Задать вопрос
sagegalynsky
@sagegalynsky
Программирую для Web

Какую систему выбрать для шлюза?

Здравствуйте. Помогите выбрать систему которая подходила бы под следующие задачи. Заранее благодарен.
  • поддержка основного и резервного интернет канала
  • поддержка usb модемов
  • работа в виртуальной машине
  • веб интерфейс
  • специализированный и обновляемый
  • прозрачный прокси включая https
  • проверка на вирусы на лету
  • авторизация пользователей из AD
  • бесплатный
  • поддержка openvpn
  • можно прикрутить к нему существующие сертификаты
  • создание пользовательских правил фаервола через вебинтерфейс
  • подсчёт трафика по пользователям
  • обнаружение вторжений
  • онлайн мониторинг трафика по клиентам (нужно определять кто грузит канал в данный момент)
  • фильтрация контента включая https по пользователям
  • Вопрос задан
  • 1076 просмотров
Подписаться 4 Оценить 3 комментария
Пригласить эксперта
Ответы на вопрос 3
@asperin2
PHP разработчик
Не проще mikrotik, а комп под другие нужды ?
Ответ написан
@csar
c++
openbsd
Ответ написан
Комментировать
@AntohaRomaha
FreeBSD, PHP, MySQL, Jquery
У меня FreeBSD 10.2:

поддержка основного и резервного интернет канала
поддержка usb модемов
Почти реализовано, руки не дошли еще в выходные ночью поработать блин. А так модем МТС подхватился, соединение устанавливается. Просто резервный канал мне ручками врубать надо и некоторые конфиги (в локальном dns unbound, в частности) править при переходе на модем.

работа в виртуальной машине
У меня вообще нет графической оболочки, все через командную строку.. не знаю как виртуальную тачку поднять....

веб интерфейс
Для прокси sqstat и еще какой-то "а-ля стата для сквида" - для них поднимал апач, мускуль, стату смотрел из локальной сети по веб-интерфейсу.

прозрачный прокси включая https
Судя по статьям, катит прежде всего squid 3.5.8 - прозрачное https проксирование без подмены сертификатов, могу сказать, что я перепробовал кучу последних версих, именно 3.5.8 не пробовал... Работать - работает, но когда в сеть выходят 5+ юзеров - https кладет сквид, https начинает сильно тормозить... По статьям Нагибатора, катит только 3.5.8 - его статьи на Хабре для debian:
https://habrahabr.ru/post/267851/
https://habrahabr.ru/post/272733/

проверка на вирусы на лету
Хз.. если проверять вирусню для всего входящего исходящего трафика, причем на вирусню для Windows.. хз.. dr.web бывает для Фряхи (платный). А на саму Фряху - какие вирусы... Фаер и т. п. решают.

авторизация пользователей из AD
Хз, у меня нет домена

бесплатный
+

поддержка openvpn
Не знаю, но уверен, для Фряхи это не проблема.

можно прикрутить к нему существующие сертификаты
Ну в Сквиде что-то есть такое, создание сертов... не знаю...

создание пользовательских правил фаервола через вебинтерфейс
В PfSense по-любому так и делается. Я ручками пишу конфиг ipfw.

подсчёт трафика по пользователям
Так и не реализовал. Хотя пока работал Сквид, именно SqStat и собирал на веб-морду - кто скоко и откуда выкачал.

обнаружение вторжений
Обычный лог-журнал. По ключевым словам настраиваешь поиск и оповещения. Скажем так, неудачные попытки входа на шлюз я не мониторю, так как их дофига (роботы регулярно стандартные логины-пассы пробуют), а вот accepted - стоит отдельная оповещалка.

онлайн мониторинг трафика по клиентам (нужно определять кто грузит канал в данный момент)
iftop справляется отлично, маленький конфиг под него 5-7 строк-параметров, и все мониторит онлайн, регулярно юзаю, чтобы резать "нехороших". При этом очень гибкие онлайн в процессе мониторинга настройки и фильтры.
Так же одна из этих сквид-стат справляется, через веб-интерфейс, но сквид я пока отрубил, поэтому в ифтопе гляжу. Да и к тому же - если какой то траффик мимо прокси идет - то не будет видно в этом sqstat или как там его...

фильтрация контента включая https по пользователям
В Squid вышеупомянутое полностью работает, но в случае с https не получится настроить страницу для пользователя... будет просто сообщение браузера "Не удалось загрузить страницу". А так в Сквиде все гибко - и по контенту и по сайтам (не по их ip или dns - а именно по доменным именам) и для групп и для отдельных юзеров. "Можно все кроме" или "Запрещено все кроме"... как угодно.

По фряхе куча статей и форум: lissyara.su
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы