Уважаемые господа, в свободное от работы время я написал пару скриптов и веб морду по управлению небольшим офисным шлюзом.
Предлагаю всех заинтересовавщихся оценить мою работу, чтобы не дублировать информацию выкладываю ссылку на статью.
http://www.snow-leo.blogspot.com/2012/05/webroute.htmlВот в кратце основные возможности системы:
1) Межсетевой экран. (iptables)
2) Прозрачный прокси сервер. (squid + rejik)
3) Отчеты по трафику. (lightsquid + ipt_netflow + flow-tools)
4) Квотирование трафика. (самописное)
5) Ограничение скорости. (tc)
6) Авторизация пользователей. (rp-pppoe и pptpd)
7) Информация об оборудовании и системе. (phpsysinfo)Все это настравивается через вэб морду. И распространяется абсолютно бесплатно.
Заранее всем спасибо.
>[оверквотинг удален]
> Вот в кратце основные возможности системы:
> 1) Межсетевой экран. (iptables)
> 2) Прозрачный прокси сервер. (squid + rejik)
> 3) Отчеты по трафику. (lightsquid + ipt_netflow + flow-tools)
> 4) Квотирование трафика. (самописное)
> 5) Ограничение скорости. (tc)
> 6) Авторизация пользователей. (rp-pppoe и pptpd)
> 7) Информация об оборудовании и системе. (phpsysinfo)
> Все это настравивается через вэб морду. И распространяется абсолютно бесплатно.
> Заранее всем спасибо.И в чем принципиальное отличие от продакшен систем такого плана - pfSense/m0n0wall/Vyatta?
>[оверквотинг удален]
>> 1) Межсетевой экран. (iptables)
>> 2) Прозрачный прокси сервер. (squid + rejik)
>> 3) Отчеты по трафику. (lightsquid + ipt_netflow + flow-tools)
>> 4) Квотирование трафика. (самописное)
>> 5) Ограничение скорости. (tc)
>> 6) Авторизация пользователей. (rp-pppoe и pptpd)
>> 7) Информация об оборудовании и системе. (phpsysinfo)
>> Все это настравивается через вэб морду. И распространяется абсолютно бесплатно.
>> Заранее всем спасибо.
> И в чем принципиальное отличие от продакшен систем такого плана - pfSense/m0n0wall/Vyatta?Прочитайте статью, и узнаете.
> Прочитайте статью, и узнаете.статья не дает ответа на мой вопрос
Хм... По описанию интересно.
А выдержит ли оно юзеров 100-150?
> Хм... По описанию интересно.
> А выдержит ли оно юзеров 100-150?Да выдержит. У меня работает для 70 человек (машина на core2duo e7500, 4Gb ECC RAM, 2x250 hdd[softraid 1]) загрузка проца примерно процентов 10-15
> Уважаемые господа, в свободное от работы время я написал пару скриптов и
> веб морду по управлению небольшим офисным шлюзом.
> Предлагаю всех заинтересовавщихся оценить мою работу, чтобы не дублировать информацию
> выкладываю ссылку на статью.
> http://www.snow-leo.blogspot.com/2012/05/webroute.htmlВам помочь сделать rpm-пакеты под EL-линукс? "Инсталлятор" таки не UNIX-way, да и причина ошибок юзеров :(
>> Уважаемые господа, в свободное от работы время я написал пару скриптов и
>> веб морду по управлению небольшим офисным шлюзом.
>> Предлагаю всех заинтересовавщихся оценить мою работу, чтобы не дублировать информацию
>> выкладываю ссылку на статью.
>> http://www.snow-leo.blogspot.com/2012/05/webroute.html
> Вам помочь сделать rpm-пакеты под EL-линукс? "Инсталлятор" таки не UNIX-way, да и
> причина ошибок юзеров :(Да было бы здорово. :)
Пишите master[гав]webroute[дот]org
>[оверквотинг удален]
> Вот в кратце основные возможности системы:
> 1) Межсетевой экран. (iptables)
> 2) Прозрачный прокси сервер. (squid + rejik)
> 3) Отчеты по трафику. (lightsquid + ipt_netflow + flow-tools)
> 4) Квотирование трафика. (самописное)
> 5) Ограничение скорости. (tc)
> 6) Авторизация пользователей. (rp-pppoe и pptpd)
> 7) Информация об оборудовании и системе. (phpsysinfo)
> Все это настравивается через вэб морду. И распространяется абсолютно бесплатно.
> Заранее всем спасибо.интерфейс сделан коряво и судя по видео требует жабу на клиенте.
> интерфейс сделан корявоА конкретно, 1) что неправильно, 2) как правильно в этом случае???
>> интерфейс сделан коряво
> А конкретно, 1) что неправильно, 2) как правильно в этом случае???Я бы не сказал, что "неправильно". Главное, что работает. Но
1)
взять хотя бы список пользователей: чтобы сменить пароль я должен лезть в главное меню, потом на следующем экране из дроп-листа пользователя выбрать и только потом сменить пароль смогу. И эта тенденция наблюдается везде: необходимо произвести несколько абсолютно не нужных действий, для выполнения простой операции.2)
почему-бы сразу в списке пользователей не прицепить ссылки добавить/удалить/редактировать? все это элементарно делается. по крайней мере при 200 ползователей, можно постраничный вывод сделать, а вот 200 логинов в выпадающем списке листать для смены пароля - это уже засада.логин пароль права
admin admin admin [добавить][удалить][редактировать]
vasyaa qq admin [добавить][удалить][редактировать]2а)
иногда приходится текстовым браузером из консоли посмотреть => жаба тут не айс (поскольку не всегда со своей машины, где жаба стоит работаешь). раскрывающиеся главное меню - это конечно круто, но лучше сделать его в виде банального дерева в левой сторне экрана с простой обработкой на PHP (тык на пункт главного меню - он развернулся, тык еще раз - свернулся).
>[оверквотинг удален]
> логин пароль права
> admin admin admin [добавить][удалить][редактировать]
> vasyaa qq admin [добавить][удалить][редактировать]
> 2а)
> иногда приходится текстовым браузером из консоли посмотреть => жаба тут не айс
> (поскольку не всегда со своей машины, где жаба стоит работаешь). раскрывающиеся
> главное меню - это конечно круто, но лучше сделать его в
> виде банального дерева в левой сторне экрана с простой обработкой на
> PHP (тык на пункт главного меню - он развернулся, тык еще
> раз - свернулся).1) Согласен, но задайтесь вопросом, часто ли Вам приходится удалять пользователей?
Согласитесь, что не так уж и часто и еще момент различные интерфейсы для удаления или смены паролей сделаны для того чтоб исключить случайное нажатие.2) Ммм... Простите Вы про какую жабу? Там(в интерфейсе) совсем немного JQuery, и даже если Ваш браузер не поддерживает javascript то меню хоть и немного коряво но отобразится.
PS. По поводу первого пункта надо подумать...
>[оверквотинг удален]
>> иногда приходится текстовым браузером из консоли посмотреть => жаба тут не айс
>> (поскольку не всегда со своей машины, где жаба стоит работаешь). раскрывающиеся
>> главное меню - это конечно круто, но лучше сделать его в
>> виде банального дерева в левой сторне экрана с простой обработкой на
>> PHP (тык на пункт главного меню - он развернулся, тык еще
>> раз - свернулся).
> 1) Согласен, но задайтесь вопросом, часто ли Вам приходится удалять пользователей?
> Согласитесь, что не так уж и часто и еще момент различные интерфейсы
> для удаления или смены паролей сделаны для того чтоб исключить случайное
> нажатие.Я как раз про смену пароля и говорил. Ситуация, когда пользователь свой пароль забывает довольно не редко происходит. Плюс к тому пароли все-таки шифровать нужно, дабы если БД сперли, то хрен доступ получат все равно (ИМХО это меньшее зло, чем риск перехвата нешифрованного пароля по сети - в первом случае палятся все пароли, во втором - только отдельные). => даже админ не должен знать пароль пользователя (не говоря уже о том, чтоб светить его в web-интерфейсе), а может его только сменить.
> 2) Ммм... Простите Вы про какую жабу? Там(в интерфейсе) совсем немного JQuery,
про Java конечно ).
> и даже если Ваш браузер не поддерживает javascript то меню хоть
> и немного коряво но отобразится.Это хорошо.
> PS. По поводу первого пункта надо подумать...
Просто если уж хотите свое творение распространять, то интерфейс должен быть максимально дружелюбен к пользователю - он кроме него ничего не видит и будет судить "по одежке".
PS
Молодец - большая работа проделана. Но нет предела совершенству ).
> Я как раз про смену пароля и говорил. Ситуация, когда пользователь свой
> пароль забывает довольно не редко происходит. Плюс к тому пароли все-таки
> шифровать нужно, дабы если БД сперли, то хрен доступ получат все
> равно (ИМХО это меньшее зло, чем риск перехвата нешифрованного пароля по
> сети - в первом случае палятся все пароли, во втором -
> только отдельные). => даже админ не должен знать пароль пользователя (не
> говоря уже о том, чтоб светить его в web-интерфейсе), а может
> его только сменить.Дело в том что пароль этот используется только для доступа к сети интернет и не для чего больше.
Боюсь что пароль шифровать/хешировать не получится, дело в том что скрипт генерит из этих паролей файлик /etc/ppp/chap-secrets , а там они(пароли) должны быть в открытом виде.
От админа скрывать пароль пользователя смысла нет, так как он в любой момент его может скинуть или просто завести нового пользователя(ну или посмотреть в том же chap-secrets). Так же админ имея доступ к серверу через ssh может просто включить нат для своего ip и тогда ему никакой пароль вообще не нужен.
>> Я как раз про смену пароля и говорил. Ситуация, когда пользователь свой
>> пароль забывает довольно не редко происходит. Плюс к тому пароли все-таки
>> шифровать нужно, дабы если БД сперли, то хрен доступ получат все
>> равно (ИМХО это меньшее зло, чем риск перехвата нешифрованного пароля по
>> сети - в первом случае палятся все пароли, во втором -
>> только отдельные). => даже админ не должен знать пароль пользователя (не
>> говоря уже о том, чтоб светить его в web-интерфейсе), а может
>> его только сменить.
> Дело в том что пароль этот используется только для доступа к сети
> интернет и не для чего больше.Именно. Если не интерисует контроль доступа в инет по каждому пользователю отдельно, тогда и простого NAT достаточно. Но уж если такую задачу перед собой поставили, то надо решать ее правильно, а не абы как.
> Боюсь что пароль шифровать/хешировать не получится, дело в том что скрипт генерит
> из этих паролей файлик /etc/ppp/chap-secrets , а там они(пароли) должны быть
> в открытом виде.Кто заставляет Вас chap-secrets использовать? Прикрутите радиус, БД итд.
> От админа скрывать пароль пользователя смысла нет, так как он в
> любой момент его может скинуть или просто завести нового пользователя(ну или
> посмотреть в том же chap-secrets). Так же админ имея доступ к
> серверу через ssh может просто включить нат для своего ip и
> тогда ему никакой пароль вообще не нужен.Пользователь Петя увидал пароль Васи на мониторе, пока админ курить ходил. И начал под Васиным паролем по порносайтам лазить. А пока Петя по порносайтам ходит Вася либо вообще авторизоваться не может (если одно одновременное подключение на логин), либо Васе в актив запишут весь трафик, все вирусы итд - это ведь он качал всю эту дрянь.
Когда пользователи начнут голосить о том, что ничего не качали, а трафик им насчитали, тогда и станет ясно зачем пароли шифровать и даже админу к ним доступ не давать (и смену пароля только по документальной заявке от пользователя делать).
Хмм... Логично. В следущей версии исправлю это упущение.
Спасибо большое, за отзывы и предложения. :-)
> Хмм... Логично. В следущей версии исправлю это упущение.
> Спасибо большое, за отзывы и предложения. :-)Вышла новая версия.
Изменен интерфейс + добавлен механизм очиски БД.
>> Хмм... Логично. В следущей версии исправлю это упущение.
>> Спасибо большое, за отзывы и предложения. :-)
> Вышла новая версия.
> Изменен интерфейс + добавлен механизм очиски БД.поподробнее плз:
- выходтит уже прикручена БД (какая)?
- механизм очистки? подробнее.
> поподробнее плз:
> - выходтит уже прикручена БД (какая)?mysql
> - механизм очистки? подробнее.ммм... на самом деле все просто, выискивает пустые записи в таблице со статистикой трафика и удаляет их.
Вообще все довольно экономично: для 80 пользователей база за год вырастает примерно на 1 мегабайт.
>> поподробнее плз:
>> - выходтит уже прикручена БД (какая)?
> mysql
>> - механизм очистки? подробнее.
> ммм... на самом деле все просто, выискивает пустые записи в таблице со
> статистикой трафика и удаляет их.
> Вообще все довольно экономично: для 80 пользователей база за год вырастает примерно
> на 1 мегабайт."пустые записи"?