Нужен совет по проксе!

Автор olex984, 29 Марта 2011, 18:02

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

olex984

Всем привет. Ребят, нужен совет.
Щас имеется прокся на винде и трафик инспектор. Всего 10-15 клиентов. Есть желание перенести данную роль на убунту. НО. Терзают сомнения вот в чем:
 Коллеги пугают что вот нахватаемся вирей всяких, но я уже сижу на убунте почти пол года. Настроил на своей машине (эксперименты http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/smile.gif\' class=\'bbc_emoticon\' alt=\':)\' /> ) DHCP server, Squid(нарезал, ограничил и т.д.) Познакомился с iptables немного. И мне кажется что вири и так можно нахвататься если машины на виндах http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/wink.gif\' class=\'bbc_emoticon\' alt=\';)\' /> и антивири плохие.

Кто что скажет?! Этих знаний мне хватит чтоб осуществить переход. Всего 10 машин в нет пустить и чтоб не хакнули и вири не пролезли, легко по краиней мере. Кто что посоветует?

Шум

Какая-то странная постановка вопроса. "Нахватаетесь вирей" по какой причине?

ЗЫ Под линуксом вирей вообще нет.

Yuriy_Y

Цитата: olex984 от 29 Марта 2011, 18:02Щас имеется прокся на винде и трафик инспектор. Всего 10-15 клиентов. Есть желание перенести данную роль на убунту.
Все сомнения ф топпку. Я уже запустил связку squid3+sarg в одной конторе. Все довольны. Порезал кучу сайтов, запретил видео-аудио-архивы всякие. Рекламу убил. Щас инфы накоплю, потом буду исход резать, агенты и аси всякие. Хотя это не критично уже. После запрета торрентов инет в конторе ощутимо проще стал работать. Парк тож около 15 машин. Сделал кеш пока на 2 гектара. Мож добавлю, все равно на шлюзе места девать некуда. Но по статистике, процент попаданий в кеш уже почти 38-39%.
Антивирус стоит нод 4-й, бизнес. Обновления тянет сервер, а все с него уже по локалке. Вот еще экономия трафа. Есть даже локалка на 15 км протянута. Щас вот думаю телефонизировать их на этом же сервере. Есть мысль перевести весь парк на убунту, все равно в 1с-ке на терминальном сервере работают. Тогда и нод можно будет выкинуть. Так что не боись, дедушка гуголь и форумы помогут настроить тебе прозрачный прокси.
С уважением, Юрий

B@F

Мое мнение:

Вирусы главным образом сейчас трояны. Следовательно при попадании на сервер с проксей они по сути получают полный доступ к кешу, а значит перехватывают весь трафик. Опасно если производишь покупку на ебеи к примеру. Если будет линукс проксей -1 проблема уже.

Трафик инспектор дело хорошее, классная вещь, функциональная, но платная. Что бы настроить то же самое на линуксе придется много чего перелопатить. Зато опыт огромный.
Поправьте, если я ошибаюсь, буду тока рад.

olex984

30 Марта 2011, 09:11 #4 Последнее редактирование: 30 Марта 2011, 09:20 от olex984
Цитата: Yuriy_Y от 29 Марта 2011, 22:54Так что не боись, дедушка гуголь и форумы помогут настроить тебе прозрачный прокси.
Спасибо за поддержку.
Я уже оттестил тоже на своей машине сквид. У меня на одном интерфейсе локалка с проксей, на другой сетевухе сеточку организовал для себя тестовую, все работает на ура, сквид режет отлично.

А про нахаваться вирусов, это я к тому как насчет у убунты защита портов идет, потому что в нете я знаю хватает всяких вредителей: начинают порты сканить  что б потом через них пролезть в сеть, да и вири не для линуха а для винды, потому что в офисе стоят клиенты под виндой.
Вопрос.
 У Убунты по умолчанию порты закрыты там, чтоб никто не проломился в сеть из вне? Или надо доустанавливать ПО разное? Тогда надо мне еще почитать про это передж тем как ставить.
Планирую на него еще SSH и HTTP повесить.

B@F

30 Марта 2011, 09:35 #5 Последнее редактирование: 30 Марта 2011, 09:36 от B@F
Цитата: olex984 от 30 Марта 2011, 09:11А про нахаваться вирусов, это я к тому как насчет у убунты защита портов идет, потому что в нете я знаю хватает всяких вредителей: начинают порты сканить  что б потом через них пролезть в сеть, да и вири не для линуха а для винды, потому что в офисе стоят клиенты под виндой.
Вопрос.
 У Убунты по умолчанию порты закрыты там, чтоб никто не проломился в сеть из вне? Или надо доустанавливать? Тогда надо мне еще почитать про это передж тем как ставить.
Убунту или нет, это линукс. Если ты откроешь порты они будут открытыми, закроешь они будут закрытыми. И пусть потом хоть засканятся, толку то. Фаерволом зарой все входящии со внешки и воуля. А по умолчанию все серверы которые ты устанавливаешь слушают на всех интерфейсах, просто в конфиге указывать надо на каком именно. Тебе нужно про iptables почитать.

Я к примеру не осилил iptables, уж очень там для меня много всего. Я использую arno-iptables ну или как-то так он пишется. Там достаточно настроек для меня: форвардинг, нат, ограничения по сетям, IP, интерфейсам, ограничения по портам, ну и наверно все. Сразу скажу настройки не гибкие, проброса портов нет, но на какое-то время пойдет. У меня даже хранится идея, просто сохранить эти правила, снести арно и допилить их самому, но пока это тока мысли в слух.
А что бы посмотреть какие порты на каких интерфейсах слушаются то netstat -tapu
Поправьте, если я ошибаюсь, буду тока рад.

olex984

Цитата: B@F от 30 Марта 2011, 09:35Убунту или нет, это линукс. Если ты откроешь порты они будут открытыми, закроешь они будут закрытыми. И пусть потом хоть засканятся, толку то. Фаерволом зарой все входящии со внешки и воуля. А по умолчанию все серверы которые ты устанавливаешь слушают на всех интерфейсах, просто в конфиге указывать надо на каком именно. Тебе нужно про iptables почитать.

Я к примеру не осилил iptables, уж очень там для меня много всего. Я использую arno-iptables ну или как-то так он пишется. Там достаточно настроек для меня: форвардинг, нат, ограничения по сетям, IP, интерфейсам, ограничения по портам, ну и наверно все. Сразу скажу настройки не гибкие, проброса портов нет, но на какое-то время пойдет. У меня даже хранится идея, просто сохранить эти правила, снести арно и допилить их самому, но пока это тока мысли в слух.
А что бы посмотреть какие порты на каких интерфейсах слушаются то netstat -tapu
Спасибо всем за советы, и отдельное спасибо B@F за такой точный и глубокий ответ. Мне сразу все стало понятно. С iptables знакомлюсь уже с недельку, пока нравилось(правда не с первого раза доходит бывает http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/smile.gif\' class=\'bbc_emoticon\' alt=\':)\' /> ), уже поигрался с тем что разрешать иль нет соединения, редирект портов и чуть чуть еще всякого.
Еще раз спасибо всем.

Шум

Если даже оставить все до единого порты на линуксе открытыми - ни одна тварь один фиг не пролезет (о безопасности давно подумали майнтейнеры дистра, ни один демон кроме специально предназначенных ВНЕШНИЕ порты просто не слушает). Т.ч. поверь - для того что-бы "проломить" линь, даже с открытыми портами, нужен ОЧЕНЬ серьезный профи, услуги которого стоят в несколько раз больше чем вся ваша инфа и сеть вместе с компами и мебелью.

ЗЫ Ситуацию когда вы сами настроили проброс портов извне в сеть - не рассматриваем, т.к. тут уж сами себе злобные буратины.

olex984

Цитата: Шум от 30 Марта 2011, 15:21Если даже оставить все до единого порты на линуксе открытыми - ни одна тварь один фиг не пролезет (о безопасности давно подумали майнтейнеры дистра, ни один демон кроме специально предназначенных ВНЕШНИЕ порты просто не слушает). Т.ч. поверь - для того что-бы "проломить" линь, даже с открытыми портами, нужен ОЧЕНЬ серьезный профи, услуги которого стоят в несколько раз больше чем вся ваша инфа и сеть вместе с компами и мебелью.

ЗЫ Ситуацию когда вы сами настроили проброс портов извне в сеть - не рассматриваем, т.к. тут уж сами себе злобные буратины.
Ну, теперь вобще спокоен!!!!!!!!!
Смело в бой http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/smile.gif\' class=\'bbc_emoticon\' alt=\':)\' /> !!!!!!!!!!!!!!!

B@F

Цитата: B@F от 30 Марта 2011, 09:35Убунту или нет, это линукс. Если ты откроешь порты они будут открытыми, закроешь они будут закрытыми. И пусть потом хоть засканятся, толку то. Фаерволом зарой все входящии со внешки и воуля. А по умолчанию все серверы которые ты устанавливаешь слушают на всех интерфейсах, просто в конфиге указывать надо на каком именно. Тебе нужно про iptables почитать.

Я к примеру не осилил iptables, уж очень там для меня много всего. Я использую arno-iptables ну или как-то так он пишется. Там достаточно настроек для меня: форвардинг, нат, ограничения по сетям, IP, интерфейсам, ограничения по портам, ну и наверно все. Сразу скажу настройки не гибкие, проброса портов нет, но на какое-то время пойдет. У меня даже хранится идея, просто сохранить эти правила, снести арно и допилить их самому, но пока это тока мысли в слух.
А что бы посмотреть какие порты на каких интерфейсах слушаются то netstat -tapu

Был не совсем прав. arno-iptables-firewall умеет все, что умеет iptables, нужно только зайти в папу /etc/arno-iptables-firewall/ и станет ясно   http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/rolleyes.gif\' class=\'bbc_emoticon\' alt=\':rolleyes:\' />
Поправьте, если я ошибаюсь, буду тока рад.