https://ssl.opennet.dev/openforum/vsluhforumID1/90812.html День добрый, уважаемые специалисты! В нашей компании стоит win 2003 ent + isa 2004. По скольку продукты уже порядком в возрасте, передо мной поставили задачу собрать информацию о целесообразности перехода с данного программного продукта на ISA 2006 или ForeFront. У нас парк около 100 машин (2 офиса, связь по оптике).VPN подключения извне, домен с керберосом.Так же планируется предоставление доступа клиентов к одному из виртуальных серверов для демонстрации П.О.<br><br>Как я понял, с технической точки зрения для перехода на TMG нужно обновить с 2004 на 2006 и + обновить платформу до 2008 64bit. Самих по себе отличий между 2004 и 2006 очень мало, скорее 2006 это доработанный 2004 с парочкой фич типа "уменьшения размера логов" и "http компрессия".Как я вижу смысл грейдиться до 2006 есть только при планировании последующего апргейда до ForeFronta.<br><br>Судя по ценникам микрософта это все влетит в много ноликов, приблизительно 150-300к (win 2008 + TMG). С точки зрения дирекции одно дело выделять деньги под НОВЫЙ рабочие https://ssl.opennet.dev/openforum/vsluhforumID1/90812.html#9 Fri, 28 Jan 2011 11:20:53 GMT <br>&gt; Как я понял, Squid стабильно работает в связке с iptables или squidguard <br>&gt; в качестве фаервола, openvpn для vpn-доступа и SAMS в качестве веб.интерфейса. <br>&gt; так же на freebsd вариант с pfsence тоже на мой взгляд <br>&gt; подходящий, хотя досконально я еще не изучил.<br><br>squid - прокси сервер никакого отношения к фаерволу не имеет, смотрите iptables<br><br>&gt; Есть еще варианты, стоящие внимания?<br>&gt; У меня по Squid'у несколько вопросов: <br>&gt; 1.есть возможность squid3 подружить с керберосом?) <br>&gt; 2если в компании есть второй офис и там сейчас к примеру стоит <br>&gt; дочерний isa. можно ли сделать такой же дочерний сервер на squid3? <br><br>сиотрите sams+squid+NTML\LDAP, про дочерний сервер смотрите иерархию squid.<br><br>&gt; По возможности хотелось бы максимально упростить переход с продукта от МС и <br>&gt; от его составляющих типа firewall client, на которых завязаны многие рабочие <br>&gt; станции. Вобщем чтобы можно было перейти без сильных потерь и все <br>&gt; было максимально централизованно к серверу.<br>&gt; Если без них то необходимо будет ве https://ssl.opennet.dev/openforum/vsluhforumID1/90812.html#8 Thu, 27 Jan 2011 13:56:28 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; - работают <br>&gt;&gt;&gt; - не требуют для работы пользователей установки какого-нить софта на станции пользователей <br>&gt;&gt;&gt; Успехов!<br>&gt;&gt; Ну тут все относительно, как выпускать пользователей с терминального сервера с хитрым <br>&gt;&gt; трафиком который будет работать только через нат? Тут только ISA+клиент разрулит <br>&gt;&gt; иначе (или всех выпустишь или никого).<br>&gt;&gt; Но все решается. И сам я обхожусь хорошо и без Исы ).<br>&gt; вот кстати у нас удаленно сотрудники работают с тремя терминальными серверами. Траффик <br>&gt; и авторизацию при подключении к серверу как можно будет организовать?<br>&gt; подкиньте пару книг достойных по iptables) <br><br>http://www.opennet.ru/docs/RUS/iptables/<br>По подключению к серверу MS конечно продукты MS, сейчас выглядят привлекательно. И директ аксесс и форефронт.<br> Подключение можно организовать прямое, если подключаемый имеет белый адрес, тупо разрешив соединение по порту 3389 с определённого адреса и перебросив соединение на терминальный сервер. Конечно не безопасно.<br>Можно через vpn, ч https://ssl.opennet.dev/openforum/vsluhforumID1/90812.html#7 Thu, 27 Jan 2011 11:31:53 GMT &gt;[оверквотинг удален]<br>&gt; 1. Можно. Как - в поиск, на этом сайте это уже описывалось <br>&gt; не раз.<br>&gt; 2. Что понимается под дочерним сервером?<br>&gt; Что касается перехода - он оправдан. В отличие от неудачного продукта МS <br>&gt; под названием ISA, разобравшись с документацией вы удивитесь насколько проще делать <br>&gt; брендмауеры на базе OpenSource... Кроме того, эти решения обладают тремя особенностями: <br>&gt; - почти бесплатны <br>&gt; - работают <br>&gt; - не требуют для работы пользователей установки какого-нить софта на станции пользователей <br>&gt; Успехов!<br><br>благодарю за ответ.<br><br>У нас в данный момент два офиса.Они соединены оптикой между собой. Инет идет в первый офис, из него в проксю, дальше в коммутатор, далее по оптике во второй офис в коммутатор, оттуда в комп с ISA. Под дочерним сервером я подразумевал сервер с ISA во втором офисе, который выполняет в данный момент просто функцию фаервола)Было бы удобно чтобы он частично снял нагрузку с основного прокси-сервера, так же с него удобно было бы мониторить сеть агентами нагио https://ssl.opennet.dev/openforum/vsluhforumID1/90812.html#6 Thu, 27 Jan 2011 10:44:09 GMT &gt;[оверквотинг удален]<br>&gt;&gt; под названием ISA, разобравшись с документацией вы удивитесь насколько проще делать <br>&gt;&gt; брендмауеры на базе OpenSource... Кроме того, эти решения обладают тремя особенностями: <br>&gt;&gt; - почти бесплатны <br>&gt;&gt; - работают <br>&gt;&gt; - не требуют для работы пользователей установки какого-нить софта на станции пользователей <br>&gt;&gt; Успехов!<br>&gt; Ну тут все относительно, как выпускать пользователей с терминального сервера с хитрым <br>&gt; трафиком который будет работать только через нат? Тут только ISA+клиент разрулит <br>&gt; иначе (или всех выпустишь или никого).<br>&gt; Но все решается. И сам я обхожусь хорошо и без Исы ). <br><br>вот кстати у нас удаленно сотрудники работают с тремя терминальными серверами. Траффик и авторизацию при подключении к серверу как можно будет организовать?<br> <br>подкиньте пару книг достойных по iptables)<br><br> https://ssl.opennet.dev/openforum/vsluhforumID1/90812.html#5 Wed, 26 Jan 2011 14:56:51 GMT &gt;[оверквотинг удален]<br>&gt; 1. Можно. Как - в поиск, на этом сайте это уже описывалось <br>&gt; не раз.<br>&gt; 2. Что понимается под дочерним сервером?<br>&gt; Что касается перехода - он оправдан. В отличие от неудачного продукта МS <br>&gt; под названием ISA, разобравшись с документацией вы удивитесь насколько проще делать <br>&gt; брендмауеры на базе OpenSource... Кроме того, эти решения обладают тремя особенностями: <br>&gt; - почти бесплатны <br>&gt; - работают <br>&gt; - не требуют для работы пользователей установки какого-нить софта на станции пользователей <br>&gt; Успехов!<br><br>Ну тут все относительно, как выпускать пользователей с терминального сервера с хитрым трафиком который будет работать только через нат? Тут только ISA+клиент разрулит иначе (или всех выпустишь или никого).<br>Но все решается. И сам я обхожусь хорошо и без Исы ).<br><br> https://ssl.opennet.dev/openforum/vsluhforumID1/90812.html#4 Wed, 26 Jan 2011 14:49:00 GMT &gt;[оверквотинг удален]<br>&gt;&gt; PS <br>&gt;&gt; SquidGuard это ни разу не фаерволл.<br>&gt;&gt; PPS <br>&gt;&gt; На SAMS не стоит сильно рассчитывать, конфиги придется редактировать руками <br>&gt; спасибо за странный в какомто роде ответ.<br>&gt; по поводу связок squida с другими программмаи для получения желаемого функционала будут <br>&gt; какие нибудь комментарии?<br>&gt; да SquidGuard чтото не туда я пихнул) <br>&gt; З.Ы. наша компания как разраобтчик сертифицируется по мелкософту и если бы не <br>&gt; принудительное желание лицензироваться руководством я бы вообще ничего не трогал.<br><br>Squid прекрасно работает с AD, можно и эмулировать AD и обойтись вообще без AD. только как правильно замечено если все работает и уже за все заплачено зачем ?<br> https://ssl.opennet.dev/openforum/vsluhforumID1/90812.html#3 Wed, 26 Jan 2011 12:50:13 GMT &gt;[оверквотинг удален]<br>&gt; 2если в компании есть второй офис и там сейчас к примеру стоит <br>&gt; дочерний isa. можно ли сделать такой же дочерний сервер на squid3? <br>&gt; По возможности хотелось бы максимально упростить переход с продукта от МС и <br>&gt; от его составляющих типа firewall client, на которых завязаны многие рабочие <br>&gt; станции. Вобщем чтобы можно было перейти без сильных потерь и все <br>&gt; было максимально централизованно к серверу.<br>&gt; Если без них то необходимо будет везде вручную прописывать для каждой программы <br>&gt; настройки? или на уровне AD можно будет указать дефолтные настройки шлюза, <br>&gt; чтобы все запросы шли на него а там он уже спрашивал <br>&gt; "Who are u? o_O" <br><br>1. Можно. Как - в поиск, на этом сайте это уже описывалось не раз.<br>2. Что понимается под дочерним сервером?<br><br>Что касается перехода - он оправдан. В отличие от неудачного продукта МS под названием ISA, разобравшись с документацией вы удивитесь насколько проще делать брендмауеры на базе OpenSource... Кроме того, эти решения обладают тремя https://ssl.opennet.dev/openforum/vsluhforumID1/90812.html#2 Wed, 26 Jan 2011 11:27:12 GMT &gt;[оверквотинг удален]<br>&gt; и открутил его. И у него отвалилась задница. Так выпьем же <br>&gt; за то, чтобы никогда не искать приключений на свою задницу.<br>&gt; А если серьезно, то squid прекрасный продукт с массой достоинств. Недостатков у <br>&gt; него тоже хватает. Сквид давно дружит с керберосом, но подружить его <br>&gt; с доменом задачка не всегда тривиальная. Насчет дочерних прокси дело темное, <br>&gt; цепочки проксей на сквиде делать можно.<br>&gt; PS <br>&gt; SquidGuard это ни разу не фаерволл.<br>&gt; PPS <br>&gt; На SAMS не стоит сильно рассчитывать, конфиги придется редактировать руками <br><br>спасибо за странный в какомто роде ответ.<br><br>по поводу связок squida с другими программмаи для получения желаемого функционала будут какие нибудь комментарии?<br><br><br>да SquidGuard чтото не туда я пихнул)<br><br>З.Ы. наша компания как разраобтчик сертифицируется по мелкософту и если бы не принудительное желание лицензироваться руководством я бы вообще ничего не трогал. <br> https://ssl.opennet.dev/openforum/vsluhforumID1/90812.html#1 Wed, 26 Jan 2011 09:26:57 GMT У одного мужика с рождения в пупке был винтик. И он всю жизнь думал: "зачем мне винтик в пупке?". И однажды он взял и открутил его. И у него отвалилась задница. Так выпьем же за то, чтобы никогда не искать приключений на свою задницу.<br><br>А если серьезно, то squid прекрасный продукт с массой достоинств. Недостатков у него тоже хватает. Сквид давно дружит с керберосом, но подружить его с доменом задачка не всегда тривиальная. Насчет дочерних прокси дело темное, цепочки проксей на сквиде делать можно.<br><br>PS<br>SquidGuard это ни разу не фаерволл. <br>PPS <br>На SAMS не стоит сильно рассчитывать, конфиги придется редактировать руками <br>