» Интернет шлюз для небольшой конторы с подсчетом трафика.

Хочется поднять интернет шлюз на базе Linux (или FreeBSD) для небольшой конторы (около 30 человек, ежемесячный трафик в пределах 5Gb).

Одним ethernet-интерфейсом он будет втыкаться в ADSL-модем через который подключен интернет, другими 2-мя или тремя --- в коммутаторы подразделений (сделано физическое разделение на 2 сегмента, планируется добавление 3-го, возможно через VLAN)

функции шлюза:
1) Файрвол с NAT.
2) Кеширующий DNS
3) Squid
4) Подсчет всего интернет-трафика (хотя бы по ip-адресам)
5) Возможность управления пропускной способностью с приоритезацией
для ICMP, SSH, DNS и разными полосами пропускания для разных компов.
6) Почтовый шлюз (опционально)

Все это предполагается разместить на одном компе. Бюджет весьма ограничен. И место тоже.

Допускается возможность привлечения кого-нибудь со стороны для оказания помощи в наиболее сложных моментах при развертывании этого шлюза с дальнейшим эпизодическим привлечением для поддержания этого хозяйства в работоспособном состоянии. Но не так, чтобы контора стала зависимой от какого-то одного "кулибина", то есть, по-возможности без самопальных нестандартных решений которые как правило нацело лишены документации.
Т.е. решения должны быть достаточно популярны.

Предполагается, что администрировать это все будет непродвинутый чайник (впрочем немного знакомый с Linux), поэтому простота администрирования очень важна.

Вопросы --- какой дистрибутив Linux лучше подойдет? (впрочем, если больше подходит FreeBSD, то она тоже вполне допустима).

Если однозначный ответ затруднителен, то приведите хотя-бы все "за" и "против".

Хочется услышать аргументированный ответ от людей имеющих реальный опыт такого рода.

любой, спроси у тех, кто тебе будет помогать

не помоишный дистрибутив

ответ тебе сможет дать только тот, кто будет все это делать.
на чем это делать? - вопрос религии. я бы стал делать на FreeBSD, но это не значит, что решение на Linux'е будет хуже.

встает другой вопрос: почему вы этим занимаетесь? выбором дистрибутива для сервера должен заниматься админ.

keyhell

ну так он и есть админ :)

Цитата:

keyhell

ну так он и есть админ

ну вы меня поняли? да?

я понимаю, что человек волею судьбы и есть админ. точнее сказать, он в перспективе может быть станет админом UNIX. но пока он ничего не знает и если задача срочная, то надо звать спецов.

Только что заметил вот это:

Цитата:

Предполагается, что администрировать это все будет непродвинутый чайник (впрочем немного знакомый с Linux), поэтому простота администрирования очень важна.

Полностью подтверждает мой совет: админить должен админ. Чайнику место на кухне.

Поясняю ситуацию: в настоящее время я занимаюсь немного другими вещами и хотя знаю и Linux (с 1996 года) и FreeBSD (с 1999 года) не по наслышке, но у меня нет ни времени, ни желания самому развертывать все это хозяйство. Максимум на что меня хватит --- что-нибудь подсказать, но не учить и не выполнять работу самому. Поскольку я заинтересован в том, чтобы все это хозяйство нормально работало и могу самостоятельно принимать решения, то хочу сделать оптимальный выбор, взвесив все за и против.

Насчет чайника я быть может погорячился, но поставленная задача довольно серьезная, поэтому относительно нее админ скорее чайник. Но нельзя сказать, что он ничего не знает. Просто маловато опыта. Чтобы было понятно какова квалификация админа скажу так --- он обучался на курсах http://www2.a-sys.ru/kursi/00012/lab.html , http://www2.a-sys.ru/kursi/00012/LASP.html после чего где-то пол-года админил по мелочам пару серваков под Linux, т.е. поддерживал, обновлял, правил конфиги и т.п. , но разворачивал серваки другой человек. С FreeBSD он знаком чуть хуже, хотя приходилось тоже чуть-чуть с ней повозиться. И с тем и с другим он игрался и раньше, но у себя дома и в свое удовольствие, то есть систематичных знаний не было.

Цитата:

Насчет чайника я быть может погорячился, но поставленная задача довольно серьезная, поэтому относительно нее админ скорее чайник.

задача поставлена тривиальная. нормальный админ с ней должен справиться.
если под серьезностью задачи вы понимаете то, что все это ставится на одну машину, то могу вас уверить - я бы туда еще чего-нибудь загнал это впрочем лирика...


Цитата:

он обучался на курсах http://www2.a-sys.ru/kursi/00012/lab.html , http://www2.a-sys.ru/kursi/00012/LASP.html после чего где-то пол-года админил по мелочам пару серваков под Linux, т.е. поддерживал, обновлял, правил конфиги и т.п. , но разворачивал серваки другой человек. С FreeBSD он знаком чуть хуже, хотя приходилось тоже чуть-чуть с ней повозиться. И с тем и с другим он игрался и раньше, но у себя дома и в свое удовольствие, то есть систематичных знаний не было.

не надо настраивать боевой сервер если не умеете. вот и все.
после таких настроек люди вылазят на форумы, чтобы узнать про open relay, через который прокачивается спам, или о ftp, через который пару гиг прогнали...

Короче ))
Gentoo,iptables,Bind,Squid,Sarg,Postfix ))

Думаю, Gentoo для начала не совсем удачный выбор, лучше взять что-нить бинарное, типа Slackware... Как раз недавно свежий релиз вышел. Ну или FreeBSD В общем, с чем опыта работы больше, то и надо брать, в принципе поставленную задачу можно решить на любом дистрибутиве

Чувствую, что меня опять не поняли. Насчет принципиальной возможности решить эту задачу в том или ином дистрибутиве я не сомневаюсь.

Мне хотелось оценить времязатраты, что для меня не очевидно, и возможность выполнить поставленную задачу человеком с небольшим опытом.


Цитата:

Короче ))
Gentoo,iptables,Bind,Squid,Sarg,Postfix ))

ответ бесценный!!! особенно поразила ясная аргументация автора!
а, кстати, почему BIND, а не tinydns ? Postfix, а не qmail или sendmail?
Gentoo а не RedHat?
Где аргументы?!
Я же написал:
Цитата:

Хочется услышать аргументированный ответ

То есть с объяснением вашей позиции.


И вот не факт, что развертывание под Slackware займет меньше админского времени, чем Gentoo или FreeBSD с пересборкой ядра и мира. В Слаке слишком скудный набор пакетов, как следствие --- довольно скоро упираешься в необходимость что-то ставить из исходников... про удобство управления пакетами я вовсе помолчу. Уж лучше тогда ФРя.
с Gentoo после ухода Даниэля Роббинса как-то боязно связываться, хотя быть может все не так уж плохо.


Цитата:

после таких настроек люди вылазят на форумы, чтобы узнать про open relay, через который прокачивается спам, или о ftp, через который пару гиг прогнали...

После таких настроек я буду проводить аудит уже сам и все замеченные сопли будем вытирать прежде чем машинка будет введена в эксплуатацию. По-правде говоря я не видел в жизни админов, которые бы знали Linux или FreeBSD в совершенстве. У всех были те или иные пробелы.Так, что всем админам приходится в процессе работы чему-то учиться, что-то наверстывать. Вот пусть и наш развивается.

Лично я юзал для аналогичных целей Suse 8.3 Впрочем не буду утверждать, что это лучший вариант. Выбор на него пал в основном из-за лотуса.

korshenin

для этих целей я бы выбрал FreeBSD
чтобы заработало, достаточно дня
а чтобы не было
Цитата:

после таких настроек люди вылазят на форумы, чтобы узнать про open relay, через который прокачивается спам, или о ftp, через который пару гиг прогнали...

в процессе работы придеться править


Цитата:

3) Squid
4) Подсчет всего интернет-трафика (хотя бы по ip-адресам)

ng_netflow - для всего трафика
squid+sarg - для юзеров (можно и по именам)


Цитата:

5) Возможность управления пропускной способностью с приоритезацией
для ICMP, SSH, DNS и разными полосами пропускания для разных компов.

ipfw или pf


Цитата:

6) Почтовый шлюз (опционально)

postfix - так как юзеров около 30, его вплоне будет достаточно
а чтобы настроить достаточно 6-8 строчек поправить и все
в дальнейшем можно поставить антивирус (amavisd, clamav - это с бесплатных), антиспам (RBL,dspam,spamassasin)
хелпы в инете много - думаю
Цитата:

непродвинутый чайник

с этим справится

squid, чайник с этим не справится.
т.е. первый десять вопросов будут по настройке DNS, а потом начнутся проблемы с fw/nat/.../mail/squid/

Цитата:

squid, чайник с этим не справится.

вопросы --- не проблема, пусть задает, главное, чтобы он сам все делал и учился пользоваться своей головой и имеющейся документацией. По характеру вопросов
будет понятно каков человек. Ленивые люди, которым лень хоть чуть-чуть подумать и иногда заглянуть в доки мне не нужны.

За день чайник не справится, это точно, а вот за неделю-другую вполне должен.

keyhell


Цитата:

первый десять вопросов будут по настройке DNS

Э.. таки 10? Откуда столько вопросов по кэшироющему DNS?
Открыть для своих, закрыть для чужих, зон никаких нет, рекурсии тоже. Все остальное
есть в книжке. В чем проблемы?

Уважаемые Гуру, а если книжка, которая комплексно отвечала хотя бы на часть заданных здесь вопросов, но комплексно. Можете помочь?
Непродвинутый чайник

dim84
Например Д.Колисниченко. Линукс сервер своими руками.