Настройка правил для пользователей



  • Здравствуйте все. Есть задача сделать учет Интернета для сети небольшой компании. Критерий: ПО должно бесплатным и надежным, юзеров нужно ограничивать в трафике и ежедневном и месячном. В поисках аналога Kerio Control наткнулся на pfsense. Посмотрел возможности, устроило, скачал, установил, сделал первоначальную настройку. В описании возможностей было перечислено создание правил выхода в сеть для пользователей (см. вложение). Но в веб интерфейсе не нашел, где это все настраивается. В меню System->User manager нет ничего по этому поводу. Нужны лимиты по трафику (день, месяц), авторизация по ip.
    Подскажите пож. люди добрые, где копать. Или может вообще нужно искать другое решение?…

    Версия pfsense 2.3.4-RELEASE (amd64) built on Wed May 03 15:13:29 CDT 2017



  • Доброе.

    Для подсчета ipcad + lightsquid https://forum.pfsense.org/index.php?topic=117423.0

    Нужны лимиты по трафику (день, месяц)

    Встречный вопрос. У Вас диал-ап ? Я к тому, что понимаю - ограничивать доступ к опред. ресурсам и подсчитывать. Но резать по трафику ??



  • Признаюсь, во fbsd я почти полный ноль, исходя из этого инструкция не представляется для меня легкой. Попробую сделать. Но вот вопрос, как это будет выглядеть? Управление трафиком я имею ввиду. Это будет наглядный веб-интерфейс с понятным для восприятия управлением (типа как в керио) или нужно будет копать логи и пытаться что-то там анализировать и прописывать ограничения из командной строки? В этом решении есть ограничение юзеров по трафику?
    Задача состоит в том, чтобы все настроить и отдать управление человеку, который не является специалистом в администрировании, обычный пользователь, нужно чтобы все было наглядно и просто.

    Анахронизм типа диал-ап давно в прошлом. Используем ADSL, что в общем-то тоже по современным меркам древность, но другого варианта нет.

    А на вопрос зачем резать по трафику отвечу - Вам может показаться это дикостью, но на северных просторах нашей большой страны, где я и проживаю, нет безлимитного Интернета. У единственного провайдера тариф на трафик 2р. за 1мб. Так что ограничение на объем скачиваемой информации не от хорошей жизни ((((



  • 13al, если найдете такое решение, отпишитесь. В моей практике в таких условиях 3proxy был настоящей находкой. Да, он много чего не делает, но выбирать особо не из чего.



  • Ну, на сколько я помню, порезать канал, устроить авторизацию по ip и все прочеe, сквид может в связке с любыми никсами и без всякого стороннего софта, да и надежнее некуда, правда будет вам командная строка и текстовые ACL, зато бесплатно, быстро, дешево и сердито.

    Прям то, что нужно автору (ну там, красивый веб интерфейс, понятное управление и прочие радости) у меня работало много лет  в связке FreeBSD+Squid+SAMS+редиректор (по-вкусу). Авторизирует как хочешь, от ip до AD, расписание доступа, блокировки любые разные, ширина канала, регулярные выражения, короче - праздник каждый день ;)

    Я правда не знаю как там сейчас с поддержкой самса во фряхе (ну, заюзаете линух), да и с самим самсом, но проект вроде живой и для линуха пакеты клепает. Только это все нужно собрать в кучу самому, что есть определенный геморр, хотя и мануалов - тьма, дерзайте, картинки в гугле по запросу - SAMS2 - SQUID ;)

    Мне вот самому стало интересно, а pfSense, если на нем поставить проксю, позволяет делать выбор "этому клиенту через прокси, а этому нет"?



  • Мне вот самому стало интересно, а pfSense, если на нем поставить проксю, позволяет делать выбор "этому клиенту через прокси, а этому нет"?

    Насколько мне известно, там есть bypass для указанных IP.



  • Вот как бы это поточнее узнать да-нет, а-то нигде толком не могу прочесть.

    Это я к тому, что от проксирования после перехода на сенс я пока у себя отказался, но есть мысль накруть его обратно.

    Вышеописанная связка с самсом меня  в общем-то всем устраивала, только поддержка всей этой солянки стала отнимать много времени, потому и ушел я на "спецом заточенный дистрибутив", ну и вечная борьба бобра с ослом - skype против proxy - меня добила окончательно :-\

    Кто хочет рецепт борьбы со скайпом - sams (AD авторизаци) + squid 2 - все, скайп не работает :)



  • В squid2 плохо проработана функция ограничения трафика, поэтому, для меня, остаётся только 3proxy.



  • @a_ivanov:

    Мне вот самому стало интересно, а pfSense, если на нем поставить проксю, позволяет делать выбор "этому клиенту через прокси, а этому нет"?

    Тоже такая вещь интересует.
    гугл подкинул про bypass

    И еще пара интересных опций, которые работают только в режиме Transparent:

    Bypass proxy for these source IPs — сюда можно вписать список компьютеров локальной сети через разделитель ; которым разрешено ходить в обход прокси-сервера.
        Bypass proxy for these destination IPs — сюда можно вписать список внешних ресурсов через разделитель ; до которых все компьютеры локальной сети смогут ходить напрямую (не через прокси).



  • @Scodezan:

    В squid2 плохо проработана функция ограничения трафика, поэтому, для меня, остаётся только 3proxy.

    А вторая версия это уже глубокая древность, пользуйте 3-ю :)

    to Foxget:

    Надо будет на втором канале поэкспериментировать ::)



  • Спасибо большое за советы. Командная строка + копание в логах однозначно не вариант, как я уже сказал, мониторить будет человек, который в этом ни петь, ни рисовать как говориться.
    Нужны аналоги керио или usergate, чтобы зашел через веб, посмотрел статистику, поставил нужные галки, лимиты, в таком духе. Не "красивый веб интерфейс", а понятный для восприятия и удобный обычному юзеру. В связи с этим вопрос a_ivanov, связка FreeBSD+Squid+SAMS+редиректор (по-вкусу), можно поконкретнее? Я так понял, что нужно установить FreeBSD и на него уже навесить что-то из трех перечисленный вариантов?…



  • Да уж как подробнее-то…там где + это не что-то из перечисленных вариантов, а все вместе ;-)

    Ставите линух или фрю (я первый терпеть не могу, но под него поддержка "гуще"), устанавливаете сквид + sams + редиректор. Что там сейчас из редиректоров используют точно не скажу, но раньше был выбор из 4-х - самсовский редиректор, режик, сквидгард и редиректор самого сквида (никогда не видел чтобы его кто-то юзал). Настраиваете дополнительную софтину, ну там базы скульные + апач с пхп, в общем обычная никсовая настройка - система как база, прокся как основной компонет, самс, как надстройка над проксей, позволяющая Вам "ставить галочки", БД для хранения всего и вся, апач\пхп для визуализации морды лица и выполнения скриптов.

    Дать Вам инструкцию по шагам я не смогу, шагов слишком мучас, выбирайте операционку, на которой все будет вертеться и в путь (на форумы, если хелп не помогает).

    В мануале к самсу установка всего была отлично расписана.

    Я не знаю как тут со ссылками на другие ресурсы, да и имеет ли их смысл давать, если есть гугль.

    Весь функционал, который запрашивается там есть, веб-морда очень понятная, загоняете пользователей, настраиваете ограничения, автоотключения и прочее.

    Работать с ним не профи сможет 100%, у меня работали :-)



  • Понял, спасибо. Попробую все это осилить.



  • Ну и если будете линух ставить, то лучше centos или debian, разрабы самса пакеты выкладывают именно под них.



  • Нет, буду пробовать на fbsd, поскольку с ней немного знаком. С линуксом совсем нет опыта.



  • Хм, сейчас глянул, а второй самс даже в портах фревых есть, тогда вообще хорошо :)



  • Доброе.
    Есть all-in-one на linux со сквидом и т.д. - http://www.nethserver.org/ и https://cloudrouter.org/



  • Оба два хуже предложенной связки в плане функционала, и если у первого еще что-то есть, то у второго вообще ничего подобного не нашел…когда-то, лет пяток назад, ковырял похожее на Zentyal (таких сборок вообще-то не мало, но этот был самый понятный и рабочий), тоже вещь довольно приятная, но все это "паровозы" с кучей ненужного (автору) функционала. И да, настройки в плане веб у них у всех хуже (проще), чем у SAMS.

    Я в свое время рассматривал альтернативы самсу, т.к. автор его к тому времени "задолбался" и был вообще вопрос о прекращении существования самого дистра (потом его даже из портов убрали кажется). В общем был неприятно удивлен отсутствием альтернатив, а еще тем, что одиночка для себя (своей конторы) накропал такого уровня софтину, а от "гигантов мысли" мы такого так и не увидели до сих пор даже за деньги....

    А сейчас гляжу все активно (порты, релизы, инфа на сайте), значит все наладилось, т.е. я бы даже и не заморачивался.

    Я б и у себя развернул такое, но у меня среда Hyper-V, а там с поддержкой фри туговато....



  • Доброе.

    Я б и у себя развернул такое, но у меня среда Hyper-V, а там с поддержкой фри туговато…

    Больше 2-х лет мой pf жил на hyper-v. Даже с VLAN-ами, кои настраивались с пом. Powershell, т.к. простое указание номера VLAN в настр. вирт. маш. не помогало от слова совсем.

    Ушел с hyper-v на Proxmox (zfs raid, autobackup тремя разн. способами с ротацией, cluster, контейнеры LXC и т.д. - и всё это даром). Управление из любого современного браузера.
    Из последних нововведений :

    Proxmox VE Storage Replication
    Одним из серьёзных нововведений стоит признать технологию Storage Replication. Как было до её появления? Вам был нужен общий ресурс (shared storage), на котором будут лежать образы-жёсткие-диски виртуальных машин. Вы могли бы использовать Live Migration для того, чтобы виртуальная машина в режиме онлайн могла "переходить" с одной физической ноды на другую в случаях аварий или при плановом обслуживании. А как быть в случаях, когда нет возможности создать такой общий ресурс?

    Технология Storage Replication позволяет в асинхронном режиме БЕЗ использования общих хранилищ передавать на другую ноду дельты изменений виртуальной машины, чтобы в случае поломки ноды у вас были данные на другой. Технология опирается на механизм снимков (snapshots), которые и отправляются, как дельты, на целевую ноду. Минимальный интервал - 1 минута. Максимальный - 1 неделя.

    Гостевую операционную систему можно реплицировать на несколько нод кластера, но, естественно, нельзя реплицировать дважды на одну и ту же. Включённая для гостевой системы технология реплицирования не позволяет использовать технологию Live Migration, хотя обычное offline мигрирование поддерживается.

    Если у вас, для примера, есть VM100 на НодаА и вы указали реплицировать данные на НодаБ, а потом заставили мигрировать виртуальную машину с А на Б, то при успешной миграции реплика сама поменяет направление и уже НодаА будет принимать изменения-дельты от НодаБ. Если вы заставляете VM мигрировать туда где нет реплики, то будет скопирован полный образ гостя, а реплика будет продолжаться делаться на ту ноду, куда вы указывали прежде.

    Более подробно Storage Replication https://pve.proxmox.com/wiki/Storage_Replication

    importdisk
    Улучшили и упростили процедуру импорта виртуальных машин других гипервизоров, таких как VMware, Hyper-V. Появилась возможность вызвать qm с параметром qm importdisk

    До сего момента, переход с одного гипервизора был болезненным. Кроме образа диска нужно было разобраться с конфигурацией аппаратуры, которую виртуализировал гипервизор. Ошибки в ручном подборе похожего "железа" и вот гостевая MS Windows падает в BSoD. Нужно было раньше готовить гостя к переходу через легендарный MergeIDE, теперь многое станет проще.

    Более подробно Importing Virtual Machines from foreign hypervisors https://pve.proxmox.com/wiki/Qemu/KVM_Virtual_Machines#_importing_virtual_machines_from_foreign_hypervisors

    Зы. В кач-ве эксперимента люди даже вот такое проделывают - https://www.servethehome.com/creating-the-ultimate-virtualization-and-container-setup-with-management-guis/



  • Ну, винду все одно покупать, а хипер-в там уже встроен, чего ж не использовать тогда + veem (который free) по сути те же прелести имеем, понятно в Вашем случае все из коробки и лучше поддержка никсовых систем, что радует больше :)

    Хипер-в был выбран, т.к. вообще я ушел целиком на винду, никсы все похерил, что интересно, ибо я 15 лет в этой конторе и начинал все с того, что винды не было принципиально (молодой был ишшо и горячий), кроме терминальника для 1С, клиентские станции на винде по-минимуму, кругом опенсорц и даром, дурдом короче ;D

    В итоге это себе лишний геморр, начальству чихать что там у него платно, что бесплатно ;D

    Со временем (ну, естественно, если имеется прогресс) вопрос "даром" или "не даром" теряет свою актуальность, ну, здравый смысл конечно никто не отменял - перестала у меня циска 2811 справляться с нагрузкой, я другую покупать не буду (я если честно так и не понял зачем их люди покупают ;), валяется теперь, а выкинуть жалко ::)) если у меня куча свободных железок, вот и поставил pfSense, да и то, только как узнал что он на фряхе основан, а так хотел опять "руками" все поднимать :D

    А proxmox молодцы, не плохая альтернатива майкрософтовцам и вмварцам, последние вообще жлобы ::)



  • Соглашусь. На месте - виднее.

    Ps.

    Хипер-в был выбран, т.к. вообще я ушел целиком на винду, никсы все похерил, что интересно, ибо я 15 лет в этой конторе

    Без *nix сейчас никуда - все приличные вакансии на том же hh требуют знаний linux. ИМХО, сегодня одна работа, а завтра - другая, где эти знания с большой долей вероятности
    могут понадобиться.  С одной стороны 15 лет на одном месте вроде как и стабильно, а с др. - это тупик. Конец развитию. Или заставлять себя изучать новое.
    Я бы подумал. Скорее всего и время есть на изучение, да  ;) ?

    Ps2. Hyper-V в чистом виде, а не как роль Windows Server - также бесплатен. Veeam (уже) также есть под Linux - https://serveradmin.ru/backup-i-perenos-linux-servera/



  • Все зависит…от места, это точно, у кого-то вон с интернетом до сих пор туго, а где-то люди со знанием никсов и не нужны вовсе ;)

    Ну, то что парк переехал по большей части на винду это не значит, что я сразу забыл все про никсы ;)  А сидеть медитировать в консоль для поднятия скилла, это как учить английский, типа на всякий случай, а вдруг пригодится....да не пригодится, ты либо делаешь это, либо нет, вот и все :)

    В плане администрирования все однотипно на любой системе, какая разница, что под рукой - принцип один и тот же, ньюансы лечатся по месту, в этом плане админство - скука смертная ::)

    Ну, я там все 15 лет не сидел безвылазно, но можно сказать, что поддерживал всю систему, даже когда в другом месте работал, сейчас просто вернулся обратно после нескольких перерывов ;) И да, фактически это потолок, но пока все предложения на рынке проигрывают текущему положению дел, что поделать, бабло побеждает...пока ;D

    А потом, я себя не вижу дальше вообще в этой сфере, ИТ оно у нас тут тупиковая ветвь развития в целом, т.е. до старости этим заниматься не планирую :)

    Время на изучение всего и вся найти можно всегда, вопрос, а нужно-ли, знания без применения это пустой выхлоп...

    Ну скажем так, хипер-в он вообще бесплатен, имеется ввиду безоконная реализация виндового сервера скорее всего. Если вы не мазохист (скриптофил) или не рулите какими-нибудь фермами виртуальных серверов, то оно редкого когда надо (в моем случае вообще не надо) :)

    Ну а перенос никсовой машины он и без вима был задачей не высшей сложности, о чем автор сразу и пишет :)

    Да и вообще, наличие вима ведь тоже сродни этой теме, т.е. все можно сделать и средствами винды, но нам подавай красивый интерфейс с галочками ;)



  • Ну скажем так, хипер-в он вообще бесплатен,

    На самом деле нет. Если компетентная организация проявит интерес к наличию лицензий, то выяснится, что, например, для Server 2012:

    Одна лицензия Standard дает право запуска двух виртуализированных экземпляров на хосте.
    ..
    При этом Standard, как и редакции Server 2008, позволяет, в случае запуска двух виртуализированных экземпляров, использовать физический экземпляр ОС только для обслуживания виртуальных машин,

    И т.д.

    Взято отсюда:
    https://interface31.ru/tech_it/2014/07/licenzirovanie-windows-server-2012.html
    Неплохой, кстати, блог. Хотя  основная тематика - 1С, но рассматриваются разные аспекты, иногда 1С касающиеся весьма вскользь.



  • Hyper-V в чистом виде - бесплатен https://ru.wikipedia.org/wiki/Microsoft_Hyper-V_Server
    Описанное ув. pigbrother лицензорование относится к Windows Server.

    Поясню. Вы покупаете лицензионный Win Server, то:

    Вар.1.
    Вы устанавливаете его на физ. машину и лицензируете единожды.

    Вар. 2.
    Вы устанавливаете его как вирт. маш. в hyper-v. В этом случае вы законно можете исп. одну лицензию на две вирт. маш. Только перемещать ее в кластере нельзя (вроде).



  • Поясню свой пост. Речь не идет о сознательном выборе бесплатного Hyper-V в качестве платформы виртуализации  :).
    Речь о популярном заблуждении о бесплатности Hyper-V при его использовании в составе "полноценного" сервера.



  • Еще раз - Hyper-V - это роль (служба на сервере), ее нельзя купить она "бесплатная", как dhcp или dns  :)

    То что написал  pigbrother, это лицензионные ограничения для связки сервера и данной службы и не более, кто их не читает, тот сам себе злобный буратино ;)

    Microsoft_Hyper-V_Server - это покоцанный Core, с одной единственной ролью :)

    А на счет кластера - лицензии придется покупать независимо от ПО виртуализации ;)



  • Я так понял, альтернативы самсу не найти. Спасибо за участие, буду попробовать.



  • 13al, я все-таки спрошу, а чем не устраивают платные решения озвученные Вами же, тот же юзергейт стоит копейки (10 баксов за  1 бессрочную лицензию) для средней конторки вообще самое то, или у Вас там 1000 юзеров и денег на ИТ принципиально не дают?



  • Покупка лицензии UG тянет за собой покупку компа в комплекте с виндой, а на это денег как бы нет. Для этих целей в наличии есть старенький комп, на который вполне можно поставить нетребовательную fbsd. Вот собственно вся арифметика. С фряхой я знаком поверхностно и наивно полагал, что бесплатных решений в этой среде предостаточно. Но как оказалось это совсем не так и тут требуется достаточно серьезный навык плюс понимание процессов, чтобы отладить такую вот бесплатную систему.
    Конторка действительно маленькая, и UG на 10 пользователей все же стоит не 10 баксов, а 12500р., ну и плюс расходы на комп с виндой. Так что скорее всего все же попробую запустить FBSD с SAMS.



  • Печаль-тоска :(


Log in to reply