forum.opennet.ru

Составление сообщения

Исходное сообщение

"Доступ в инет."
Отправлено NetEye, 24-Июн-19 02:56

Если стоит задача по критерию "дать доступ в сеть N станциям по login / пароль, трафик станций  не считать", то не вижу никаких проблем в использовании связки squid / squid helper на авторизацию / delay pools по вкусу. Если станции в домене AD то используется авторизация kerberos от AD и пользователь в этом плане прозрачно выходит в сеть, один раз авторизовашись в AD. Если платформы AD нет, то тут каждый сам себе велосипед - можно городить тот же сервис AAA в стиле free IPA и к ней прикручивать SQUID, либо класть логины / пароли в какую либо базы типа mysql и авторизоваться через БД.
Это если искомая задача - "дать доступ и не делать аудит пользователя".
Городить  ради этого "биллинг" с тарифами , радиусом  и пр. фантиками - НА - КУ - А ?
У вас задача делать аудит пользователей, играться "в провайдера" - или выпустить народ в сеть и обеспечить им минимальный уровень сервиса для серфинга сети? Вы уж определитесь.
Если желаете прикрутить к сквиду отчеты о том , кто куда ходил - то мануалов по этому вопросу вагон и телега.
При чем тут периметр сети и сетевые экраны - несколько непонятно - т.к. это другая задача.
Сам по себе железный firewal от cisco / jun / etc  даст вам точку выхода в сеть  + NAT. И более ничего.
Всё остальное - за $ к тому ПО, которое вам нужно будет отдать той же cisco. Да, на продуктах cisco можно построить "красиво" в плане  авторизации / контроля / мониторинга - только один простой вопрос - денег то хватит ?
Ну и тот же pfsence - тот же squid в комбайне для тех, кто хочет рулить этим всем мышкой. И как всякий комбайн такое решение имеет свои недостатки. Когда денег на cisco нет. Но очень хочется....
=А вот прокси не прокатит, людям и VPN иногда нужен и что-либо экзотическое.=
"доступ извне к сети" и "доступ из локальной сети в инет" - это несколько разные задачи. Смешивать их в "одном флаконе" - это как ходить с расстёгнутой ширинкой. Ходить можно. Только люди будут смотреть и делать выводы.
Если на выходе в сеть стоит ASA - то крутим cisco any connect.
Если асы нет - поднимаем все что душе угодно - openvpn/freeradius/daloradius/etc.
Это если вопрос безопасности имеет место быть.
А если банальная лень - то pfsence + далее мышкой клац-клац.

Исходное сообщение
"Доступ в инет." Отправлено NetEye, 24-Июн-19 02:56
Если стоит задача по критерию "дать доступ в сеть N станциям по login / пароль, трафик станций не считать", то не вижу никаких проблем в использовании связки squid / squid helper на авторизацию / delay pools по вкусу. Если станции в домене AD то используется авторизация kerberos от AD и пользователь в этом плане прозрачно выходит в сеть, один раз авторизовашись в AD. Если платформы AD нет, то тут каждый сам себе велосипед - можно городить тот же сервис AAA в стиле free IPA и к ней прикручивать SQUID, либо класть логины / пароли в какую либо базы типа mysql и авторизоваться через БД. Это если искомая задача - "дать доступ и не делать аудит пользователя". Городить ради этого "биллинг" с тарифами , радиусом и пр. фантиками - НА - КУ - А ? У вас задача делать аудит пользователей, играться "в провайдера" - или выпустить народ в сеть и обеспечить им минимальный уровень сервиса для серфинга сети? Вы уж определитесь. Если желаете прикрутить к сквиду отчеты о том , кто куда ходил - то мануалов по этому вопросу вагон и телега. При чем тут периметр сети и сетевые экраны - несколько непонятно - т.к. это другая задача. Сам по себе железный firewal от cisco / jun / etc даст вам точку выхода в сеть + NAT. И более ничего. Всё остальное - за $ к тому ПО, которое вам нужно будет отдать той же cisco. Да, на продуктах cisco можно построить "красиво" в плане авторизации / контроля / мониторинга - только один простой вопрос - денег то хватит ? Ну и тот же pfsence - тот же squid в комбайне для тех, кто хочет рулить этим всем мышкой. И как всякий комбайн такое решение имеет свои недостатки. Когда денег на cisco нет. Но очень хочется.... =А вот прокси не прокатит, людям и VPN иногда нужен и что-либо экзотическое.= "доступ извне к сети" и "доступ из локальной сети в инет" - это несколько разные задачи. Смешивать их в "одном флаконе" - это как ходить с расстёгнутой ширинкой. Ходить можно. Только люди будут смотреть и делать выводы. Если на выходе в сеть стоит ASA - то крутим cisco any connect. Если асы нет - поднимаем все что душе угодно - openvpn/freeradius/daloradius/etc. Это если вопрос безопасности имеет место быть. А если банальная лень - то pfsence + далее мышкой клац-клац.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Если стоит задача по критерию "дать доступ в сеть N станциям по 
> login / пароль, трафик станций  не считать", то не вижу 
> никаких проблем в использовании связки squid / squid helper на авторизацию 
> / delay pools по вкусу. Если станции в домене AD то 
> используется авторизация kerberos от AD и пользователь в этом плане прозрачно 
> выходит в сеть, один раз авторизовашись в AD. Если платформы AD 
> нет, то тут каждый сам себе велосипед - можно городить тот 
> же сервис AAA в стиле free IPA и к ней прикручивать 
> SQUID, либо класть логины / пароли в какую либо базы типа 
> mysql и авторизоваться через БД.

> Это если искомая задача - "дать доступ и не делать аудит пользователя".

> Городить  ради этого "биллинг" с тарифами , радиусом  и пр. 
> фантиками - НА - КУ - А ?
> У вас задача делать аудит пользователей, играться "в провайдера" - или выпустить 
> народ в сеть и обеспечить им минимальный уровень сервиса для серфинга 
> сети? Вы уж определитесь.

> Если желаете прикрутить к сквиду отчеты о том , кто куда ходил 
> - то мануалов по этому вопросу вагон и телега.

> При чем тут периметр сети и сетевые экраны - несколько непонятно - 
> т.к. это другая задача.
> Сам по себе железный firewal от cisco / jun / etc  
> даст вам точку выхода в сеть  + NAT. И более 
> ничего.
> Всё остальное - за $ к тому ПО, которое вам нужно будет 
> отдать той же cisco. Да, на продуктах cisco можно построить "красиво" 
> в плане  авторизации / контроля / мониторинга - только один 
> простой вопрос - денег то хватит ?

> Ну и тот же pfsence - тот же squid в комбайне для 
> тех, кто хочет рулить этим всем мышкой. И как всякий комбайн 
> такое решение имеет свои недостатки. Когда денег на cisco нет. Но 
> очень хочется....

> =А вот прокси не прокатит, людям и VPN иногда нужен и что-либо 
> экзотическое.=

> "доступ извне к сети" и "доступ из локальной сети в инет" - 
> это несколько разные задачи. Смешивать их в "одном флаконе" - это 
> как ходить с расстёгнутой ширинкой. Ходить можно. Только люди будут смотреть 
> и делать выводы.

> Если на выходе в сеть стоит ASA - то крутим cisco any 
> connect.
> Если асы нет - поднимаем все что душе угодно - openvpn/freeradius/daloradius/etc.
> Это если вопрос безопасности имеет место быть.
> А если банальная лень - то pfsence + далее мышкой клац-клац.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру