Схема доступа "Офис"



  • Разумеется данный вопрос был поднят уже не одну тысячу раз и конкретной схемы решения не имеет.
    Можно сказать, каждый специалист решает его по своему. Данный топик предлагаю для того, что бы делится и обсуждать эти "рецепты".

    Прежде всего давайте рассмотрим какую либо примитивную структуру офиса. В современном мире мы имеем:
    1. Пользовательские ПК
    2. Ноутбуки (WiFi)
    3. Принтеры
    4. Смартфоны/планшеты пользователей

    Разумеется, здравый смысл говорит о том что давать всем и всяк неконтролируемый доступ в интернет - моветон.
    Кроме того что это не безопасно, так еще и всякие недобросовестные сотруники могут весьма ощутимо забивать каналы в рабочее время всяческими торрентами, видео и так далее! Разумеется в разрезе 5 пользователей - данную тему рассматривать глупо! (Давайте рассматривать овер 30 пользователей)

    Исходя из выше перечисленного хотелось бы что бы всеми любимый  pfsense обслуживал следующие моменты:

    1. Статистика посещения пользователями ресурсов интернет (зачастую нужно для начальства)
    2. Возможность контролировать доступ к определенным ресурсам (да да да. Закрыть одноклассники И так далее)
    3. Никакого общего НАТ для всех гуляй нехочу
    4. Возможность работы с несколькими провайдерами
    5. Ограничение скорости по сегментам/отдельным пользователем

    В целом вышеописанного функционала хватает за глаза.

    Теперь непосредственно сам вопрос который возник у меня и пока что годной реализации я не нашел:
    Для того что бы организовать сбор статистики а так же контроль посещения ресурсов нам любезно рекомендуют связку
    SQUID + SquidGuard + LightSquid
    В целом, на данную тематику предостаточно статей, но на данный момент я никак не найду элегантного решения, так что не стесняясь - прошу подсказать:

    Использовать обычный прокси не удобно - так как на всех клиентах необходимо его прописывать. И если в разрезе рабочих станций это не проблема - то планшеты + смартфоны пользователей это сущий ад! Не говоря уже о том что "дома" у них перестал работать тырнет (ясен красен - прокси ж указан)

    Использовать прозрачный прокси казалось бы верным решением - но получаем проблему с HTTPS трафиком. Который нужно или пускать натом (прощай правила фильтрации) либо как то настроить данную опцию что бы оно людски работало с прозрачным режимом

    ну и третий вариант - все рабочие станции выделить в группу - пустить через прокси явным образом а для двсякой голимотьи выделить подсеть - нарезать скорость и пусть себе пасуться со своих телефонов!

    Вот кто что думает по данному поводу?



  • И если в разрезе рабочих станций это не проблема - то планшеты + смартфоны пользователей это сущий ад!
    Согласен. Есть такое решение
    https://ru.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
    Но с мобильными устройствами\браузерами оно вроде как работает криво

    Не говоря уже о том что "дома" у них перестал работать тырнет (ясен красен - прокси ж указан)

    А вот это не совсем так - при ручном задании прокси на  мобильных устройствах он указывается индивидуально для каждой сети Wi-Fi



  • Всеравно не камильфо каждому прокси прописывать.


Log in to reply