ClarkConnect (неофициальная поддержка от VPF)

[VPF]

Смысл в том, что на работе мне сейчас чистую машинку никто не даст правда можно попробовать поставить в VMWare. А так, по описанию, мне СС понравился. Уже скачал бесплатный релиз - завтра буду пробовать. Спасибо за подробную информацию!

Я прочитал сейчас ваш первый вопрос в другой теме, где вы говорите, что все пользовательские машины работают на Linux, а шлюзом является машина с Windows.
Очень удивился.
В вашем случае даже думать не надо
Вопрос только в том, устроит ли бесплатная версия?
Хотя для 10 пользователей возможно будет достаточной.
Это вам решать.
Начните с бесплатной, в любом случае - это лучше чем решение с Windows.

Кстати, в апреле намечается выход очередной подверсии 4.1 в которой заявлена поддержка роли СС как PDC, поддержка виртуальных почтовых доменов, антивирусная файловая защита и некоторые другие изменения и дополнения.

Стоит отметить, что разработчики CC выход новых версий планируют и сроки стараются соблюдать.
Вся информация доступна на сайте.

[proton17]

Если интересно, то предыстория такова: в нашей конторе (ФГУП НПО) в каждом подразделении своя сеть, без выхода в интернет (режимная контора). В своем отделе я держу сетку с машинами под линуксом (из за специализированного софта для электроники) и соответственно сервер под RH4. Недавно начальство решило организовать своего рода интернет класс для сотрудников, купили 10 машин, а на лицензионный винд денег стало жалко (сначала поставили ператки, но потом забоялись, что их как Поносова...) и решили купить ASP. Купили, поставили с моей помощью (больше в конторе линукс в глаза никто не видел). А для шлюза им нужна система с тотальным контролем над пользователями (отдел режима подсуетился...). Вот я и подумал - можно возиться с конфигурированием ASP (squid, iptables, samba...) или поискать универсальное решение. А в данный момент шлюз пока под Windows и какой-то кракнутой программой по мониторингу сети. Вот такая повесть, надеюсь СС лишит меня внезапно свалившейся головной боли

[VPF]

Если интересно, то предыстория такова: в нашей конторе (ФГУП НПО) в каждом подразделении своя сеть, без выхода в интернет (режимная контора). В своем отделе я держу сетку с машинами под линуксом (из за специализированного софта для электроники) и соответственно сервер под RH4. Недавно начальство решило организовать своего рода интернет класс для сотрудников, купили 10 машин, а на лицензионный винд денег стало жалко (сначала поставили ператки, но потом забоялись, что их как Поносова...) и решили купить ASP. Купили, поставили с моей помощью (больше в конторе линукс в глаза никто не видел). А для шлюза им нужна система с тотальным контролем над пользователями (отдел режима подсуетился...). Вот я и подумал - можно возиться с конфигурированием ASP (squid, iptables, samba...) или поискать универсальное решение. А в данный момент шлюз пока под Windows и какой-то кракнутой программой по мониторингу сети. Вот такая повесть, надеюсь СС лишит меня внезапно свалившейся головной боли

CC как раз для этого и предназначен.
Безопасность и контроль у них на первом месте.
Манипулировать доступом пользователей и ресурсами интернета можно как угодно.
Вплоть до того, что можно открыть только конкретные ресурсы, а остальные закрыть, либо применять правила автоматической фильтрации контента по тематикам (секс, порно, игры, развлечения, коммерция и т.д.). Кроме этого можно установить полный запрет на скачивание файлов из интернета. Тогда просматривать информацию в интернете будет можно, а скачивать - нельзя. Это решает проблему проникновения вирусов при просмотре интернет-ресурсов.
Возможностей много.

[berDrug]

А можно чуть подробнее о симбиозе с виндовыми доменами...
Есть возможность настроить Кларк так, чтоб юзеры виндового домена могли использовать аутентификацию без запоминания других паролей... ну, типа, как в ISA-сервере и Exchange?

[VPF]

А можно чуть подробнее о симбиозе с виндовыми доменами...
Есть возможность настроить Кларк так, чтоб юзеры виндового домена могли использовать аутентификацию без запоминания других паролей... ну, типа, как в ISA-сервере и Exchange?

Такой возможности нет.
Если рассматривать этот вопрос со стороны безопасности, то это к лучшему.
Если бы при входе в интернет не запрашивался логин и пароль, то была бы возможность несанкционированного подключения с использованием механизмов вирусного типа. Поскольку к почте удобнее подключаться через предоставляемый webmail, здесь тоже требуется вводить логин и пароль. К тому же пользователь может сменить пароль или установить его идентичным паролю в домене Windows.

В новых версиях заявляется о поддержке роли PDC. Имеется ввиду, что для небольших организаций (до 30-50 компьютеров) можно будет полностью отказаться от домена Windows и использовать CC.

[IMB]

А вот такой вопрос - на основе чего и как организована антивирусная проверка? На сайте я нашёл только упоминание о данном факте, но более подробной информации не заметил.
Если не затруднит, расскажите о антивирусной проверке трафика и почты.

[VPF]

А вот такой вопрос - на основе чего и как организована антивирусная проверка? На сайте я нашёл только упоминание о данном факте, но более подробной информации не заметил.
Если не затруднит, расскажите о антивирусной проверке трафика и почты.

Антивирусом проверяется только почта.
Прокси-трафик не проверяется на вирусы, но настраивается фильтрация плохого контента и ресурсов, блокируется закачка файлов через браузер и очень хорошо работает модуль обнаружений и блокировки удалённых вторжений. Ежедневно у меня фиксируются и блокируются десятки попыток.
Всё это вместе с антивирусной и антиспамовой проверкой почты даёт отличный результат.
После введения в эксплуатацию CC антивирусные программы, установленные на компьютерах перестали обнаруживать вирусы.
Остаётся вариант попадания вирусов через клиентские компьютеры (принесённые диски, флешки, дискеты), но для решения этой проблемы требуются уже антивирусные программы, установленные локально на каждом компьютере.
В следующей версии, которая выйдет в апреле, заявляется об антивирусной проверке файловых ресурсов (самба).

[proton17]

Для IMB: в СС используется антивирус clamav http://www.clamav.net/. И сканирует он действительно только почту и вложения. Есть возможность настройки определенных типов файлов, подлежащих проверке.

И отвечу на свой старый вопрос: можно поставить СС как вторую ОС - Да можно, только при установке нужно отказаться от автоматического разбиения диска, а сделать это в ручную при помощи DiskDruid. Соответственно оставить старую ось целой, а после установки СС войти в консоль и отредактировать vimом файл grub.conf в /etc/grub, добавив в него свою старую ос.

[VPF]

Для IMB: в СС используется антивирус clamav http://www.clamav.net/. И сканирует он действительно только почту и вложения. Есть возможность настройки определенных типов файлов, подлежащих проверке.

Поправляю.
Если речь об этом

Код: Выделить всё

Banned File Extensions

то здесь помечаются типы расширений, которые будут блокироваться при отправке (поступлении) писем. Проверяются все типы файлов, а с указанными в этом списке письма будут блокироваться и по желанию отправляться уведомление об этом.
Этот способ напрямую не связан с антивирусной программой, но является пассивной защитой от вирусов.

[proton17]

Для IMB: в СС используется антивирус clamav http://www.clamav.net/. И сканирует он действительно только почту и вложения. Есть возможность настройки определенных типов файлов, подлежащих проверке.

Поправляю.
Если речь об этом

Код: Выделить всё

Banned File Extensions

то здесь помечаются типы расширений, которые будут блокироваться при отправке (поступлении) писем. Проверяются все типы файлов, а с указанными в этом списке письма будут блокироваться и по желанию отправляться уведомление об этом.
Этот способ напрямую не связан с антивирусной программой, но является пассивной защитой от вирусов.

Да, точно - я сначала не заметил

[Ingvar]

Всем доброго времени суток !

Скачал и установил на шлюзе СС 4.0 Community - для пробы.
Вещь понравилась своей простотой в установке, но на настройке возникли запинки.
Поскольку с Linux-системами до этого не работал, разрешите задать несколько наивных вопросов.

1. Можно ли найти описание настроек СС через веб-интерфейс на русском
2. То же для настройки СС из командной строки непосредственно на компе с СС
3. Могут ли апдейты в СС идти в автоматическом режиме (как обновления Винды), или нужно их целенаправленно скачивать и устанавливать вручную
4. Почта, проходящая через шлюз - для ее проверки антивирусом и отсеивания спама нужно ли регистрировать почтовые ящики на машине с СС и, если да, то как
5. Нужно ли на компе с СС регистрировать пользователей, идентичных пользователям домена Windows, для управления их интернет-траффиком

Спасибо и best regards

[VPF]

Всем доброго времени суток !

Скачал и установил на шлюзе СС 4.0 Community - для пробы.
Вещь понравилась своей простотой в установке, но на настройке возникли запинки.
Поскольку с Linux-системами до этого не работал, разрешите задать несколько наивных вопросов.

1. Можно ли найти описание настроек СС через веб-интерфейс на русском
2. То же для настройки СС из командной строки непосредственно на компе с СС
3. Могут ли апдейты в СС идти в автоматическом режиме (как обновления Винды), или нужно их целенаправленно скачивать и устанавливать вручную
4. Почта, проходящая через шлюз - для ее проверки антивирусом и отсеивания спама нужно ли регистрировать почтовые ящики на машине с СС и, если да, то как
5. Нужно ли на компе с СС регистрировать пользователей, идентичных пользователям домена Windows, для управления их интернет-траффиком

Спасибо и best regards

Описания на русском языке нет. Об этом я уже говорил и поэтому создал данную тему, чтобы оказывать помощь начинающим. В России данный дистрибутив ещё не получил рапространения.

Ваши вопросы тянут на руководство для системного администратора.
Поймите, я могу оказать помощь, но посильную.
У меня самого времени не хватает, чтобы написать такое руководство, поэтому я пытаюсь привлечь коллег к использованию данного дистрибутива, чтобы затем общими усилиями влиться в руссификацию CC.

Начните с одного конкретного вопроса (наиболее актуального), а разобраться во всём сразу, да ещё без опыта использования Linux просто невозможно. И не забывайте прилагать усилия самостоятельно. Основа CC - единая для всех Linux дистрибутивов, основанных на RedHat.

[VPF]

Всем доброго времени суток !

Скачал и установил на шлюзе СС 4.0 Community - для пробы.
Вещь понравилась своей простотой в установке, но на настройке возникли запинки.
Поскольку с Linux-системами до этого не работал, разрешите задать несколько наивных вопросов.

1. Можно ли найти описание настроек СС через веб-интерфейс на русском
2. То же для настройки СС из командной строки непосредственно на компе с СС
3. Могут ли апдейты в СС идти в автоматическом режиме (как обновления Винды), или нужно их целенаправленно скачивать и устанавливать вручную
4. Почта, проходящая через шлюз - для ее проверки антивирусом и отсеивания спама нужно ли регистрировать почтовые ящики на машине с СС и, если да, то как
5. Нужно ли на компе с СС регистрировать пользователей, идентичных пользователям домена Windows, для управления их интернет-траффиком

Спасибо и best regards

Пока появилось время коротко отвечаю на те вопросы, на которые не ответил.

2. Управление через командную строку ничем не отличается от других дистрибутивов Linux. Возьмите любую книгу по Linux и всё узнаете. Но почти всё управление CC происходит через вебинтерфейс. Работать в режиме командной строки можно, если есть опыт, но при этом не гарантируется сохранение целостности дистрибутива.

3. Обновление может проводиться автоматически. Можно выполнять вручную через веинтерфейс, а также из командной строки. Скачивать вручную сами пакеты и затем их устанавливать при этом не придётся.

4. Запуск CC в качестве почтового сервера требует понимания данной технологии. Если такой опыт есть, то запуск осуществится очень просто. Пользователи должны быть зарегистрированы на CC.

5. Для прозрачного прокси пользователи не нужны, но при этом не очень хорошо работает система контроля и учёта трафика. Для полноценного управления пользователями и трафиком их необходимо зарегистрировать. Пользователи могут отличаться от доменных или не отличаться. Напрямую CC не интегрирован в домен Windows.

[Ingvar]

To VPF - Спасибо, буду осмысливать

Опыта с Линуксом действительно нет, так что "все как в первый раз"

Правильно ли я понимаю, что запустивши на СС почтовый сервер, можно наладить электр. почту внутри локальной сети, без выхода в Инет и, в то же время, прикрутить к псевдонимам пользователей внешние почтовые ящики?
Будет ли в этом случае входящая внешняя почта проверена на спам и вирусы?

[Ingvar]

P.S. И вообще, как максимально просто дать знать хорошим канадским парням, что назрел выход русской версии СС?

[VPF]

Правильно ли я понимаю, что запустивши на СС почтовый сервер, можно наладить электр. почту внутри локальной сети, без выхода в Инет и, в то же время, прикрутить к псевдонимам пользователей внешние почтовые ящики?
Будет ли в этом случае входящая внешняя почта проверена на спам и вирусы?

Не очень понятно, что значит "прикрутить к псевдонимам внешние почтовые ящики"?

Создайте пользователей на CC. При создании пользователей необходимо отмечать те сервисы, которыми они будут пользоваться, ничего лишнего разрешать не надо.

Запуск и настройка почтового сервера зависит от конфигурации вашей локальной сети, наличия зарегистрированного домена (либо его отсутствия), наличия почтовых ящиков на удалённых серверах и т.д.

Основные почтовые компоненты - это Postfix и Fetchmail. Информацию о них вы найдёте в интернете.

Доступ к почтовым ящика лучше открыть через компоненту webmail, тогда не надо будет настраивать у каждого пользователя почтовый клиент, достаточно будет всем сообщить адрес для доступа через браузер. В этом случае почтовыми ящиками можно будет безопасно пользоваться, подключаясь с любого компьютера, подключённого к интернету (домашнего и пр.).

[VPF]

P.S. И вообще, как максимально просто дать знать хорошим канадским парням, что назрел выход русской версии СС?

Есть два варианта.

Они сами привлекут русскоязычного специалиста для перевода. Этот вариант станет возможным, если возрастёт кол-во официально купленных коммерческих версий CC.

Более быстрый и возможный - это руссификация силами наших энтузиастов. Ведь разработчики CC тесно сотрудничают с энтузиастами, поэтому и существует бесплатная версия.

Поймите, что сами разработчики не будет заниматься руссификацией, если русскоязычные пользователи не покупают продукт, тем самым не оплачивают их работу.

[IMB]

Эх, если верить таблице сравнения, то Community не поддерживает NAT. Или закралась ошибка?
Конечно можно попробовать Office, месяц срок не малый, но боюсь быстро привыкнуть к хорошему. Может подскажите - поддерживает Community NAT или, увы, нет. А то есть желание организовать шлюз на Linux для офисной сети.

[VPF]

Эх, если верить таблице сравнения, то Community не поддерживает NAT. Или закралась ошибка?
Конечно можно попробовать Office, месяц срок не малый, но боюсь быстро привыкнуть к хорошему. Может подскажите - поддерживает Community NAT или, увы, нет. А то есть желание организовать шлюз на Linux для офисной сети.

Огорчаю, бесплатная версия действительно не поддерживает NAT.
Давайте уточним, для чего вам нужен NAT?
Я использую коммерческую версию для шлюза, но NAT сейчас не использую.
В качестве шлюза он будет работать без этого.
В ClarkConnect NAT необходим в том с случае, если у вас в сети будет размещён доступный из внешнего мира сетевой сервис.
Если же все сервисы (прокси, почта, FTP и т.д.) будут запущены на самом CC, то NAT не нужен.

Я то сразу выбирал коммерческую версию, но для нашего предприятия стоимость СС ничего не значит.
Кроме этого я был одиноким первопроходцем. Мне не у кого было просить помощи, поэтому мне нужна была официальная техподдержка.
Вам легче, поскольку можно спросить у меня.

Попробуйте сначала бесплатную версию, а потом будет видно.
Вот-вот выйдет новая версия CC 4.1, поэтому стоит дождаться её, чтобы снова не качать.

[loner]

Вопросы
1. Тоесть Интернет будет раздаватся через прокси? Прокси прозрачный?
2. Если отстутствует НАТ как будут работать icq, jabber, чаты и.т.п?
3. А если почта не будет запущена на шлюзе? Получится ли с машины юзера забирать почту с гмыла thunderbird-ом?

[VPF]

Вопросы
1. Тоесть Интернет будет раздаватся через прокси? Прокси прозрачный?
2. Если отстутствует НАТ как будут работать icq, jabber, чаты и.т.п?
3. А если почта не будет запущена на шлюзе? Получится ли с машины юзера забирать почту с гмыла thunderbird-ом?

Отвечаю:

1. Два варианта с дополнительными вариациями.
2. Нормально работают.
3. Никаких проблем с удалёнными ящиками не будет.

NAT в CC нужен для доступа извне к внутренним серверам. Например, если у вас внутри локальной сети будет почтовый корпоративный сервер, либо вебсервер или FTP-сервер, либо другие сервисы, открытые на шлюзе СС для доступа к ним.

Запускайте все сетевые сервисы на самом CC и всё будет нормально.

Если бы бесплатную версию нельзя было бы использовать в качестве шлюза, то какой был бы в ней смысл?
Ведь СС - это специализированный дистрибутив для организации шлюзов и защищённых серверов.

Зайдите на их форум. Там задают вопросы именно пользователи бесплатной версии, поскольку пользователи платной версии имеют официальную техподдержку. Даже без знания языка, общий смысл вопросов и тем будет понятен.

[loner]

Тоесть в настройках файрвола на сервере есть чтото типа
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE (или SNAT). Обрезан только DNAT. Тогда они не совсем корректно написали что "не поддерживаеться NAT".

> 1. Два варианта с дополнтельными вариациями.
Можно поподробнее (или ссылку)? На клиентских машинах придется прокси прописывать?

[VPF]

Тоесть в настройках файрвола на сервере есть чтото типа
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE (или SNAT). Обрезан только DNAT. Тогда они не совсем корректно написали что "не поддерживаеться NAT".

Там не так просто разобраться что, где и как прописано.
Там говориться, что не поддерживается "1-to-1 NAT support".
Вот ссылка по данному модулю на их сайте
NAT

До конца в этих тонкостях ещё не разобрался.
Вот присоединитесь, возможно, общими усилиями и разберёмся окончательно.

> 1. Два варианта с дополнтельными вариациями.
Можно поподробнее (или ссылку)? На клиентских машинах придется прокси прописывать?

Можно прозрачный с фильтрацией и без.
Можно принудительный прокси с фильтрацией и без, а также с авторизацией и без.

[VPF]

Поискал на форуме СС по-поводу NAT.
Вот что нашёл:

The iptables commands that you posted are quite similar to the 1-to-1 NAT rules. In your case, you have been more explicit with the PREROUTING and POSTROUTING rules (the destination ports) which means you can create a 1-to-Many configuration. You are correct, the 1-to-Many configuration that you want cannot be done via webconfig's 1-to-1 NAT tool. Perhaps that is a surprise to you... but it's not to me. There's a reason we call it "1-to-1" (and I mentioned this in my original reply).

Как я понял, здесь сказано, что только через вебинтерфейс нельзя настроить, а вручную прописать правила - пожалуйста.

[berDrug]

Если возможно, коротко о правилах в кларке. Например, как запретить всё, кроме http://www.clarkconnect.com

[VPF]

Если возможно, коротко о правилах в кларке. Например, как запретить всё, кроме http://www.clarkconnect.com

Это вопрос теоретический, или надо указать точно, как это настроить?

Пока вы не уточнили, ограничусь описанием самого механизма.
Для этого не надо будет писать правила.
Чтобы запретить все вебресурсы, достаточно будет в модуле Web Content Filtering выбрать пункт, который запрещает всё, кроме разрешённых явно. Для открытия доступа к отдельным ресурсам надо будет в соответствующем разделе настроек прописать эти ресурсы.

Вот и всё.

[berDrug]

В общем-то вопрос насущный... с машины, где установлен кларк, пинги идут во всех направлениях: и в сеть, и наружу. А вот регестрироваться система никак не хочет, говорит, что доступ к сайту кларка запрещен. В общем, линукс только дома, кларк был проверен на виртуальных машинах... Скажу честно, не разобрался с правилами... где рыть? Firewall Rule? а порт прокси какой? 3182? 8080?

[VPF]

В общем-то вопрос насущный... с машины, где установлен кларк, пинги идут во всех направлениях: и в сеть, и наружу. А вот регестрироваться система никак не хочет, говорит, что доступ к сайту кларка запрещен. В общем, линукс только дома, кларк был проверен на виртуальных машинах... Скажу честно, не разобрался с правилами... где рыть? Firewall Rule? а порт прокси какой? 3182? 8080?

Понятно.
У тебя бесплатная версия или платная?

Если все сетевые настройки верные и ты имеешь доступ к CC с других компов, то надо проделать следующее через вебинтерфейс:
1. Network -> Incoming -> Add Firewall Rule - Incoming Connections
добавить два сервиса
WebServices - для связи со службами сайта ClarkConnect
Webconfig - для доступа к настройкам CC через интернет (для тебя)

2. Network -> Outgoing -> Block Mode
выбрать один из двух вариантов для исходящих соединений во внешний мир
советую выбрать вариант "разрешать весь исходящий трафик, кроме специфических сервисов,
портов, доменов и ip, указанных явным образом"

Разберись с этим, а потом скажу как настроить контент-фильтрацию.

[unflag]

Похоже, тема живет и приносит пользу. Приклею её, пожалуй.

[VPF]

Похоже, тема живет и приносит пользу. Приклею её, пожалуй.

Спасибо, будем надеятся.