Собственно вопрос админам: что у вас стоит на шлюзах, раздающих Инет, имеется в виду ОСь, софт и т.д.
Начну с себя: Windows Server 2003 EE,
Kerio WinRoute Firewall 6.2.1
Kerio MailServer 6.1.4
Почему спрашиваю-не устраивает меня WinRoute,
траффик криво считает, а для меня это критично, ищу решение поудачнее (только
не предлагайте SQUID под UNIX-пройденный вариант).
Пардон, а чем юниксовая платформа плоха, почему отказались?
Win2k + MS ISA2k + TrafficQuota + IIS (не смотрит наружу) + CMS (не смотрит наружу). Красивые отчеты по траффику - ProxyInspector + самописная прога.
Пашет уже 3 года, за это время менялись только версии TQuota (очень хотелось бы поиметь 2.0 b9, 2.0 b1 на 100 усеров есть, но некоторые полезные фичи не реализованы).
2 falcon:
От юникса отказались, т.к. аутентификация пользователей в SQUID была по IP
(настраивал не я), было в SQUID куча дыр
(юзверь мог словить момень и без лимита за час скачать хоть сколько, DSL 1,6 MBit, посчитайте
сколько мог скачать юзверь с чужой машины в нужное время), самопальная кривая статистика
(собрана на Postgres SQL)+сложная настройка.
Рассматривал вариант ISA 2000-кривая аутентификация (логин-пароль не всегда
выпрыгивает), ISA 2004-не работает для нескольких подсетей (а у нас именно так).
Гм... Не замечал за ISA2k глюков с аудетификацей как при поднятом домене, так и в обычных рабочих группах. С разными подсетями тоже работает без проблем, нужно просто правильно сконструировать LAT.
Да и вообще, перепробовав WinRoute, WinGate и еще пару малоизвестных проксей остановился именно на ISA2k. 2004-ю тоже ставил, но еще в стадии беты, что-то в ней мне не понравилось, вернулся к старой доброй 2k.
Все задачи она у меня выполняет, переходить на 2004-ю смысла пока не вижу (разве что сгорит сервак целиком :grin: )
Для более простого понимания ситуации объясняю:
Схема адресации в нашей сети:
1. Привеллигерованние: начальство, админы,
т.е. те, кому надо сесть за свой комп и сразу иметь Инет, безо всяких логин/пароль. У них
статические IP адреса, тарификация траффика
по IP адресам.
2. Просто юзвери: авторизация через прокси по
логин/пароль, динамические адреса, лимиты
траффика по 100 Мб в месяц.
3. Dial-in модем-без комментариев.
4.Сторонние пользователи. Это особые создания, через нас лазят в Инет. Все бы
просто, да только среди них есть АвиаКасса,
у них спец-проги (пульты) ломятся на свой сервак по нестандартным TCP портам. Если
ставить IS`у, то на каждом компе надо ставить
FWC (ISA Firewall Client). Эти пользователи находятся в отдельной подсети, т.е. мы их не
видим, они нас тоже.
2 Judge:
А 2 подсети на одной сетевой карте
ISA 2000 поддерживает или нет?
Если да, то есть смысл перейти на нее.
Вопрос по поводу FWC, нужно ли его ставить
везде, где есть почта и ICQ, или нет.
Кстати, ProxyInspector for ISA правильно траффик считает? Что за самописная прога?
По-большему счету ISA пофигу, кому инет раздавать. Как настроена маршрутизация на сервере, так она и будет раздавать инет. Ну еще, разумеется, требуется правильная (а не дефолтная автоматическая) настройка LAT.
Что касается "авторизации большого начальства", то тут я не мудрствуя лукаво в ХР поставил чекбокс "сохранить пароль" :grin:
В качестве ограничиловки траффика пользую TQuota - отличная задумка (правда, хрен найдешь ломаную) - ограничения по усерам (берутся с сервака), компьютерам, подсетям и т.п. Правда, вторая версия уже несколько лет в состоянии беты, но даже бета 1 работает прилично. В предыдущей версии можно было включить просмотр состояния траффика через браузер, в бета 1 эта фича не работает, но есть бета 9 (которую я желаю найти уже несколько месяцев).
По Firewall Client - можно обойтись без него, но нужно поднимать NAT, а это чревато лишним геммороем, поэтому я просто поставил эту прогу на каждого клиента. "Левые" порты открываются легко, при помощи правил. Ограничения на все, кроме траффика (сайты, IP, протоколы и т.п.) реализованы в самой ISA, ничего левого ставить не нужно. Можно прикрутить четрырехядерный антивирь.
Про "две подсети на одной сетевой" - чего-то я не допонял, что это? Маршрут одной подсети в другую или как?
Две подсети на одной сетевухе это так:
физически сеть одна, но у одних (т.е. у нас)
сеть 10.10.10.0 (на шлюзе IP 10.10.10.2),
у других (т.е. сторонних) 10.10.11.0.
В Windows XP-2003 есть такая возможность на
один сетевой интерфейс задать два IP
адреса из разных подсетей.
А, вон оно что. С таким не сталкивался при пользовании ISA, сходи на http://www.isaserver.ru, там проконсультируют. А проблемы других наших подсетей я решаю просто - VPN подключения и нет лишних проблем. Для работы удаленных офисов на мой взгляд самое нормальное решение. И двух зайцев сразу убиваешь - раздается не только инет, но есть доступ к основной подсети, что для нас есть важно - терминальный сервак настроен так, что раздает подключения только в своей подсети.
Эту тему просматривают: 1 (пользователей: 0 , гостей: 1)
Ваши права
Ответить с цитированием