Настройка правил для пользователей
-
Здравствуйте все. Есть задача сделать учет Интернета для сети небольшой компании. Критерий: ПО должно бесплатным и надежным, юзеров нужно ограничивать в трафике и ежедневном и месячном. В поисках аналога Kerio Control наткнулся на pfsense. Посмотрел возможности, устроило, скачал, установил, сделал первоначальную настройку. В описании возможностей было перечислено создание правил выхода в сеть для пользователей (см. вложение). Но в веб интерфейсе не нашел, где это все настраивается. В меню System->User manager нет ничего по этому поводу. Нужны лимиты по трафику (день, месяц), авторизация по ip.
Подскажите пож. люди добрые, где копать. Или может вообще нужно искать другое решение?…Версия pfsense 2.3.4-RELEASE (amd64) built on Wed May 03 15:13:29 CDT 2017
-
Доброе.
Для подсчета ipcad + lightsquid https://forum.pfsense.org/index.php?topic=117423.0
Нужны лимиты по трафику (день, месяц)
Встречный вопрос. У Вас диал-ап ? Я к тому, что понимаю - ограничивать доступ к опред. ресурсам и подсчитывать. Но резать по трафику ??
-
Признаюсь, во fbsd я почти полный ноль, исходя из этого инструкция не представляется для меня легкой. Попробую сделать. Но вот вопрос, как это будет выглядеть? Управление трафиком я имею ввиду. Это будет наглядный веб-интерфейс с понятным для восприятия управлением (типа как в керио) или нужно будет копать логи и пытаться что-то там анализировать и прописывать ограничения из командной строки? В этом решении есть ограничение юзеров по трафику?
Задача состоит в том, чтобы все настроить и отдать управление человеку, который не является специалистом в администрировании, обычный пользователь, нужно чтобы все было наглядно и просто.Анахронизм типа диал-ап давно в прошлом. Используем ADSL, что в общем-то тоже по современным меркам древность, но другого варианта нет.
А на вопрос зачем резать по трафику отвечу - Вам может показаться это дикостью, но на северных просторах нашей большой страны, где я и проживаю, нет безлимитного Интернета. У единственного провайдера тариф на трафик 2р. за 1мб. Так что ограничение на объем скачиваемой информации не от хорошей жизни ((((
-
13al, если найдете такое решение, отпишитесь. В моей практике в таких условиях 3proxy был настоящей находкой. Да, он много чего не делает, но выбирать особо не из чего.
-
Ну, на сколько я помню, порезать канал, устроить авторизацию по ip и все прочеe, сквид может в связке с любыми никсами и без всякого стороннего софта, да и надежнее некуда, правда будет вам командная строка и текстовые ACL, зато бесплатно, быстро, дешево и сердито.
Прям то, что нужно автору (ну там, красивый веб интерфейс, понятное управление и прочие радости) у меня работало много лет в связке FreeBSD+Squid+SAMS+редиректор (по-вкусу). Авторизирует как хочешь, от ip до AD, расписание доступа, блокировки любые разные, ширина канала, регулярные выражения, короче - праздник каждый день ;)
Я правда не знаю как там сейчас с поддержкой самса во фряхе (ну, заюзаете линух), да и с самим самсом, но проект вроде живой и для линуха пакеты клепает. Только это все нужно собрать в кучу самому, что есть определенный геморр, хотя и мануалов - тьма, дерзайте, картинки в гугле по запросу - SAMS2 - SQUID ;)
Мне вот самому стало интересно, а pfSense, если на нем поставить проксю, позволяет делать выбор "этому клиенту через прокси, а этому нет"?
-
Мне вот самому стало интересно, а pfSense, если на нем поставить проксю, позволяет делать выбор "этому клиенту через прокси, а этому нет"?
Насколько мне известно, там есть bypass для указанных IP.
-
Вот как бы это поточнее узнать да-нет, а-то нигде толком не могу прочесть.
Это я к тому, что от проксирования после перехода на сенс я пока у себя отказался, но есть мысль накруть его обратно.
Вышеописанная связка с самсом меня в общем-то всем устраивала, только поддержка всей этой солянки стала отнимать много времени, потому и ушел я на "спецом заточенный дистрибутив", ну и вечная борьба бобра с ослом - skype против proxy - меня добила окончательно :-\
Кто хочет рецепт борьбы со скайпом - sams (AD авторизаци) + squid 2 - все, скайп не работает :)
-
В squid2 плохо проработана функция ограничения трафика, поэтому, для меня, остаётся только 3proxy.
-
Мне вот самому стало интересно, а pfSense, если на нем поставить проксю, позволяет делать выбор "этому клиенту через прокси, а этому нет"?
Тоже такая вещь интересует.
гугл подкинул про bypassИ еще пара интересных опций, которые работают только в режиме Transparent:
Bypass proxy for these source IPs — сюда можно вписать список компьютеров локальной сети через разделитель ; которым разрешено ходить в обход прокси-сервера.
Bypass proxy for these destination IPs — сюда можно вписать список внешних ресурсов через разделитель ; до которых все компьютеры локальной сети смогут ходить напрямую (не через прокси). -
В squid2 плохо проработана функция ограничения трафика, поэтому, для меня, остаётся только 3proxy.
А вторая версия это уже глубокая древность, пользуйте 3-ю :)
to Foxget:
Надо будет на втором канале поэкспериментировать ::)
-
Спасибо большое за советы. Командная строка + копание в логах однозначно не вариант, как я уже сказал, мониторить будет человек, который в этом ни петь, ни рисовать как говориться.
Нужны аналоги керио или usergate, чтобы зашел через веб, посмотрел статистику, поставил нужные галки, лимиты, в таком духе. Не "красивый веб интерфейс", а понятный для восприятия и удобный обычному юзеру. В связи с этим вопрос a_ivanov, связка FreeBSD+Squid+SAMS+редиректор (по-вкусу), можно поконкретнее? Я так понял, что нужно установить FreeBSD и на него уже навесить что-то из трех перечисленный вариантов?… -
Да уж как подробнее-то…там где + это не что-то из перечисленных вариантов, а все вместе ;-)
Ставите линух или фрю (я первый терпеть не могу, но под него поддержка "гуще"), устанавливаете сквид + sams + редиректор. Что там сейчас из редиректоров используют точно не скажу, но раньше был выбор из 4-х - самсовский редиректор, режик, сквидгард и редиректор самого сквида (никогда не видел чтобы его кто-то юзал). Настраиваете дополнительную софтину, ну там базы скульные + апач с пхп, в общем обычная никсовая настройка - система как база, прокся как основной компонет, самс, как надстройка над проксей, позволяющая Вам "ставить галочки", БД для хранения всего и вся, апач\пхп для визуализации морды лица и выполнения скриптов.
Дать Вам инструкцию по шагам я не смогу, шагов слишком мучас, выбирайте операционку, на которой все будет вертеться и в путь (на форумы, если хелп не помогает).
В мануале к самсу установка всего была отлично расписана.
Я не знаю как тут со ссылками на другие ресурсы, да и имеет ли их смысл давать, если есть гугль.
Весь функционал, который запрашивается там есть, веб-морда очень понятная, загоняете пользователей, настраиваете ограничения, автоотключения и прочее.
Работать с ним не профи сможет 100%, у меня работали :-)
-
Понял, спасибо. Попробую все это осилить.
-
Ну и если будете линух ставить, то лучше centos или debian, разрабы самса пакеты выкладывают именно под них.
-
Нет, буду пробовать на fbsd, поскольку с ней немного знаком. С линуксом совсем нет опыта.
-
Хм, сейчас глянул, а второй самс даже в портах фревых есть, тогда вообще хорошо :)
-
Доброе.
Есть all-in-one на linux со сквидом и т.д. - http://www.nethserver.org/ и https://cloudrouter.org/ -
Оба два хуже предложенной связки в плане функционала, и если у первого еще что-то есть, то у второго вообще ничего подобного не нашел…когда-то, лет пяток назад, ковырял похожее на Zentyal (таких сборок вообще-то не мало, но этот был самый понятный и рабочий), тоже вещь довольно приятная, но все это "паровозы" с кучей ненужного (автору) функционала. И да, настройки в плане веб у них у всех хуже (проще), чем у SAMS.
Я в свое время рассматривал альтернативы самсу, т.к. автор его к тому времени "задолбался" и был вообще вопрос о прекращении существования самого дистра (потом его даже из портов убрали кажется). В общем был неприятно удивлен отсутствием альтернатив, а еще тем, что одиночка для себя (своей конторы) накропал такого уровня софтину, а от "гигантов мысли" мы такого так и не увидели до сих пор даже за деньги....
А сейчас гляжу все активно (порты, релизы, инфа на сайте), значит все наладилось, т.е. я бы даже и не заморачивался.
Я б и у себя развернул такое, но у меня среда Hyper-V, а там с поддержкой фри туговато....
-
Доброе.
Я б и у себя развернул такое, но у меня среда Hyper-V, а там с поддержкой фри туговато…
Больше 2-х лет мой pf жил на hyper-v. Даже с VLAN-ами, кои настраивались с пом. Powershell, т.к. простое указание номера VLAN в настр. вирт. маш. не помогало от слова совсем.
Ушел с hyper-v на Proxmox (zfs raid, autobackup тремя разн. способами с ротацией, cluster, контейнеры LXC и т.д. - и всё это даром). Управление из любого современного браузера.
Из последних нововведений :Proxmox VE Storage Replication
Одним из серьёзных нововведений стоит признать технологию Storage Replication. Как было до её появления? Вам был нужен общий ресурс (shared storage), на котором будут лежать образы-жёсткие-диски виртуальных машин. Вы могли бы использовать Live Migration для того, чтобы виртуальная машина в режиме онлайн могла "переходить" с одной физической ноды на другую в случаях аварий или при плановом обслуживании. А как быть в случаях, когда нет возможности создать такой общий ресурс?Технология Storage Replication позволяет в асинхронном режиме БЕЗ использования общих хранилищ передавать на другую ноду дельты изменений виртуальной машины, чтобы в случае поломки ноды у вас были данные на другой. Технология опирается на механизм снимков (snapshots), которые и отправляются, как дельты, на целевую ноду. Минимальный интервал - 1 минута. Максимальный - 1 неделя.
Гостевую операционную систему можно реплицировать на несколько нод кластера, но, естественно, нельзя реплицировать дважды на одну и ту же. Включённая для гостевой системы технология реплицирования не позволяет использовать технологию Live Migration, хотя обычное offline мигрирование поддерживается.
Если у вас, для примера, есть VM100 на НодаА и вы указали реплицировать данные на НодаБ, а потом заставили мигрировать виртуальную машину с А на Б, то при успешной миграции реплика сама поменяет направление и уже НодаА будет принимать изменения-дельты от НодаБ. Если вы заставляете VM мигрировать туда где нет реплики, то будет скопирован полный образ гостя, а реплика будет продолжаться делаться на ту ноду, куда вы указывали прежде.
Более подробно Storage Replication https://pve.proxmox.com/wiki/Storage_Replication
importdisk
Улучшили и упростили процедуру импорта виртуальных машин других гипервизоров, таких как VMware, Hyper-V. Появилась возможность вызвать qm с параметром qm importdiskДо сего момента, переход с одного гипервизора был болезненным. Кроме образа диска нужно было разобраться с конфигурацией аппаратуры, которую виртуализировал гипервизор. Ошибки в ручном подборе похожего "железа" и вот гостевая MS Windows падает в BSoD. Нужно было раньше готовить гостя к переходу через легендарный MergeIDE, теперь многое станет проще.
Более подробно Importing Virtual Machines from foreign hypervisors https://pve.proxmox.com/wiki/Qemu/KVM_Virtual_Machines#_importing_virtual_machines_from_foreign_hypervisors
Зы. В кач-ве эксперимента люди даже вот такое проделывают - https://www.servethehome.com/creating-the-ultimate-virtualization-and-container-setup-with-management-guis/
-
Ну, винду все одно покупать, а хипер-в там уже встроен, чего ж не использовать тогда + veem (который free) по сути те же прелести имеем, понятно в Вашем случае все из коробки и лучше поддержка никсовых систем, что радует больше :)
Хипер-в был выбран, т.к. вообще я ушел целиком на винду, никсы все похерил, что интересно, ибо я 15 лет в этой конторе и начинал все с того, что винды не было принципиально (молодой был ишшо и горячий), кроме терминальника для 1С, клиентские станции на винде по-минимуму, кругом опенсорц и даром, дурдом короче ;D
В итоге это себе лишний геморр, начальству чихать что там у него платно, что бесплатно ;D
Со временем (ну, естественно, если имеется прогресс) вопрос "даром" или "не даром" теряет свою актуальность, ну, здравый смысл конечно никто не отменял - перестала у меня циска 2811 справляться с нагрузкой, я другую покупать не буду (я если честно так и не понял зачем их люди покупают ;), валяется теперь, а выкинуть жалко ::)) если у меня куча свободных железок, вот и поставил pfSense, да и то, только как узнал что он на фряхе основан, а так хотел опять "руками" все поднимать :D
А proxmox молодцы, не плохая альтернатива майкрософтовцам и вмварцам, последние вообще жлобы ::)