» Software Routers&Firewalls (Программные маршрутизаторы)

GaDiNa Тогда берем в руки WireShark или Windump на проблемном клиенте,
tcpdump на vyatta, и смотрим куда пинг бежит и где он затыкается.
Цитата:

на самой Vyatta фаер тоже отключен, насколько я могу судить

А вот это не факт. Все-таки vyatta - это система, заточенная именно под фаервол,
и в ней вполне может быть идеология "запрещено все, что явно не разрешено".

Цитата:

Endian Firewall полностью фришный, есть, абсолютно все... Ставится на раз, сразу работает прозрачный прокси (не надо ничего настраивать), удобное ВЕБ администрирование.

И обновление один раз в два года... и пишут, что комьюнити версия глючноватая...
а что насчет Zentyal ?

У нас 100 компьютеров. Один Эндиан на раздачу. Работает годами (!) без видимых проблем. В чем глючноватость не знаю, правда он у нас стоит на виртуалке (Intel server) и выделено много проц время и памяти.

astronom99

Цитата:

Работает годами (!) без видимых проблем.

Человеку это не подойдёт. Ему нужны ежедневные обновления с героическими усилиями по преодолению возможных проблем, которые при этом появятся.

Цитата:

Ему нужны ежедневные обновления с героическими усилиями

Вот-вот. Редкие обновления, как-раз свидетельствуют о том, что продукт доделан и работает...

если я не ошибаюсь, то продукт в основе имеет свою ОС, про обновление которой я и говорю...

To
Цитата:

GaDiNa

для vyatta по умолчанию стоит правило "drop all"
Смотрите документацию http://www.brocade.com/downloads/documents/html_product_manuals/vyatta/vyatta_5400_manual/wwhelp/wwhimpl/js/html/wwhelp.htm#href=Firewall/Firewall_Overview.02.05.html

Можно изменить используя firewall name <name> default-action <action> command

Решил сравнить pfsense с endian. Сижу последовательно разбираюсь с функциями, благо их там не так уж и много. Пока не понял как лимитировать интернет юзерам, особенно интересует создание динамического канала на всех.

Подскажите фриварный продукт с вменяемым конфигурированием DHCP-сервера.
Накатил pfSense и был немного удивлен - конфигурирование DHCP просто никакое!
Проблема в том, что сейчас работает штатный isc-dhcp-server с нетривиальным конфигом. Несколько групп хостов с разными настройками; несколько групп хостов с загрузкой по PXE с разных серверов с условиями внутри конфигов.
Примерно вот так:

Код: group {
next-server 192.168.22.202;
option root-path "/opt/ltsp/i386";
if substring( option vendor-class-identifier, 0, 9 ) = "PXEClient" {
filename "/ltsp/i386/pxelinux.0";
} else {
filename "/ltsp/i386/nbi.img";
}
...
}

MAGNet

Цитата:

Подскажите фриварный продукт с вменяемым конфигурированием DHCP-сервера.

На Zentyal посмотрите.
http://www.zentyal.org/

schtirliz
Спасибо, уже тестирую.
От ClearOS отказался. Шестая версия стала совсем коммерческой, в бесплатном варианте не более десяти пользователей позволяет.

schtirliz
Zentyal - невыносимый кусок говна. при помощи молотка и какой-то матери удалось войти в веб-морду, при попытке изменить настройки интерфейсов всё зависло намертво и после перезагрузки вообще никак не отвечает, даже не пингуется, хотя dhcp ему адрес выдает судя по логам..

ах, да! консоль)) это вообще что-то с чем-то "Не удается отобразить этот видеорежим" на всех консолях с первой по седьмую, при этом numlock мигает и на кнопки не реагирует (видимо и между консолями не переключался, просто мне показалось), alt-ctrl-backspace не реагирует.
Иксы с гуями на шлюзе - это просто песня какая-то!
..эх, жаль, что затупил и не снес их сразу, когда смог подключиться по ССХ.

резюме: не нужно

О, а я как раз вчера собирался, да некогда было, написать по Зентиял, в девичестве ЕБокс, почти то же самое, хоть и по другим причинам.
В принципе, он (был?) неплох, если нужно заменить виндовые сервера и/или построить маленький СОХО доменчик. Он и затачивался с самого начала как ~1:1 замена Виндовых серверов. Вот это получается более-менее, да ещё за бесплатно. Правда, для надёжности лучше, как и в виндовых доменах, иметь пару-тройку серверов, а то с восстановлением в случае аварии затрахаешься. Но пока ты точно следуешь по проложенной дорожке, всё вполне терпимо. А вот стоит лишь сделать шаг в сторону, как врезаешься башкой в стенку. Причём не шагом, а будто с разбега. Этакий "гиперпространственный" дистр.

Добавлено:
ЗЫ. а решение для пфСенса вполне себе нормальное.
Фишка вообще-то в том, что она ПОЗВОЛЯЕТ это и многое другое сделать, хотя затачивалась только под рутер/фаер с простой и понятной вёбмордой уровня ДСЛ-модема.

MAGNet

Цитата:

Возможность вставить в домен отсутствует, т.е. авторизация только LDAP (если я правильно понял) - это не гут.

Если я правильно понял постановку фразы, то зачем?
Авторизация через AD работает.

У самого даже дома pfsense стоит.
Однако, я все больше смотрю в сторону чистого дебиана на машине, например.

Цитата:

Если я правильно понял постановку фразы, то зачем?

действительно, особой необходимости нет и не до конца понятна возможность настройки механизмов авторизации.
pfsense произвел хорошее впечатление, но полностью перечеркнул все свои достоинства отсутствием вменяемого конфигуратора DHCP.
Теперь я больше склоняюсь к тому, что собрать шлюз нужно самостоятельно, в связи с чем возникает два вопроса:
есть ли пакеты, которые дают видеть активность пользователей в реальном времени (а-ля керио);
есть ли вменяемые веб-конфигураторы для dhcp.
Первое нужно для собственного удобства, второе - для последователей, ибо я не бессмертный

К слову о Zentyal,
Цитата:

"Не удается отобразить этот видеорежим"

лечится, если удастся загрузиться в режиме восстановления или подключиться по ССХ:
в /etc/default/grub

Код: # Uncomment to disable graphical terminal (grub-pc only)
GRUB_TERMINAL=console

Всем бодрого!

Подскажите по теме http://forum.ru-board.com/topic.cgi?forum=8&topic=52568#1 я уже в ступоре(

Цитата:

Подскажите по теме http://forum.ru-board.com/topic.cgi?forum=8&topic=52568#1 я уже в ступоре(

в теме про микротик Вам уже ответили... не нужно дублировать сообщения....

Добрый вечер, кто ставил pfsense, подскажите, установил пакеты squid3+squidguard: пишет ошибка err_tunnel_connection_failed, настраивал так: http://www.pontin.ru/images/pfSense/pfsense-squid-01.jpg

пробовал вместо squid3, squid 2.7, работает, но firewall пускает всех в интернет, даже незарегистрированных, так: http://www.thin.kiev.ua/images/stories/aliases2.jpg.

Задача, прокси сервер http, socks5, авторизация по ip (желательно с mac, но pfsense не может), блокировка сайтов.

Может есть другие варианты сборки?

Цитата:

Может есть другие варианты сборки?

если правильно помню из прошлого опыта пользования данным продуктом... не умеет он авторизацию по маку... фильтровать умеет и очень даже не плохо...все что написали про связку пакетов - все ставиться и работает...надо только строго соблюдать порядок установки и настройки... иначе косяк...и следите что бы версии совпадали а не одно 3 версии а второе 2.7

фарвол так же все режет на ура правильно настройте и будет счастье... тоже обжигался на его настройки....только у меня никого не пускал вообще.....

авторизацию надо делать в проксе а не в фарволе

а вообще если авторизация по мак важнее посмотрите на микротик.... как вариант ... правда там нет прокси...точнее одно название от нее...и проект закрытый (в патрахах не покапаешься) .... есть халявные лицензии

Цитата:

если правильно помню из прошлого опыта пользования данным продуктом... не умеет он авторизацию по маку... фильтровать умеет и очень даже не плохо...все что написали про связку пакетов - все ставиться и работает...надо только строго соблюдать порядок установки и настройки... иначе косяк...и следите что бы версии совпадали а не одно 3 версии а второе 2.7

фарвол так же все режет на ура правильно настройте и будет счастье... тоже обжигался на его настройки....только у меня никого не пускал вообще.....

авторизацию надо делать в проксе а не в фарволе

а вообще если авторизация по мак важнее посмотрите на микротик.... как вариант ... правда там нет прокси...точнее одно название от нее...и проект закрытый (в патрахах не покапаешься) .... есть халявные лицензии

Версии из менеджера пакетов, как и где настраивается авторизация, подскажите

squid3 тоже никого не пускает, в чем у вас была ошибка?

Цитата:

squid3 тоже никого не пускает, в чем у вас была ошибка?

фарвол надо настраивать сначала разрешающие правила в том числе и ИЗ роутера выходящии тоже надо настраивать и входящии в него..... а ЛЮБЫЕ запрещающие в самый конец....

авторизацию настраивать стоит в проксе на вкладке акксес контроль если правильно помню....

а если не секрет нафик Вам прокся? ее уже никто не использует...и кстати фильтр сайтов на уровне пракси достаточно хорошо кушает память компа..... и хорошую нагрузку на проц дает когда лопатит списки сайтов с категориями..... мне из за этого пришлось в такую машину совать 512 метров оперативы....

и самый прикол что при использовании появляются задержки в инете на "пробежку" по спискам

в тоже время компа работающии через нат летают просто ....

Прокси как раз и нужна для блокировки сайтов.
В общем pfsense 2.2 глючная, буду пробовать 2.1.5, либо Zential или M0n0wall.

Цитата:

Прокси как раз и нужна для блокировки сайтов.

напишите в личку, расскажу как проще сделать
по крайней мере у меня это работает уже 3-5 лет примерно..... и не помню уже когда соскочил с данного ПО

vit2002
расскажи всем. что за дискриминация?

Мое почтение!
Скажите кто знает, а возможно ли настроить ZeroShell или pfSense так чтобы при двух wan в режиме failover, в случае если на wan (не важно основной или резервный) приходит пакет, ответ был бы с того же интерфейса на который пакет пришел?

Цитата:

а возможно ли [] pfSense

Да.

aleksvolgin
сейчас выбираю между ZeroShell и pfSense. Думаю где можно будет этот вопрос разрулить через web-интерфейс на том и остановлюсь. В pfSense я так понимаю это как раз через web настраивается? И можете ли что сказать за ZeroShell?

Цитата:

В pfSense я так понимаю это как раз через web настраивается?

Да.

Цитата:

И можете ли что сказать за ZeroShell?

Нет. Я не пользуюсь ни тем не другим. Имею отрицательный опыт использования сенса. Микротик наше всё. ^_^

http://www.securitylab.ru/news/472159.php про pfSence