Организация доступа локалки в инет

[ve4er]

В связи с переездом в другое помещение и с приходом туда безлимита (ADSL), назрел вопрос о полном пересмотре структуры рабочей сетки
и о грамотной организации ее доступа в инет. Хочется все сделать по "взрослому" И в плане удобства и в плане безопасности.

ТРЕБОВАНИЯ:
1. Непосредственно сам доступ в инет для нескольких машин и его контроль.
2. Надежный фаерволл и антивирус для трафика (в том числе почтового) на входе.
3. Статистика, учет, ограничение и блокировка трафика, портов и протоколов пользователям (например, одному будет нужен только клиент-банк,
другому только почта и аська, пятому только FTP, ну а десятому все целиком и полностью и т.д.). Блокировка "не нужных" для работников сайтов
4. Организация FTP сервера для закачки и скачки из вне.

ПОЖЕЛАНИЯ:
5. Кеширование трафика (в целях ускорения работы, канал всего 256 кбит/с).
6. Удаленное подключение к локалке, например из дома.
7. Возможно организация почтового сервера. Но пока не знаю на сколько это актуально и удобно будет для нас.
8. Ну и с появлением нашего сайта, думаю не лишним был бы собственный ВЭБ сервер Но это пока планы.
9. Да и от принт сервера не отказались бы. Хотябы для офисных устройств.

Насколько я понимаю, "железный" маршрутизатор всего этого обеспечить не сможет.
Полазив в инете обратил внимание на несколько так называемых интернет-шлюзов,
на базе Linux. В частности очень приглянулся Ideco Internet Control Server (Ideco ICS)

Да и еще в ближайших планах была установка отдельного сетевого хранилища, но теперь вот задумался,
а может объединить все задачи в одну и реализовать с помощью вот такого интернет-сервера?
Наверняка многие сталкивались с решением подобных задач. Кто решил их, направьте на правильный путь!

[Boroda]

Цитата:

Сообщение от ve4er

В связи с переездом в другое помещение и с приходом туда безлимита (ADSL), назрел вопрос о полном пересмотре структуры рабочей сетки
и о грамотной организации ее доступа в инет. Хочется все сделать по "взрослому" И в плане удобства и в плане безопасности.

ТРЕБОВАНИЯ:
1. Непосредственно сам доступ в инет для нескольких машин и его контроль.
2. Надежный фаерволл и антивирус для трафика (в том числе почтового) на входе.
3. Статистика, учет, ограничение и блокировка трафика, портов и протоколов пользователям (например, одному будет нужен только клиент-банк,
другому только почта и аська, пятому только FTP, ну а десятому все целиком и полностью и т.д.). Блокировка "не нужных" для работников сайтов
4. Организация FTP сервера для закачки и скачки из вне.

ПОЖЕЛАНИЯ:
5. Кеширование трафика (в целях ускорения работы, канал всего 256 кбит/с).
6. Удаленное подключение к локалке, например из дома.
7. Возможно организация почтового сервера. Но пока не знаю на сколько это актуально и удобно будет для нас.
8. Ну и с появлением нашего сайта, думаю не лишним был бы собственный ВЭБ сервер Но это пока планы.
9. Да и от принт сервера не отказались бы. Хотябы для офисных устройств.

Насколько я понимаю, "железный" маршрутизатор всего этого обеспечить не сможет.
Полазив в инете обратил внимание на несколько так называемых интернет-шлюзов,
на базе Linux. В частности очень приглянулся Ideco Internet Control Server (Ideco ICS)

Да и еще в ближайших планах была установка отдельного сетевого хранилища, но теперь вот задумался,
а может объединить все задачи в одну и реализовать с помощью вот такого интернет-сервера?
Наверняка многие сталкивались с решением подобных задач. Кто решил их, направьте на правильный путь!

Железные решения есть, но стоимость в несколько тысяч у.е. вас врятли обрадует.

Все озвученные вами пункты делаются за 1 день руками умелого линуксоида. Это довольно тривиальные задачи, так что думаю с поиском специалиста проблем возникнуть не должно.

С вашим каналом про п.4, 7 и 8 я бы забыл. Да и п.6 тоже под большим вопросом, т.к. я понимаю канал у вас далеко не синхронный и очень маленький.

Смысла в п.9 особого не вижу, ну да и это совсем не проблема -- подключить ваши железки к серверу и расшарить их в сеть. При правильной настройке сервак даже сам драйвера будет выдавать при первой инсталляции.

[Михаил]

Что на входе: витая пара или телефонный провод? управляемый роутер на витую пару стоит 3000 руб (в нем есть ограничение по каналам)

[PavelM]

Не надо пытаться объять необъятное, тем более на канале 256Кбит. Поставьте пока простейший маршрутизатор и решите проблему совместного доступа в интернет. Решать остальные задачи на таком канале бессмысленно.

[Михаил]

Это точно, а чтоб блокировать так как хотите, то нужны админы, которые каждый день будут заносить домены в черный список ))) потом начнется туннелирование, прокси хождение по сайтам через онлайн переводчики)))

[Boroda]

Цитата:

Сообщение от Михаил

Что на входе: витая пара или телефонный провод? управляемый роутер на витую пару стоит 3000 руб (в нем есть ограничение по каналам)

Который сможет только п.1 и 3.

[PavelM]

Цитата:

Сообщение от Boroda

Который сможет только п.1 и 3

ну еще половинку пункта 2. А остальные ты сам вычеркнул

[Boroda]

Цитата:

Сообщение от PavelM

ну еще половинку пункта 2. А остальные ты сам вычеркнул

Да. Забыл потом дописать именно то, что написал ты.
Что остается то, для чего есть железное решение за 100 долларов.
У меня в свое время такая железка (правда на два внешних канала и возможностью переключения в случае пропадания) давала FTP доступ к внешнему USB винту и раздавала инет по воздуху и еще была шлюзом ipтелефонии.

Потом поставили сервер.

[Леша.by]

У меня стоит на сервере Траффик инспектор крякнутый, почти все вышеупомянутое он делает. Читайте, разбирайтесь. Он у меня делит приоритеты и скорость и трафик считает и много чего еще.

[ve4er]

Цитата:

Сообщение от Boroda

С вашим каналом про п.4, 7 и 8 я бы забыл. Да и п.6 тоже под большим вопросом, т.к. я понимаю канал у вас далеко не синхронный и очень маленький.

Ну насчет пунктов 7 и 8 пока не уверен, но вот 4 и 6, как мне каждется, вполне уместны. Не всегда же нужно гигабайты качать.
Бывает необходимость в передаче файлов уже гораздо меньших объемов, но еще слишком больших для почты. Я об этом!

Цитата:

Сообщение от Boroda

Смысла в п.9 особого не вижу, ну да и это совсем не проблема -- подключить ваши железки к серверу и расшарить их в сеть.

Так вот именно об этом и разговор, чтобы подключить эти железки к постоянно работаешему компу!

[ve4er]

Цитата:

Сообщение от Михаил

Что на входе: витая пара или телефонный провод? управляемый роутер на витую пару стоит 3000 руб (в нем есть ограничение по каналам)

На входе ADSL модем

Цитата:

Сообщение от PavelM

Не надо пытаться объять необъятное, тем более на канале 256Кбит. Поставьте пока простейший маршрутизатор и решите проблему совместного доступа в интернет. Решать остальные задачи на таком канале бессмысленно.

Ну сегодня 256, завтра 512, а что будет послезавтра пока никто не знает.. Все зависит от ценовой политике провайдера. Я с такой стороны на это смотрю.
Пользователей, которым инет нужен в полном объеме, сейчас пока хоть и не много, но все равно хочется чтобы был за всем контроль.

Цитата:

Сообщение от Boroda

У меня в свое время такая железка (правда на два внешних канала и возможностью переключения в случае пропадания) давала FTP доступ к внешнему USB винту и раздавала инет по воздуху и еще была шлюзом ipтелефонии.

А что за железяка была?

Цитата:

Сообщение от Boroda

Потом поставили сервер.

И можно хотя бы кратко, что за сервер и какие задачи сейчас на него возложены? Интересно же

[Boroda]

Цитата:

Сообщение от ve4er

А что за железяка была?

Точно модель не помню, попрошу девчонок, чтобы посмотрели -- отпишусь.

Цитата:

Сообщение от ve4er

И можно хотя бы кратко, что за сервер и какие задачи сейчас на него возложены? Интересно же

Сервер -- самый обычный комп, немножко адаптированный для круглосуточной работы. Покупать нормальный -- пока лишнее, этот загружен на 10%.

Функции:
-- VoIP-server (Asterisk)
-- Видеорегистратор
-- FTP-server
-- шейпинг, балансировка, резервирование внешних каналов
-- торрент клиент
-- web-сервер
-- backup-server
-- сбор статистики со всех устройств по SNMP
-- file-server
ну и по мелочам типа SNTP, squid, firewall и прочего, уже не помню.

Хотелось бы SMTP, но с ним возни много.

[ve4er]

Ну вроде тоже решились выделить под "это" дело отдельный комп. Только вот терзают смутные сомнения по поводу размещения на нем же файлового сервера. В целях безопасности, для файлов и их бэкапов изначально планировали поставить внешнее сетевое хранилище с рэйдом, а FTP сделать на самом инет-шлюзе. А сейчас опять в раздумьях

[Boroda]

Я уже устал повторять: в целях безопасности наймите (хотя бы на всеря установки и настройки сервера) хорошего (сертифицированного) админа.

Так как при большом желании можно так настроить, что и сетевое хранилище станет открытым для мира.

[Boroda]

Вот, обещался и забыл... А сегодня как раз вышел обзорчик.
Вот такая у нас железка была до установки сервера: DrayTek Vigor 2820Vn
Решает все озвученные выше задачи и даже немного больше.

Если в двух словах: несколько внешних каналов с резервированием и балансировкой, ФТП и принт-сервер, VoIP шлюз, гигабитные порты, WiFi, туннелирование, файрвол, ADSL. Может еще чего забыл...

За смешные деньги -- 300 баксов.