Аналог usergate для linux
Обновлено: 02.07.2024
Сидим на нем много лет - вроде ничего.
Сейчас на 4-ой версии.
Выписал счет на 5-ю и задумался.
В UserGate достало следующее:
1. Два сайта выдают ошибку 10060, хотя все остальные грузятся без проблем.
2. На клиентских компах не работает FTP.
Настроить не получается. Было время что работало, но как то само по себе слетело. Уж каких только галочек и НАТов не тыкал, уже сам запутался. Техподдержка помочь затрудняется. И вообще она дебильная стала. В письменном виде теперь. За день три письма туда три оттуда и сижу кукую жду ответа.
Интересует что нибудь коммерческое для небольшой организации.
Ну скажем на 20 компов.
Требования примерно такие:
Не очень дорогое 7-10-15-20 т.руб.
Нормальная круглосуточная (желательно) техподдержка.
Русский интерфейс.
Возможность делать назначения по портам (для почты разных провайдеров)
Работоспособность FTP на клиентских машинах.
Без глюков с разными там "банк-клиентами" и "Такскомами".
Не замудренная с понятным интерфейсом и не очень большим количеством галочек для заполнения :-)
В принципе UserGate всем устраивал, но достали вышеуказанные глюки.
Мне нравится ZyWALL как раз то, что нужно.
Интерфейс вполне дружелюбный, аппаратура надежная, сервис - поддержка лояльная.
Во многих местах работает успешно. Много другого полезного функционала.
Пользовались WinGate, для чайников самое то. Для простоты настроек есть даже клиенты для юзеров.Лицензия на 25 юзеров - $550.
Сижу читаю про Керио, смотрю картинки, вопрос появился.
1. Он на русском бывает ?
2. У них в партнерах на сайте Entensys (UserGate который) прописан. И интерфейс очень похожий, только закладки в другом порядке - не одно ли это и то же окажется .
юзергейт всё таки прокси а керио всё таки NAT, полноценный
причем в обе стороны, как изнутри наружу, так (при желании) и взад ) подробнее:
т.е. можно прямой айпишник провайдера внешний - легко отобразить на любой комп во внутренней сети, чтобы этот комп - был доступен извне.
квотирование есть, зажим потока в случае оверквота тоже есь, статистику анализировать легко сторонними средствами
isa или сейчас вместо неё forefront вроде? купили и забыли Спсб. Читаю. Думаю. . думаю как оперативно переехать/потренироваться если чё. Железное решение будет самое лучшее Или никсовое. Все остальное - подвиндовый прокси, да еще и чтоб на русском, это некрасивое, дорогое и ненадежное решение. По последнему пункту - нет. Тот же ЮзерГад на полутора сотнях юзеров - без проблем. Полгода - это даже не смешно > Тот же ЮзерГад на полутора сотнях юзеров - без проблем.+++++++++++++++++++++++++++++++++++++++++++
Когда будет три года, без ребутов, тогда можно о чем-то говорить.
А никсовые решения и аппаратные решения такое могут. Какие полгода, откуда полгода ? Правда не смешно. Да и меряться не собирался. Уже не интересно.
Давно вышел из возраста, когда одну операционку ругают, а другую хвалят.
не соглашусь, у мня 2 компа как маршрутизаторы пашут на обоих пень 4 и 512 памяти, и стоит в качестве рутера - керио винроут файрвол 6.0.1 стародревний, и через них ходят просто ТОЛПЫ народа, и всё это с авторизацией доменной, квотированием, снятием отчетов и тд )
и никакого прокси, ходят как через NAT по шлюзу по умолчанию, маршрутится всё как нада )
в каждом компе по 2 сетевухи.
на одном из компов вообще отцеплено всё включая нетбиос, тока TCP/IP для инета, и все думают что это обычный роутер
а этот роутер собирает всю инфу кто куда лазил и тд )))
и потом на стол руководству
++++++++++++++++++++++++++++++++++++++++++++
Аппаратная железка намного надежнее компа. В ней меньше перепады температур и нет механически изнашиваемых элементов.
Много ты знаешь компьютеров, без вмешательства и чистки проработавших 5 лет? А тоже самое, но про скажем, коммутаторы?
коммутаторы тоже дохнут ) вентиляторы останавливаются, блоки питания греются, и кирдык )
разница конечно в ресурсе есть, потому что коммутаторы менее термонагруженны
но дохлых коммутаторов вагон )
в одном сегменте сети, доставшемся мне "по наследству" после увольнения тамошнего админа по просьбе руководства "просто временно присмотреть". )), стоял 5-й юзергейт.кол-во компов в этом сегменте- прим как у вас. дык эту ошибку 10060 я до сих пор помню, их там таких штуки еще 2, не больше. тоже что тока не делал-глухо. с форумов поддержки итд. выяснил, что это все "родовое" от версии к версии. поддержка так ничем и не помогла-ошибки время от времени повторялись. плюнул, стер, поставил
freeproxy, пусть и возм. поменьше, но работает в р-не 2-х лет.
правда в этом сегменте нет банк-клиентов. но про все глюки с проксей забыл, как страшный сон. так, иногда туда захожу проверить.
У вас не в этом проблема > Настроить не получается. Было время что работало, но как то само по себе слетело. Уж каких только галочек и НАТов не тыкал, уже сам запутался. Техподдержка помочь затрудняется. И вообще она дебильная стала. В письменном виде теперь. За день три письма туда три оттуда и сижу кукую жду ответа.
> В принципе UserGate всем устраивал, но достали вышеуказанные глюки.
+++++++++++++++++++++++++++++++++++++++++++++++++++++
Не надо экономить на персонале. Наймите нормального админа на
почасовую/помесячную оплату и не занимайтесь ерундой. Надо не тыкать в галочки, а понимать как оно работает и что именно происходит. Решается это не сменой ПО.
Это я "образно" выразился.
А то я не понимаю как это работает.
Все я прекрасно понимаю, только ОНО не работает :-)
Тут явный глюк. Возможно переход на 5-ю спасет.
А 4-ку они явно неохотно поддерживают.
На самом деле, если это сказано образно > >Надо не тыкать в галочки, а понимать как оно работает и что >именно происходит. Решается это не сменой ПО.
>
> Это я "образно" выразился.
> А то я не понимаю как это работает.
> Все я прекрасно понимаю, только ОНО не работает :-)
> Тут явный глюк. Возможно переход на 5-ю спасет.
> А 4-ку они явно неохотно поддерживают.
+++++++++++++++++++++++++++++++++++++++++++++++++
То как бесплатное решение, я бы посоветовал взять какой-либо пакет
линуксовый из разряда "в одном флаконе". Наподобие ipcop, кларкконнект и т.п. Их довольно много. Для настройки и установки знания нужны минимальные, все необходимое к ним(что хочется, но нет в комплекте) прикрутить достаточно просто - почитать и подумать. А работает оно потом практически без какого-либо вмешательства годами. Все что можно сделать в юзергейте, можно сделать и там, но по-моему оно проще, быстрее и эффективнее.
Как платное, недорогой файрвол(dfl-260e, srx-100, zywall, microtik) за те же 12-15тыс, сделает все тоже
самое и точно так же потребует потом совсем минимального вмешательства в процессе эксплуатации, плюс куда надежнее компьютера по железу(меньше деталей и нет изнашиваемых частей)
спсб. Железки не очень хотелось. почитал. dfl-260e - нет привязки по МАК адресам.
srx-100 - дороговат, далее читать не стал.
zywall, microtik - тоже не понятно какую модель проверенную на личном опыте смотреть.
И если я правильно понимаю они "статистику" если и ведут то очень не долгую, и посмотреть где юзер сидел три месяца назад не выйдет ?
Не до конца почитал > dfl-260e - нет привязки по МАК адресам.
+++++++++++++++++++++++++++++++++++++++++
Есть привязка.
Cisco ASA5505 легко в тот же диапазон попадает.
>
> И если я правильно понимаю они "статистику" если и ведут то очень не долгую, и посмотреть где юзер сидел три месяца назад не выйдет ?
++++++++++++++++++++++++++++++++++++++++
Правильно. Они под это не заточены. Поднимается сислог сервер, данные перенаправляются на него и смотри хоть год назад где и кто сидел. Ес-но анализатор логов выбираешь себе сам. У зюкселя он был платный и красивый. Киви бесплатный и не очень красивый, для dfl тоже есть анализатор, условно бесплатный.
+100500 либо, если есть понимание, поставить Линукс-Фрю, настроить ручками и забыть, либо купить железку, с тем же самым линуксом внутри, только прошитым намертво.
В конце концов найти админа на день, настроить и опять же забыть.
Какие-то Юзергейты, какие-то обновления, исправлени, странные глюки. Зачем?
14.07.2017 Обзоры 0 Комментариев 26601
На фоне стремительного развития ИБ-технологий стали ускользать из упоминания пионеры обеспечения безопасного сетевого взаимодействия — Secure Web Gateways (SWG). На российском рынке Secure Web Gateways стали почти незаметны на фоне развивающихся рынков UTM и NGFW. Поэтому в данном обзоре мы напомним о таких компонентах сетевой инфраструктуры, как прокси-серверы с функциями информационной безопасности, и расскажем о существующих на рынке решениях.
Введение
В настоящее время может показаться, что термин «прокси-сервер» исчез из употребления в профессиональных сообществах. Больший интерес сейчас проявляется к средствам защиты такого класса, как DLP, SIEM, SOC, NGFW, WAF, а прокси-серверы как бы остались в стороне. Однако это только первые впечатления. На самом деле прокси-серверы из самостоятельных решений перешли в состав многофункциональных комплексов, например, таких, как шлюзы/серверы безопасности или интернет-шлюзы.
Одним из хороших примеров такого развития является история роста Microsoft Proxy Server до ISA Server и далее до Microsoft Forefront Threat Management Gateway. Возможно, это не самый удачный пример, так как 9 сентября 2012 Microsoft объявила о прекращении дальнейшего развития Forefront TMG (основная поддержка прекращена 14.04.2015 года, а расширенная закончится 14.04.2020 года). О возможных вариантах замены Forefront TMG мы уже писали в нашей статье «Незаменимых нет: куда мигрировать с Forefront TMG?». Но речь сейчас не об этом.
В целом решения такого класса, как прокси-серверы — есть. И они представлены либо в виде самостоятельных продуктов (такие все-таки остались), либо в виде комплексных систем. При этом на рынке присутствуют как бесплатные продукты, так и платные. В этом обзоре мы расскажем о таких решениях, существующих на российском рынке.
Назначение и виды прокси-серверов
С терминологической точки зрения ничего нового в понятии прокси-сервера не появилось. По-прежнему это посредник между пользователями и интернет-ресурсами. Прокси-сервер предназначен для решения следующих задач:
На практике выделяют следующие основные типы прокси-серверов:
В зависимости от способа подключения в сетевой инфраструктуре и дальнейшей работы прокси-сервера выделяют следующие основные варианты его применения:веб-прокси (web proxy), SOCKS-прокси, прозрачный прокси (transparent proxy), DNS-прокси и другие.
Мировой рынок прокси-серверов
Исследовательская компания Gartner объединила производителей прокси-серверов с функциями безопасности в сегмент Secure Web Gateways (SWG). Проведя свое исследование в 2017 году, Gartner распределила производителей по магическому квадранту следующим образом:
Рисунок 1. Магический квадрант Gartner для SWG
В исследованиях указывается, что продукты, предлагаемые в виде облачных услуг (SWG-services), развиваются стремительнее, чем SWG-appliance. Однако, SWG-appliance все еще занимают более 70% рынка решений. Согласно определению, к SWG относятся продукты, обеспечивающие URL-фильтрацию, защиту от вредоносного кода и возможность контроля доступа приложений в интернет.
Важно отметить, что в исследовании Gartner в качестве SWG не рассматриваются UTM-устройства и NGFW-устройства (которые также позволяют обеспечить фильтрацию URL-адресов и защиту от вредоносных программ).
Лидерами мирового рынка, по результатам исследований компании Gartner, являются Symantec и ZScaler. В июне 2016 года компания Symantec сделала довольно хитрый ход, позволяющий ей перепрыгнуть из нишевых игроков рынка сразу в лидеры — она совершила крупную покупку, приобретя Blue Coat Systems Inc.
К претендентам в лидерство, чьи продукты хорошо зарекомендовали себя на рынке, относятся: Cisco, Forcepoint (бывший Websense) и McAfee (бывший Intel Security).
Основными нишевыми игроками рынка являются Barracuda Networks, Trend Micro, Sophos, Sangfor, ContentKeeper.
Из квадранта 2017 года по сравнению с 2016 была исключена компания Trustwave. Это произошло из-за того, что компания не смогла получить заметного дохода от продажи SWG.
По оценкам компании Gartner, совокупный доход вендоров, представленных в квадранте, в 2016 году составил $1,6 млрд. Таким образом, по сравнению с 2015 годом доход вырос на 7%. При этом доход от реализации облачных услуг составляет порядка 29% от общего объема реализованных в 2016 году решений. И, по прогнозам, эта доля будет увеличиваться с каждым годом.
Российский рынок прокси-серверов
Если на глобальном рынке такие продукты представлены сегментом SWG, то на российском рынке ситуация немного сложнее. Учитывая менталитет российского потребителя («нам бы все и сразу»), функции безопасности прокси-сервера отечественные вендоры стараются реализовать в составе своих комплексных решений. Явной и, наверное, самой передовой в этом случае альтернативой SWG в России являются UTM- и FW‑решения.
Отечественные вендоры предлагают решения со сходной функциональностью, но в других рыночных сегментах. К ним можно отнести: Entensys, «Етайп», «А-Реал Консалтинг», «Смарт-Софт» и Solar Security.
Учитывая особенности российского рынка и многообразие представителей, наиболее распространенные в России продукты можно разделить на следующие группы:
SWG-продукты:
Альтернатива SWG (UTM-, FW- и другие решения производителей, не вошедших в первую группу):
Бесплатные прокси-серверы:
У производителей SWG-продуктов из первой группы есть свои собственные альтернативные решения, реализованные в виде комплексов UTM и NGFW, но мы решили кратко рассказать, что же могут предложить на этом поприще и другие вендоры.
Для укрепления своих позиций на российском рынке вендоры стремятся включить свои продукты в «Единый реестр российских программ для электронных вычислительных машин и баз данных» и сертифицировать их в соответствии с требованиями ФСТЭК России.
Отдельных представителей группы «альтернатива SWG», а именно UTM-решения, мы уже рассматривали ранее. Поэтому подобные комплексные решения в нашем обзоре мы будем рассматривать только с точки зрения функции безопасности прокси-сервера.
Обзор SWG-продуктов
Check Point Next Generation Secure Web Gateway
Компания Check Point предлагает шлюз для защиты доступа к интернет-ресурсам нового поколения (Next Generation Secure Web Gateway). Этот продукт охватывает широкий спектр приложений и обеспечивает безопасное использование web 2.0, защиту от заражения вредоносными программами, гранулированный контроль и функции обучения конечных пользователей.
Cisco Web Security Appliance
Компания Cisco предлагает шлюз для защиты доступа к интернет-ресурсам Cisco Web Security Appliance (WSA). Он объединяет в себе средства защиты от вредоносных программ, средства контроля и управления использованием веб-приложений и средства обеспечения безопасного мобильного доступа. Также WSA помогает защищать и контролировать веб-трафик организации, снижая ее затраты на интернет. Он реализован в виде программно-аппаратного устройства, виртуального образа (virtual appliance) и услуг облачной инфраструктуры.
Альтернативой этому продукту от того же вендора является Cisco ASA с сервисами FirePower — Next Generation Firewall с активной защитой от угроз, контролем состояния в сочетании со средствами контроля приложений, системой предотвращения вторжений нового поколения и защитой от сложных вредоносных программ. Поставляется продукт в виде программно-аппаратного устройства.
Forcepoint Web Security
Продукты Forcepoint (более известной в России под старым именем Websense) ориентированы на предоставление сотрудникам организаций беспрепятственного доступа к данным с обеспечением защиты ее интеллектуальной собственности.
Компания предлагает продукт Forcepoint Web Security — раньше он назывался TRITON AP-WEB. Он построен на универсальной платформе, обеспечивающей возможность интеграции с другими продуктами компании. Этот продукт обеспечивает комплексную защиту в режиме реального времени от целевых атак, кражи конфиденциальных данных, внедрения вредоносного кода. Forcepoint Web Security реализован в виде программного и аппаратного обеспечения, а также в форме услуги облачной инфраструктуры.
Вендор предлагает в том числе и альтернативный продукт — Forcepoint Stonesoft Next Generation Firewall. Он имеет функциональность детального контроля приложений, системы предотвращения вторжений (IPS), встроенной виртуальной частной сети (VPN) и глубокой проверки пакетов. Продукт реализован в виде программного и аппаратного обеспечения, а также в форме услуги облачной инфраструктуры.
Smart-Soft Traffic Inspector
«Смарт-Софт» разрабатывает комплексные средства обеспечения информационной безопасности, организации и контроля интернет-доступа. Компания предлагает свой флагманский продукт Traffic Inspector — сертифицированный по новым Требованиям ФСТЭК России комплексное решение информационной безопасности. Сертификат ФСТЭК России № 2407 (срок действия 15.08.2011 – 15.08.2020).
Решение реализует следующий состав универсальных функций: организация доступа к интернету из локальной сети, контроль и учет трафика, межсетевой экран, антивирусная защита, блокировка рекламы, сайтов, спама, маршрутизация по условию, прокси-сервер, контентная фильтрация, ограничение скорости работы в интернете, биллинговая система и многое другое.
Traffic Inspector устанавливается на стандартном персональном компьютере, выполняющем функции шлюза для LAN-сети и рассчитано на использование в Windows-среде.
Подробнее о Traffic Inspector можно узнать здесь.
Альтернативным продуктом этого же вендора является Traffic Inspector Next Generation. Этот продукт представляет собой UTM-решение, построенное на базе open-sourсe-решения — OPNsense. Traffic Inspector Next Generation обеспечивает межсетевое экранирование с динамической фильтрацией пакетов, мониторинг и управление трафиком, а также анализ трафика на уровне приложений. Он может быть развернут на UNIX-подобных системах. Подробнее о Traffic Inspector Next Generation можно узнать здесь.
Solar Dozor Web Proxy
Dozor Web Proxy работает под управлением Linux (дистрибутивы CentOS 6.7/RHEL 6.7).
Symantec ProxySG (Blue Coat ProxySG)
Blue Coat ProxySG долгое время является лидером мирового рынка SWG. Фактически ProxySG — это целое семейство устройств, представляющих собой масштабируемую прокси-платформу. ProxySG предназначен для обеспечения безопасности взаимодействия с интернет-ресурсами (web security) и оптимизации работы бизнес-приложений (WAN optimization).
ProxySG работает на основе фирменной операционной системы Blue Coat SGOS и поставляется в виде физических устройств (ProxySG и Advanced Security Gateway) и виртуальных образов (virtual appliance) для ESX/ESXi, Hyper-V или Amazon Web Services.
Trend Micro InterScan Web Security
Trend Micro InterScan Web Security предназначен для обеспечения динамической защиты на уровне интернет-шлюзов как от известных, так и от новейших комбинированных веб-угроз. Функции управления приложениями в сочетании с модулями обнаружения уязвимостей нулевого дня, поиска вредоносных программ, определения репутации веб-сайтов в режиме реального времени, фильтрации URL-адресов и расширенного обнаружения бот-сетей позволяют обеспечивать безопасность систем и эффективную работу пользователей.
Trend Micro InterScan Web Security реализован в виде программного виртуального устройства (virtual appliance) — InterScan Web Security Virtual Appliance (IWSVA) и услуги облачной инфраструктуры, предоставляемой по модели SaaS — InterScan Web Security as a Service (IWSaaS).
Обзор продуктов других производителей — в качестве альтернативы SWG
Entensys UserGate Web Filter
Компания Entensуs (Новосибирск) разрабатывает продукты сетевой безопасности. Ее продукты: Entensys UserGate Web Filter и Entensys UserGate UTM.
Entensys UserGate Web Filter обеспечивает фильтрацию загружаемого контента, блокировку опасных веб-страниц и негативных баннеров, защиту от вредоносов и многих других интернет-угроз. Продукт может быть развернут на виртуальных машинах (VMWare, Virtual Box и др.), в виде виртуального образа или аппаратно-программного комплекса. UserGate Web Filter предоставляет возможность встраивания в сеть на уровне L2, что не требует изменения существующей инфраструктуры.
Кроме UserGate Web Filter у вендора есть аналог — это Entensys UserGate UTM. Он представляет собой интернет-шлюз — единое решение, включающее в себя: межсетевой экран нового поколения, систему обнаружения вторжений, защиту от вредоносных программ и вирусов, систему контент-фильтрации, серверный антиспам, VPN-сервер. Продукт может использоваться как программно-аппаратный комплекс или может быть установлен на виртуальной машине.
Fortinet FortiGate
Fortinet специализируется на разработке и продвижении программного обеспечения, решений и сервисов в области информационной безопасности. В числе решений межсетевые экраны, антивирусные программы, системы предотвращения вторжений и обеспечения безопасности конечных точек.
Fortinet предлагает серию UTM-устройств FortiGate, которые поддерживают такие сервисы, как межсетевой экран (FW), VPN, IPS, контроль приложений, URL-фильтрация, антивирус и антиспам.
Kerio Control
Компания Kerio Technologies предлагает продукт Kerio Control (ранее известный как Kerio WinRoute Firewall и WinRoute Pro). Kerio Control — это программный межсетевой экран. Его основными функциями являются: организация безопасного доступа пользователей в интернет, надежная сетевая защита локальной сети, экономия трафика и рабочего времени сотрудников за счет ограничения нецелевого доступа к различным категориям веб-контента. Межсетевой экран сертифицирован ФСТЭК России — сертификат №3351 (срок действия 18.02.2015-18.02.2018).
Kerio Control может быть развернут посредством использования: Software Appliance (основан на Linux kernel v.3.16), VMware Virtual Appliance и Hyper-V Virtual Appliance.
Интернет Контроль Сервер
Также Интернет Контроль Сервер включает в себя межсетевой экран, VPN, контент-фильтр, DLP, сетевые сервисы, модули антивируса и антиспама. Интернет-шлюз для корпоративной сети может поставляться в виде программного и программно-аппаратного решения (с адаптированной аппаратной частью), также поддерживает виртуальное развертывание. Программный межсетевой экран ИКС является сертифицированной ФСТЭК России версией продукта — сертификат ФСТЭК №2623 (срок действия 19.04.2012 – 19.04.2018).
Обзор бесплатных прокси-серверов
Squid
Проект Squid начинался с NSF-гранта (NCR-9796082), а сейчас поддерживается инициативной группой. Squid представляет собой кэширующий прокси-сервер. Он был разработан как программа с открытым исходным кодом и распространяется в соответствии с лицензией GNU GPL.
Может быть развернут на UNIX-подобных системах и на операционных системах Windows.
3proxy
Проект разработан и поддерживается инициативной группой. 3proxy — это кроссплатформенный комплект прокси-серверов. Он был разработан как программа с открытым исходным кодом и может использоваться по лицензии GNU GPL. 3proxy поставляется в двух вариантах:
В силу кроссплатформенности может быть развернут на UNIX-подобных системах и на операционных системах Windows (включая 64-разрядные).
Выводы
Несмотря на появление новых классов средств защиты информации (DLP, SIEM, SOC ,UTM, NGFW и WAF), прокси-сервер по-прежнему остается востребованным компонентом сетевой инфраструктуры. Производители предлагают решения, реализующие функции прокси-сервера как в виде самостоятельных продуктов, так и в составе многофункциональных комплексов.
На российском рынке много отечественных компаний, чьи продукты включены в «Единый реестр российских программ для электронных вычислительных машин и баз данных». Только в своем обзоре мы привели несколько таких компаний:
Все представленные в обзоре продукты в целом обладают схожими по составу функциональными возможностями:
Отличия рассмотренных продуктов проявляются в следующем:
В целом рынок прокси-серверов продолжает развиваться, но по большей части уже в составе комплексных решений, в том числе UTM. А на фоне общего технологического развития (применение облачной инфраструктуры и облачных сервисов, а также распространенность мобильных технологий) спрос на такие решения будет расти.
Правильным вариантом ответа было бы купить такие решения как Kerio Control или UserGate, но как всегда денег нет, а потребность есть.
Тут то к нам и приходит на выручку старый добрый Squid, но опять же — где взять веб интерфейс? SAMS2? Морально устарел. Тут то и приходит на выручку pfSense.
Описание
В данной статье будет описан способ настройки прокси-сервера Squid.
Для авторизации пользователей будет использоваться Kerberos.
Для фильтрации по доменным группам будет использоваться SquidGuard.
Для мониторинга будет использован Lightsquid, sqstat и внутренние системы мониторинга pfSense.
Также будет решена частая проблема, связанная с внедрением технологии единого входа (SSO), а именно приложения, пытающиеся ходить в интернет под учеткой компа\своей системной учеткой.
Подготовка к установке Squid
За основу будет взят pfSense, Инструкция по установке.
Внутри которого мы организуем аутентификацию на сам межсетевой экран с помощью доменных учеток. Инструкция.
Перед началом установки Squid необходимо настроить DNS сервера в pfsense, сделать для него запись A и PTR записи на нашем DNS сервере и настроить NTP так, чтобы время не отличалось от времени на контроллере домена.
А в вашей сети предоставить возможность WAN интерфейсу pfSense ходить в интернет, а пользователям в локальной сети подключаться на LAN интерфейс, в том числе по порту 7445 и 3128 (в моем случае 8080).
Всё готово? С доменом связь по LDAP для авторизации на pfSense установлена и время синхронизировано? Отлично. Пора приступать к основному процессу.
Установка и предварительная настройка
Squid, SquidGuard и LightSquid установим из менеджера пакетов pfSense в разделе «Система/Менеджер пакетов».
После успешной установки переходим в «Сервисы/Squid Proxy server/» и в первую очередь во вкладке Local Cache настраиваем кеширование, я выставил все по 0, т.к. не вижу особого смысла кешировать сайты, с этим и браузеры прекрасно справляются. После настройки нажимаем клавишу «Сохранить» внизу экрана и это даст нам возможность производить основные настройки прокси.
Основные настройки приводим к следующему виду:
Порт по умолчанию 3128, но я предпочитаю использовать 8080.
Выбранные параметры во вкладке Proxy Interface определяют какие интерфейсы будет слушать наш прокси сервер. Так как этот межсетевой экран построен таким образом, что в интернет он смотрит WAN интерфейсом, даже при том что LAN и WAN могут быть в одной локальной подсети, рекомендую для прокси использовать именно LAN.
Лупбек нужен для работы sqstat.
На этом этапе нам необходимо перейти в наш контроллер домена, создать в нем учетную запись для аутентификации(можно использовать и ту что настроили для аутентификации на сам pfSense). Здесь очень важный фактор — если вы намерены использовать шифрование AES128 или AES256 — проставьте соответствующие галочки в настройках учетной записи.
В случае если ваш домен представляет собой весьма сложный лес с большим количеством каталогов или ваш домен .local, то ВОЗМОЖНО, но не точно, вам придется использовать для этой учетной записи простой пароль, баг известный, но со сложный паролем может просто не работать, надо проверять на конкретном частном случае.
После этого всего формируем файл ключей для кербероса, на контроллере домена открываем командную строку с правами администратора и вводим:
Где указываем свой FQDN pfSense, обязательно соблюдая регистр, в параметр mapuser вводим нашу доменную учетную запись и её пароль, а в crypto выбираем способ шифрования, я использовал rc4 для работы и в поле -out выбираем куда отправим наш готовый файл ключей.
После успешного создания файла ключей отправим его на наш pfSense, я использовал для этого Far, но также можно сделать этот как командами, так и putty или через веб интерфейс pfSense в разделе «Диагностика\Командная строка».
Теперь мы можем отредактировать\создать /etc/krb5.conf
где /etc/krb5.keytab это созданный нами файл ключей.
Обязательно проверьте работу кербероса с помощью kinit, если не работает — дальше нет смысла читать.
Настройка аутентификации Squid и списка доступа без аутентификации
Успешно настроив керберос прикрутим его к нашему Squid`у.
Для этого перейдите в Сервисы\Squid Proxy Server и в основных настройках опуститесь в самый низ, там найдем кнопочку «Расширенные настройки».
В поле Custom Options (Before Auth) введем:
uде auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth — выбирает необходимый нам хелпер керберос аутентификации.
Ключ -s с значением GSS_C_NO_NAME — определяет использование любой учетной записи из файла ключа.
Ключ -k с значением /usr/local/etc/squid/squid.keytab — определяет использовать именно этот кейтаб файл. В моем случае это тот же сформированный нами кейтаб файл, который я скопировал в директорию /usr/local/etc/squid/ и переименовал, потому что с той директорией сквид дружить не хотел, видимо прав не хватало.
Ключ -t с значением -t none — отключает цикличные запросы к контроллеру домена, что сильно снижает нагрузку на него если у вас больше 50 пользователей.
На время теста также можно добавить ключ -d — т.е диагностика, больше логов будет выводиться.
auth_param negotiate children 1000 — определяет сколько одновременных процессов авторизации может быть запущено
auth_param negotiate keep_alive on — не дает разорвать связь во время опроса цепочки авторизации
acl auth proxy_auth REQUIRED — создает и требует список контроля доступа, включающий в себя пользователей, прошедших авторизацию
acl nonauth dstdomain "/etc/squid/nonauth.txt" — сообщаем сквиду о списке доступа nonauth в котором содержатся домены назначения, к которым всегда будет разрешен доступ всем. Сам файл создаем, а внутрь него вписываем домены в формате
Настройка SquidGuard
Переходим в Сервисы\SquidGuard Proxy Filter.
В LDAP Options вводим данные нашей учетной записи, используемой для керберос аутентификации, но в следующем формате:
Если есть пробелы и\или не латинские символы всю эту запись стоит заключить в одинарные или двойные кавычки:
Далее обязательно ставим эти галочки:
Чтобы отрезать ненужные DOMAIN\pfsense DOMAIN.LOCALк которым вся система очень чувствительна.
Теперь переходим в Group Acl и привязываем наши доменные группы доступа, я использую простые наименования в духе group_0, group_1 и тд до 3, где 3 — доступ только в белый список, а 0 — можно всё.
Привязываются группы следующим образом:
сохраняем нашу группу, переходим в Times, там я создал один промежуток означающий работать всегда, теперь переходим в Target Categories и создаем списки по своему усмотрению, после создания списков возвращаемся в наши группы и внутри группы кнопочками выбираем кто куда может, а кто куда — нет.
LightSquid и sqstat
Если в процессе настройки мы выбрали лупбек в настройках сквида и открыли возможность заходить на 7445 в фаерволле как в нашей сети, так и на самом pfSense, то при переходе в Диагностика\Squid Proxy Reports мы без проблем сможем открыть и sqstat и Lighsquid, для последнего нужно будет там же придумать логин и пароль, а также есть возможность выбрать оформление.
Завершение
pfSense очень мощный инструмент, который может очень много всего — и проксирование трафика, и контроль над доступом пользователей в интернет это лишь крупица всего функционала, тем не менее на предприятии с 500 машинами это решило проблему и позволило сэкономить на покупке прокси.
Надеюсь данная статья поможет кому-нибудь решить достаточно актуальную для средних и крупных предприятий задачу.
Pum@ .
Попробуй связку Lan2net NAT Firewall 2.0 и Lan2net Traffic Shaper
Ещё кроме этих Kerio делает Kerio Winroute.
Ну и как правильно заметил Keper - Linux, только не плюс squid, а плюс какой-нибудь шейпер под linux.
__________________Нормальные герои всегда идут в обход. (c) Бармалей WestGott
ну тык заворачивается трафик на сквид и делов)
Во всяком случае мне так показалось проще сделать. __________________
Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем. Keper
Браузерный траффик можно завернуть, а как быть с почтовыми, клиентами с ICQ и прочими приложениями, которые используют порты отличные от 80, 21 и 443? __________________
Нормальные герои всегда идут в обход. (c) Бармалей __________________
Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.
Keper
А что и где прописывать в конфиге squid ты знаешь?
Мне лично неизвестно, как реализовать NAT средствами squid.
Попробуй в любой проксе забей на приём 80-й порт, забей в качестве основного шлюза адрес машины с прокси и указав в браузере прямое подключение к интернет. Попробуй выйти в интернет, без поднятого на машине с проксёй NAT - не получиться.
__________________Нормальные герои всегда идут в обход. (c) Бармалей WestGott
nat и прочие завёртывания делаются с помощью iptables. squid об этих безобразиях по идее то и не догадывается. __________________
Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем. nat и прочие завёртывания делаются с помощью iptables
Keper
Я в курсе.
squid-то тут каким боком?
Для реализации NAT он не нужен.
Теоретически возможно весь трафик из локалки адресованный на сервера в интернет, на различные TCP и UDP порты. Завернуть на порт прослушиваемый squid.
Но это ничего даст, кроме того что интернет просто не будет работать.
Для решения поставленной Pum@ задачи под Linux, нужно поднять NAT (при помощи iptables) и ещё нужен какой-нибудь шейпер под Linux.
__________________Нормальные герои всегда идут в обход. (c) Бармалей Последний раз редактировалось WestGott; 11.07.2010 в 20:44 .
Под линукс тяжело: Нет отдельной машины, я туговат в этой операционной системе, да и не нужны много всяких функций и возможностей.
"Попробуй связку Lan2net NAT Firewall 2.0 и Lan2net Traffic Shaper" А для чего связка?
"Ещё кроме этих Kerio делает Kerio Winroute." Так всё же какой на ваш взгляд лучше в моём случае? Нужно только ограничивать скорость и пускать людей в интернет без мудростей, как я полагаю посредством NAT.
__________________Кто за Днепр не болеет, завтра спидом заболеет! :-) "Попробуй связку Lan2net NAT Firewall 2.0 и Lan2net Traffic Shaper" А для чего связка?
Pum@ .
Ну если Lan2net Traffic Shaper может работать в cвязке с Windows'овским NAT, без Lan2net NAT Firewall, то можно только Shaper. А NAT можно поднять и средствами самого Windows.
Собственно, если в качестве ОС на компе раздающем инет, будет Windows, тебе нужно либо искать прокси-сервер с собственным NAT (Наличие встроенного шейпера в таких проксях стандарт), либо шейпер, который может быть прикручен к NAT Windows.
Добавлено через 3 минуты
__________________Нормальные герои всегда идут в обход. (c) Бармалей Последний раз редактировалось WestGott; 11.07.2010 в 17:08 .
тебе знать зачем ты его к нату приплёл.
Но это ничего даст, кроме того что интернет просто не будет работать. ты теоретизируешь или пробовал? И не надо всё заворачивать, в реальности достаточно обычно лишь 80-го порта. __________________Опытный шаман вылечит вашего электронного друга: танцы с бубном, снятие порчи и сглаза, заговор микросхем.
Keper
Предложение NAT возникло из-за:
Его даже для браузера недостаточно.
Однако, почтовые клиенты работают с другими портами обычно 25,110, аська работает через порт 5190.
Кроме того, если приложение настроено на работу с прокси сервером, его запрос отличается от запроса при прямом подключении.
В режиме "работа через прокси", приложение отправляет пакеты, в которых содержится доменное имя запрашиваемой страницы, причём пакеты адресованы на адрес:порт прокси в локальной сети.
И только после того, как DNS-сервер вернёт ip-адрес сервера, на котором находится запрашиваемая страница, отправляются пакеты на соответствующий ip-адрес:порт.
Шейперы прокси, работают с трафиком, который проходит непосредственно через прокси. Если параллельно на машине с прокси поднят NAT средствами не имеющими никакого отношения к прокси (например средствами ОС), то транзитные пакеты будут проходить мимо прокси и шейпер прокси не может оказать на них никакого влияния.
Читайте также: