ClarkConnect (неофициальная поддержка от VPF)

[VPF]

Уважаемые администраторы и модераторы!

Если нет возражений, то я хотел бы в этой ветке рассказывать о специализированном дистрибутиве, предназначенном для организации безопасных шлюзов и многофункциональных сетевых серверов.

Моя поддержка не является официальной, я не являюсь разработчиком или сотрудником фирмы ClarkConnect. Я это делаю добровольно.

Поскольку иногда возникают вопросы в различных ветках форума, то мои ответы рассеиваются по всему форуму. В таком варианте будет удобнее всем.

Для начала даю ссылку на сравнительную таблицу различных версий данного дистрибутива

сравнительная таблица дистрибутивов ClarkConnect

Вопрос 1. Что это такое и чем он примечателен?

Дистрибутив собирается канадской фирмой ClarkConnect.
Основой служит CentOS. Полностью совместим с пакетами RedHat.
Основной вклад разработчиков заключается в подготовке готовых решений на основе скриптов.
Очень простая установка.
Всё настраивается и контролируется через вебинтерфейс.
Очень надёжен, обеспечивает мощную (можно сказать непробиваемую) защиту.
Техподдержка в платном дистрибутиве реально оказывается.
Разработчики прислушиваются к мнению пользователей на форуме сайта и вносят изменения и дополнения в дистрибутив.

Вопрос 2. Если он такой хороший, то почему мы о нём ничего не знаем?

Дистрибутив известен в различных странах.
Многие им пользуются уже около 5 лет.
Но на форуме я не заметил пользователей из России.
Нет пользователей - нет поддержки русского языка в вебинтерфейсе, нет документации на русском.
Хотелось бы исправить эту ситуацию.
Появятся пользователи, тогда и ситуация с русским языком исправится.

Для наглядности выкладываю скриншоты

[pilotza]

Да... для наших реалий есть еще один вариант, но это прокси в чистом виде http://www.lingate.ru/

[VPF]

Да... для наших реалий есть еще один вариант, но это прокси в чистом виде http://www.lingate.ru/

На этапе поиска решения для шлюза я ознакомился с данной разработкой.
После более подробного изучения и консультаций с разработчиками данный продукт был отвергнут.
Он привязан к дистрибутиву ASP и является всего лишь биллинговой программой.

ClarkConnect - это многофункциональный сервер, в котором всё работает после установки.

[pilotza]

Да... для наших реалий есть еще один вариант, но это прокси в чистом виде http://www.lingate.ru/

На этапе поиска решения для шлюза я ознакомился с данной разработкой.
После более подробного изучения и консультаций с разработчиками данный продукт был отвергнут.
Он привязан к дистрибутиву ASP и является всего лишь биллинговой программой.

ClarkConnect - это многофункциональный сервер, в котором всё работает после установки.

Да, это я увидел... и мне тоже нравиться Clark, но надо еще привязать и биллинг..., перевожу оффис с виндов..., и на серваке стоял трафик инспектор - удобная штука, вот думаю чем заменить... ??? Тем более, что ftp серввер и файл сервер уже поднял (с пол-пинка) на кларке..., еще бы и биллинг ...

[VPF]

Ко мне поступил вопрос по внутренней почте.

Вопрос... Как хорошо данный дистр работает в качестве прокси с фильтрацией по юзерам и ограничением трафика по кол-во мб.? Есть ли возможность автоматического отключения юзеров при привышении выделенного трафика? Речь идет о Community Edition..

Бесплатная версия отличается:

1) Отсутствием официальной поддержки
2) Сроком жизни 1 год (после этого не будут устанавливаться обновления, надо будет обновлять систему до новой версии, скачивая её из интернета полностью)
3) Кол-во почтовых ящиков - не более 10
4) Остальные тонкости указанны в сравнительной таблице

Работает очень хорошо в качестве прокси с фильтрацией контента, управления доступом пользователей, сайтов и т.п.
Но одно но.
Лимит на трафик не устанавливается и соответственно автоматического отключения нет.
У меня самого сразу же возник аналогичный вопрос, почему?
Но на их англоязычном форуме таких вопросов я не обнаружил.
Тогда мне стало понятно, что эта проблема (специфика) чисто российская.
Объясню почему.
У них даже рейтинг в отчётах прокси выстраивается по кол-ву посещений ресурсов, а не по кол-ву трафика. Видимо, это связанно с тем, что трафик за рубежом в основном нелимитируемый или почти так. А работодателя в первую очередь волнует какие ресурсы посещают пользователи. Эта задача в данном дистрибутиве реализована фильтрацией контента. Поэтому нет смысла отключать пользователя совсем, просто ограничиваются посещаемые ресурсы.
Кроме этого, поскольку доступ ко всем настройкам осуществляется с любого удалённого компьютера, то пользователя можно заблокировать вручную.
Но, ещё раз повторюсь, появятся российские пользователи в достаточном кол-ве и можно будет высказывать пожелания разработчикам.
Они подстраиваются под пользователей.
Фирма небольшая и не хочет терять своих потенциальных клиентов.
Погуляйте по их форуму и всё будет понятно (если читаете английский).

[VPF]

Да, это я увидел... и мне тоже нравиться Clark, но надо еще привязать и биллинг..., перевожу оффис с виндов..., и на серваке стоял трафик инспектор - удобная штука, вот думаю чем заменить... ??? Тем более, что ftp серввер и файл сервер уже поднял (с пол-пинка) на кларке..., еще бы и биллинг ...

Дело в том, что я после более длительного осмысления сам отказался от идеи контроля объёма трафика для сотрудников фирмы.

Судите сами. Если интернет необходим для работы, а не для развлечений, то возникает ситуация, когда пользователь активно изучает что-то в интернете по работе, а тут бац - его отключила система за превышение трафика. А информация нужна, а админа нет на месте (вышел по делам).

Если же автоматически контролируются ресурсы (как это сделано в CC), то остаётся мало шансов накрутить плохой трафик, тем более, что у меня скачивание файлов из интернета заблокированно для обычных пользователей. Полный доступ установлен руководству. Кто оплачивает интернет, тот сам и определяет, что и в каких объёмах скачивает из интернета.

[pilotza]

У меня к сожалению, ограниченный траффик - 3 гига и есть необходимость резать всех..., хотя можно и посмотреть, что можно сделать...
Еще... столкнулся, что не могу поставить сторонее приложение... (Access denied) и это из под рута ...????
ставлю посмотреть FlowTuner...

[VPF]

У меня к сожалению, ограниченный траффик - 3 гига и есть необходимость резать всех..., хотя можно и посмотреть, что можно сделать...

Сколько пользователей?

3 Гб за месяц?

Раньше использовал UserGate и выдавал всем суточные лимиты.
Заметил, что пользователи старались выбрать свой лимит полностью.
После перехода на СС и перестройки всё кухни некоторые пользователи поначалу превышали трафик не по-делу, но после отключения их на день-два и предупреждения, трафик сильно снизился.
А главное, что само-собой уже ничего не скачивается (файлы), поэтому вирусы (а с ними и проблемы) тоже исчезли.

Стоит заметить, что никто не запрещает вносить изменения в конфиг Squid. Правда как это повляет на другие компоненты тоже неизвестно.

[pilotza]

Пользователей около 30 (+-) периодически меняется кол-во... Попробую ограничить правилами , а не трафиком
Еще... столкнулся, что не могу поставить сторонее приложение... (Access denied) и это из под рута ...????
ставлю посмотреть FlowTuner...

[VPF]

Пользователей около 30 (+-) периодически меняется кол-во... Попробую ограничить правилами , а не трафиком
Еще... столкнулся, что не могу поставить сторонее приложение... (Access denied) и это из под рута ...????
ставлю посмотреть FlowTuner...

У меня столько же пользователей.
CC не может быть платформой для экспериментов со сторонним ПО.
Это ведь серверный дистрибутив.
Конечно, он совместим с пакетами от RedHat, но устанавливать лучше из репозитория.
А с несерверным ПО лучше экспериментировать на другой машине и другом дистрибутиве.

Я появлюсь теперь уже вечером после 20-00

[pilotza]

FlowTuner - в принципе серверное по... - биллинговая система, прокси и прочее

[VPF]

FlowTuner - в принципе серверное по... - биллинговая система, прокси и прочее

Поскольку я с этим ПО незнаком, то посоветовать ничего не могу.

Все официальные обновления и дополнительные модули рекомендуется устанавливать так:

для обновления

Код: Выделить всё

# apt-get update
# apt-get upgrade

для установки дополнительного пакета из официального репозитория

Код: Выделить всё

# apt-get install [имя пакета]

Но существуют и неофициальные репозитории.
Поскольку оттуда я ничего не устанавливал, то дать точную ссылку не могу.

[pilotza]

Спасибо..., а как общаться с аптом я знаю...

[berDrug]

Не разобрался, чем отличаются версии Office и Enterprise.
И чем отличаются уровни техподдержки

[VPF]

Не разобрался, чем отличаются версии Office и Enterprise.
И чем отличаются уровни техподдержки

С этими версиями целая история была.
Осенью прошедшего года вышла версия 4 в 2-х вариантах: Community и Enterprise.
Главным нововведением в лицензионной политике стало ограничение почтовых ящиков (до 10) в первичной поставке. Остальные предлагалось докупать.
Но под напором возмущённых пользователей через месяц выпустили версию Office, в которой кол-во ящиков не ограничивается.
Поэтому, если вам нужен почтовый сервер с кол-ом ящиков более 10, то вам нужна версия Office.
Остальные отличия несущественны для наших условий.
Поддержка по умолчанию входит в годовой платёж - 75/85 $ для различных версий.
За эти деньги вы получите поддержку Technical Support - Level I - что означает поддержка по эл. почте или через их сайт. Ответить могут на следующий день (учитывая разницу по времени с Канадой), могут через день-два, если вопрос сложный или вы наткнулись на баг в системе.
За большие деньги можно получить срочную поддержку по телефону, но это нам не по-карману, да и нет смысла. Наши как правило намного сообразительнее и разбираются сами.

Версия Community - бесплатная и не имеет поддержки.

[VPF]

Вот почитайте статью на русском о CC.
Правда статья двухгодичной давности, многое уже изменилось, но как обзорная - самое то.

Статья

[loner]

Minimum Requirements

Memory/RAM At least 512 MB is recommended

RAM and CPU <5 users 5-10 users 10-50 users 50-200 users
Processor/CPU 500 MHz 1 GHz 2 GHz 3 GHz
Memory/RAM 512 MB 1 GB 1.5 GB 2 GB

Linux Vista?

Я так понял на p200, 128mb он даже не поставится?

[pilotza]

У меня стоит на Celeron 667 и 512 Ram...

[VPF]

Minimum Requirements

Memory/RAM At least 512 MB is recommended

RAM and CPU <5 users 5-10 users 10-50 users 50-200 users
Processor/CPU 500 MHz 1 GHz 2 GHz 3 GHz
Memory/RAM 512 MB 1 GB 1.5 GB 2 GB

Linux Vista?

Я так понял на p200, 128mb он даже не поставится?

Не надо демонстрировать здесь свою некомпетентность...
Здесь рассматривается серверный дистрибутив, причём, многофункциональный с серьёзной защитой.
Поставить можно, но что вы запустите на такой конфигурации в качестве серверных служб?
Вы Gentoo в качестве сервера установили на p200 128 Мб?

У меня этот сервер обслуживает сеть из 30 машин. Конфигурация: P-933, 640 Мб. Но собираюсь скоро обновить компьютер.
Он работает в качестве прокси с фильтрацией, кешированием, почтового сервера с фильтрацией, антивирусной защитой, защитой от спама. Все службы и возможности перечислять не буду. Вся информация на сайте.

На сайте прямо сказано (на английском разумеется), что конфигурация зависит не только от кол-ва клиентских машин, но и от того, какие серверные службы будут запущены.

Да и вообще, эта тема создана для тех пользователей, которые начинают (или собираются) использовать ClarkConnect.
Я им готов оказать поддержку, ответить на вопросы.

А таким репликам здесь не место.
Вы засоряете тему.
Хотите высказаться - идите... в раздел "разговоры обо всём" и там говорите, что хотите.

[loner]

> Да и вообще, эта тема создана для тех пользователей, которые начинают (или собираются) использовать ClarkConnect.

Вот я и собираюсь начать использовать ClarkConnect(уже скачал iso-шник) и узнаю какие у него требования, подойдет ли он для слабой машины.

> Вы Gentoo в качестве сервера установили на p200 128 Мб?
Да, наверное, Генту и буду устанавливать.
Нужен простой шлюз на 10 машин. На нем файрвол и прокси - больше ничего. Железа другого не дают.

> Вы засоряете тему.
Вы меня неправильно поняли.

З.Ы Можете кильнуть мой предыдущий пост, если не нравится

[VPF]

> Да и вообще, эта тема создана для тех пользователей, которые начинают (или собираются) использовать ClarkConnect.

Вот я и собираюсь начать использовать ClarkConnect(уже скачал iso-шник) и узнаю какие у него требования, подойдет ли он для слабой машины.

> Вы Gentoo в качестве сервера установили на p200 128 Мб?
Да, наверное, Генту и буду устанавливать.
Нужен простой шлюз на 10 машин. На нем файрвол и прокси - больше ничего. Железа другого не дают.

> Вы засоряете тему.
Вы меня неправильно поняли.

З.Ы Можете кильнуть мой предыдущий пост, если не нравится

С этого и надо было начинать.
К чему был сарказм и сравнение с Windows Vista?
Удалять посты я не могу, поскольку не являюсь модератором.
Я обычный участник форума.

Теперь по делу.
У меня был опыт использования в качестве шлюза специализированного дистрибутива IPCop.
Он весит 40 Мб, обеспечивает минимальную защиту и работает в качестве прокси.
Как раз подходит для ваших задач.
Требования к железу у него соответственно ниже.
Он надёжен и прост в установке и настройке, но не подходит для серьёзных задач.

Я удивлён, что для защиты сети выделяют машину, которую давно надо было списать.
Сожалею, что принял вас за провокатора.

[VPF]

По почте поступил вопрос (почему товарищ не задал его на форуме - не знаю)

Добрый день VPF, Прочитал на форуме linuxforum.ru по поводу Кларка .Вы не подскажите , есть такая
проблема стоит Кларк 3.2 на нем запущен Web server есть папка /var/www/html туда положил HTML
страничку. Вопрос , почему не отображаються русские шрифты ? Я так понимаю что там стоит апач и он коверкает кодировку или что ??

Напрямую к ClarkConnect это не относится.
Необходимо настроить вебсервер для корректного отображения необходимого языка и кодировки.

Для этого необходимо отредактировать

Код: Выделить всё

/etc/httpd/conf/httpd.conf

Ищем в файле и правим

Код: Выделить всё

...
DefaultLanguage ru
...
LanguagePriority ru en ...
...
AddDefaultCharset WINDOWS-1251

После этого рестартуем вебсервер

[AntonUSSR]

Большое спасибо !! все получилось , русская кодировка отображаеться на все 100 %

[berDrug]

VPN Lan-to-Lan на двух кларках, это возможно? Подбираю вариант поключения небольшой сети в удаленном офисе к виндовому домену завода.

[VPF]

VPN Lan-to-Lan на двух кларках, это возможно? Подбираю вариант поключения небольшой сети в удаленном офисе к виндовому домену завода.

Такой модуль есть, но им не пользовался, поскольку такой задачи не было.
Прилагаю скриншот страницы настройки этого модуля на моём сервере.
А вот дополнительная информация на сайте
Modules - VPN Server - IPsec

Если будешь настраивать, то поделись потом результатами и своим опытом.

Попробовал немного разобраться с этим модулем чисто теоретически.
Как я понял, если есть 2 СС (платные), зарегистрированные на сайте на один аккаунт, то всё подключается автоматически после запуска модулей с обеих сторон.
Но есть возможность и ручной настройки, если сервера относятся к различным аккаунтам.

[proton17]

А как в СС с аутентификацией пользователей прокси? У него своя база? И насколько у него развит модуль статистики, т.е. возможно ли посмотреть куда и зачем в интернете заходил конкретный пользователь с конкретного ПК?

И еще один вопрос: можно его поставить на машину с уже установленной ОС Windows или Linux? Спасибо.

[VPF]

А как в СС с аутентификацией пользователей прокси? У него своя база? И насколько у него развит модуль статистики, т.е. возможно ли посмотреть куда и зачем в интернете заходил конкретный пользователь с конкретного ПК?

И еще один вопрос: можно его поставить на машину с уже установленной ОС Windows или Linux? Спасибо.

Можно использовать вариант прозрачного прокси, тогда аутентификация отсутствует в принципе.
Если использовать прокси явным образом, то возможны варианты с аутентификацией и без неё.

База пользователей едина для всех сетевых сервисов и хранится в LDAP.
Статистику можно посмотреть по ip адресам и пользователям (если используется аутентификация).
Все хождения через прокси регистрируются с указанием ip и пользователя и доступны для просмотра.

CC - это не программа, а специализированный дистрибутив Linux, поэтому должен быть установлен на отдельном компьютере с чистым жёстким диском.
Иначе и быть не может. Как можно обеспечить безопасность отдельной программой, если бреши будут в самой операционке?

[proton17]

В LDAP? Значит нужен контроллер домена или нет? А по поводу установки - я имел в виду как вторую ОС с возможностью выбора при загрузке.

[VPF]

В LDAP? Значит нужен контроллер домена или нет? А по поводу установки - я имел в виду как вторую ОС с возможностью выбора при загрузке.

С доменом Windows пользовательская база никак не связана, она хранится в LDAP локально на самом CC.
Интеграции в домен Windows пока нет.
Если пользователи работают в домене Windows, то кроме пароля для входа в домен им придётся помнить ещё пароль для CC. С этим паролем пользователь может получить доступ к прокси, FTP, открытым файловым ресурсам, почте и т.д.

Второй системой?
Не уверен, точно не помню, но вроде бы диск размечается заново в процессе установки.
А какой смысл?
Если уж планировать использование, то необходимо выделять отдельную машину.
Поясните в чём смысл вашего вопроса?

[proton17]

Смысл в том, что на работе мне сейчас чистую машинку никто не даст правда можно попробовать поставить в VMWare. А так, по описанию, мне СС понравился. Уже скачал бесплатный релиз - завтра буду пробовать. Спасибо за подробную информацию!