Subnets.ru

slb51 писал(а):Прошу прощения за глупые, порой, вопросы. Я ещё очень слабо шарю в UNIX-подобных системах. Многое делаю просто из интереса. В принципе мне нужно ядро, которое будет осуществлять очень ограниченную функцию.

Как это?

slb51 писал(а):У меня есть локалка в виде домена Windows 2003, есть выход в корпоративную сеть через шлюз и в интернет через корпоративную сеть. Всё что мне нужно - это ограничить подключение пользователей. Надо дать разрешение группе пользователей только к имеющемуся списку сайтов, другой группе - только к одному сайту и третей группе - полный доступ, всем остальным запретить всё. Думаю, кроме ipfw для этого ничего больше не нужно.

И сквида с самбой, чтобы удобнее было.

slb51 писал(а):NAT- это просто для пробы. Может быть полезным окажется и proxy. Попутно можно защититься от внешних поползновений. Решил сделать это через FreeBSD, с которой до этого дела не имел. Отсюда и глупые вопросы. За помощь большое спасибо. Советы ясные, вразумительные и действенные.

А как ты без ната собрался например банк-клиентов выпускать или какой-то подобный софт?
Все это можно сделать на винде не хуже. Если пускаешь сразу в боевые условия, то даже лучше.. Лучше делать на том, что знаешь лучше. Если интерес для дальнейшей работы, то все это другое. Я тебе посоветовал для начала понять разницу между файрволом, проксей, натом.. Почитай про тсп/ип хоть немного.

slb51 писал(а):Думаю, кроме ipfw для этого ничего больше не нужно.

а я бы поставил squid в паре с IPFW

Код: Выделить всё

Port:  squid-2.7.6_1
Path:  /usr/ports/www/squid
Info:  HTTP Caching Proxy
Maint: tmseck@web.de
WWW:   http://www.squid-cache.org/

на этом основан один из наших "продуктов", дааавно написанных, как раз для офисных вариантов шлюзов

Уважаемый, UID 0...

Прозрачный прокси не поддерживает ntlm аутентификацию в active directory, поэтому рулежка группами пользователей на основе данных active directory будет просто невозможна. Конечно , может топик-стартеру это и не надо, но мне такое в сетках от 10 рыл очень помогает, особенно если рулежка производится не сильно компетентным лицом при отсутствии связи с админом, который все это замутил. Кроме того, становится невозможно проксировать https трафик. Вообщем минусов достаточно много как и плюсов.

Я лично использую как правильно два проксика: один прозрачный, второй жесткий. Если интересно могу выложить правила, которые придумал давно и давно использую везде, очень от всякой шняжки из сети помогает. =)

PS: топик посвящен компиляции ядра с минимумом функций для работы прокси сервера squid в гетерогенной сети. =)
PPS: Кстати, может тема для статейки...

Разница между NAT, Proxy и Firewall понятна. Я думаю, что NAT мне не нужен, т.к. его функции уже реализованы средствами корпоративной сети вышестоящей организации. Я же в Windows ничего не настраиваю, просто указал шлюз в настройках DHCP. Ну и упражняюсь я, естественно, не на живой системе, так что могу позволить себе сколь угодно рискованные эксперименты. Что до остального, попробую.

на этом основан один из наших "продуктов", дааавно написанных, как раз для офисных вариантов шлюзов

Извини, я не разобрался, что, где и как надо искать на этом сайте. Там, наверное, как-то зарегистрироваться надо? Тоже не понял как.

slb51 писал(а):

на этом основан один из наших "продуктов", дааавно написанных, как раз для офисных вариантов шлюзов

Извини, я не разобрался, что, где и как надо искать на этом сайте. Там, наверное, как-то зарегистрироваться надо? Тоже не понял как.

Да, там нужно ввести в кач-ве логина и пароля guest (о чем написано прямо на главной странице). После авторизации попадаешь в админку системы.

А из админки попадаешь только на описания продуктов и ссылки на Википедию. Я надеялся, что можно реально попробовать продукт.

slb51 писал(а):Я надеялся, что можно реально попробовать продукт.

там можно все это
добавлять юзера, выставлять права и т.п.

Привет всем.
Поделитесь, кто и чего удаляет из стандартного ядра и может это посоветовать удалить другим.
Я понимаю, что может получиться так, что не будет поддержки некоторого оборудования, но разумеется в пределах разумного править конфиг.

Вопрос возник не на пустом месте.
На 6й фре стоит NAS. Купили машину - теперь нужно переделать на 7ку. Сравнил 2 конфига исходных - разница ощутима.

Попутно вопрос (может и глупый).
собираю ядро с опциями NEGRAPH.
добавил опции

Код: Выделить всё

options NEGRAPH_PPP
options NEGRAPH_PPTPGRE

В дальнейшем хочу использовать l2tp. Возникает вопрос есть ли опция NETGRAPH_L2TPGRE (или аналогичная) или в ней нет необходимости, т.к. l2tp протокол наследовавший pptp?
Если есть эта опция, то подскажите, какую еще опцию надо использовать для организации l2tp?
Можно ли компилироать опции l2tp и pptp в одном ядре и как это скажется на системе?

Заранее благодарен.

Андрей писал(а):Поделитесь, кто и чего удаляет из стандартного ядра и может это посоветовать удалить другим.

лишние устройства, которых нет в системе, аля:

SCSI устройства
RAID массивы, которых нет, а если какой то есть, то оставлю только тот который установлен в сервер
сетевухи, которые я точно никогда юзать не буду, особенно сетевухи "ISA Ethernet NICs", ISA порт чичас реально сложно найти
"Wireless NIC cards"
"USB support", "USB Serial devices", "USB Ethernet" - если поддержка USB не нужна
"FireWire support"
"PCCARD (PCMCIA) support"
device fdc
device atapifd # ATAPI floppy drives
device atapist # ATAPI tape drives
device gif # IPv6 and IPv4 tunneling
device faith # IPv6-to-IPv4 relaying (translation)

Андрей писал(а):собираю ядро с опциями NEGRAPH.
добавил опции

а я бы добавил:

Код: Выделить всё

options NETGRAPH
options NETGRAPH_PPPOE
options NETGRAPH_SOCKET
options NETGRAPH_ECHO
options NETGRAPH_ETHER
options NETGRAPH_IFACE
options NETGRAPH_KSOCKET
options NETGRAPH_L2TP
options NETGRAPH_MPPC_ENCRYPTION
options NETGRAPH_PPP
options NETGRAPH_PPTPGRE

Андрей писал(а):Возникает вопрос есть ли опция NETGRAPH_L2TPGRE (или аналогичная)

а ) все опции описаны в LINT, сделай "линт" и зри в него:
2) я тебе уже говорил, что прежде чем поднимать какой либо протокол, было бы совсем не лишним почитать о том как он работает, тогда подобных вопросов возникать не будет

Андрей писал(а):Можно ли компилироать опции l2tp и pptp в одном ядре и как это скажется на системе?

ну а почему нет то ? например, демон mpd "держит" оба:

Mpd поддерживает множество типов соединений:
.............
pptp – соединение точка-точка через Internet по протоколу PPTP (Point-to-Point Tunnelling Protocol). Данный протокол поддерживается большинством производителей операционных систем и оборудования.

l2tp – соединение через Internet используя протокол 2-го уровня L2TP (Layer Two Tunnelling Protocol). L2TP является дальнейшей реализацией протокола PPTP и также поддерживается современными производителями операционных систем и оборудования.
............