forum.opennet.ru - "Доступ в инет." (39)

"Доступ в инет."

Форум Открытые системы на сервере (Система. проблемы, диагностика)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Доступ в инет."	+/–
Сообщение от Ajavrik (ok), 17-Июн-19, 15:47
Здравствуйте всем! Есть ~500 пользователей, которым нужно дать доступ в инет по логин/пароль. Компов около 300. Трафик считать не надо, только давать доступ / не давать. Есть ли что-то более-менее готовое на *nix системах? Может билингом каким бесплатным можно, посоветуйте.
Ответить \| Правка \| Cообщить модератору

Оглавление

билинг достаточно будит прокси либо сквида либо 3прокси , Аноним (1), 16:14 , 17-Июн-19, (1)
pfsense, Pofigist (?), 16:57 , 17-Июн-19, (2)

Да вспомнил про pfsense, когда-то давно его щупал, спасибо, посмотрю А вот прокс, Ajavrik (ok), 18:20 , 17-Июн-19, (3)

Ну и для коллекции - https alternativeto net software pfsense license opensou, Pofigist (?), 19:30 , 17-Июн-19, (4)
Прокси для таких целей это прошлый век Просто кто-то в криокамере не заметил чт, Pofigist (?), 19:31 , 17-Июн-19, (5) –3

прокси для таких целей - это еще и оборонительный рубеж от атак снаружи и крыс в, Аноним (6), 10:43 , 18-Июн-19, (6) –1

Я вижу глубокое непонимание значения термина proxy - использовать ее в качестве , Pofigist (?), 10:56 , 18-Июн-19, (7) –3

Я вижу глубокое непонимание значения выражения еще и Вижу непоколебимую веру в, Аноним (6), 11:47 , 18-Июн-19, (8)

Я вижу глубокое непонимание значения термина оборонительный рубеж Либо он о, ыы (?), 12:44 , 18-Июн-19, (9) –4

Я вижу еще одного камрада с глубокими теоретическими или терминологическими , Аноним (6), 12:59 , 18-Июн-19, (10)

А ваше для меня - извините нет , ыы (?), 13:08 , 18-Июн-19, (11) –2

И те здоровья, бро, Аноним (6), 13:23 , 18-Июн-19, (14)

Совершенно безосновательное заявление Межсетевые экраны экспертного уровня соч, Аноним (12), 13:18 , 18-Июн-19, (12)

gt оверквотинг удален Вы, как и предыдущий Аноним, полагаете очевидно что пери, ыы (?), 13:24 , 18-Июн-19, (15) –3

Нет, это гораздо более обширный комплекс административно-технических мер Включа, Аноним (12), 14:09 , 18-Июн-19, (18)

Уже что-то И так Вот у вас есть межсетевой экран, пусть это будет чекпоинт, у, ыы (?), 14:25 , 18-Июн-19, (20)

за твое словоблудие , Аноним (6), 14:42 , 18-Июн-19, (21)
Желаю Вам создавать периметры безопасности из проксей , ыы (?), 14:49 , 18-Июн-19, (22) –3

Еще раз - в любом варианте прокси это прошлый век Сейчас как бы достаточно мног, Pofigist (?), 13:19 , 18-Июн-19, (13) –1

Хорошо, хорошо, не волнуйся ты так , Аноним (6), 13:26 , 18-Июн-19, (16)
Простите христа ради динозавра, подскажите, какие такие чудотворные инструменты , Pahanivo (ok), 09:50 , 24-Июн-19, (25)

Хорошо, поставим вопрос иначе - что вы относите к функционалу прокси А тут на н, Pofigist (?), 10:30 , 24-Июн-19, (27) –3

Товарищ Пассажир, не надо так нахально передергивать, люди ж смотрят , Аноним (6), 10:51 , 24-Июн-19, (28) +2

Удобно использовать биллинг Abills Подключение пользователей или PPPoE с автриз, Azudim (??), 13:59 , 18-Июн-19, (17)

Спасибо Слышал про него, буду смотреть gt оверквотинг удален , Ajavrik (ok), 14:11 , 18-Июн-19, (19)

Если стоит задача по критерию дать доступ в сеть N станциям по login пароль, , NetEye (ok), 02:56 , 24-Июн-19, (23)

Да, решений, конечно, масса Вы описали много способов, можно просто заказать уж, Ajavrik (ok), 09:20 , 24-Июн-19, (24)

оверквотинг удален http www netams com netams4 html, NetEye (ok), 10:30 , 24-Июн-19, (26)

Простите, давно не трогал Squid, это же прокси-сервер А как у него дела с прокс, Azudim (??), 12:13 , 24-Июн-19, (29)

Никак Это почти исключительно http s proxy Поэтому заменить squid ом все оста, Аноним (6), 12:52 , 24-Июн-19, (30)
Да Немного более, чем никак, хотя в сети подскажут как использовать torrent clie, NetEye (ok), 12:54 , 24-Июн-19, (31)

Остановился на pfsense с PPPoE на одном сервере А никто не может сказать как п, Ajavrik (ok), 00:15 , 28-Июн-19, (32)

Вешайте, вешайте , Аноним (33), 16:35 , 29-Июн-19, (33)
Можете и с 1 гигом, вопрос не в количестве пользователей, а в количестве трансля, fantom (??), 10:39 , 08-Июл-19, (34)

Да, я не правильно задал вопрос Вопрос такой смогут ли одновременно 300 пользов, Ajavrik (ok), 10:44 , 08-Июл-19, (35)

Если ваш канал 100G то нет, если 100М то да , fantom (??), 10:32 , 10-Июл-19, (36)

Черт, опять не получил ответ У меня канал не больше не меньше а ровно 100 Мб , Ajavrik (ok), 10:52 , 10-Июл-19, (37)

gt оверквотинг удален 300 PPPoE интерфейсов лично у меня тянул AMD Athlon 17, fantom (??), 15:13 , 11-Июл-19, (38)

gt оверквотинг удален Спасибо за ликбез Я никогда не подсчитывал таких параме, Ajavrik (ok), 15:34 , 11-Июл-19, (39)

Сообщения [Сортировка по времени | RSS]

1. "Доступ в инет." +/–

Сообщение от Аноним (1), 17-Июн-19, 16:14

> Здравствуйте всем!
> Есть ~500 пользователей, которым нужно дать доступ в инет по логин/пароль. Компов
> около 300.
> Трафик считать не надо, только давать доступ / не давать.
> Есть ли что-то более-менее готовое на *nix системах?
> Может билингом каким бесплатным можно, посоветуйте.
билинг ))))
достаточно будит прокси либо сквида либо 3прокси!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Доступ в инет." +/–

Сообщение от Pofigist (?), 17-Июн-19, 16:57

> Здравствуйте всем!
> Есть ~500 пользователей, которым нужно дать доступ в инет по логин/пароль. Компов
> около 300.
> Трафик считать не надо, только давать доступ / не давать.
> Есть ли что-то более-менее готовое на *nix системах?
> Может билингом каким бесплатным можно, посоветуйте.
pfsense

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Доступ в инет." +/–

Сообщение от Ajavrik (ok), 17-Июн-19, 18:20

>> Здравствуйте всем!
>> Есть ~500 пользователей, которым нужно дать доступ в инет по логин/пароль. Компов
>> около 300.
>> Трафик считать не надо, только давать доступ / не давать.
>> Есть ли что-то более-менее готовое на *nix системах?
>> Может билингом каким бесплатным можно, посоветуйте.
> pfsense
Да вспомнил про pfsense, когда-то давно его щупал, спасибо, посмотрю.
А вот прокси не прокатит, людям и VPN иногда нужен и что-либо экзотическое.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Доступ в инет." +/–

Сообщение от Pofigist (?), 17-Июн-19, 19:30

Ну и для коллекции - https://alternativeto.net/software/pfsense/?license=opensource

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Доступ в инет." –3 +/–

Сообщение от Pofigist (?), 17-Июн-19, 19:31

> А вот прокси не прокатит, людям и VPN иногда нужен и что-либо
> экзотическое.
Прокси для таких целей это прошлый век. Просто кто-то в криокамере не заметил что кончается 2е десятилетие 21-го века :)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Доступ в инет." –1 +/–

Сообщение от Аноним (6), 18-Июн-19, 10:43

> Прокси для таких целей это прошлый век.
прокси для таких целей - это еще и оборонительный рубеж от атак снаружи и крыс внутри, так что курилка и в будущем веке послужит...

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Доступ в инет." –3 +/–

Сообщение от Pofigist (?), 18-Июн-19, 10:56

Я вижу глубокое непонимание значения термина proxy - использовать ее в качестве оборонительного рубежа это не самое умное решение.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Доступ в инет." +/–

Сообщение от Аноним (6), 18-Июн-19, 11:47

> Я вижу глубокое непонимание значения термина proxy - использовать ее в качестве
> оборонительного рубежа это не самое умное решение.
Я вижу глубокое непонимание значения выражения "еще и".
Вижу непоколебимую веру в существовании только двух мнений - твоего и неправильного.
Здоровья те, бро. Пригодится в жизни.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Доступ в инет." –4 +/–

Сообщение от ыы (?), 18-Июн-19, 12:44

>> Я вижу глубокое непонимание значения термина proxy - использовать ее в качестве
>> оборонительного рубежа это не самое умное решение.
> Я вижу глубокое непонимание значения выражения "еще и".
> Вижу непоколебимую веру в существовании только двух мнений - твоего и неправильного.
> Здоровья те, бро. Пригодится в жизни.
Я вижу глубокое непонимание значения термина "оборонительный рубеж". Либо он ("оборонительный рубеж", хотя правильно он называется "периметр безопасности") у вас есть, и "еще и" - пятая нога собаке, скорее мешающая и создающая потенциальне лазейки  чем от чего-то обороняющая, либо у вас есть только "еще и" - то есть периметра безопасности у вас НЕТ.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Доступ в инет." +/–

Сообщение от Аноним (6), 18-Июн-19, 12:59

> Я вижу глубокое непонимание значения термина "оборонительный рубеж". Либо он ("оборонительный
Я вижу еще одного камрада с глубокими теоретическими... или терминологическими?.. знаниями...
Продолжайте держать нас в курсе, ваше мнение очень важно для нас...

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Доступ в инет." –2 +/–

Сообщение от ыы (?), 18-Июн-19, 13:08

>> Я вижу глубокое непонимание значения термина "оборонительный рубеж". Либо он ("оборонительный
> Я вижу еще одного камрада с глубокими теоретическими... или терминологическими?.. знаниями...
> Продолжайте держать нас в курсе, ваше мнение очень важно для нас...
А ваше для меня - извините нет.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Доступ в инет." +/–

Сообщение от Аноним (6), 18-Июн-19, 13:23

>>> Я вижу глубокое непонимание значения термина "оборонительный рубеж". Либо он ("оборонительный
>> Я вижу еще одного камрада с глубокими теоретическими... или терминологическими?.. знаниями...
>> Продолжайте держать нас в курсе, ваше мнение очень важно для нас...
> А ваше для меня - извините нет.
И те здоровья, бро

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

12. "Доступ в инет." +/–

Сообщение от Аноним (12), 18-Июн-19, 13:18

> Я вижу глубокое непонимание значения термина "оборонительный рубеж". Либо он ("оборонительный
> рубеж", хотя правильно он называется "периметр безопасности") у вас есть, и
> "еще и" - пятая нога собаке, скорее мешающая и создающая потенциальне
> лазейки  чем от чего-то обороняющая, либо у вас есть только
> "еще и" - то есть периметра безопасности у вас НЕТ.
Совершенно безосновательное заявление...
Межсетевые экраны экспертного уровня сочетают в себе элементы пакетного фильтра, сеансового шлюза и фильтра прикладного уровня.
И если не хватает средств на решения Cisco, где это реализуется в рамках одной железки, никто не запрещает использовать иные конструкции защитного периметра, состоящего из тех же элементов. В том числе, "еще и" прокси-сервера.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

15. "Доступ в инет." –3 +/–

Сообщение от ыы (?), 18-Июн-19, 13:24

>[оверквотинг удален]
>> рубеж", хотя правильно он называется "периметр безопасности") у вас есть, и
>> "еще и" - пятая нога собаке, скорее мешающая и создающая потенциальне
>> лазейки  чем от чего-то обороняющая, либо у вас есть только
>> "еще и" - то есть периметра безопасности у вас НЕТ.
> Совершенно безосновательное заявление...
> Межсетевые экраны экспертного уровня сочетают в себе элементы пакетного фильтра, сеансового
> шлюза и фильтра прикладного уровня.
> И если не хватает средств на решения Cisco, где это реализуется в
> рамках одной железки, никто не запрещает использовать иные конструкции защитного периметра,
> состоящего из тех же элементов. В том числе, "еще и" прокси-сервера.
Вы, как и предыдущий Аноним, полагаете очевидно что периметр безопасности -  это "Межсетевые экраны" в той или иной форме.
То есть вот у вас есть ваша сеть, вот интернет - вот вы втыкаете между ними межсетевой экран- и вы сформировали периметр безопасности.. да? :)

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

18. "Доступ в инет." +/–

Сообщение от Аноним (12), 18-Июн-19, 14:09

> То есть вот у вас есть ваша сеть, вот интернет - вот
> вы втыкаете между ними межсетевой экран- и вы сформировали периметр безопасности..
> да? :)
Нет, это гораздо более обширный комплекс административно-технических мер. Включающий в себя помимо межсетевого экрана защиту данных, приложений, устройств, оборудования, каналов связи, рабочих мест, работу с персоналом, прогнозирование, etc... Однако в рамках рассматриваемого вопроса ваши словесные экзерсисы являются попыткой увести обсуждение в плоскость словоблудия, что лично мне совершенно неинтересно.
P.S. Упомянутый выше pfsense, чье применение в рассматриваемом вопросе не вызвало у аудитории возражений, насколько я помню, также включает в себя прокси-сервер.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

20. "Доступ в инет." +/–

Сообщение от ыы (?), 18-Июн-19, 14:25

>> То есть вот у вас есть ваша сеть, вот интернет - вот
>> вы втыкаете между ними межсетевой экран- и вы сформировали периметр безопасности..
>> да? :)
> Нет, это гораздо более обширный комплекс административно-технических мер. Включающий
> в себя помимо межсетевого экрана защиту данных, приложений, устройств, оборудования, каналов
> связи, рабочих мест, работу с персоналом, прогнозирование, etc...
Уже что-то...
И так. Вот у вас есть межсетевой экран, пусть это будет чекпоинт, у вас есть файрвол приложений, пусть.. от позитив технолоджи... у вас есть политики устройств, оборудования, каналов
связи, рабочих мест, политики работы с персоналом, прогнозирование, etc.
И тут появляется человек с идеей "еще и". Пусть это будет ваш начальник. и говорит
"- а давайте заменим все это  проксей она ведь "ЕЩЕ И" безопасность нам поднимет."
Ваша реакция как специалиста?

> Однако в рамках рассматриваемого вопроса
Вот что отнесли в периметру безопасности Вы:
> "межсетевого экрана защиту данных, приложений, устройств, оборудования, каналов  связи, рабочих мест, работу с персоналом, прогнозирование, etc... "
Вот что отнес к периметру безопасности неуважаемый аноним которому я возразил:
>"еще и"
>  ваши словесные экзерсисы являются попыткой увести обсуждение
> в плоскость словоблудия, что лично мне совершенно неинтересно.
Вам должно быть стыдно

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "Доступ в инет." +/–

Сообщение от Аноним (6), 18-Июн-19, 14:42

> Вам должно быть стыдно
за твое словоблудие?

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Доступ в инет." –3 +/–

Сообщение от ыы (?), 18-Июн-19, 14:49

>> Вам должно быть стыдно
> за твое словоблудие?
Желаю Вам создавать периметры безопасности из проксей :)

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

13. "Доступ в инет." –1 +/–

Сообщение от Pofigist (?), 18-Июн-19, 13:19

Еще раз - в любом варианте прокси это прошлый век. Сейчас как бы достаточно много нормальных инструментов, и этот костыль - не нужен.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Доступ в инет." +/–

Сообщение от Аноним (6), 18-Июн-19, 13:26

> Еще раз - в любом варианте прокси это прошлый век. Сейчас как
> бы достаточно много нормальных инструментов, и этот костыль - не нужен.
Хорошо, хорошо, не волнуйся ты так...

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

25. "Доступ в инет." +/–

Сообщение от Pahanivo (ok), 24-Июн-19, 09:50

> Еще раз - в любом варианте прокси это прошлый век. Сейчас как
> бы достаточно много нормальных инструментов, и этот костыль - не нужен.
Простите христа ради динозавра, подскажите, какие такие чудотворные инструменты нонче заменяют функционал прокси?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

27. "Доступ в инет." –3 +/–

Сообщение от Pofigist (?), 24-Июн-19, 10:30

Хорошо, поставим вопрос иначе - что вы относите к функционалу прокси? А тут на нее взвалии и функции фаервола, ната, дпи и черта лысого...

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

28. "Доступ в инет." +2 +/–

Сообщение от Аноним (6), 24-Июн-19, 10:51

> тут на нее взвалии и функции фаервола, ната, дпи и черта
> лысого...
Товарищ Пассажир, не надо так нахально передергивать, люди ж смотрят...

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

17. "Доступ в инет." +/–

Сообщение от Azudim (??), 18-Июн-19, 13:59

> Есть ~500 пользователей, которым нужно дать доступ в инет по логин/пароль. Компов
> около 300.
> Трафик считать не надо, только давать доступ / не давать.
> Есть ли что-то более-менее готовое на *nix системах?
> Может билингом каким бесплатным можно, посоветуйте.
Удобно использовать биллинг Abills. Подключение пользователей или PPPoE с автризацией по логину/паролю или учет по IP, если есть привязка к пользователю.
PPPoE моментально подключается (можно прозрачно для пользователя в Win10), минимальные накладные расходы на канал.
Основа биллинга - связка NAS + Radius + Логика биллинга.
NAS - может быть железка (Cisco, Mikrotik), а может линуксовый/BSD сервер, или в комбинации. Через NAS идет трафик от пользователя, после авторизации/aутентификации, и впроцессе аккаунтинг (подсчет).
Radius - выдает на NAS резрешения и собирает с него статистику
В Биллинге (Web интерфейс) заводятся пользователи, тарифы, указываются NASы
Работаем с ним лет 15 уже. FreeBSD + MPD + Freeradius

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Доступ в инет." +/–

Сообщение от Ajavrik (ok), 18-Июн-19, 14:11

Спасибо!
Слышал про него, буду смотреть.
>[оверквотинг удален]
> по логину/паролю или учет по IP, если есть привязка к пользователю.
> PPPoE моментально подключается (можно прозрачно для пользователя в Win10), минимальные
> накладные расходы на канал.
> Основа биллинга - связка NAS + Radius + Логика биллинга.
> NAS - может быть железка (Cisco, Mikrotik), а может линуксовый/BSD сервер, или
> в комбинации. Через NAS идет трафик от пользователя, после авторизации/aутентификации,
> и впроцессе аккаунтинг (подсчет).
> Radius - выдает на NAS резрешения и собирает с него статистику
> В Биллинге (Web интерфейс) заводятся пользователи, тарифы, указываются NASы
> Работаем с ним лет 15 уже. FreeBSD + MPD + Freeradius

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

23. "Доступ в инет." +/–

Сообщение от NetEye (ok), 24-Июн-19, 02:56

Если стоит задача по критерию "дать доступ в сеть N станциям по login / пароль, трафик станций  не считать", то не вижу никаких проблем в использовании связки squid / squid helper на авторизацию / delay pools по вкусу. Если станции в домене AD то используется авторизация kerberos от AD и пользователь в этом плане прозрачно выходит в сеть, один раз авторизовашись в AD. Если платформы AD нет, то тут каждый сам себе велосипед - можно городить тот же сервис AAA в стиле free IPA и к ней прикручивать SQUID, либо класть логины / пароли в какую либо базы типа mysql и авторизоваться через БД.
Это если искомая задача - "дать доступ и не делать аудит пользователя".
Городить  ради этого "биллинг" с тарифами , радиусом  и пр. фантиками - НА - КУ - А ?
У вас задача делать аудит пользователей, играться "в провайдера" - или выпустить народ в сеть и обеспечить им минимальный уровень сервиса для серфинга сети? Вы уж определитесь.
Если желаете прикрутить к сквиду отчеты о том , кто куда ходил - то мануалов по этому вопросу вагон и телега.
При чем тут периметр сети и сетевые экраны - несколько непонятно - т.к. это другая задача.
Сам по себе железный firewal от cisco / jun / etc  даст вам точку выхода в сеть  + NAT. И более ничего.
Всё остальное - за $ к тому ПО, которое вам нужно будет отдать той же cisco. Да, на продуктах cisco можно построить "красиво" в плане  авторизации / контроля / мониторинга - только один простой вопрос - денег то хватит ?
Ну и тот же pfsence - тот же squid в комбайне для тех, кто хочет рулить этим всем мышкой. И как всякий комбайн такое решение имеет свои недостатки. Когда денег на cisco нет. Но очень хочется....
=А вот прокси не прокатит, людям и VPN иногда нужен и что-либо экзотическое.=
"доступ извне к сети" и "доступ из локальной сети в инет" - это несколько разные задачи. Смешивать их в "одном флаконе" - это как ходить с расстёгнутой ширинкой. Ходить можно. Только люди будут смотреть и делать выводы.
Если на выходе в сеть стоит ASA - то крутим cisco any connect.
Если асы нет - поднимаем все что душе угодно - openvpn/freeradius/daloradius/etc.
Это если вопрос безопасности имеет место быть.
А если банальная лень - то pfsence + далее мышкой клац-клац.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. "Доступ в инет." +/–

Сообщение от Ajavrik (ok), 24-Июн-19, 09:20

Да, решений, конечно, масса. Вы описали много способов, можно просто заказать уже готовое что-то еще придумать. Если Вы отвечаете всем сразу, то да можно и так, но у меня вопрос был построение на *NIX системе и максимальный уровень доступа, я с этим определился давно. Мне достаточно было написать одну строчку - последнюю.
Спасибо!

>[оверквотинг удален]
> экзотическое.=
> "доступ извне к сети" и "доступ из локальной сети в инет" -
> это несколько разные задачи. Смешивать их в "одном флаконе" - это
> как ходить с расстёгнутой ширинкой. Ходить можно. Только люди будут смотреть
> и делать выводы.
> Если на выходе в сеть стоит ASA - то крутим cisco any
> connect.
> Если асы нет - поднимаем все что душе угодно - openvpn/freeradius/daloradius/etc.
> Это если вопрос безопасности имеет место быть.
> А если банальная лень - то pfsence + далее мышкой клац-клац.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

26. "Доступ в инет." +/–

Сообщение от NetEye (ok), 24-Июн-19, 10:30

[оверквотинг удален]
http://www.netams.com/netams4.html

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

29. "Доступ в инет." +/–

Сообщение от Azudim (??), 24-Июн-19, 12:13

> Если стоит задача по критерию "дать доступ в сеть N станциям по
> login / пароль, трафик станций  не считать", то не вижу
> никаких проблем в использовании связки squid / squid helper на авторизацию
> / delay pools по вкусу.
Простите, давно не трогал Squid, это же прокси-сервер? А как у него дела с проксирвоанием торрентов, gre, нестандартных портов для какого ни будь steam'a ?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

30. "Доступ в инет." +/–

Сообщение от Аноним (6), 24-Июн-19, 12:52

> Простите, давно не трогал Squid, это же прокси-сервер? А как у него
> дела с проксирвоанием торрентов, gre, нестандартных портов для какого ни будь
> steam'a ?
Никак. Это почти исключительно http(s) proxy. Поэтому заменить squid'ом все остальное не получится.
Но как часть системы - вполне годная вещь. Например, основное стадо хомячков, которым только вконтактик с педивикией нужен выпускаем через него, попутно запретив шастать по порносайтам; до кучи digest-аутентификацию поднять - и вообще ничего, кроме браузеров в инет не попадает, но это по вкусу. Более продвинутым делаем проброс портов либо выпускаем через vpn... ну и т.д.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

31. "Доступ в инет." +/–

Сообщение от NetEye (ok), 24-Июн-19, 12:54

> Squid, это же прокси-сервер?
Да.
> А как у него дела с проксирвоанием торрентов, gre, нестандартных портов для какого ни будь steam'a ?
Немного более, чем никак, хотя в сети подскажут как использовать torrent client over squid proxy. Но это костыли. Имхо , торренты лучше выносить в отдельную точку обмена трафиком через свой ретрекер, полоса у которого контролируется вами , нежели иметь счастье разгребать весь трафик в сквиде.
Все это делается а уровне граничного firewall-a.
Вообще, там , где начинается "нестандартность" а-ля "стим  в корп. сети", там кончается безопасность.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

32. "Доступ в инет." +/–

Сообщение от Ajavrik (ok), 28-Июн-19, 00:15

Остановился на pfsense с PPPoE  на одном сервере.
А никто не может сказать как подсчитать количество пользователей PPPoE на один сервер.
У меня их около 300, могу их всех повесить на какую-нибудь мать с 16 Гигами памяти?

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "Доступ в инет." +/–

Сообщение от Аноним (33), 29-Июн-19, 16:35

> их около 300, могу их всех повесить
Вешайте, вешайте..

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

34. "Доступ в инет." +/–

Сообщение от fantom (??), 08-Июл-19, 10:39

> Остановился на pfsense с PPPoE  на одном сервере.
> А никто не может сказать как подсчитать количество пользователей PPPoE на один
> сервер.
> У меня их около 300, могу их всех повесить на какую-нибудь мать
> с 16 Гигами памяти?
Можете и с 1 гигом, вопрос не в количестве пользователей, а в количестве трансляций, скорости образования новых трансляций и общем ППС.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

35. "Доступ в инет." +/–

Сообщение от Ajavrik (ok), 08-Июл-19, 10:44

>> Остановился на pfsense с PPPoE  на одном сервере.
>> А никто не может сказать как подсчитать количество пользователей PPPoE на один
>> сервер.
>> У меня их около 300, могу их всех повесить на какую-нибудь мать
>> с 16 Гигами памяти?
> Можете и с 1 гигом, вопрос не в количестве пользователей, а в
> количестве трансляций, скорости образования новых трансляций и общем ППС.
Да, я не правильно задал вопрос.
Вопрос такой: смогут ли одновременно 300 пользователей работать через этот сервер?

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

36. "Доступ в инет." +/–

Сообщение от fantom (??), 10-Июл-19, 10:32

>>> Остановился на pfsense с PPPoE  на одном сервере.
>>> А никто не может сказать как подсчитать количество пользователей PPPoE на один
>>> сервер.
>>> У меня их около 300, могу их всех повесить на какую-нибудь мать
>>> с 16 Гигами памяти?
>> Можете и с 1 гигом, вопрос не в количестве пользователей, а в
>> количестве трансляций, скорости образования новых трансляций и общем ППС.
> Да, я не правильно задал вопрос.
> Вопрос такой: смогут ли одновременно 300 пользователей работать через этот сервер?
Если ваш канал > 100G то нет, если < 100М то да.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

37. "Доступ в инет." +/–

Сообщение от Ajavrik (ok), 10-Июл-19, 10:52

>>>> Остановился на pfsense с PPPoE  на одном сервере.
>>>> А никто не может сказать как подсчитать количество пользователей PPPoE на один
>>>> сервер.
>>>> У меня их около 300, могу их всех повесить на какую-нибудь мать
>>>> с 16 Гигами памяти?
>>> Можете и с 1 гигом, вопрос не в количестве пользователей, а в
>>> количестве трансляций, скорости образования новых трансляций и общем ППС.
>> Да, я не правильно задал вопрос.
>> Вопрос такой: смогут ли одновременно 300 пользователей работать через этот сервер?
> Если ваш канал > 100G то нет, если < 100М то да.
Черт, опять не получил ответ. У меня канал не больше не меньше а ровно 100 Мб :)
А если серьезно, то я так понимаю Вы имеете ввиду что будет большая нагрузка на канал?
Ну одновременно все 300 врятли полезут. Волнует то, что 300 человек подсоединятся и образуют 300 интерфейсов. На что это повлияет?

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

38. "Доступ в инет." +/–

Сообщение от fantom (??), 11-Июл-19, 15:13

>[оверквотинг удален]
>>>> количестве трансляций, скорости образования новых трансляций и общем ППС.
>>> Да, я не правильно задал вопрос.
>>> Вопрос такой: смогут ли одновременно 300 пользователей работать через этот сервер?
>> Если ваш канал > 100G то нет, если < 100М то да.
> Черт, опять не получил ответ. У меня канал не больше не меньше
> а ровно 100 Мб :)
> А если серьезно, то я так понимаю Вы имеете ввиду что будет
> большая нагрузка на канал?
> Ну одновременно все 300 врятли полезут. Волнует то, что 300 человек подсоединятся
> и образуют 300 интерфейсов. На что это повлияет?
300 PPPoE интерфейсов лично у меня "тянул" AMD Athlon 1700Mhz, RAM 768Mb при скорости канала 50Мбит....
Тупо по количеству интерфейсов - там и 3000 можно было создать :)
Небольшой ликбез для вас:
Каждое обращение к какому-либо ресурсу (ну пусть страничка в инете) - это вседнем от 3-4 до 10-15 трансляций, специальных записей в специальной таблице вашего сервера, без которой все это работать просто не будет.
У подавляющего большинства современных домашних бюджетных мыльниц-роутеров это значение 16000-64000, на линуксах зачастую по умолчанию сия таблица тоже 64000, НО оный размер легко и просто увеличивается.
Второй момент - это ППС - ПакетПерСекунда, т.е. пакетов в секунду.
Маршрутизатор может совершенно спокойно обрабатывать 1Гиг/сек при размере пакета 9КБайт и "захлебнуться" при 50М/сек при размере пакета 48Байт...  поэтому понормальному производительность у маршрутизаторов меряют НЕ в мегабитах-гигабитах, а в мегапакетах!!
потолок 100М интерфейса - 144000 пакетов в секунду, с этим справиться даже celeron 847, 16Гигов памяти для описанных вами задач избыточно.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

39. "Доступ в инет." +/–

Сообщение от Ajavrik (ok), 11-Июл-19, 15:34

>[оверквотинг удален]
> вашего сервера, без которой все это работать просто не будет.
> У подавляющего большинства современных домашних бюджетных мыльниц-роутеров это значение
> 16000-64000, на линуксах зачастую по умолчанию сия таблица тоже 64000, НО
> оный размер легко и просто увеличивается.
> Второй момент - это ППС - ПакетПерСекунда, т.е. пакетов в секунду.
> Маршрутизатор может совершенно спокойно обрабатывать 1Гиг/сек при размере пакета 9КБайт
> и "захлебнуться" при 50М/сек при размере пакета 48Байт...  поэтому понормальному
> производительность у маршрутизаторов меряют НЕ в мегабитах-гигабитах, а в мегапакетах!!
> потолок 100М интерфейса - 144000 пакетов в секунду, с этим справиться даже
> celeron 847, 16Гигов памяти для описанных вами задач избыточно.
Спасибо за ликбез. Я никогда не подсчитывал таких параметров.
Сейчас у меня эти 300-350 пользователей работают через маршрутизатор на FreeBSD 7.2, железо
CPU: Intel(R) Celeron(R) CPU        E1400  @ 2.00GHz (1999.96-MHz 686-class CPU)
real memory  = 2146304000 (2046 MB)
канал в 100 Мб, статистика считается по ipcad самописными скриптами. Пока делал сам все ничего, а сейчас надо передать другим, вот и решил перейти на pfsense. По вебморде проще клацать.
Всё меня интересующее выяснил, всем спасибо!

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Доступ в инет."	+/–
Сообщение от Аноним (1), 17-Июн-19, 16:14
> Здравствуйте всем! > Есть ~500 пользователей, которым нужно дать доступ в инет по логин/пароль. Компов > около 300. > Трафик считать не надо, только давать доступ / не давать. > Есть ли что-то более-менее готовое на *nix системах? > Может билингом каким бесплатным можно, посоветуйте. билинг )))) достаточно будит прокси либо сквида либо 3прокси!
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "Доступ в инет."	+/–
Сообщение от Pofigist (?), 17-Июн-19, 16:57
> Здравствуйте всем! > Есть ~500 пользователей, которым нужно дать доступ в инет по логин/пароль. Компов > около 300. > Трафик считать не надо, только давать доступ / не давать. > Есть ли что-то более-менее готовое на *nix системах? > Может билингом каким бесплатным можно, посоветуйте. pfsense
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Доступ в инет."	+/–
	Сообщение от Ajavrik (ok), 17-Июн-19, 18:20
	>> Здравствуйте всем! >> Есть ~500 пользователей, которым нужно дать доступ в инет по логин/пароль. Компов >> около 300. >> Трафик считать не надо, только давать доступ / не давать. >> Есть ли что-то более-менее готовое на *nix системах? >> Может билингом каким бесплатным можно, посоветуйте. > pfsense Да вспомнил про pfsense, когда-то давно его щупал, спасибо, посмотрю. А вот прокси не прокатит, людям и VPN иногда нужен и что-либо экзотическое.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Доступ в инет."	+/–
	Сообщение от Pofigist (?), 17-Июн-19, 19:30
	Ну и для коллекции - https://alternativeto.net/software/pfsense/?license=opensource
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Доступ в инет."	–3 +/–
	Сообщение от Pofigist (?), 17-Июн-19, 19:31
	> А вот прокси не прокатит, людям и VPN иногда нужен и что-либо > экзотическое. Прокси для таких целей это прошлый век. Просто кто-то в криокамере не заметил что кончается 2е десятилетие 21-го века :)
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	6. "Доступ в инет."	–1 +/–
	Сообщение от Аноним (6), 18-Июн-19, 10:43
	> Прокси для таких целей это прошлый век. прокси для таких целей - это еще и оборонительный рубеж от атак снаружи и крыс внутри, так что курилка и в будущем веке послужит...
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Доступ в инет."	–3 +/–
	Сообщение от Pofigist (?), 18-Июн-19, 10:56
	Я вижу глубокое непонимание значения термина proxy - использовать ее в качестве оборонительного рубежа это не самое умное решение.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Доступ в инет."	+/–
	Сообщение от Аноним (6), 18-Июн-19, 11:47
	> Я вижу глубокое непонимание значения термина proxy - использовать ее в качестве > оборонительного рубежа это не самое умное решение. Я вижу глубокое непонимание значения выражения "еще и". Вижу непоколебимую веру в существовании только двух мнений - твоего и неправильного. Здоровья те, бро. Пригодится в жизни.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Доступ в инет."	–4 +/–
	Сообщение от ыы (?), 18-Июн-19, 12:44
	>> Я вижу глубокое непонимание значения термина proxy - использовать ее в качестве >> оборонительного рубежа это не самое умное решение. > Я вижу глубокое непонимание значения выражения "еще и". > Вижу непоколебимую веру в существовании только двух мнений - твоего и неправильного. > Здоровья те, бро. Пригодится в жизни. Я вижу глубокое непонимание значения термина "оборонительный рубеж". Либо он ("оборонительный рубеж", хотя правильно он называется "периметр безопасности") у вас есть, и "еще и" - пятая нога собаке, скорее мешающая и создающая потенциальне лазейки чем от чего-то обороняющая, либо у вас есть только "еще и" - то есть периметра безопасности у вас НЕТ.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "Доступ в инет."	+/–
	Сообщение от Аноним (6), 18-Июн-19, 12:59
	> Я вижу глубокое непонимание значения термина "оборонительный рубеж". Либо он ("оборонительный Я вижу еще одного камрада с глубокими теоретическими... или терминологическими?.. знаниями... Продолжайте держать нас в курсе, ваше мнение очень важно для нас...
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "Доступ в инет."	–2 +/–
	Сообщение от ыы (?), 18-Июн-19, 13:08
	>> Я вижу глубокое непонимание значения термина "оборонительный рубеж". Либо он ("оборонительный > Я вижу еще одного камрада с глубокими теоретическими... или терминологическими?.. знаниями... > Продолжайте держать нас в курсе, ваше мнение очень важно для нас... А ваше для меня - извините нет.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	14. "Доступ в инет."	+/–
	Сообщение от Аноним (6), 18-Июн-19, 13:23
	>>> Я вижу глубокое непонимание значения термина "оборонительный рубеж". Либо он ("оборонительный >> Я вижу еще одного камрада с глубокими теоретическими... или терминологическими?.. знаниями... >> Продолжайте держать нас в курсе, ваше мнение очень важно для нас... > А ваше для меня - извините нет. И те здоровья, бро
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	12. "Доступ в инет."	+/–
	Сообщение от Аноним (12), 18-Июн-19, 13:18
	> Я вижу глубокое непонимание значения термина "оборонительный рубеж". Либо он ("оборонительный > рубеж", хотя правильно он называется "периметр безопасности") у вас есть, и > "еще и" - пятая нога собаке, скорее мешающая и создающая потенциальне > лазейки чем от чего-то обороняющая, либо у вас есть только > "еще и" - то есть периметра безопасности у вас НЕТ. Совершенно безосновательное заявление... Межсетевые экраны экспертного уровня сочетают в себе элементы пакетного фильтра, сеансового шлюза и фильтра прикладного уровня. И если не хватает средств на решения Cisco, где это реализуется в рамках одной железки, никто не запрещает использовать иные конструкции защитного периметра, состоящего из тех же элементов. В том числе, "еще и" прокси-сервера.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	15. "Доступ в инет."	–3 +/–
	Сообщение от ыы (?), 18-Июн-19, 13:24
	>[оверквотинг удален] >> рубеж", хотя правильно он называется "периметр безопасности") у вас есть, и >> "еще и" - пятая нога собаке, скорее мешающая и создающая потенциальне >> лазейки чем от чего-то обороняющая, либо у вас есть только >> "еще и" - то есть периметра безопасности у вас НЕТ. > Совершенно безосновательное заявление... > Межсетевые экраны экспертного уровня сочетают в себе элементы пакетного фильтра, сеансового > шлюза и фильтра прикладного уровня. > И если не хватает средств на решения Cisco, где это реализуется в > рамках одной железки, никто не запрещает использовать иные конструкции защитного периметра, > состоящего из тех же элементов. В том числе, "еще и" прокси-сервера. Вы, как и предыдущий Аноним, полагаете очевидно что периметр безопасности - это "Межсетевые экраны" в той или иной форме. То есть вот у вас есть ваша сеть, вот интернет - вот вы втыкаете между ними межсетевой экран- и вы сформировали периметр безопасности.. да? :)
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	18. "Доступ в инет."	+/–
	Сообщение от Аноним (12), 18-Июн-19, 14:09
	> То есть вот у вас есть ваша сеть, вот интернет - вот > вы втыкаете между ними межсетевой экран- и вы сформировали периметр безопасности.. > да? :) Нет, это гораздо более обширный комплекс административно-технических мер. Включающий в себя помимо межсетевого экрана защиту данных, приложений, устройств, оборудования, каналов связи, рабочих мест, работу с персоналом, прогнозирование, etc... Однако в рамках рассматриваемого вопроса ваши словесные экзерсисы являются попыткой увести обсуждение в плоскость словоблудия, что лично мне совершенно неинтересно. P.S. Упомянутый выше pfsense, чье применение в рассматриваемом вопросе не вызвало у аудитории возражений, насколько я помню, также включает в себя прокси-сервер.
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	20. "Доступ в инет."	+/–
	Сообщение от ыы (?), 18-Июн-19, 14:25
	>> То есть вот у вас есть ваша сеть, вот интернет - вот >> вы втыкаете между ними межсетевой экран- и вы сформировали периметр безопасности.. >> да? :) > Нет, это гораздо более обширный комплекс административно-технических мер. Включающий > в себя помимо межсетевого экрана защиту данных, приложений, устройств, оборудования, каналов > связи, рабочих мест, работу с персоналом, прогнозирование, etc... Уже что-то... И так. Вот у вас есть межсетевой экран, пусть это будет чекпоинт, у вас есть файрвол приложений, пусть.. от позитив технолоджи... у вас есть политики устройств, оборудования, каналов связи, рабочих мест, политики работы с персоналом, прогнозирование, etc. И тут появляется человек с идеей "еще и". Пусть это будет ваш начальник. и говорит "- а давайте заменим все это проксей она ведь "ЕЩЕ И" безопасность нам поднимет." Ваша реакция как специалиста? > Однако в рамках рассматриваемого вопроса Вот что отнесли в периметру безопасности Вы: > "межсетевого экрана защиту данных, приложений, устройств, оборудования, каналов связи, рабочих мест, работу с персоналом, прогнозирование, etc... " Вот что отнес к периметру безопасности неуважаемый аноним которому я возразил: >"еще и" > ваши словесные экзерсисы являются попыткой увести обсуждение > в плоскость словоблудия, что лично мне совершенно неинтересно. Вам должно быть стыдно
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	21. "Доступ в инет."	+/–
	Сообщение от Аноним (6), 18-Июн-19, 14:42
	> Вам должно быть стыдно за твое словоблудие?
	Ответить \| Правка \| ^ к родителю #20 \| Наверх \| Cообщить модератору


	22. "Доступ в инет."	–3 +/–
	Сообщение от ыы (?), 18-Июн-19, 14:49
	>> Вам должно быть стыдно > за твое словоблудие? Желаю Вам создавать периметры безопасности из проксей :)
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору


	13. "Доступ в инет."	–1 +/–
	Сообщение от Pofigist (?), 18-Июн-19, 13:19
	Еще раз - в любом варианте прокси это прошлый век. Сейчас как бы достаточно много нормальных инструментов, и этот костыль - не нужен.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	16. "Доступ в инет."	+/–
	Сообщение от Аноним (6), 18-Июн-19, 13:26
	> Еще раз - в любом варианте прокси это прошлый век. Сейчас как > бы достаточно много нормальных инструментов, и этот костыль - не нужен. Хорошо, хорошо, не волнуйся ты так...
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	25. "Доступ в инет."	+/–
	Сообщение от Pahanivo (ok), 24-Июн-19, 09:50
	> Еще раз - в любом варианте прокси это прошлый век. Сейчас как > бы достаточно много нормальных инструментов, и этот костыль - не нужен. Простите христа ради динозавра, подскажите, какие такие чудотворные инструменты нонче заменяют функционал прокси?
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	27. "Доступ в инет."	–3 +/–
	Сообщение от Pofigist (?), 24-Июн-19, 10:30
	Хорошо, поставим вопрос иначе - что вы относите к функционалу прокси? А тут на нее взвалии и функции фаервола, ната, дпи и черта лысого...
	Ответить \| Правка \| ^ к родителю #25 \| Наверх \| Cообщить модератору


	28. "Доступ в инет."	+2 +/–
	Сообщение от Аноним (6), 24-Июн-19, 10:51
	> тут на нее взвалии и функции фаервола, ната, дпи и черта > лысого... Товарищ Пассажир, не надо так нахально передергивать, люди ж смотрят...
	Ответить \| Правка \| ^ к родителю #27 \| Наверх \| Cообщить модератору

17. "Доступ в инет."	+/–
Сообщение от Azudim (??), 18-Июн-19, 13:59
> Есть ~500 пользователей, которым нужно дать доступ в инет по логин/пароль. Компов > около 300. > Трафик считать не надо, только давать доступ / не давать. > Есть ли что-то более-менее готовое на *nix системах? > Может билингом каким бесплатным можно, посоветуйте. Удобно использовать биллинг Abills. Подключение пользователей или PPPoE с автризацией по логину/паролю или учет по IP, если есть привязка к пользователю. PPPoE моментально подключается (можно прозрачно для пользователя в Win10), минимальные накладные расходы на канал. Основа биллинга - связка NAS + Radius + Логика биллинга. NAS - может быть железка (Cisco, Mikrotik), а может линуксовый/BSD сервер, или в комбинации. Через NAS идет трафик от пользователя, после авторизации/aутентификации, и впроцессе аккаунтинг (подсчет). Radius - выдает на NAS резрешения и собирает с него статистику В Биллинге (Web интерфейс) заводятся пользователи, тарифы, указываются NASы Работаем с ним лет 15 уже. FreeBSD + MPD + Freeradius
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	19. "Доступ в инет."	+/–
	Сообщение от Ajavrik (ok), 18-Июн-19, 14:11
	Спасибо! Слышал про него, буду смотреть. >[оверквотинг удален] > по логину/паролю или учет по IP, если есть привязка к пользователю. > PPPoE моментально подключается (можно прозрачно для пользователя в Win10), минимальные > накладные расходы на канал. > Основа биллинга - связка NAS + Radius + Логика биллинга. > NAS - может быть железка (Cisco, Mikrotik), а может линуксовый/BSD сервер, или > в комбинации. Через NAS идет трафик от пользователя, после авторизации/aутентификации, > и впроцессе аккаунтинг (подсчет). > Radius - выдает на NAS резрешения и собирает с него статистику > В Биллинге (Web интерфейс) заводятся пользователи, тарифы, указываются NASы > Работаем с ним лет 15 уже. FreeBSD + MPD + Freeradius
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	23. "Доступ в инет."	+/–
	Сообщение от NetEye (ok), 24-Июн-19, 02:56
	Если стоит задача по критерию "дать доступ в сеть N станциям по login / пароль, трафик станций не считать", то не вижу никаких проблем в использовании связки squid / squid helper на авторизацию / delay pools по вкусу. Если станции в домене AD то используется авторизация kerberos от AD и пользователь в этом плане прозрачно выходит в сеть, один раз авторизовашись в AD. Если платформы AD нет, то тут каждый сам себе велосипед - можно городить тот же сервис AAA в стиле free IPA и к ней прикручивать SQUID, либо класть логины / пароли в какую либо базы типа mysql и авторизоваться через БД. Это если искомая задача - "дать доступ и не делать аудит пользователя". Городить ради этого "биллинг" с тарифами , радиусом и пр. фантиками - НА - КУ - А ? У вас задача делать аудит пользователей, играться "в провайдера" - или выпустить народ в сеть и обеспечить им минимальный уровень сервиса для серфинга сети? Вы уж определитесь. Если желаете прикрутить к сквиду отчеты о том , кто куда ходил - то мануалов по этому вопросу вагон и телега. При чем тут периметр сети и сетевые экраны - несколько непонятно - т.к. это другая задача. Сам по себе железный firewal от cisco / jun / etc даст вам точку выхода в сеть + NAT. И более ничего. Всё остальное - за $ к тому ПО, которое вам нужно будет отдать той же cisco. Да, на продуктах cisco можно построить "красиво" в плане авторизации / контроля / мониторинга - только один простой вопрос - денег то хватит ? Ну и тот же pfsence - тот же squid в комбайне для тех, кто хочет рулить этим всем мышкой. И как всякий комбайн такое решение имеет свои недостатки. Когда денег на cisco нет. Но очень хочется.... =А вот прокси не прокатит, людям и VPN иногда нужен и что-либо экзотическое.= "доступ извне к сети" и "доступ из локальной сети в инет" - это несколько разные задачи. Смешивать их в "одном флаконе" - это как ходить с расстёгнутой ширинкой. Ходить можно. Только люди будут смотреть и делать выводы. Если на выходе в сеть стоит ASA - то крутим cisco any connect. Если асы нет - поднимаем все что душе угодно - openvpn/freeradius/daloradius/etc. Это если вопрос безопасности имеет место быть. А если банальная лень - то pfsence + далее мышкой клац-клац.
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	24. "Доступ в инет."	+/–
	Сообщение от Ajavrik (ok), 24-Июн-19, 09:20
	Да, решений, конечно, масса. Вы описали много способов, можно просто заказать уже готовое что-то еще придумать. Если Вы отвечаете всем сразу, то да можно и так, но у меня вопрос был построение на *NIX системе и максимальный уровень доступа, я с этим определился давно. Мне достаточно было написать одну строчку - последнюю. Спасибо! >[оверквотинг удален] > экзотическое.= > "доступ извне к сети" и "доступ из локальной сети в инет" - > это несколько разные задачи. Смешивать их в "одном флаконе" - это > как ходить с расстёгнутой ширинкой. Ходить можно. Только люди будут смотреть > и делать выводы. > Если на выходе в сеть стоит ASA - то крутим cisco any > connect. > Если асы нет - поднимаем все что душе угодно - openvpn/freeradius/daloradius/etc. > Это если вопрос безопасности имеет место быть. > А если банальная лень - то pfsence + далее мышкой клац-клац.
	Ответить \| Правка \| ^ к родителю #23 \| Наверх \| Cообщить модератору


	26. "Доступ в инет."	+/–
	Сообщение от NetEye (ok), 24-Июн-19, 10:30
	[оверквотинг удален] http://www.netams.com/netams4.html
	Ответить \| Правка \| ^ к родителю #24 \| Наверх \| Cообщить модератору


	29. "Доступ в инет."	+/–
	Сообщение от Azudim (??), 24-Июн-19, 12:13
	> Если стоит задача по критерию "дать доступ в сеть N станциям по > login / пароль, трафик станций не считать", то не вижу > никаких проблем в использовании связки squid / squid helper на авторизацию > / delay pools по вкусу. Простите, давно не трогал Squid, это же прокси-сервер? А как у него дела с проксирвоанием торрентов, gre, нестандартных портов для какого ни будь steam'a ?
	Ответить \| Правка \| ^ к родителю #23 \| Наверх \| Cообщить модератору


	30. "Доступ в инет."	+/–
	Сообщение от Аноним (6), 24-Июн-19, 12:52
	> Простите, давно не трогал Squid, это же прокси-сервер? А как у него > дела с проксирвоанием торрентов, gre, нестандартных портов для какого ни будь > steam'a ? Никак. Это почти исключительно http(s) proxy. Поэтому заменить squid'ом все остальное не получится. Но как часть системы - вполне годная вещь. Например, основное стадо хомячков, которым только вконтактик с педивикией нужен выпускаем через него, попутно запретив шастать по порносайтам; до кучи digest-аутентификацию поднять - и вообще ничего, кроме браузеров в инет не попадает, но это по вкусу. Более продвинутым делаем проброс портов либо выпускаем через vpn... ну и т.д.
	Ответить \| Правка \| ^ к родителю #29 \| Наверх \| Cообщить модератору