» Настройка SmoothWall

О смене провайдера пока задумываться не буду, потому как большинство городских сетей которые по мимо интернета предлагают услугу локальная сеть и локальный торрент, авторузуют клиента по vpn(pptp). Но этот файрвол в частности ставил, чтобы потом поставить в офисе авторизация у провайдера ppoe (она хоть поддерживается?).
И еще скажите, в основном ставлю шлюз для подсчета интернет трафика по пользователям, блокирования нежелательных интернет ресурсов.

Раньше использовал такие программы как ProxyInspector, ISSA, SmallProxy, KerioWinRoute, но хочется поставить шлюз на ядре линукс, потому как это бесплатно и более надежно.
Подскажите умеет ли полноценно вести статистику по пользователям с детализацией по сайтам, а если нет, то какое по можно использовать на базе unix. (Просьба Ideco не предлогать!) Заранее спасибо!

Ну у нас в городе провайдеры (подавляющее большинство) ведут оптоволокно и раздают Ethernet подключения и статические или динамические IP.

PPP, PPPoA or PPPoE connections в SW вроде есть


Билинговой системы в нём вроде нету (хотя могу ошибатся), но статистику по сайтам ведёт, тоесть кто куда лазит (ели поставить мод Sarg - Squid Analysis Report Generator - то будет более детально), блокировка нежелательных сайтов (моды Dansguardian Content Filter и Urlfilter), также можна включить im proxy - будут отчёты по ICQ и IRC и т.д.

Из бесплатных могу посоветовать IPCop (статья на русском http://www.thg.ru/network/ipcop/index.html ) очень похож на SW.
Кстати там вроде РРТР есть

Но если нужно чтоб всё было сразу (без всяких модов и копания в конфигах) то только платные: тотже Ideco очень неплох, Mikrotik, Endian (правда их не не тестил).
А вообще чего я перечисляю вот тут некоторые собраны http://forum.ru-board.com/topic.cgi?forum=8&topic=24052&start=20

поставил Advance Web Proxy вот только для начала мне необходимо настроить простой доступ по логину и паролю, а потом уже попробую синхронизировано с доменом Windows Server 2008. Поставил в Authentication method авторизацию типа Local забил логины и пароли, только при попытке доступа к сайту он не спрашивает логин и пароль. Куда копать?

отвечу цитатой whv из http://forum.ru-board.com/topic.cgi?forum=65&active=15&topic=2255&start=60 хотя это по IPCop но и для SW подходит

Цитата:

Цитата: Спасибо за советы, но у меня что-то не получается авторизацию Windows сделать. Вписываю в список доменного пользователя, но он пускает в инет всех подряд у кого пропизан шлюз, может где-то галочку убрать, или поставить...прошу пращения за назойливость, но уж очень срочно надо.

Кстати - а у пользователей указан адрес прокси сервера в настройках браузера (обычно что-то типа 192.168.0.1 порт 800) ? Если нет - то они и будут выходить в сеть обходя прокси, при условии , что не включено прозрачное проксирование, но и в этом случае контроль по пользователям не возможен !


Службы - Улучшенный веб прокси - в секции "Метод аутентификации" выбрать "Windows" - нажимаем "Сохранить", после чего появится секция "Общие параметры домена", куда вписываем название AD домена и имя контроллера (например если имя сервака с AD "server.company.ru", то в секцию "Домен:" вписываем "company.ru" , в секции    "Имя хоста PDC:" вписываем "server".

Далее в секции "Режим аутентификации" ставим галочку "Включить интегрированную аутентификацию Windows:"
А в секции "Ограничения доступа пользователей" ставим включено (галка) и выбираем "Использовать позитивный контроль доступа:" , где в строке по одному вписываем имена пользователей, которых хотим пущщать в Интернет (пример: если домен "company.ru", а пользователь "vasiya", то пишем в строчке так - "company.ru\vasiya" и сей пользователь будет выпущен в глобальную сеть . Соответственно вписываем БЕЗ ковычек ! )

И не забываем, что авторизация не будет работать, если на Зеленом интерфейсе включен "Прозрачный на Green:" !

Добавлю. Про разные настройки авторизации довольно подробно написано в прилагаемом мануале. Я выбрал авторизацию в AD, плюс в том, что не надо руками вбивать всех пользователей домена а минус, что им, пользователям, для доступа в и-нет надо еще раз набирать логин/пароль. Ну да ничего, пусть тренируются

Добавлено:
Вдогонку. Параметры прокси очень легко настраиваются через групповые политики сразу для всех машин.

Подскажите, можно ли с помощью смузвола или модов к нему установить ограничение по скорости для каждого IP отдельно. Стоит третья версия + адванседпрокси.

Задача стоит такая - есть сеть из 20 машин, нужно настроить SmoothWall так, чтоб можно было вести статистику кто куда заходил, установить скорость скачивания для каждого пользователя отдельно, возможность блокировки некоторых сайтов.
Спасибо.

блокировка сайтов - dansguardian
статистика - sarg
ограничения по скорости вроде никак...

Цитата:

установить скорость скачивания

Можна в advanced proxy установить на всех:

А в "Unrestricted IP addresses" вписываеш IP каким НЕ нада ограничивать (например свой).

Столкнулся с проблемой.
Народ начал выходить в интернет обойдя мои ограничения через прокси, меняя в браузере прокси сервер для подключения.
Я пока вижу этому только одно решение,это поменять порт прокси в SW и руками забить всем прокси в браузере.
SW3 установлен URL filter и Advanced Proxy
Есть у кого идеи по этому поводу?
Кто нить пробовал SmoothWall Corporate Firewall 2008 ?

pilligrimm
поставь TOFC
там blocked with exeptions
а в exeption list пропишешь маки/айпи
всех, кому доступ разрешён...
в сулчае неправильной настройки залезть на смуфи можно
через 441 порт....

мой конфиг такой:
TOFC - контроль за теми, кому давать инет
Advanced Proxy - ограничение по скорости, кэш прокси (спасибо DZOTik)
Dansguardian+ClamAV - контроль содержимого
SARG - для удобоваримых логов...

Ну, задача несколько иная.
Инет должен быть у всех, но они не должны иметь доступ через прокси, к запрещённым мной сайтам.

Те они меняют порты? ну так half-closed и открыть руками только нужные порты, чтоб не обходили... Вообще, если честно, не допонял как они обходят... опиши подробнее пожалуйста!

В настройках браузера есть возможность руками указать прокси.
Забивая туда анонимный прокси, они обходят мои ограничения.

Advanced proxy у тя прозрачный (transparent)?

Прозрачный.
Все входящие запрещены, кроме разрешённых.

попробуй поставить dansguardian
"DansGuardian does block the web proxy when it is active to prevent users from using it to bypass DG"
http://community.smoothwall.org/forum/viewforum.php?f=49
Добалено.. поидее даже в твоём конфиге должно работать..
прозрачный прокси + закрытые остальные порты ДОЛЖНЫ предотвратить использование анонимных прокси и т.п. (режим half-closed или closed)

Обычно любые противоправные действия на компах компании караются административными методами . Но можно попробовать и некоторые технические.
Отключить изменение прокси сервера для подключения в IE можно через "gpedit.msc" - Конфигурация компьютера (Computer Configuration) > Административные шаблоны (Administrative Templates) > Компоненты Windows (Windows Components) > Internet Explorer - "Отключить изменение параметров прокси", в Firefox - http://www.computerra.ru/gid/rtfm/browser/325487/.
Ещё вариант более жесткий и применим в основном для компьютерных клубов - поставить какой-нибудь блокиратор рабочего стола (а заодно и всех настроек винды) типа RunpadShell. Тогда уж точно юзверя ничего не поменяют и не наставят всяких ненужных прог.

DZOTik
это уже совсем другая песня)
у меня SRP.. юзеры не то что установить - запустить не могут не разрешённые софтины...
pilligrimm
укажи какие именно юзеры вбивают прокси (все настройки..)
upd: через zned2.com смуфи пускает(..
но это только текстовка и бан по url
mp3 не скачаешь, по порноте не полазиешь!...
если нужно забанить сайты - можно поступить хитрее) банить не по url,
а в dansguardian банить конкретные фразы с этих сайтов...(контент)

Такого формата:
194.67.2.155:8000
193.11.12.18:3128

xamazedx
Ну почему другая песня - человеку нужно чтоб юзверя не вбивали анонимные прокси в браузер, вот я и предложил варианты .

ЗЫ: по поводу SmoothWall Corporate Firewall 2008 - ставил, в нём есть поддержка PPTP, много настроек групп и т.д., но по мне Express проще в настройке и его достаточно для моих требований. Ещё есть опасение повторения ситуации с IDECO ведь информация о ключе (сгенереным кейгеном) передаётся разработчику при первом подключении прокси к интернету.

pilligrimm
вообщем ща проверил - можно банить не сайт, а его контент:
ставим dansguardian
1. на веб морде - filtering profile - adult
2. в /etc/dansguardian/simple/adult/bannedphraselist
дописываем
.Include</etc/dansguardian/phraselists/entertainment/banned>
3. создаём /etc/dansguardian/phraselists/entertainment/banned
и в нём пишем.. ну например
<facebook>
< facebook >
4. через веб морду перегружам DG

+ в DG
/etc/dansguardian/simple/adult/bannedregexpurllist
#Block Cgiproxy, Poxy, PHProxy and other Web proxies
(cecid.php|nph-proxy|nph-pro|dmirror|cgiproxy)

#Block websites containing proxies
(anonymizer|proxify|megaproxy)

#AGRESSIVE blocking of all URLs containing proxy - WARNING - this may overblock!!
(proxy)

как результат - facebook даже через анонимайзеры не открывается!
побочное действие - не откроется любая страница, где встречается слово facebook
т.е. имеет смысл указывать фразы, а не слова.. например:
<Вход на Facebook>

с advanced proxy ни TOFC ни FFC не пашут - после установки доступ есть у всех..
даже при отключении самой прокси... вылечилось сносом advanced proxy....

Цитата:

с advanced proxy ни TOFC ни FFC не пашут - после установки доступ есть у всех..
даже при отключении самой прокси... вылечилось сносом advanced proxy....

Чтоб работал TOFC (Timed Outgoing Firewall Control) нужно в advanced proxy удалить порты которые будут контолироватся TOFCлом. Иначе они разрешены по умолчанию и не контролируются закладкой "outgoing".


Чёт я недопонял, что ты хочеш сделать с FFC.
FFC (Full Firewall Contro) - служит для форвардинга портов ИЗ интернета на выбраный комп в локалке.

им же можно разрулить доступ
green -> red по mac (последним идёт правило на reject all)

Добавлено:
вообще изначально был tofc и всё работало
после update5 ещё захотелось advanced proxy

теперь никак не разрулю, как нужно...
..а нужно:
контроль по мак, кому в инет ходить (tofc либо ffc)
adv proxy (резать канал и для Dansguardian)

убираем порты из adv proxy - в браузере access denied..

мод full firewall control не блокирует доступ к прокси (!)
(даже правилом any to any reject all)
хороший фаервол, ничего не скажешь))

Вопрос к знатокам
Smoothwall upd5 + Timed outgoing (интсалл свежий)
Timed outgoing - режим block with exeptions
в exeptions прописаны маки, котором нужен доступ..
при прописывании маков 2х серверов (win 2k3 DC)
инет появляется у всех пользователей..
про прописывании вместо маков - ip серверов
всё работает нормально (!) т.е. инет у всех, кто есть в exeption list..
просто мистика какая-то(

Раньше пользовался smoothwall upd3 + tofc + proxy +dansguardian
таких проблем вообще не возникало...

можно использовать как принт-сервер?
поставить самбу можно, есть мод.
а как с драйверами, системой печати и тд?
конкретнее, интересует можно ли организовать печать на HP 1010 с машин windows xp?

PS А еще хочу сделать анонимный прокси. Как?

Добрый день.
Вопрос к специалистам по работе и настройке SmoothWall Advanced Firewall.
Если он покажется ламерским, прошу строго не судить - администрирование сетей для меня так сказать хобби .
Суть вопроса в следующем - можно ли настроить SmoothWall для работы с провайдером Corbina. Условия подключения такие: имеется подключение к провайдеру.

LAN --> ISP (WAN) --> Internet

Провайдер выделяет ДИНАМИЧЕСКИЙ IP 10.х.х.х для работы в WAN по Ethernet. Для подсоединения к Интернет необходимо поднять VPN PPTP соединение.
Хотелось бы выпускать небольшую сеть из 3-5 компьютеров 192.168.х.х в Интернет и WAN одновременно.
Соединение с провайдером по VPN может быть только одно. И еще нюанс - у провайдера куча VPN серверов, поэтому статическое подключение не вполне устраивает. Нужно подключаться именно к vpn.corbina.net, а не к 10.х.х.х.

Как я понял через web интерфейс этого не сделать. Можно ли это сделать в принципе и если да, то как это настроить через консоль? Если можно, по шагам.

Заранее спасибо за ответ.

мне не понятно, а как мне сделать авторизацию юзеров по IP+MAC, т е мне нужно просто учитывать каждый комп, а юзеры не пофигу...не нашёл ничего похожего, т е инет раздаёт тупо всем попросившим

подскажите какой и как можно поставить торент клиент на SmoothWall?

Странная проблема у меня возникла....на этапе установки. Устанавливал с это го же дистриба на виртуалку,все ок.
Винт MAXTOR
SmoothWall Extended Defense Basic 2 PLUS-Custom Iso

Загружается с диска,начинается разбивка диска,потом после разбивки просит выдать адрес и маску интерефейсу внутреннему,потом жму OK и получаю "Failed to comon network interface"- чето такое. Карточки определяет верно.
==
А на виртуалке после этого процесса копирование файлов было,вот у меня и вопрос...может с hdd чето,может я не знаю,есть лист совместимости ?)
До этого на этом винте стояла freeBSD 6.Работала,а щас вот.
Кто-нибудь сталкивался с подобным?