Замена ISA Server (Замена ISA Server на слабой машине)

[AlexK]

Здравствуйте.

Есть слабенькая машинка:
- Pentium MMX 166 MHz
- 32 Mb RAM
- 850 Mb HDD
- 3 сетевые карточки LAN, WAN, WiFi PCI карточка от D-Link

Нужно сделать из нее роутер(NAT)+firewall+DNS Server+DHCP+Web Proxy+контентная фильтрация. Т.е. почти все то, что есть в ISA Server на Windows Server.

Требования к ОС:
- Чтобы работала на этом железе
- Web-интерфейс для полного управления сервером
- Дистрибутив "все-в-одном"
- Наличие детектора атак и блокировка IP или подсети, ограничение на опр. кол-во запросов с одного IP.

Смотрел pfSense и SmoothWall - первый понравился больше, только ни в одном из них нет ни детектирования атак и авт. блокировки IP ни контентной фильтрации.

Я новичок в Linux, помогите, пожалуйста выбрать дистирибутив.

[кодировщик]

Какие именно карточки вы так и не написали.

Web-интерфейс управления - это бред, типа что-то webmin-a

Блокировка атак - portsentry && iptables

А вообще дистр может любой подойди, дело привычки и вкуса

В целом безопасность зависит от вас.

[yaleks]

Если без прокси и контекстной фильтрации, то такая машинка вполне потянет что-н типа Slackware.
Но вот Windows Server вы туда точно не поставите

А так Выбор дистрибутива, а также "чего поставить на серверок?"

Задача не простая для новичков и требует чтения литературы.

[AlexK]

> Какие именно карточки вы так и не написали.
Это имеет значение?

> Web-интерфейс управления - это бред, типа что-то webmin-a
Почему бред, хорошо, тогда пусть будет консоль MMC Есть такое?
Как по-вашему настраиваются хардварные роутеры? Через Web-интерфейс или Telnet.

> Блокировка атак - portsentry && iptables
Я так понял это отдельные программы? которые нужно дополнительно ставить? Не надо мне этого...

> Если без прокси и контекстной фильтрации, то такая машинка вполне потянет что-н типа Slackware.

Меня интересует готовое решение типа pfSense, разбираться с настройками и установкой программ, да потом ещё копаться в командах никакого желания нет.

Хочу чтобы настройка была визуальная, с графиками загрузки канала и т.п. Чтобы я визуально видел какие порты закрыты, какие подсети заблокированы и т.п.

Есть такое решение?

[landgraf]

Как по-вашему настраиваются хардварные роутеры? Через Web-интерфейс или Telnet.

у меня через SSH настраивается хардварные роутер

Я так понял это отдельные программы? которые нужно дополнительно ставить? Не надо мне этого...

iptables ставить????

Меня интересует готовое решение типа pfSense, разбираться с настройками и установкой программ, да потом ещё копаться в командах никакого желания нет.
Хочу чтобы настройка была визуальная, с графиками загрузки канала и т.п. Чтобы я визуально видел какие порты закрыты, какие подсети заблокированы и т.п.
Есть такое решение?

А Вы вернитесь к

- Pentium MMX 166 MHz
- 32 Mb RAM

и сами догадайтесь

[AlexK]

> у меня через SSH настраивается хардварные роутер
Точно Забыл. Я в основном с ISA работаю

> iptables ставить????
Ага, значит это встроенная фича? А как она настраивается? куча текстовых файликов которые надо править?

> и сами догадайтесь
А что такое? SmoothWall на эту конфигурацию замечательно встал и нормально работал, как замена неплохому хардварному роутеру с файрволом это очень неплохая вещь, а вот как замена ISA - нет, не тянет.

Господа линуксоиды, вы не обижайтесь на меня, с Windows я плотненько работаю вот уже лет 10, а вот с линуксом - только два раза пытался поставить Ubuntu, но она так глючила, что я её сносил нафиг + я не люблю, что мне нужно по каждому поводу писать кучу команд

[Siras]

если автор очень ленивый как вариант можно поставить FREESCO

[AlexK]

если автор очень ленивый как вариант можно поставить FREESCO

Ну вот Я совсем не ленивый. Freesco я ставил, но как увидить таблицу маршрутизации я не понял. И не думаю, что Freesco имеет контент-фильтр.

Может быть есть какая-нибудь дока для ламеров в Linux как установить и настроить то, что мне нужно?

[--=Civil696=--]

iptables ставить????

а почему бы и нет?
если я ничё не путаю то iptables это прост настройка над netfilter, и в принципе может отсутствовать в так сказать "стандартной поставке", как в принципе и route, другое дело что сие весьма сомнительно...
моно наверно FreeSCO попробовать, ток веб морды и прокси из коробки в нём вроде не наблюдается
ЗЫ пока набирал с FreeSCO'й меня опередили

[кодировщик]

2AlexK Вы поймите что это не M$ и any-key здесь не существует.
Вам много про что следует с начала почитать, имхо моё мнение.

[AlexK]

2AlexK Вы поймите что это не M$ и any-key здесь не существует.
Вам много про что следует с начала почитать, имхо моё мнение.

Скажите, а вы видели ISA Server? Думаете он кнопой any ставится? Чтобы его поставить тоже много чего надо предварительно настроить.

Про что же мне следует прочитать? Про то, как компилировать ядро

У меня есть задача - сделать программный файрвол, железо не тянет продукты как вы выразились фирмы M$, поэтому я решил посмотреть на Open Source решения.

Если у вас есть аппвратный роутер вы же не читаете "много про что", а просто можете его за n часов настроить, вот мне нужно такое решение, только программное и с "вкусностями" ISA.

[yaleks]

В журнале Системный Администратор вроде были статьи про решения "всё в одном".

Детектирование атак это непростая задача (и по требуемой вычислительной мощности и по адекватности настройки), да и зачем их детектировать, если снаружи все порты закрыты? Максимум blocksshd поставить, если надо снаружи по SSH поуправлять сервером.
Контентная фильтрация на прокси ли вообще весь трафик шерстить? Если второе, то маловато ресурсов у данной машинки.

[AlexK]

В журнале Системный Администратор вроде были статьи про решения "всё в одном".

Не подскажете в каком номере?

Детектирование атак это непростая задача (и по требуемой вычислительной мощности и по адекватности настройки), да и зачем их детектировать, если снаружи все порты закрыты? Максимум blocksshd поставить, если надо снаружи по SSH поуправлять сервером.
Контентная фильтрация на прокси ли вообще весь трафик шерстить? Если второе, то маловато ресурсов у данной машинки.

В том-то и дело, что порты не все закрыты. SSH - закрыт, управление только изнутри. Контентная фильтрация - на прокси (HTTP(S)). И (по возможности) SMTP + POP3, хотя это не критично.

[diesel]

AlexK насколько большая сеть за этой машиной будет? Есть подозрение что не потянет эта машина нормально все что вы на нее хотите возложить(Hint: 100Mbit/s величина одного порядка с частотой вашего процессора, а wifi это вообще отдельная песня)

[DaemonTux]

Если у вас есть аппвратный роутер вы же не читаете "много про что", а просто можете его за n часов настроить, вот мне нужно такое решение, только программное и с "вкусностями" ISA.

Ну вопервых на роутере может и не быть фаирвола. Нету и прокси.

Ну и во вторых. Попробуйте cisco без документации настоить.

[AlexK]

AlexK насколько большая сеть за этой машиной будет? Есть подозрение что не потянет эта машина нормально все что вы на нее хотите возложить(Hint: 100Mbit/s величина одного порядка с частотой вашего процессора, а wifi это вообще отдельная песня)

Сеть будет небольшая - 5 компов (клиенты Proxy + Mail) + 2 сервера (Web + OWA).
WAN канал небольшой - 512 Кб/s.

WiFi - только как AP для одного компьютера и только Proxy, больше ничего.

Не думаю что эта машинка не справится.

Ну вопервых на роутере может и не быть фаирвола. Нету и прокси.

Ага, но сейчас очень популярны решения со встроенными этими фичами

Ну и во вторых. Попробуйте cisco без документации настоить.

Ой, давайте про циску не будем, речь ведь о протенькой системе.

[AlexK]

В общем больше всего мне подходит SmoothWall Express 3.0, только в нем нет контентного фильтра, в остальном - все есть.
Никто не знает как контентный фильтр прикрутить?

Прочитал ещё про SmoothWall Corporate Firewall 2008, там есть все что мне нужно, но как его скачать я не понял... Никто не знает? Может быть он платный?

[yaleks]

Никто не знает как контентный фильтр прикрутить?

http://wiki.linuxformat.ru/index.php/LXF81:DansGuardian

Можно и на другой машине в Squid через через ICAP сделать.
Но для всего этого придётся немного подумать