Офисный шлюз.

[irbis]

Уважаемые господа, в свободное от работы время я написал пару скриптиков и веб морду по управлению небольшим офисным шлюзом.
Предлагаю всех заинтересовавщихся оценить мою работу, чтобы не дублировать информацию выкладываюhttp://www.snow-leo.blogspot.com/2012/05/webroute.html ссылку на статью.

Вот в кратце основные возможности системы:
1) Межсетевой экран. (iptables)
2) Прозрачный прокси сервер. (squid + rejik)
3) Отчеты по трафику. (lightsquid + ipt_netflow + flow-tools)
4) Квотирование трафика. (самописное)
5) Ограничение скорости. (tc)
6) Авторизация пользователей. (rp-pppoe и pptpd)
7) Информация об оборудовании и системе. (phpsysinfo)

Все это настравивается через вэб морду. И распространяется абсолютно бесплатно.
Заранее всем спасибо.

[Olej]

Уважаемые господа, в свободное от работы время я написал пару скриптиков и веб морду по управлению небольшим офисным шлюзом.
Предлагаю всех заинтересовавщихся оценить мою работу, чтобы не дублировать информацию выкладываюhttp://www.snow-leo.blogspot.com/2012/05/webroute.html ссылку на статью.

Судя по скриншотам приводимым с текстом, это довольно интересная может быть вещь, и не только в качестве небольшого офисного шлюза, а и в качестве домашнего (семейного ) шлюза: много и часто спрашивают в обсуждениях как ограничить доступные детям сайты, как лимитировать их суточный доступ в интернет и т.д. В плюс для такой подсистемы "малой архитектуры" и то, что она русскоязычная - в рассчёте на тот контингент, на который рассчитана, это плюс.

К сожалению, к минусам ... не сколько самой подсистемы, сколько того, что названо "статья" ... приводимого описания:

1. для непрофессионалов (а только на них оно и рассчитано) это написано недостаточно понятно, недостаточно растолковано... Вещь описываемая - хорошая, но любая хорошая вещь, по нынешним временам из интернет при общедоступности, начинает хоть кем-то использоваться только если к ней есть толковые описания (описания становятся важнее самих тулзов! - обычная ситуация перепроизводства ).

2. и какие-то минимальные разъяснения были бы совсем не лишними ... даже не для начинающих:

там стоит стандартный Scientifiс linux(далее SL)

- Scientifiс Linux совсем не настолько "стандартный" и широко известный и используемый дистрибутив, чтоб на него (на ресурсы его) хотя бы ссылку не дать... "при всём богатстве выбора"(с) на него до сих пор никто не обратил внимания и в разделе "Обсуждение дистрибутивов Linux" здесь на форуме...
- в 2-слова, совсем не лишне - зачем и почему это делается:

1) Отключаем SELINUX(в /etc/selinux/config меняем enforcing на disabled)
Даем команду setenforce 0

2) Правим /etc/fstab (в строке где монтируется / меняем defaults на noatime,acl)
Даем команду mount -o remount /

3. многие "малые архитектуры" подключены через ADSL, и шлюзом по дефаулту у хостов LAN является ADSL-роутер (хард ... если рассматривать с позиции внешнего пользователя) - как переконфигурировать в этом случае? какие плюсы и какие минусы? хорошо бы в 2-3 фразы рекомендации на этот счёт.

4. ну и наконец ... - если текст, названный "статья", пишется для постороннего прочтения, другими людьми, пусть даже и не в рассчёте на массовость, то его бы надо более-менее тщательно вычитать, на предмет ... я не скажу граматики, а скорее: описок, спешки и неаккуратности в написании: "ничего не обычного в этой связке", "длее ссылка на дистрибутив" и др., ... такое впечатление, что это написалось, но вослед уже не перечитывалось. Это не страшно, но впечатление портит.

[irbis]

Большое спасибо за столь конструктивную критику.
1) Да, я с Вами полностью согласен. Нехватает. Но вскоре я исправлю эту ситуацию. Документацию и примеры я уже пишу.
2) ММ... По поводу Scientific Linux я даже незнаю. Это всего лишь клон RHEL, который поддерживает CERN. В принципе Вы можете использовать и CentOS или даже RHEL.(Это по сути одно и тоже).
3) Простите, а в чем собственно проблема? Современные adsl модемы стоят от 20 долларов, и как правило, все они поддерживают работу не только в режиме моста, но и роутера. Все что требуется, это просто подключить модем патчкордом к серверу и настроить сетевую карточку.
4) Извините исправлюсь.

[Olej]

Большое спасибо за столь конструктивную критику.

Это не критика. Это - предложения.

2) ММ... По поводу Scientific Linux я даже незнаю. Это всего лишь клон RHEL, который поддерживает CERN. В принципе Вы можете использовать и CentOS или даже RHEL.(Это по сути одно и тоже).

Ну я вот, много лет плотно работая с RedHat, Fedora, CentOS - этого не знал (точнее не помнил: сейчас сказали CERN - вспомнил, что слышал такое).

Но это хороший пример: достаточно даже добавить ровно ту фразу, что вы здесь написали, и то - вопрос уже снимается!

3) Простите, а в чем собственно проблема? Современные adsl модемы стоят от 20 долларов, и как правило, все они поддерживают работу не только в режиме моста, но и роутера. Все что требуется, это просто подключить модем патчкордом к серверу и настроить сетевую карточку.

Я всё это знаю. Но я немного о другом:
- об ADSL как роутере (как бридж я как-то и не попробовал ни один из модемов с которыми работал - случая не было)...
- но именно о том, что обычно малые или домашние LAN работают не через хост-шлюз (в LAN), а именно через шлюз Linux-а inside ADSL-роутера... да ещё часто и по WiFi
- для вашего решения (шлюз на хосте) геометрию LAN нужно перестроить, например:
- ... дефаултом для всех хостов LAN указывается IP хоста-шлюза, а он уже роутится по ADSL внаружу ... или даже бриджится, может быть? может в этом и будут плюсы?... и у этого хоста-шлюза одна сетевая карта или две? или может карта одна, а сетевых интерфейсов на ней два (с IP и подсеткой)...

Т.е. о том, как перестроить эту архитектуру - здесь есть что пообсуждать, с сравнением плюсов-минусов...
Такая вещь была бы прекрасным (полезным!) дополнением к вашему описанию.