vimaret
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KlimKlim
Цитата: Спасибо за столь глобальны подход к вопросу
Ситуация следующая:
1. Мы - промышленное предприятие (сеть > 300 ПК)
2. Соответственно клиенты - одна локальная сеть.
3. Считать трафик надо самим.
4. Необходимо наличие нормального шейпера.
5. Необходима возможность в режиме реального времени отслеживать активность пользователей (текущая скорость, какие ресурсы посещает).
6. Используется NAT + прозрачный прокси (то есть некоторые клиенты работают только через прокси, а некоторые и через NAT и через прокси).
7. Фильтровать трафик - необходимо! Имеются фильтры в TI > 19000 строк фильтров. Плюс необходимы фильтры по времени и портам. Например:
Фильтр А. Группе ОМТО разрешено пользоваться интернетом с 8:00 до 17:00 с понедельника по пятницу. Разрешённый порты: 80, 443, 8080. Ограничения 256 кбит/с. Работа через прокси.
Фильтр Б. Группам Дирекция и Админы разрешено пользоваться интернетом круглосуточно 7 дней в неделю. Без ограничений. Работа через прокси и NAT.
Фильтр В. Группа БРИС имеет доступ в интернет 7 дней в неделю, но с 9:00 до 12:00 и с 14:00 до 16:00 запрещён доступ на 80 порт. Остальное время без ограничений. Работа через прокси и NAT.
....групп больше 10, и у всех различные временные ограничения |
Понятно, ситуация проше, чем я предпологал. Я подаю на бизнес центр, где множество разных юрлиц. Поэтому вначале идет разделения на VLANы с подсчетом трафика и выставлением счетов провайдером, а вот уже у этих юрлиц свои локальные сети. Т.е. стоит два файервола на Керио Общий для всех (первый уровень), и второй уровень (у некоторых) -отделяющий локалку от первого и DMZ. У тех, кому я обслуживаю сети на втором уровне, как раз та схема, которая нужна вам. Локалка с включенным прокси, авторизацией фильтрацией и тд. В принципе самое сложное место, это авторизация пользователей. Но здесь на форуме уже много об этом писалось, найдете.
Самое трудоемкое остается реализовать логику фильтров. Хорошие советы использовать эксэл для преобразования текстовых файлов настроек вам уже дали. Я бы от себя порекомендовал не транслировать эти файлы в лоб, а подумать еще и об их оптимизации под керик. Вы сейчас потратите на это время, зато потом будет легче рулить. Суть оптимизации- разбить на какие-то группы по пользователям, по времени, по сервисам. Т.е. максимально использовать в консоле управления возможности разделов Defenition, Users & Group, Interfaces. Например, я у себя создал сервис Internet general, который объединяет список ТСР портов 21,989,990,80,443,5190,119,563,110,995,25. Тогда в правилах достаточно каждому пользователю давать по умолчению три сервиса: Any ICMP, DNS и Internet general. Кому-то надо запретить SMTP - ставлю запрещающее правило выше, нужно добавить банк клиент - ставлю дополнительное разрешающее правило и т.д.
Т.е. некоторое выделение общей для всех части позволяет улучшить читаемость правил, ну и соответсвенно легче рулить большое количество клиентов.
Я все-таки голосую не за скриптовый, а за ручной метод автоматизированный переносом настроек через текстовые файлы.
|
