Как построить такую сеть?

Question

[vityaba3]

Библиотека в деревне... В прошлый раз я спрашивал, но ничего конкретного не говорил, отправили к СисАдминам...
Построить нужно так

spoiler

К нам приходит шнурок с белым ip.

(компьютер1) Думаю его подключить к старенькому компьютеру и на нем все должно работать так
В нулевой адаптер подключаем внешнюю линию; первый адаптер должен выдавать ip-адреса (но чтоб не попасть в чужую сеть), а так же осуществлять фильтрацию интернета (цензор) на некоторых (компьютерn, n+1) компьютерах с возможностью не сильно геморного отключения, и может, кэширование (говорят, ускоряет загрузку часто открываемых страниц), иметь шару.
(сервер1) Windows server 2003, на нем работает сервер Ирбис64 (нужно чтоб был доступен внутри сети открытый порт)
и (не знаю как реализовать совсем) Сервер будет держать что-то типа сайта (cgi и веб-сервер), который должен быть доступен из вне и по белому адресу (но только он(только один порт))
(роутер) Должен получать и раздавать интернет (без фильтрации, но с dhcp (реализуется силами роутера))

(неизвестное беспроводное соед-е) Было установлено давно, ничего о нем не известно, вроде работает, но переодически теряет пакеты. Потеря пакета ирбиса приводит к зависанию сервера (программы). если возможно настроить какую-нибудь хрень, которая будет повторять отправку пакета, если он потерялся -- хотелось бы знать.

(чужая сеть) находится по адресу 192.168.1.1
Наш интернет -- 2 мбит
ПО: Все компьютеры на windows (xp--7) компьютер1 -- любая ос, вероятно *bcd & squid, blind, samba (Но, что-нибудь по-проще)
--------------------------------------------------------------------------------------------------------------------------------------------------------
Что не получается\не знаю как
Как сделать так, чтоб сервер был виден без проблем извне по белому адресу?
Как предотвратить потерю пакетов на неизвестной беспроводной сети? (Возможно ли это вообще?)
Что лучше поставить на компьютер1 (пробовал ubuntu server, но не разобрался с iptables, пробовал fpsense, но он не увидел иде-хард, еще попробую раз с другим хардом (сата))
Где лучше брать черные списки для squid'a (стандартные, школьные (с эестримизмом, эротикой, etc) (где-то писали, что большие списки (более 50 мб) он не ест)

Answer 1

[Сергей]

и? в чем проблема то?

Comments

[vityaba3]

Что не получается\не знаю как
Как сделать так, чтоб сервер был виден без проблем извне по белому адресу?
Как предотвратить потерю пакетов на неизвестной беспроводной сети? (Возможно ли это вообще?)
Что лучше поставить на компьютер1 (пробовал ubuntu server, но не разобрался с iptables, пробовал fpsense, но он не увидел иде-хард, еще попробую раз с другим хардом (сата))
Где лучше брать черные списки для squid'a (стандартные, школьные (с эестримизмом, эротикой, etc) (где-то писали, что большие списки (более 50 мб) он не ест)

[shaazz]

пока не разобрались с черными списками, можете поставить семейные домены яндекса 77.88.8.7 77.88.8.3, и права админов на компы не давать

Answer 2

[АртемЪ]

Взять и построить.
В чем проблема-то? Чего вы хотите? Что у вас конкретно не получается? С какой целью вопрос задали?

Comments

[vityaba3]

Что не получается\не знаю как
Как сделать так, чтоб сервер был виден без проблем извне по белому адресу?
Как предотвратить потерю пакетов на неизвестной беспроводной сети? (Возможно ли это вообще?)
Что лучше поставить на компьютер1 (пробовал ubuntu server, но не разобрался с iptables, пробовал fpsense, но он не увидел иде-хард, еще попробую раз с другим хардом (сата))
Где лучше брать черные списки для squid'a (стандартные, школьные (с эестримизмом, эротикой, etc) (где-то писали, что большие списки (более 50 мб) он не ест)

[АртемЪ]

vityaba3: Чтобы сервер был виден нужно открыть доступ, поскольку вы не предоставили информации о том как сервер подключен, ничего более конкретного сказать нельзя.
Чтобы предотвратить потерю пакетов нужно узнать что вызывает эту потерю - нужна информация об используемом оборудовании и настройках беспроводной сети.
На компьютер ставьте ту систему с которой умеете работать.
Списки где найдете, там и берите. Хотя проще резать по DNS, например включив яндекс днс.

[vityaba3]

Боюсь резать по dns не слишком эффективно, но учту.
беспроводная сеть --- две антенки (одна на здании (сейчас туда меня не пустят) , вторая -- на столбе... (кошек нет), но работает.... типа как кабель... никаких настроек.... а потеря пакетов --- обычное дело для беспроводных соед -й

[АртемЪ]

vityaba3: Ну так найдите того кого туда пустят, и пусть он настраивает, зачем не в свое дело лезете?

Answer 3

[AntHTML]

Мда, с такими делами, да еще и названием свитчей сплитерами, вы будете крайне долго добиваться цели без нормального админа или хотя бы интегратора.
Пока вопросы только следующие:
1. Полная конфигурация железа и примерного списка задач на сервер 1
2. модели всего имеющегося сетевого оборудования (свитчи, точки)
3. Нормальную (полную) карту сети, не в паинте, а в visio, с указанием названий сетевого оборудования и куда подключен КАЖДЫЙ (а не n,m) компьютер
4. для чего необходимо поддерживать связь с чужой сетью если к друг другу никто не ходит
5. расшифровка типа и назначения беспроводного соединения, возможность замены на проводное
6. Бюджет на реализацию проекта
7. Полная характеристика интернет канала: тип соединения, upstream, downstream, возможность резервации, перспективы перехода / улучшения

Answer 4

[res2001]

Сплиттер - это видимо все таки коммутатор/хаб/свич.
На компьютер1 нужно установить фаервол с НАТом, лучше воспользоваться какой-нибудь готовой сборкой, что-нибудь типа pfSense или другую аналогичную по функционалу. На НАТе пробросить порт, чтоб был виден веб сервер в интернете. На счет "старенького компьютера" для роли компьютер1 - старость зависит от канала в интернет, если там нормальная скорость, то благодаря "старости" вы можете ее никогда не увидеть.
Веб сервер - обычно используют апач, можно и виндовый IIS.
На схеме есть еще "чужая сеть", не ясно что это за сущность, нужен ли в нее доступ в локальную сеть/ваш интернет. По уму между чужой сетью и вашей то же нужно поставить фаервол (можно рассмотреть возможность использования компьютер1 и для этого) или отделить ее в отдельный VLAN на коммутаторе, чтоб сети не пересекались.
С неизвестным беспроводным соединением лучше разобраться и сделать его известным, а то, не ровен час, что-нибудь там отвалится а вы не будете знать что делать.
Не ясно назначение wifi роутера, в зависимости от планируемого применения wifi нужно предпринять некоторые действия. Например, если на wifi будут сидеть только ваши сотрудники - это одно, если он будет публичным с доступом только внутрь сети - стоит его то же сильно ограничить в доступе к сети через фаервол или средствами самого роутера. Если публичный с доступом в инет - это совсем другая история - вы становитесь оператором связи :) лучше этого избегать.
Хорошо бы найти спеца, который бы все это настроил и поддерживал, хотя бы "приходящего".

Comments

[vityaba3]

чужая сеть...
история умалчивает, как она попала к нам (мы -- библиотека), но в нее попадать не нужно, и им к нам тоже... (думаю просто сделать связку ip+mask такую, чтоб не пересекались
wlan -- только для посетителей, нужен только интернет
(поэтому, хотелось бы узнать что тут такого страшного)
Неизвестное беспроводное соединение --- работает много лет..., и будет еще долго, но хотелось бы предотвратить потерю пакетов)

[res2001]

По чужой сети - отдельные ip+mask - не достаточно. Это работает только пока кто-нибудь не сломает вашу или чужую сеть, дальше обходится элементарно. Нужно отделить на уровне коммутатора отдельными VLANами, а еще лучше - выдать чужой сети свой отдельный железный коммутатор, чтоб не было физического соединения сетей вовсе.
На счет раздачи интернета через публичный wifi - погуглите, много интересного узнаете, например www.vedomosti.ru/technology/articles/2015/12/11/62... На самом деле сейчас это реальная проблема.
Потеря пакетов происходит, видимо, из-за того что НБС не очень то надежное соединение. Для увеличения надежности можно организовать между двумя сетями (которые разделяет НБС) ВПН. Работать будет скорее всего медленее, но, возможно, надежнее. И все таки рекомендую разобраться с этим НБС, возможно увеличить надежность передачи можно на уровне соединения. Если это тот же Wifi, но нет паролей доступа к оборудованию - не велика проблема, сбрасываем в заводские настройки и настраиваем за ново. Зато профитом будет то что соединение станет "известным" и управляемым :)

Answer 5

[Антон Нагаец]

Перед началом планирования и дальнейших действий мой личный совет ознакомится серией постов от ЛинкМи-Ап "Сети для самых маленьких". В них вы найдете много ответов на свои вопросы. А по факту, насколько лично понял я, вы делаете библиотеку исходя из предписаний ФЗ. Половину вы сможете сделать на OpenSource, а вот фильтрацию, на вашем уровне технической грамотности, простите вы не сделаете. Для нее нужно покупать платное решение и вам будет спокойнее.
Самое просто для вас взять и нарисовать все, что куда идет, что, где и кому должно быть доступно и только после этого вы поймете как реализовать. 80% решений начинается с рисования и экономят порядка 50% времени на этапе внедрения.

Answer 6

[athacker]

Поддержу камрада AntHTML

Автор, вам следует потратить время и расписать всё в точности -- что у вас есть сейчас, что куда подключено, какие IP-адреса имеет. Да, с моделями оборудования и прочими подробностями. И затем не менее подробно описать, что конкретно вы хотите получить. А то на текущий момент ваши вопросы читаются в духе "По сколько тонн клевера от каждой курицы-несушки будет заложено в инкубаторы после обмолота зяби?"

Answer 7

[Александр]

А зачем Вам черные списки? Этим должен заниматься провайдер. Про Яндекс.DNS уже сказали - можно использовать его.

- чтобы был доступен внутренний ресурс надо пробросить 80 порт на шлюзе.
- по поводу беспроводного канала - смотрите железки, пакеты теряться просто так не могут, возможно какие-то помехи на пути.
- компьютер под шлюз, как я понимаю, древний. Стоит ли строить на нём локальную сеть? Купите простенький Микротик будет гораздо надежней, а необходимые ресурсы лучше разверните на сервере.