Ситуация такая: есть анлим канал, есть сервер FreeBSD, необходимо раздавать интернет через этот сервер на домашнюю сетку. Требования такие:
1. Авторизация пользователей по логину\паролю, желательно еще привязать к MAC\IP. Убрать возможность логиниться с разных машин под одним и тем же логином.
2. Весь http\ftp траффик пускать через кэширующий прокси
3. Остальное - через NAT(ну... smtp, pop, icq, mirc, апдейты различные, обновления, возможно игрушки какие... короче - что юзверям в домашней сетке надо :)
4. Обязательно надо резать траффик, т.к. канал не резиновый. Соотв. резать надо по скорости утром\днем\вечером, квоты на сутки\месяц.
5. Ну.. желательно еще мониторинг всего этого(если в реальном времени - дык вааще супер :)Вот я тут присмотрел такой вариант предварительно: Народ запускать по VPN (MPD). Авторизацию - через FreeRADIUS. Биллинг\мониторинг-FreeNIBS(украинский какой-то). Ну остальное через IPFW, а весь http\ftp траффик завернуть на 3128-SQUID. Но, почему-то гложет чувство избыточности и нерациональности всей хэтой связки, опять-же я далек от Юниксов приходится все по докам\форумам выкапывать и по-пунктам ставить. Вообще-то изначально планировал просто НАТ+Сквид поставить, но так и не нашел авторизацию по логину для НАТа.
Поэтому - просьба к знающим людям: если кто уже сталкивался\решал такие проблемы, или просто может подсказать более простое решение - не бросайте страждущего в беде, откликнитесь! :)
Заранее спасибо !
Проще подсказать не могу.У меня была похожая задача, но попроще. Так билдинг/мониторинг я реализовывал через mysql (freeRADIUS+mysql связка). В freeRADIUS'е есть скрипт создания таблиц, а остальные настройки - минимальны.
>Проще подсказать не могу.
>
>У меня была похожая задача, но попроще. Так билдинг/мониторинг я реализовывал через
>mysql (freeRADIUS+mysql связка). В freeRADIUS'е есть скрипт создания таблиц, а остальные
>настройки - минимальны.
Слушай, а вообще ГДЕ-НИБУДЬ есть возможность пускать через НАТ только авторизированных юзверей? Я имею в-виду любой подход: WIN, LINUX... Ну, естественно, исключая установку различных клиентов у юзверей.
>Слушай, а вообще ГДЕ-НИБУДЬ есть возможность пускать через НАТ только авторизированных юзверей?
>Я имею в-виду любой подход: WIN, LINUX... Ну, естественно, исключая установку
>различных клиентов у юзверей.Не знаю. Нет опыта.
Но, я думаю, что НЕТ. Попрет юзверь, через НАТовский порт и никто его кроме НАТа не остановит. У меня было ппп-соединение, так, юзверь не сможет никуда лезть, пока я ему ай-пи не соизволю дать. А у тебя - постоянное. Либо НАТ должен проводить авторизацию, либо прокси.
>>Слушай, а вообще ГДЕ-НИБУДЬ есть возможность пускать через НАТ только авторизированных юзверей?Никак не получается представить себе авторизацию через нат. Это весь софт интернетный нужно переписать заново. Если уж и должна какая прога заниматься авторизацией, точно не нат.
>>>Слушай, а вообще ГДЕ-НИБУДЬ есть возможность пускать через НАТ только авторизированных юзверей?
>
>Никак не получается представить себе авторизацию через нат. Это весь софт интернетный
>нужно переписать заново. Если уж и должна какая прога заниматься авторизацией,
>точно не нат.Хм... Я вот тебе скажу из личного опыта: под Win есть такая штука Kerio Winroute Firewall, дык они там очень оригинально сделали - чтобы юзер мог открыть Веб-страничку, надо обязательно авторизироваться (ну это понятно, принцип такой же как и во-многих прокси: при попытке коннекта на 80 порт выкидывает окошко с запросом логина\пароля)А вот ПОТОМ уже в правилх настройки файрвола, ты можешь оперировать таким понятием, как АВТОРИЗОВАННЫЕ ЮЗЕРА. Т.е. можно написать правило: редирект с произваольного интерфейса ВСЕГО траффика АВТОРИЗОВАННЫХ ЮЗВЕРЕЙ туда-то (на шлюз провайдера, например...)
http://www.opennet.me/base/sec/authpf_auth.txt.html
>>Проще подсказать не могу.
>>
>>У меня была похожая задача, но попроще. Так билдинг/мониторинг я реализовывал через
>>mysql (freeRADIUS+mysql связка). В freeRADIUS'е есть скрипт создания таблиц, а остальные
>>настройки - минимальны.
>
>
>Слушай, а вообще ГДЕ-НИБУДЬ есть возможность пускать через НАТ только авторизированных юзверей?
>Я имею в-виду любой подход: WIN, LINUX... Ну, естественно, исключая установку
>различных клиентов у юзверей.
Выдаешь посредством MPD ip-адреса из другой подсети виртуальной.
Ну например, в сетке адреса 192.168.0.0/24, а ты по vpn им выдаешь 192.168.134.0/24.
И НАТишь только подсетку 192.168.134.0/24 (посредством файрвола).
И посредством же файрвола закрываешь всё (ну ессно кроме нужных вещей).
А билинг - netams. Сам не пробовал, но судя по описалову - вещь.
Netams - www.netams.com
stg.dp.ua
>stg.dp.ua
Посмотрел у наих на сайте - вроде приличная вещь... Только я не совсем понял: юзерам обязательно надо ставить клиента ихнего, или просто можно шлюз им прописать?
>Выдаешь посредством MPD ip-адреса из другой подсети виртуальной.
>Ну например, в сетке адреса 192.168.0.0/24, а ты по vpn им выдаешь
>192.168.134.0/24.
>И НАТишь только подсетку 192.168.134.0/24 (посредством файрвола).
>И посредством же файрвола закрываешь всё (ну ессно кроме нужных вещей).
>А билинг - netams. Сам не пробовал, но судя по описалову -
>вещь.Ну я так и планировал все делать, вот только биллинг , судя по форумам FreeNIBS - все хвалят. Хотя, с другой стороны, хотелось бы посмотреть скриншоты веб-морды для него.
И я так понял, что надо ставить связку Апач+ssl+perl+php. Тут на сайте есть статейки, за руку проводящие через установку этой связки вручную. А вот если просто из портов все это ставить - будет работать?
Например: Apache_ssl+mod_perl+php. Так вот мне непонятно, имеет ли значение порядок установки? Можно ли вместо отдельной установки Апача и Мод_ССЛ сразу поставить из портов Апач_ССЛ?
И, если можно все по-очереди ставить, надо ли править конфиги, чтобы все в связке заработало ?