URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 93436
[ Назад ]

Исходное сообщение
"Офисный шлюз (настройка)"

Отправлено Аноним , 31-Май-12 07:18 
Уважаемые господа, в свободное от работы время я написал пару скриптов и веб морду по управлению небольшим офисным шлюзом.
Предлагаю всех заинтересовавщихся оценить мою работу, чтобы не дублировать информацию выкладываю ссылку на статью.
http://www.snow-leo.blogspot.com/2012/05/webroute.html

Вот в кратце основные возможности системы:
1) Межсетевой экран. (iptables)
2) Прозрачный прокси сервер. (squid + rejik)
3) Отчеты по трафику. (lightsquid + ipt_netflow + flow-tools)
4) Квотирование трафика. (самописное)
5) Ограничение скорости. (tc)
6) Авторизация пользователей. (rp-pppoe и pptpd)
7) Информация об оборудовании и системе. (phpsysinfo)

Все это настравивается через вэб морду. И распространяется абсолютно бесплатно.
Заранее всем спасибо.


Содержание

Сообщения в этом обсуждении
"Офисный шлюз (настройка)"
Отправлено ALex_hha , 31-Май-12 19:46 
>[оверквотинг удален]
> Вот в кратце основные возможности системы:
> 1) Межсетевой экран. (iptables)
> 2) Прозрачный прокси сервер. (squid + rejik)
> 3) Отчеты по трафику. (lightsquid + ipt_netflow + flow-tools)
> 4) Квотирование трафика. (самописное)
> 5) Ограничение скорости. (tc)
> 6) Авторизация пользователей. (rp-pppoe и pptpd)
> 7) Информация об оборудовании и системе. (phpsysinfo)
> Все это настравивается через вэб морду. И распространяется абсолютно бесплатно.
> Заранее всем спасибо.

И в чем принципиальное отличие от продакшен систем такого плана - pfSense/m0n0wall/Vyatta?


"Офисный шлюз (настройка)"
Отправлено Аноним , 01-Июн-12 22:59 
>[оверквотинг удален]
>> 1) Межсетевой экран. (iptables)
>> 2) Прозрачный прокси сервер. (squid + rejik)
>> 3) Отчеты по трафику. (lightsquid + ipt_netflow + flow-tools)
>> 4) Квотирование трафика. (самописное)
>> 5) Ограничение скорости. (tc)
>> 6) Авторизация пользователей. (rp-pppoe и pptpd)
>> 7) Информация об оборудовании и системе. (phpsysinfo)
>> Все это настравивается через вэб морду. И распространяется абсолютно бесплатно.
>> Заранее всем спасибо.
> И в чем принципиальное отличие от продакшен систем такого плана - pfSense/m0n0wall/Vyatta?

Прочитайте статью, и узнаете.


"Офисный шлюз (настройка)"
Отправлено ALex_hha , 01-Авг-12 11:38 
> Прочитайте статью, и узнаете.

статья не дает ответа на мой вопрос


"Офисный шлюз (настройка)"
Отправлено Elisium , 01-Авг-12 00:29 
Хм... По описанию интересно.
А выдержит ли оно юзеров 100-150?


"Офисный шлюз (настройка)"
Отправлено Аноним , 12-Авг-12 21:50 
> Хм... По описанию интересно.
> А выдержит ли оно юзеров 100-150?

Да выдержит. У меня работает для 70 человек (машина на core2duo e7500, 4Gb ECC RAM, 2x250 hdd[softraid 1]) загрузка проца примерно процентов 10-15


"Офисный шлюз (настройка)"
Отправлено sHaggY_caT , 13-Авг-12 02:15 
> Уважаемые господа, в свободное от работы время я написал пару скриптов и
> веб морду по управлению небольшим офисным шлюзом.
> Предлагаю всех заинтересовавщихся оценить мою работу, чтобы не дублировать информацию
> выкладываю ссылку на статью.
> http://www.snow-leo.blogspot.com/2012/05/webroute.html

Вам помочь сделать rpm-пакеты под EL-линукс? "Инсталлятор" таки не UNIX-way, да и причина ошибок юзеров :(


"Офисный шлюз (настройка)"
Отправлено Аноним , 13-Авг-12 08:05 
>> Уважаемые господа, в свободное от работы время я написал пару скриптов и
>> веб морду по управлению небольшим офисным шлюзом.
>> Предлагаю всех заинтересовавщихся оценить мою работу, чтобы не дублировать информацию
>> выкладываю ссылку на статью.
>> http://www.snow-leo.blogspot.com/2012/05/webroute.html
> Вам помочь сделать rpm-пакеты под EL-линукс? "Инсталлятор" таки не UNIX-way, да и
> причина ошибок юзеров :(

Да было бы здорово. :)
Пишите master[гав]webroute[дот]org


"Офисный шлюз (настройка)"
Отправлено LSTemp , 16-Авг-12 08:27 
>[оверквотинг удален]
> Вот в кратце основные возможности системы:
> 1) Межсетевой экран. (iptables)
> 2) Прозрачный прокси сервер. (squid + rejik)
> 3) Отчеты по трафику. (lightsquid + ipt_netflow + flow-tools)
> 4) Квотирование трафика. (самописное)
> 5) Ограничение скорости. (tc)
> 6) Авторизация пользователей. (rp-pppoe и pptpd)
> 7) Информация об оборудовании и системе. (phpsysinfo)
> Все это настравивается через вэб морду. И распространяется абсолютно бесплатно.
> Заранее всем спасибо.

интерфейс сделан коряво и судя по видео требует жабу на клиенте.


"Офисный шлюз (настройка)"
Отправлено And , 16-Авг-12 21:33 
> интерфейс сделан коряво

А конкретно, 1) что неправильно, 2) как правильно в этом случае???



"Офисный шлюз (настройка)"
Отправлено LSTemp , 18-Авг-12 03:46 
>> интерфейс сделан коряво
> А конкретно, 1) что неправильно, 2) как правильно в этом случае???

Я бы не сказал, что "неправильно". Главное, что работает. Но

1)
взять хотя бы список пользователей: чтобы сменить пароль я должен лезть в главное меню, потом на следующем экране из дроп-листа пользователя выбрать и только потом сменить пароль смогу. И эта тенденция наблюдается везде: необходимо произвести несколько абсолютно не нужных действий, для выполнения простой операции.

2)
почему-бы сразу в списке пользователей не прицепить ссылки добавить/удалить/редактировать? все это элементарно делается. по крайней мере при 200 ползователей, можно постраничный вывод сделать, а вот 200 логинов в выпадающем списке листать для смены пароля - это уже засада.

логин пароль права
admin admin admin [добавить][удалить][редактировать]
vasyaa qq admin [добавить][удалить][редактировать]

2а)
иногда приходится текстовым браузером из консоли посмотреть => жаба тут не айс (поскольку не всегда со своей машины, где жаба стоит работаешь). раскрывающиеся главное меню - это конечно круто, но лучше сделать его в виде банального дерева в левой сторне экрана с простой обработкой на PHP (тык на пункт главного меню - он развернулся, тык еще раз - свернулся).



"Офисный шлюз (настройка)"
Отправлено Аноним , 25-Авг-12 23:44 
>[оверквотинг удален]
> логин пароль права
> admin admin admin [добавить][удалить][редактировать]
> vasyaa qq admin [добавить][удалить][редактировать]
> 2а)
> иногда приходится текстовым браузером из консоли посмотреть => жаба тут не айс
> (поскольку не всегда со своей машины, где жаба стоит работаешь). раскрывающиеся
> главное меню - это конечно круто, но лучше сделать его в
> виде банального дерева в левой сторне экрана с простой обработкой на
> PHP (тык на пункт главного меню - он развернулся, тык еще
> раз - свернулся).

1) Согласен, но задайтесь вопросом, часто ли Вам приходится удалять пользователей?
Согласитесь, что не так уж и часто и еще момент различные интерфейсы для удаления или смены паролей сделаны для того чтоб исключить случайное нажатие.

2) Ммм... Простите Вы про какую жабу? Там(в интерфейсе) совсем немного JQuery, и даже если Ваш браузер не поддерживает javascript то меню хоть и немного коряво но отобразится.

PS. По поводу первого пункта надо подумать...



"Офисный шлюз (настройка)"
Отправлено LSTemp , 27-Авг-12 23:09 
>[оверквотинг удален]
>> иногда приходится текстовым браузером из консоли посмотреть => жаба тут не айс
>> (поскольку не всегда со своей машины, где жаба стоит работаешь). раскрывающиеся
>> главное меню - это конечно круто, но лучше сделать его в
>> виде банального дерева в левой сторне экрана с простой обработкой на
>> PHP (тык на пункт главного меню - он развернулся, тык еще
>> раз - свернулся).
> 1) Согласен, но задайтесь вопросом, часто ли Вам приходится удалять пользователей?
> Согласитесь, что не так уж и часто и еще момент различные интерфейсы
> для удаления или смены паролей сделаны для того чтоб исключить случайное
> нажатие.

Я как раз про смену пароля и говорил. Ситуация, когда пользователь свой пароль забывает довольно не редко происходит. Плюс к тому пароли все-таки шифровать нужно, дабы если БД сперли, то хрен доступ получат все равно (ИМХО это меньшее зло, чем риск перехвата нешифрованного пароля по сети - в первом случае палятся все пароли, во втором - только отдельные). => даже админ не должен знать пароль пользователя (не говоря уже о том, чтоб светить его в web-интерфейсе), а может его только сменить.

> 2) Ммм... Простите Вы про какую жабу? Там(в интерфейсе) совсем немного JQuery,

про Java конечно ).

> и даже если Ваш браузер не поддерживает javascript то меню хоть
> и немного коряво но отобразится.

Это хорошо.

> PS. По поводу первого пункта надо подумать...

Просто если уж хотите свое творение распространять, то интерфейс должен быть максимально дружелюбен к пользователю - он кроме него ничего не видит и будет судить "по одежке".

PS
Молодец - большая работа проделана. Но нет предела совершенству ).


"Офисный шлюз (настройка)"
Отправлено Sn0wLe0 , 28-Авг-12 15:28 
> Я как раз про смену пароля и говорил. Ситуация, когда пользователь свой
> пароль забывает довольно не редко происходит. Плюс к тому пароли все-таки
> шифровать нужно, дабы если БД сперли, то хрен доступ получат все
> равно (ИМХО это меньшее зло, чем риск перехвата нешифрованного пароля по
> сети - в первом случае палятся все пароли, во втором -
> только отдельные). => даже админ не должен знать пароль пользователя (не
> говоря уже о том, чтоб светить его в web-интерфейсе), а может
> его только сменить.

Дело в том что пароль этот используется только для доступа к сети интернет и не для чего больше.
Боюсь что пароль шифровать/хешировать не получится, дело в том что скрипт генерит из этих паролей файлик /etc/ppp/chap-secrets , а там они(пароли) должны быть в открытом виде.
От админа скрывать пароль пользователя  смысла нет, так как он в любой момент его может скинуть или просто завести нового пользователя(ну или посмотреть в том же chap-secrets). Так же админ имея доступ к серверу через ssh может просто включить нат для своего ip и тогда ему никакой пароль вообще не нужен.


"Офисный шлюз (настройка)"
Отправлено LSTemp , 29-Авг-12 00:53 
>> Я как раз про смену пароля и говорил. Ситуация, когда пользователь свой
>> пароль забывает довольно не редко происходит. Плюс к тому пароли все-таки
>> шифровать нужно, дабы если БД сперли, то хрен доступ получат все
>> равно (ИМХО это меньшее зло, чем риск перехвата нешифрованного пароля по
>> сети - в первом случае палятся все пароли, во втором -
>> только отдельные). => даже админ не должен знать пароль пользователя (не
>> говоря уже о том, чтоб светить его в web-интерфейсе), а может
>> его только сменить.
> Дело в том что пароль этот используется только для доступа к сети
> интернет и не для чего больше.

Именно. Если не интерисует контроль доступа в инет по каждому пользователю отдельно, тогда и простого NAT достаточно. Но уж если такую задачу перед собой поставили, то надо решать ее правильно, а не абы как.

> Боюсь что пароль шифровать/хешировать не получится, дело в том что скрипт генерит
> из этих паролей файлик /etc/ppp/chap-secrets , а там они(пароли) должны быть
> в открытом виде.

Кто заставляет Вас chap-secrets использовать? Прикрутите радиус, БД итд.

> От админа скрывать пароль пользователя  смысла нет, так как он в
> любой момент его может скинуть или просто завести нового пользователя(ну или
> посмотреть в том же chap-secrets). Так же админ имея доступ к
> серверу через ssh может просто включить нат для своего ip и
> тогда ему никакой пароль вообще не нужен.

Пользователь Петя увидал пароль Васи на мониторе, пока админ курить ходил. И начал под Васиным паролем по порносайтам лазить. А пока Петя по порносайтам ходит Вася либо вообще авторизоваться не может (если одно одновременное подключение на логин), либо Васе в актив запишут весь трафик, все вирусы итд - это ведь он качал всю эту дрянь.

Когда пользователи начнут голосить о том, что ничего не качали, а трафик им насчитали, тогда и станет ясно зачем пароли шифровать и даже админу к ним доступ не давать (и смену пароля только по документальной заявке от пользователя делать).



"Офисный шлюз (настройка)"
Отправлено Sn0wLe0 , 29-Авг-12 11:32 
Хмм... Логично. В следущей версии исправлю это упущение.
Спасибо большое, за отзывы и предложения. :-)

"Офисный шлюз (настройка)"
Отправлено Sn0wLe0 , 06-Сен-12 23:22 
> Хмм... Логично. В следущей версии исправлю это упущение.
> Спасибо большое, за отзывы и предложения. :-)

Вышла новая версия.
Изменен интерфейс + добавлен механизм очиски БД.


"Офисный шлюз (настройка)"
Отправлено LSTemp , 22-Сен-12 22:55 
>> Хмм... Логично. В следущей версии исправлю это упущение.
>> Спасибо большое, за отзывы и предложения. :-)
> Вышла новая версия.
> Изменен интерфейс + добавлен механизм очиски БД.

поподробнее плз:
- выходтит уже прикручена БД (какая)?
- механизм очистки? подробнее.



"Офисный шлюз (настройка)"
Отправлено Sn0wLe0 , 25-Сен-12 09:17 
> поподробнее плз:
> - выходтит уже прикручена БД (какая)?

mysql
> - механизм очистки? подробнее.

ммм... на самом деле все просто, выискивает пустые записи в таблице со статистикой трафика и удаляет их.
Вообще все довольно экономично: для 80 пользователей база за год вырастает примерно на 1 мегабайт.


"Офисный шлюз (настройка)"
Отправлено LSTemp , 17-Окт-12 06:22 
>> поподробнее плз:
>> - выходтит уже прикручена БД (какая)?
> mysql
>> - механизм очистки? подробнее.
> ммм... на самом деле все просто, выискивает пустые записи в таблице со
> статистикой трафика и удаляет их.
> Вообще все довольно экономично: для 80 пользователей база за год вырастает примерно
> на 1 мегабайт.

"пустые записи"?