Изпечатай

[softman]

Значи ето каква точно е ситуацията:

- имам 7 машини, офисни компютри, на които се прави какво ли не, само не и това за което са предназначени - играят се игри, чатове, филми - абе който за каквото се сети '>
- има антивирусни пакети на тези машини, както и определени протекции към паразити и подобни мизерии
- машините са малко слабички и какво искам аз да направя:

Наскоро бях в един клуб във Варна (ДООМ 4) където видях едно изпълнение - машините нямаха антивирусни пакети, нямаха каквито и да е защити - изобщо не се хабеше памет за подобни неща. НО... всички тия машини седяха зад прокси сървър, защитна стена, както и имаха протекции към вируси. Проксито естествено филтрираше всичко което се опитах да сваля от нета и да го инсталирам - просто имаше шаблони към ехе-та, мп3-ки, филми и какво ли още не ! Беше доста професионално направено, спор няма - така се пестеше памет на машините, имаше прокси което неимоверно забързваше самия нет (все пак кешираше страниците)...

Аз не разбирам много от Линукс, но реших да се опитам да направя подобна машина с прокси и защитна стена.
Какво конкретно ми трябва, и за което моля за помощ:

- на коя дистрибуция да се спра (става дума за инсталация без Х) - сега съм се спрял на trustix-1.5 - ще се получи ли с него '>
- прокси сървър - спрял съм се на SQUID 2.5 - ще ми свършили работа само той за кеширане и създаване на филтри отностно определени файлове
- защитна стена - помня че добре се справях с ipchains, но вече се използвало iptables - може ли със защитния вал да се справи само iptables

Още веднъж съжелявам за малко кофти описания проблем, но относно линукс съм доста схванат !
Благодаря на всеки оказал помощ !

Моля, насочете ме и точно каква машина ще ми е нужна за това мое дело !?

Забележка:
всичко това се получава за около 3-4 часа на Windows 2003, но аз не искам да е Win,  а да се премине на Лиукс, заради обясними причини !

[alabal]

Всяка дистрибуция може да се използва без Х - просто или го инсталираш или го инсталираш и не го пускаш, освен когато наистина ти трябва.
За прокси - не знам, не мога да помогна, но пък има достатъчно много документация и готови решения по нета.
За съжаление, това е офис, а не клуб, т.е. някой може да ти дойде (едва ли ще тръгне да сваля от работния нет Доом 3) с инсталационен диск и да си инсталира каквото си иска - поне моя опит е такъв - като страничен наблюдател - не съм администратор.
Друго решение е samba като Primery Domain Controller, но пък там трябва да се попрочете за управлението на правата на потребителите и Windows Security Policy, последното само по себе си е тежка задача. В някои отношения това е и не толкова гъвкаво решение и дали да го използваш или не зависи от много неща - брой потребители, хардуер, типа на работа и пр. Само да допълня, че samba може да се комбинира с clamav и да не ползваш антивирус на работните станции, а също тъй може да се направи ограничение за файловете с определени разширения.
Успех!

[George Andonov]

Може да използваш Linux дистрибуция, която е предвидена/проектирана за тези цели.

Някои от по-разпространените са:
 - IPcop
 - SmoothWall
 - m0n0wall
 - redWall
 - Sentry FireWall
 - ClarkConnect
 - SME Server

Лично аз използвам IPcop. това е дистрибуция, която има предефинирана Защитна стена (NAT и всичко необходимо), DHCP, DNS, NTP, Proxy, Intrusion Detection, VPN, DSL поддръжка, справки всякъкви и всичко необходимо за един Gateway. Цялата инсталация и конфигурация отнема към 15 - 30 минути.
Аналогична функционалност имат: SmoothWall, m0n0wall, redWall

Друго интересно решение е Sentry FireWall. Това е LiveCD. Всъщност няма инсталация.  '>  
Слагаш CD-то и стартираш. Всички конфигураций се зареждат от дискета (също в read-only режим).
Тук процедурите по Upgrade, Downgrade, тестване на нови конфигураций, backup и т.н - са силно опростени.
Просто слагаш дискетата с новите/старите конфигурации и рестартираш. Ако смениш CD-то - то правиш Upgdare/Downgrade към съответната версия.
Много яко  '>

Ако, освен Защитна стена, ти трябва допълнителна функционалност (File sharing, Print sharing, Domain Controler, Mail/Web/FTP Server и т.н.)  по-добре избери SME Server или ClarkConnect.

Мисля, че за "Малка" мрежа, това е по-добрият подход - отколкото да инсталираш general-purpose дистрибуция и тепърва да се учиш как се инсталира/конфигурира/интегрира iptables, squid, mail filtering, dns, dhcp, ntp, ала, бала и портокала  '>

[PhobosK]

Цитат

...- на коя дистрибуция да се спра....  ...точно каква машина ще ми е нужна...

Тези два въпроса според мен са зависими един от друг - зависи с каква машина разполагаш по принцип. Моето мнение е, че за тази работа е най-удачен Slack - подкарвал съм го и на супер архаични машини, но  неудобството е, че трябва да имаш опит по принцип с Линукс. Освен това имайки предвид, че смяташ да рутираш, филтрираш, машината да бъде прокси и "антивирусен скенер" все пак е по-добре да е поне малко по-добра машина напр. нещо с AMD К6-2 с 128М ще ти свърши добра работа.

Цитат

...- прокси сървър - спрял съм се на SQUID ....

Добро решение според мен, но е хубаво да го комбинираш с squidGuard squidGuard Homepage. Все пак за SOCKS прокси ще ти е необходим друг пакет. Като филтриращо прокси само за HTTP/HTTPS трафик можеш да ползваш и Privoxy.

Цитат

...- защитна стена...

Всяка дистрибуция върви с необходимите модули, а има и доста помощни програми за конфигурация така, че това не е чак такъв проблем дори и да нямаш много опит с това.

Цитат

...антивирусни пакети...

Има доста пакети с версии освен на Windows и на Linux (fprot, BitDefender, avast), но май за сървърно приложение на някои от тях се иска лиценз (т.е. са платени). Що се отнася до чисто Linux версиите като ClamAV, аз лично не бих разчитал изцяло на тях при условие, че искам да защитавам трафик който ще се ползва от Win машини.

EDIT: Иначе @gandonov е прав, че за най-лесно и бързо е по-удачно "да използваш Linux дистрибуция, която е предвидена/проектирана за тези цели". Въпроса е, че по мое мнение все пак те не са чак толкова гъвкави както е една "general-purpose" дистрибуция като Slack, Debian и т.н.

[softman]

Значи машината която мисля да използвам е нещо от рода на:

MB: i815
CPU: Pentium 3 700-1000MHz
RAM: 512MB PC133
HDD: 160GB
LAN: 2x1000Mb/s D-link/Intel
(въпреки че ще има малко ограничение от PCI шината за тия 1000Мб/с карти)


Относно IPcop - тъй като не съм доста в час, ме интересува, ще се сработи ли добре SQUID и антивирусен пакет подходящ да се справи с вирусите за Windows (незнам до колко може да се вярва на подобен софтуер, но в комбинация на със защитната стена може и да се справят заедно '> )
Всъщност относно АВ защита - подобен пакет инсталиран на Линукса (например F-Prot Antivirus for LINUX / BSD Workstations) ще пази самата машина, или изобщо трафика минаващ между двата лан интерфейса (тоест така няма да допуска вируси от eth0 към eth1 например)
Няма да е проблем да се отделят 30-60$ за подобен пакет !

[George Andonov]

Цитат (softman @ Сеп. 19 2005,17:35)

Значи машината която мисля да използвам е нещо от рода на: MB: i815 CPU: Pentium 3 700-1000MHz RAM: 512MB PC133 HDD: 160GB LAN: 2x1000Mb/s D-link/Intel (въпреки че ще има малко ограничение от PCI шината за тия 1000Мб/с карти)

Относно машината: Твърде мощна  '>
Аз използвам PC 500MHz със 128MB и 10GB HDD. Натоварването е около 1%.

И честно казано тези 1Gb мрежови карти, направо е разхищение на ресурси (освен ако връзката ти към ISP-то не е 1Gb)!

Цитат (softman @ Сеп. 19 2005,17:35)

Относно IPcop - тъй като не съм доста в час, ме интересува, ще се сработи ли добре SQUID и антивирусен пакет подходящ да се справи с вирусите за Windows (незнам до колко може да се вярва на подобен софтуер, но в комбинация на със защитната стена може и да се справят заедно '> ) Всъщност относно АВ защита - подобен пакет инсталиран на Линукса (например F-Prot Antivirus for LINUX / BSD Workstations) ще пази самата машина, или изобщо трафика минаващ между двата лан интерфейса (тоест така няма да допуска вируси от eth0 към eth1 например) Няма да е проблем да се отделят 30-60$ за подобен пакет !

Относно anty-virus защитата:
Конфигурираш проверка на даден тип трафик (по протоколи - FTP, HTTP; или по тип на файла - *.zip, exe, com, doc, и т.н.). За целта:
1. Може да инсталираш AV-софтуер (който си избереш) на Защитната ти стена или
2. Инсталираш AV-софтуер (ЗАДЪЛЖИТЕЛНО поддържащ CVP протокол) на която машина си избереш (Операционната система и вида AV-софтуер нямат значение).

Разбира се това решение ще проверява трафика към и/или от твоята мрежа.
Все пак има и CD-та, DVD-та, USB и др. преносими носители на зарази '>