athacker

А что будет делать отдельный антивирусный сервер? :-)

www.kaspersky.ru/business-security/linux-file-server

Атака на сайт Брайана Кребса (KrebsOnSecurity ), 620 Gbps, в сентябре 2016-го.

Настроить на коммутаторе привязку MAC-порт. Если в этот порт будет воткнуто что-то с другим MAC-адресом, то порт не поднимется.

Если чел настолько прошареный, что в состоянии сменить MAC -- тогда только 802.1x, без вариантов.

Два микротика-- это правильно, одобряю.

Сервер -- да, можно обойтись обычным десктопом, с корпусом, куда можно воткнуть 8 или более дисков. Только дисковый контроллер я бы посоветовал внешний. Например, LSI 9300-i8. Под фряхой работает ОК, я проверял. Дисковая конфигурация: RAID10, собирать ZFS-oм. То есть, потребуется минимум 4 диска в сервер, и как минимум один в ЗИП, всего пять. Диски обязательно хот-свопные -- можно будет менять на ходу, без остановки сервера.

Обязательно обновить прошивку контроллера -- у него была подлая бага, что при детаче на ходу одного диска он отсреливал сразу все диски. Данные не страдали, но ZFS-пул дох, разумеется. Лечилось только ребутом.

Есть один тонкий момент. Порт Самбы под BSD имеет косяки. По крайней мере, имел в версии 3.4, 3.5. При использовании файловой базы 1С более чем 2-3 пользователями одновременно резко просаживалась производительность. Это было связано с особенностями реализации блокировок открытых файлов, и насколько я помню, никак не лечилось. Возможно, в 4-ой версии это починили, но на момент моих исследований (года 4-5 назад) команда Самбы слала всех лесом, мотивируя это тем, что "у нас на линухе всё работает". Так что сначала надо протестировать производительность, перед вводом в прод. Чтобы потом не пришлось судорожно менять ОС.

Из железа ещё -- поищите БУ HP Proliant Microserver, 7 или 8-го поколений. Это отличные машинки, надёжные и с хотсвопными корзинками. И БУ они стоят недорого. Gen8 дороже, конечно, но тоже можно раскошелиться, там цены от 18 до 50 тысяч, в зависимости от комплектации. Gen8 лучше тем, что у них есть встроенный адаптер удалённого управления, с IPMI и IP-KVM. Дисковая корзина там на 4 диска, на 5-ый можно поставить систему. 5-ый ставится обычно в лоток от CD-ROM, есть специальные адаптеры, но можно и просто так положить. Только диск нужен будет 2.5". Дисковый адаптер туда тоже можно поставить, но только предыдущего поколения, т.е. LSI 9200 -- там (в сервере) SAS-разъём другой, к 9300-8i бэкплейн сервера не подключить.

Устройство для хранения бэкапов -- обязательно отдельное. Т.е. отдельный системник.

Готовые коробки типа QNAP/Synology -- это треш и угар, лучше даже не вязаться. Для дома ОК, для конторы -- нет. Максимум, что им можно доверить -- это хранение файлов бэкапов, и всё. Да и то, лично я бы не стал, больно много у них прибабахов.

К вышесказанному ещё добавлю -- почитайте про RoDC -- read-only domain controller.

Установите и настройте прокси-сервер, а на граничном маршрутизаторе пропишите, что попытка отправки трафика на этот IP-адреса домена example.com автоматически заворачивать на этот прокси.

Нужно делать DST NAT, коллега выше вам правильно ответил.

На IPFW это можно попробовать реализовать так:

${cmd} add nat 1 tcp from <локальная_подсеть_или_IP> to 195.82.146.120/30 80
${cmd} nat 1 config if <внешний_интерфейс> redirect_port tcp 195.82.146.120:80 163.172.167.207:3128 \
redirect_port tcp 195.82.146.121:80 163.172.167.207:3128 \
redirect_port tcp 195.82.146.122:80 163.172.167.207:3128 \
redirect_port tcp 195.82.146.123:80 163.172.167.207:3128

Как будет ходить трафик, в вашем случае будет определяться не IP-адресами, а MAC-адресами. Поэтому обмен между устройствами, подключенными в 10G-коммутатор, будет в любом случае выполняться только через этот коммутатор, не заходя на 1G.

Трафик может ходить через другие коммутаторы только в том случае, если у вас IP-адреса устройств, подключенных к одному коммутатору, находятся В РАЗНЫХ IP-подсетях, и маршрутизация осуществляется где-то в другом месте.

Минусы -- неродная для сквида платформа, поэтому приключения могут быть непредсказуемы. Плюсов -- в общем-то, нет.

Делите сети! В том числе и беспроводные. Для левых людей -- какой-нибудь wifi-guest, со своими IP-адресами. Для сотрудников -- wifi-corp, со своими адресами. Для проводных сетей -- разделение вланами на базе отделов (каждый отдел -- свой VLAN + своя подсеть). Сетевые устройства (принтеры, сканеры) -- в отдельный сегмент. И контроль доступа на маршрутизаторе, какой сети в какую ходить можно.

Деинсталлируйте OneDrive, и оно перестанет. Правда, он может приехать с каким-нибудь очередным апдейтом снова. Тогда придётся его опять деинсталлировать :-)

Команда настройки iptables надо выполнять на виртуальном сервере, а не на домашнем компе :-)

Почитайте мануалы по обоим. Какой покажется проще или понятнее -- тот и используйте. Для простых сценариев разницы нет. А когда наступают сложные, то обычно уже понимаешь, что тебе конкретно нужно, и каким файрволом это лучше реализовать :-)

Покупайте ДВА системника, стройте резервирование на софтверном уровне. Win2016 вроде как умеет уже storage spaces direct без общего хранилища строить. Ну и остальные сервисы задублировать.

Только интернет раздавать с контроллера домена -- это адски плохая идея. Купите пару старых системников (уровня Core Duo и 1 гиг оперативы будет более чем достаточно), поставьте туда FreeBSD/Linux, и пусть они занимаются раздачей интернетов.

P/S/: Да, и дисков нужно ставить два, и собирать их в RAID1-массив.

Бэкапьте машины любой утилитой во временную папку, которую уже и настройте на синхронизацию с дропбоксом.

Либо, если совсем места нет, используйте какой-нибудь сервис, типа DropDAV. Он реализует WebDAV интерфейс к дропбоксу. Винда умеет подключать WebDAV-хранилища как локальный диск. Подключите WebDAV как сетевой диск, и настройте резервное копирование на этот диск.