. и они сидят под терминалом.
рабочие станции - все на винде. часть лаптопов на линухе (с ними ездят заграницу)
задача:
1) забанить однокласники.ру для всех сотрудников, включая манагеров с лаптопами и начальника отдела кадров.
2) доступ к аське обеспечивать только согласно утвержденному списка (фиг знает по какой логике этот список составляется)
3) ежемесячно выдавать начальству отчет о скушаном каждым сотрудником трафике внаружу (интернет) и трафике внтури конторы (нагрузка на VLAN), а так же объемах отправленной/полученной электронной почты (за исключением внутриконторской почты)
4) обеспечить протоколирование 100% трафика с каждого служебного лаптопа, даже если этот лаптоп в мухосранске подключат по диалапу.
5)запретить использование любых почтовых клиентов кроме аутлука.
6).... и еще 50 требований, писать не буду.
51) в течении 6 месяцев хранить информацию о каждом соединении.
могу точно уверить - нет ни одного средства на базе опенсорсных систем, которое позволяло бы решить поставленную задачу без раздувания штата техподдержки до 5-6 человек. (т.е. 5-6% от количества сотрудников)
если сотрудников будет 1000, а городов 10, а не 3 - требования будет невозможно выполнить.
для справки: 3 админа в 3-х городах за 2 рабочих дня решают все поставленные задачи используя ISA 2006. даже лаптопы на линухе будут удовлетворять поставленным требованиям.
Arkan либо предлагай решение, либо честно признай себя ламером.
ЗЫ
мне лично глубоко насрать какая операционная система нужна для работы той или иной програмулины. |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
ошибся маленько....
задача:
1) забанить однокласники.ру для всех сотрудников, включая манагеров с лаптопами ЗА ИСКЛЮЧЕНИЕМ начальника отдела кадров. |
|
| |
|
|
Arkan
Гуру
|
|
Не ну ты конечно неплохо расписал
основная часть задачь конечно без особых проблемм решается на линухе но вот на счет пунктов забана аси учитывая вышеизложенные нюансы и блокировки почтовых клиентов - это жесстко однако
Даже и недумал что в какихто конторах такое практикуется
Допустим с асей еще может и можно както разобраться натравив клиента на тот сервак на который нужно - а на серваке уже разрулить (своем разумеется) - но что мешает юзверю покапаться в настройках аси ???
А с почтой вообще даже не представляю - если уж и пользовать почту как таковую то только БАТ
Блин ну не может быть что такие садистские конторы существуют - еслиб не динамические ИП то все бы разрешилось без проблемм
Кстати необязательно банить по ИП - можно и МАС еще тудаже привинтить как правило дополнительное при срабатывании первого
Незнаю ты всеравно уж больно загнул требования аутентификации
Чето вот крутится вопрос: а внешний канал у центрального офиса один ??? |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
Arkan
я ничего не загинал. это реальный пример. так ведут свои дела приличные конторы, в которых it-специалисту не стыдно работать
на самом деле приведенный мною пример даже примерно не описывает всей сложности ситуации - мне просто столько текста на клавиатуре набирать лень. к примеру, по распоряжению Главного Босса все телефонные переговоры с США ведутся только через скайп (экономия 40-50т.р в месяц)
короче мною были указаны только принципиальные моменты которые вынуждают использовать ISA.
| Arkan писал(а): |
| А с почтой вообще даже не представляю - если уж и пользовать почту как таковую то только БАТ |
1) бат не работает с exchange
2) даже если в конторе "обычная" почта - один только бат приведет к раздуванию штата сотрудников техподдерждки. а с аутлуком все просто - сотруднику покупается электронный курс обучения на майкрософт.ком. сотрудник учится и сдает экзамены. после обучения он больше не имеет права задавать вопросы по работе MS Office. если они у него есть - пусть идет еще раз учится, но на этот раз за свой счет. логично. просто. удобно. и экономит приличные средства на найме сотрудников техподдержки.
| Arkan писал(а): |
| а внешний канал у центрального офиса один ??? |
в каждом офисе как минимум 2 внешних канала (основной и резервный). вообще это должно быть вполне очевидно. я давно не видел предприятий которые подключены к интернету через 1 канал. скорее всего такие конторы раззоряются при первом же сбое у провайдера
| Arkan писал(а): |
| еслиб не динамические ИП то все бы разрешилось без проблемм |
1) ничего бы не решилось. пользователи сегодня тут завтра тут работают. а еще есть лаптопы которые перемешщаются по всему миру и обычно вообще за натом сидят.....
2) dhcp используется из-за необходимости указания параметров wpad. иначе глюков с браузерами не оберешься и юзвери раз в неделю будут устраивать ddos для техподдержки. |
|
| |
|
|
Arkan
Гуру
|
|
Но мне всеравно непонятно каким макаром производится идентификация (учитывая все вышеизложенные моменты)
неужель по какимнибудь там сертификатам - да бред тоже полный
Я согласен что можно поставить условия что сразу все и побольше но вот обьясни тогда как ты на исе разрулил асю - просто такое никогда не делал учитывая особенности |
|
| |
|
|
Richard Ferlow
Гуру
 Предупреждений : 2
|
|
| Как пишут на баше - Лучше фаерволл для винды -Debian |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
| Arkan писал(а): |
| Но мне всеравно непонятно каким макаром производится идентификация (учитывая все вышеизложенные моменты) |
"идентификация" происходит по пользователю AD.
на винде отслеживание пользователя происходит либо средствами NTLM (для хттп прокси) либо средствами клиента ISA (для всего прочего трафика)
на лаптопах (c линухом и с виндой) закрыто все что можно кроме возможности создания vpn подключения к конторе. vpn подключение требует ввода имени/пароля пользователя AD.
это примерная схема. сертификаты, кстати, могут понадобится в некоторых особо корявых случаях. в любом случае не исе должен стоят сертификат для "нормальной" работы httpS прокси.
| Arkan писал(а): |
| вот обьясни тогда как ты на исе разрулил асю |
аська вообще не проблема на самом деле. вопрос про однокласников.ру намного сложнее.
основная проблема с аськаой состоит в том, что пользователь может использовать левый сервер (репитер) и работать с этим сервером через ssl.
решается это так:
в интернет пользователю можно выходить только через http(s) прокси. все остальное закрыто. это очевидное правило в любой конторе, других вариантов быть не может.
единственный вариант использования аськи в этом случае - через прокси. ИСА позволяет "разбирать" http протовол. в том числе ssl, так как прокси у нас с сертификатом (самый важный момент). за 2 минуты находится сигнатура, которая описывает обращение к серверу ICQ. далее создается правило запрещающее http(s) трафик с этой сигнатурой всем пользователям за исключением группы "доступ в аську".
это, конечно, не дает 100% гарантии. можно, к примеру, у себя дома установить сокс прокси хитрый или еще чего. но это уже на грани маразма и паранои. я такого не видел по крайней мере. |
|
| |
|
|
TROLL_
Эксперт
|
|
weer
а че у ИСЫ нет сокс-прокси? |
|
| |
|
|
weer
Гуру
Предупреждений : 2
|
|
TROLL_
вообще есть. но управлять им можно только через скрипты на вба или плагины писать.
и, к слову сказать, что то я не могу придумать задач для которых в конторе требовался бы сокс прокси...... |
|
| |
|
|
TROLL_
Эксперт
|
|
weer
ася через сокс стабильнее работает, известный факт
я правде непонял что за сигнатуры закрывают асю, може типа ИП адреса обращения к серверу? |
|
| |
|
|
pdn_mail
Эксперт
 |
|
| |
|
|
avkie
Продвинутый форумчанин
|
|
вот, еще один умный человек на форуме 
я вообщем то считал всегда что защищать дырявое решето win32 другим решетом win32 - идея порочная в корне (мое мнение)
поэтому всегда защищал win32 или аппаратными firewall или ipfw, PF и тому подобное на Freebsd...
на крайняк - ipfw портированный в win32
особо забавно его пользователям нерадивым весить - фиг кто догадается |
|
| |
|
|
ProFfeSsoRr
Гуру
 |
|
| Н-да... поднимать тему такой давности... нафига? Я уже для себя ответ нашел, народ тут холивар устраивал - повоевал уже и помирился... |
|
| |
|
|
|
