Народ помогите советом,Решил поднять я у себя в сети шлюз, установил FreeBSD 7... документов на эту тему много
но что использовать из фаерволов никак не могу решить.
основные требования
1) раздача доступа (желательно привязку делать к клиенту по MAC'у.)
2) кто сколько трафика намотал
3) куда лазил.Посоветуйте пожалуйста.
use linux...Luck. :)
>use linux...Luck. :)Во-первых, "Luke".
А во-вторых, "то, на чём _ты_ это всё сможешь сдюжить", то есть или ничего, или "дать денег тому, кто сделает", или "учиться**3, до расширения множества в п.1 до непустого".
Ну, есть ещё гипотетический вариант "щас мне тут набегут в форуме и ффсёо сделают". ...яркий пример пустого множества - набежавших.
да любой из трех. Правда по маку лучше не через фаервол делать.
Я не прошу сделать все за меня... вариант "учиться*3" меня обсалютно устаивает, просто подскажите с чего начать..
>Решил поднять я у себя в сети шлюз, установил FreeBSD 7... документов
>на эту тему много
>
>но что использовать из фаерволов никак не могу решить.Да любой или несколько в произвольной комбинации.
Читать man и смотреть кто что умеет. Лично я в ipfilter смысла не вижу, а из ipfw и pf мне гораздо удобнее pf, особенно для nat'а.
>основные требования
>1) раздача доступа (желательно привязку делать к клиенту по MAC'у.)pf, насколько я помню, не умеет level2 фильтрацию, это появилось (или даже еще не появилось) в HEAD совсем недавно.
Соответственно, если по MAC - лучше ipfw.>2) кто сколько трафика намотал
Это делается через ng_netflow, firewall тут не при чем.
Хотя вариант для бедных - те же счетчики ipfw.>3) куда лазил.
Это делается через прокси, firewall тут не при чем.
Т.е. все это я смогу (Теоретически) поднять через ipfw?
>Т.е. все это я смогу (Теоретически) поднять через ipfw?Да, кроме 3, потому что будут видны IP'шники, а не хостнеймы.
>2) кто сколько трафика намоталIpcad или flow-tools + скрипты для анализа
>3) куда лазил.
см пункт 2
sqiud в роли прокси сервера подойдет?т.е. мне надо будет настроить связку ipfw + sqiud (ipfw - разрешает/запрещает выход пользователей в инет, а sqiud кеширует имена посещенных сайтов для каждого пользователя, так?)
извинте за необразованность, а смогу ли я тогда все 2 пункта наладить через sqiud? т.е. есть ли у него возможность разрешать/запрещать выход в инет для пользователей, (я так думаю что есть, но вряд ли у него есть подсчет трафика верно?)
>sqiud в роли прокси сервера подойдет?
>
>т.е. мне надо будет настроить связку ipfw + sqiud (ipfw - разрешает/запрещает
>выход пользователей в инет, а sqiud кеширует имена посещенных сайтов для
>каждого пользователя, так?)
>
>извинте за необразованность, а смогу ли я тогда все 2 пункта наладить
>через sqiud? т.е. есть ли у него возможность разрешать/запрещать выход в
>инет для пользователей, (я так думаю что есть, но вряд ли
>у него есть подсчет трафика верно?)Есть и разрешать и подсчет только отдельной програмой наприме Sarg
У меня настроено ipfw+squid+sarg+rejik+Netams
Тока нетамс не до конца доковырял не отключает по квотам
>Есть и разрешать и подсчет только отдельной програмой наприме Sarg
>У меня настроено ipfw+squid+sarg+rejik+Netams
>Тока нетамс не до конца доковырял не отключает по квотамт.е. как я понял Sarg управляет ipfw+squid, или это отделаная софтина? если отдельная то зачем ipfw+squid
>т.е. как я понял Sarg управляет ipfw+squid, или это отделаная софтина? если
>отдельная то зачем ipfw+squidipfw фаирвол он заворачивает с 80 пакеты на squid
sarg - обрабатывет лог фаил squida и дает возможность посмотреть где кто лазил в вебе
rejik - режим банеры порно mp3 и видео фаилы
netams - считает общий трафик и раздает квоты
>sqiud в роли прокси сервера подойдет?
>
>т.е. мне надо будет настроить связку ipfw + sqiud (ipfw - разрешает/запрещает
>выход пользователей в инет, а sqiud кеширует имена посещенных сайтов для
>каждого пользователя, так?)
>
>извинте за необразованность, а смогу ли я тогда все 2 пункта наладить
>через sqiud? т.е. есть ли у него возможность разрешать/запрещать выход в
>инет для пользователей, (я так думаю что есть, но вряд ли
>у него есть подсчет трафика верно?)У меня стоит
Suid - прокси в его конфигах запреты, разрешения.....
Sarg - позволяет делать отчет в виде html......
FreeBsd раздает DHCP ставил из портов dhcp-3.0.5rc2.tar.gz очень удобно в его конфигах ip присваивается по МАС адресу. (Что тебе и нужно :) )
в rc.conf открыт фаервол (Надо еще в ядро кое что добавить....)
В самом фаерволе rc.firewall ${fwcmd} add fwd 127.0.0.1,3128 tcp from any to any 80,8080 in - у юзерей в Internet Explorer ничего не настраиваешь (прокси).Работает отлично:))) правда 25 и 110 порты (почту) squid не учитывает