Настройка правил для пользователей
-
Доброе.
Для подсчета ipcad + lightsquid https://forum.pfsense.org/index.php?topic=117423.0
Нужны лимиты по трафику (день, месяц)
Встречный вопрос. У Вас диал-ап ? Я к тому, что понимаю - ограничивать доступ к опред. ресурсам и подсчитывать. Но резать по трафику ??
-
Признаюсь, во fbsd я почти полный ноль, исходя из этого инструкция не представляется для меня легкой. Попробую сделать. Но вот вопрос, как это будет выглядеть? Управление трафиком я имею ввиду. Это будет наглядный веб-интерфейс с понятным для восприятия управлением (типа как в керио) или нужно будет копать логи и пытаться что-то там анализировать и прописывать ограничения из командной строки? В этом решении есть ограничение юзеров по трафику?
Задача состоит в том, чтобы все настроить и отдать управление человеку, который не является специалистом в администрировании, обычный пользователь, нужно чтобы все было наглядно и просто.Анахронизм типа диал-ап давно в прошлом. Используем ADSL, что в общем-то тоже по современным меркам древность, но другого варианта нет.
А на вопрос зачем резать по трафику отвечу - Вам может показаться это дикостью, но на северных просторах нашей большой страны, где я и проживаю, нет безлимитного Интернета. У единственного провайдера тариф на трафик 2р. за 1мб. Так что ограничение на объем скачиваемой информации не от хорошей жизни ((((
-
13al, если найдете такое решение, отпишитесь. В моей практике в таких условиях 3proxy был настоящей находкой. Да, он много чего не делает, но выбирать особо не из чего.
-
Ну, на сколько я помню, порезать канал, устроить авторизацию по ip и все прочеe, сквид может в связке с любыми никсами и без всякого стороннего софта, да и надежнее некуда, правда будет вам командная строка и текстовые ACL, зато бесплатно, быстро, дешево и сердито.
Прям то, что нужно автору (ну там, красивый веб интерфейс, понятное управление и прочие радости) у меня работало много лет в связке FreeBSD+Squid+SAMS+редиректор (по-вкусу). Авторизирует как хочешь, от ip до AD, расписание доступа, блокировки любые разные, ширина канала, регулярные выражения, короче - праздник каждый день ;)
Я правда не знаю как там сейчас с поддержкой самса во фряхе (ну, заюзаете линух), да и с самим самсом, но проект вроде живой и для линуха пакеты клепает. Только это все нужно собрать в кучу самому, что есть определенный геморр, хотя и мануалов - тьма, дерзайте, картинки в гугле по запросу - SAMS2 - SQUID ;)
Мне вот самому стало интересно, а pfSense, если на нем поставить проксю, позволяет делать выбор "этому клиенту через прокси, а этому нет"?
-
Мне вот самому стало интересно, а pfSense, если на нем поставить проксю, позволяет делать выбор "этому клиенту через прокси, а этому нет"?
Насколько мне известно, там есть bypass для указанных IP.
-
Вот как бы это поточнее узнать да-нет, а-то нигде толком не могу прочесть.
Это я к тому, что от проксирования после перехода на сенс я пока у себя отказался, но есть мысль накруть его обратно.
Вышеописанная связка с самсом меня в общем-то всем устраивала, только поддержка всей этой солянки стала отнимать много времени, потому и ушел я на "спецом заточенный дистрибутив", ну и вечная борьба бобра с ослом - skype против proxy - меня добила окончательно :-\
Кто хочет рецепт борьбы со скайпом - sams (AD авторизаци) + squid 2 - все, скайп не работает :)
-
В squid2 плохо проработана функция ограничения трафика, поэтому, для меня, остаётся только 3proxy.
-
Мне вот самому стало интересно, а pfSense, если на нем поставить проксю, позволяет делать выбор "этому клиенту через прокси, а этому нет"?
Тоже такая вещь интересует.
гугл подкинул про bypassИ еще пара интересных опций, которые работают только в режиме Transparent:
Bypass proxy for these source IPs — сюда можно вписать список компьютеров локальной сети через разделитель ; которым разрешено ходить в обход прокси-сервера.
Bypass proxy for these destination IPs — сюда можно вписать список внешних ресурсов через разделитель ; до которых все компьютеры локальной сети смогут ходить напрямую (не через прокси). -
В squid2 плохо проработана функция ограничения трафика, поэтому, для меня, остаётся только 3proxy.
А вторая версия это уже глубокая древность, пользуйте 3-ю :)
to Foxget:
Надо будет на втором канале поэкспериментировать ::)
-
Спасибо большое за советы. Командная строка + копание в логах однозначно не вариант, как я уже сказал, мониторить будет человек, который в этом ни петь, ни рисовать как говориться.
Нужны аналоги керио или usergate, чтобы зашел через веб, посмотрел статистику, поставил нужные галки, лимиты, в таком духе. Не "красивый веб интерфейс", а понятный для восприятия и удобный обычному юзеру. В связи с этим вопрос a_ivanov, связка FreeBSD+Squid+SAMS+редиректор (по-вкусу), можно поконкретнее? Я так понял, что нужно установить FreeBSD и на него уже навесить что-то из трех перечисленный вариантов?… -
Да уж как подробнее-то…там где + это не что-то из перечисленных вариантов, а все вместе ;-)
Ставите линух или фрю (я первый терпеть не могу, но под него поддержка "гуще"), устанавливаете сквид + sams + редиректор. Что там сейчас из редиректоров используют точно не скажу, но раньше был выбор из 4-х - самсовский редиректор, режик, сквидгард и редиректор самого сквида (никогда не видел чтобы его кто-то юзал). Настраиваете дополнительную софтину, ну там базы скульные + апач с пхп, в общем обычная никсовая настройка - система как база, прокся как основной компонет, самс, как надстройка над проксей, позволяющая Вам "ставить галочки", БД для хранения всего и вся, апач\пхп для визуализации морды лица и выполнения скриптов.
Дать Вам инструкцию по шагам я не смогу, шагов слишком мучас, выбирайте операционку, на которой все будет вертеться и в путь (на форумы, если хелп не помогает).
В мануале к самсу установка всего была отлично расписана.
Я не знаю как тут со ссылками на другие ресурсы, да и имеет ли их смысл давать, если есть гугль.
Весь функционал, который запрашивается там есть, веб-морда очень понятная, загоняете пользователей, настраиваете ограничения, автоотключения и прочее.
Работать с ним не профи сможет 100%, у меня работали :-)
-
Понял, спасибо. Попробую все это осилить.
-
Ну и если будете линух ставить, то лучше centos или debian, разрабы самса пакеты выкладывают именно под них.
-
Нет, буду пробовать на fbsd, поскольку с ней немного знаком. С линуксом совсем нет опыта.
-
Хм, сейчас глянул, а второй самс даже в портах фревых есть, тогда вообще хорошо :)
-
Доброе.
Есть all-in-one на linux со сквидом и т.д. - http://www.nethserver.org/ и https://cloudrouter.org/ -
Оба два хуже предложенной связки в плане функционала, и если у первого еще что-то есть, то у второго вообще ничего подобного не нашел…когда-то, лет пяток назад, ковырял похожее на Zentyal (таких сборок вообще-то не мало, но этот был самый понятный и рабочий), тоже вещь довольно приятная, но все это "паровозы" с кучей ненужного (автору) функционала. И да, настройки в плане веб у них у всех хуже (проще), чем у SAMS.
Я в свое время рассматривал альтернативы самсу, т.к. автор его к тому времени "задолбался" и был вообще вопрос о прекращении существования самого дистра (потом его даже из портов убрали кажется). В общем был неприятно удивлен отсутствием альтернатив, а еще тем, что одиночка для себя (своей конторы) накропал такого уровня софтину, а от "гигантов мысли" мы такого так и не увидели до сих пор даже за деньги....
А сейчас гляжу все активно (порты, релизы, инфа на сайте), значит все наладилось, т.е. я бы даже и не заморачивался.
Я б и у себя развернул такое, но у меня среда Hyper-V, а там с поддержкой фри туговато....
-
Доброе.
Я б и у себя развернул такое, но у меня среда Hyper-V, а там с поддержкой фри туговато…
Больше 2-х лет мой pf жил на hyper-v. Даже с VLAN-ами, кои настраивались с пом. Powershell, т.к. простое указание номера VLAN в настр. вирт. маш. не помогало от слова совсем.
Ушел с hyper-v на Proxmox (zfs raid, autobackup тремя разн. способами с ротацией, cluster, контейнеры LXC и т.д. - и всё это даром). Управление из любого современного браузера.
Из последних нововведений :Proxmox VE Storage Replication
Одним из серьёзных нововведений стоит признать технологию Storage Replication. Как было до её появления? Вам был нужен общий ресурс (shared storage), на котором будут лежать образы-жёсткие-диски виртуальных машин. Вы могли бы использовать Live Migration для того, чтобы виртуальная машина в режиме онлайн могла "переходить" с одной физической ноды на другую в случаях аварий или при плановом обслуживании. А как быть в случаях, когда нет возможности создать такой общий ресурс?Технология Storage Replication позволяет в асинхронном режиме БЕЗ использования общих хранилищ передавать на другую ноду дельты изменений виртуальной машины, чтобы в случае поломки ноды у вас были данные на другой. Технология опирается на механизм снимков (snapshots), которые и отправляются, как дельты, на целевую ноду. Минимальный интервал - 1 минута. Максимальный - 1 неделя.
Гостевую операционную систему можно реплицировать на несколько нод кластера, но, естественно, нельзя реплицировать дважды на одну и ту же. Включённая для гостевой системы технология реплицирования не позволяет использовать технологию Live Migration, хотя обычное offline мигрирование поддерживается.
Если у вас, для примера, есть VM100 на НодаА и вы указали реплицировать данные на НодаБ, а потом заставили мигрировать виртуальную машину с А на Б, то при успешной миграции реплика сама поменяет направление и уже НодаА будет принимать изменения-дельты от НодаБ. Если вы заставляете VM мигрировать туда где нет реплики, то будет скопирован полный образ гостя, а реплика будет продолжаться делаться на ту ноду, куда вы указывали прежде.
Более подробно Storage Replication https://pve.proxmox.com/wiki/Storage_Replication
importdisk
Улучшили и упростили процедуру импорта виртуальных машин других гипервизоров, таких как VMware, Hyper-V. Появилась возможность вызвать qm с параметром qm importdiskДо сего момента, переход с одного гипервизора был болезненным. Кроме образа диска нужно было разобраться с конфигурацией аппаратуры, которую виртуализировал гипервизор. Ошибки в ручном подборе похожего "железа" и вот гостевая MS Windows падает в BSoD. Нужно было раньше готовить гостя к переходу через легендарный MergeIDE, теперь многое станет проще.
Более подробно Importing Virtual Machines from foreign hypervisors https://pve.proxmox.com/wiki/Qemu/KVM_Virtual_Machines#_importing_virtual_machines_from_foreign_hypervisors
Зы. В кач-ве эксперимента люди даже вот такое проделывают - https://www.servethehome.com/creating-the-ultimate-virtualization-and-container-setup-with-management-guis/
-
Ну, винду все одно покупать, а хипер-в там уже встроен, чего ж не использовать тогда + veem (который free) по сути те же прелести имеем, понятно в Вашем случае все из коробки и лучше поддержка никсовых систем, что радует больше :)
Хипер-в был выбран, т.к. вообще я ушел целиком на винду, никсы все похерил, что интересно, ибо я 15 лет в этой конторе и начинал все с того, что винды не было принципиально (молодой был ишшо и горячий), кроме терминальника для 1С, клиентские станции на винде по-минимуму, кругом опенсорц и даром, дурдом короче ;D
В итоге это себе лишний геморр, начальству чихать что там у него платно, что бесплатно ;D
Со временем (ну, естественно, если имеется прогресс) вопрос "даром" или "не даром" теряет свою актуальность, ну, здравый смысл конечно никто не отменял - перестала у меня циска 2811 справляться с нагрузкой, я другую покупать не буду (я если честно так и не понял зачем их люди покупают ;), валяется теперь, а выкинуть жалко ::)) если у меня куча свободных железок, вот и поставил pfSense, да и то, только как узнал что он на фряхе основан, а так хотел опять "руками" все поднимать :D
А proxmox молодцы, не плохая альтернатива майкрософтовцам и вмварцам, последние вообще жлобы ::)
-
Соглашусь. На месте - виднее.
Ps.
Хипер-в был выбран, т.к. вообще я ушел целиком на винду, никсы все похерил, что интересно, ибо я 15 лет в этой конторе
Без *nix сейчас никуда - все приличные вакансии на том же hh требуют знаний linux. ИМХО, сегодня одна работа, а завтра - другая, где эти знания с большой долей вероятности
могут понадобиться. С одной стороны 15 лет на одном месте вроде как и стабильно, а с др. - это тупик. Конец развитию. Или заставлять себя изучать новое.
Я бы подумал. Скорее всего и время есть на изучение, да ;) ?Ps2. Hyper-V в чистом виде, а не как роль Windows Server - также бесплатен. Veeam (уже) также есть под Linux - https://serveradmin.ru/backup-i-perenos-linux-servera/
