Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Схема доступа "Офис"

    Scheduled Pinned Locked Moved
    Russian
    2
    3
    672
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      kobzar
      last edited by

      Разумеется данный вопрос был поднят уже не одну тысячу раз и конкретной схемы решения не имеет.
      Можно сказать, каждый специалист решает его по своему. Данный топик предлагаю для того, что бы делится и обсуждать эти "рецепты".

      Прежде всего давайте рассмотрим какую либо примитивную структуру офиса. В современном мире мы имеем:
      1. Пользовательские ПК
      2. Ноутбуки (WiFi)
      3. Принтеры
      4. Смартфоны/планшеты пользователей

      Разумеется, здравый смысл говорит о том что давать всем и всяк неконтролируемый доступ в интернет - моветон.
      Кроме того что это не безопасно, так еще и всякие недобросовестные сотруники могут весьма ощутимо забивать каналы в рабочее время всяческими торрентами, видео и так далее! Разумеется в разрезе 5 пользователей - данную тему рассматривать глупо! (Давайте рассматривать овер 30 пользователей)

      Исходя из выше перечисленного хотелось бы что бы всеми любимый  pfsense обслуживал следующие моменты:

      1. Статистика посещения пользователями ресурсов интернет (зачастую нужно для начальства)
      2. Возможность контролировать доступ к определенным ресурсам (да да да. Закрыть одноклассники И так далее)
      3. Никакого общего НАТ для всех гуляй нехочу
      4. Возможность работы с несколькими провайдерами
      5. Ограничение скорости по сегментам/отдельным пользователем

      В целом вышеописанного функционала хватает за глаза.

      Теперь непосредственно сам вопрос который возник у меня и пока что годной реализации я не нашел:
      Для того что бы организовать сбор статистики а так же контроль посещения ресурсов нам любезно рекомендуют связку
      SQUID + SquidGuard + LightSquid
      В целом, на данную тематику предостаточно статей, но на данный момент я никак не найду элегантного решения, так что не стесняясь - прошу подсказать:

      Использовать обычный прокси не удобно - так как на всех клиентах необходимо его прописывать. И если в разрезе рабочих станций это не проблема - то планшеты + смартфоны пользователей это сущий ад! Не говоря уже о том что "дома" у них перестал работать тырнет (ясен красен - прокси ж указан)

      Использовать прозрачный прокси казалось бы верным решением - но получаем проблему с HTTPS трафиком. Который нужно или пускать натом (прощай правила фильтрации) либо как то настроить данную опцию что бы оно людски работало с прозрачным режимом

      ну и третий вариант - все рабочие станции выделить в группу - пустить через прокси явным образом а для двсякой голимотьи выделить подсеть - нарезать скорость и пусть себе пасуться со своих телефонов!

      Вот кто что думает по данному поводу?

      WatchGuard x750e + 2GB + SATA-IDE 320GB

      1 Reply Last reply Reply Quote 0
      • P
        pigbrother
        last edited by

        И если в разрезе рабочих станций это не проблема - то планшеты + смартфоны пользователей это сущий ад!
        Согласен. Есть такое решение
        https://ru.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
        Но с мобильными устройствами\браузерами оно вроде как работает криво

        Не говоря уже о том что "дома" у них перестал работать тырнет (ясен красен - прокси ж указан)

        А вот это не совсем так - при ручном задании прокси на  мобильных устройствах он указывается индивидуально для каждой сети Wi-Fi

        1 Reply Last reply Reply Quote 0
        • K
          kobzar
          last edited by

          Всеравно не камильфо каждому прокси прописывать.

          WatchGuard x750e + 2GB + SATA-IDE 320GB

          1 Reply Last reply Reply Quote 0
          • First post
            Last post