Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Ideco UTM

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8

Открыть новую тему     Написать ответ в эту тему

s800



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ideco Internet Control Server
Айдеко — компания разработчик программного обеспечения
Системные требования: Подробнее...
 
 
Бесплатные версии https://ideco.ru/products/ics/free-edition
 
 
ВАРЕЗНИК  
 
 
 

Всего записей: 1684 | Зарегистр. 21-02-2005 | Отправлено: 07:02 11-07-2008 | Исправлено: dib, 08:11 19-02-2021
DIoriev

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pptp - проблема в том, что компьютеры из локальной сети после стадии проверки пароля подключаются ко внешним VPN серверам через раз.
Входящие VPN на этот сервер снаружи вываливается в ошибку связи PPTP (также после стадии проверки пароля)
 
Необходимо не создавая пользователей, просто выпустить подсеть в интернет. Как быть с серверами, если им нужен интернет, на каждый сервер заводить пользователя?
 
 
 
Добавлено:
И как быть с мобильными пользователями, которым нужен интернет в локальной сети без всякой авторизации, а из внешней сети им нужен VPN для доступа к локальной сети?
 
Речь идет о версии 2.5.
 
Добавлено:
Добавил правило в firewall, всех из локальной сетки пускать через NAT. Теперь не могу понять как настроить DNS, т.к. связь работает только по IP адресам.  
 
Есть ли что-нибудь типа DNS-proxy?
 
Добавлено:
Можно ли в файерволе одновременно делать NAT и source и destination?

Всего записей: 181 | Зарегистр. 26-04-2007 | Отправлено: 16:33 03-04-2009
dib



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
подключаются ко внешним VPN серверам через раз.  

Нужно смотреть что в логах, я с таким поведением Ideco не сталкивался. Триал уже как-то продляли? Может с этим связано.
 

Цитата:
 
Необходимо не создавая пользователей, просто выпустить подсеть в интернет.

 
Это невозможно, только по-пользователям. Такова идеалогия продукта, т.к. это биллинг - нужно чтобы за каждый байтик интернета был конкретный ответственный.
 

Цитата:
Как быть с серверами, если им нужен интернет, на каждый сервер заводить пользователя?  

Да, заводить.

Цитата:
 
Есть ли что-нибудь типа DNS-proxy?  

Есть кеширующий DNS-сервер.

Цитата:
 
И как быть с мобильными пользователями, которым нужен интернет в локальной сети без всякой авторизации, а из внешней сети им нужен VPN для доступа к локальной сети?  

Все просто - сделать авторизацию ip+mac для них. Включить в лок. консоли прокси ARP, а у пользователей - галочку "разрешить удаленный доступ из Интернет". Тогда при подключении по VPN из вне они будут полноценно присутствовать во внутренней сети, даже со своими IP.

----------
http://partizan-l.livejournal.com/

Всего записей: 700 | Зарегистр. 24-12-2003 | Отправлено: 07:06 06-04-2009
margaritam

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
japastavil ics 2.5.9 vse vroe narmalno rabotaet. no vremja ot vremeni i-net u polzovatelei nagluxo zameraet, posle disconnect-connect vse snovo rabotaet, inagda i eto ne pomagaet,  
 

Всего записей: 2 | Зарегистр. 14-12-2008 | Отправлено: 14:21 06-04-2009
DIoriev

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Цитата:
 
Необходимо не создавая пользователей, просто выпустить подсеть в интернет.
 
 
Это невозможно, только по-пользователям. Такова идеалогия продукта, т.к. это биллинг - нужно чтобы за каждый байтик интернета был конкретный ответственный.  

 
Насколько я понял у IDECO есть отдельная система, специально заточенная для билинга, но данная система не позиционируется как только биллинг. Как вариант сделал пул для тупого NAT.
 
Как работает proxy-сервер, просто кэширует и все? Есть ли возможность контентного доступа, возможно ли ограничить сайты по маске?
 
Как максимально обезопасить пользователя в локальной сети от "внутренних угроз" (имеется в ввиду от возможности подмены MAC или IP адреса)? Как быть если надо разрешить доступ пользователей только к определенным сайтам?
 
Как сделать переадрисацию входящего траффика в зависимости от сервиса, скажем порт 3389 идет на один внутренний IP, а 4389 на другой?

Всего записей: 181 | Зарегистр. 26-04-2007 | Отправлено: 14:37 06-04-2009 | Исправлено: DIoriev, 18:52 06-04-2009
dib



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
vremja ot vremeni i-net u polzovatelei nagluxo zameraet

 
 
Нужно смотреть в логах (ALL), скорее всего там есть строки с psd_drop или virus_drop, первое означает что используется p2p (или Skype), второе что работают вирусы
Это из-за того что включено (можно отключить в лок. консоли) ограничение на кол-во сессий от клиента и от сети. Можно увеличить там кол-во сессий (по-умолчанию 150, для p2p лучше увеличить в 10 раз).
 

Цитата:
Как работает proxy-сервер, просто кэширует и все? Есть ли возможность контентного доступа, возможно ли ограничить сайты по маске?  

 
В Ideco 3.0 есть встроенный контент-фильтр с автоматически обновляемыми правилами (14 категорий). Можно добавлять и свои запрещенные сайты или маски.
В 2.5 можно ограничивать с помощью файервола (он по-словам тоже фильтрует). Но большой список слов в файерволе вызовет огромную загрузку процессора.
Я делал проще - отключал авто-конфигурирования squid-а, и делал acl-списки запретных сайтов (кстати, могу поделиться - баннеры, порно (его постоянно обновляю), знакомства-соц. сети). Впрочем, с переходом на версию 3.0 актуальность это потеряло - там списки на порядок больше.
 

Цитата:
Как максимально обезопасить пользователя в локальной сети от "внутренних угроз" (имеется в ввиду от возможности подмены MAC или IP адреса)? Как быть если надо разрешить доступ пользователей только к определенным сайтам?  

 
От подмены ip+mac-а обезапасить может только сетевое оборудования с возможностью привязки мака к определенному порту. Но есть же др. способы авторизации: ip+agent или ip+авторизация через веб, VPN (это еще и от сниферов поможет).
 

Цитата:
 
Как сделать переадрисацию входящего траффика в зависимости от сервиса, скажем порт 3389 идет на один внутренний IP, а 4389 на другой?  

по-аналогии, как это здесь рассказано.
http://forum.ru-board.com/topic.cgi?forum=8&topic=21822#lt
просто создаешь столько правил переадресации сколько нужно, каждое для своего порта.

----------
http://partizan-l.livejournal.com/

Всего записей: 700 | Зарегистр. 24-12-2003 | Отправлено: 07:42 07-04-2009
DIoriev

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А 3 (третью) версию кто-нибудь пробовал уже в живую? Не хочется опять превращать рабочую сетку в полигон для испытаний.
 
И у меня ни как не получается авторизоваться по VPN, используя аутентификацию Windows AD. Пользователи добавились, но на проверке пароля - вылетает. Сейчас думаю нужно ли включать домен входа при настройке VPN подключения?

Всего записей: 181 | Зарегистр. 26-04-2007 | Отправлено: 12:51 07-04-2009
axelmib



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Цитата:подключаются ко внешним VPN серверам через раз.  

 
Я с описанной проблемой на Ideco сталкваюсь причем весьма часто.
Варианты:
1. Не хватает канала
2. Провайер, который выпускает - режет GRE.
3. Не стабильно работает пропуск GRE пакетов на самой Ideco.
 
Как вариант попробуй перезагрузить в режиме pptp (при старте системы).
 
DIoriev

Цитата:
2. Каким образом можно предоставить доступ нескольким компьютерам без какой-либо авторизации (скажем у меня открытая точка доступа WiFi и выдавать каждому логин и пароль не удобно)  

 
Точка должна раздавать, эта функция практически во всех есть, а пользователь будет один для Ideco - сама точка без разницы с каким типом авторизации будет подключаться к Ideco. И соответственно железяка должна быть настроена именно как "точка доступа", а не ретранслятор\мост. Если ретранслятор\мост (а именно так у вас и есть если вы на идеко через нее попадаете) - вы и будете получать прямой канал до Ideco со всеми вытекающими обстоятельствами - запроса авторизации при подключени к интернету.
 
Если по простому: ТОЧКА в Вашем случае - считайте простой "свич", а тупые свичи инет давать не умеют. За свичем всегда должно что-то быть. роутер, маршрутизатор, сервер с этими функциями - хрень которая авторизует.
Если железка настроена как "точка доступа" - она и будет этим раздавальщиком инета для других. Сама же будет инет брать с идеки как единственный пользователь. Тупо и банально просто.
 
Если ретранслятор/мост все же необходим, то вариантов 2:
1. Ставить еще одну точку
2. Колдовать с DHCP на идеко - как вариант. Создать группу с N кол.-вом пользователей которых хотите выпустить, авторизацию поставить по IP+Mac (Mac не определять и не указывать), в DHCP выставить все настройки какие должны клиенты получать при подключении соответственно в группе которую создали. Но в этом случае у вас будет лишняя нагрузка на сервак. Единственный плюс - контроль каждого соединения.
 
Вобщем все зависит от ваших рук. А вообще, сначала немного теорию надо изучить как, что и для чего работает в сети...

Всего записей: 147 | Зарегистр. 27-11-2003 | Отправлено: 15:30 13-04-2009 | Исправлено: axelmib, 15:50 13-04-2009
DIoriev

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Я с описанной проблемой на Ideco сталкваюсь причем весьма часто.
Варианты:
1. Не хватает канала
2. Провайер, который выпускает - режет GRE.
3. Не стабильно работает пропуск GRE пакетов на самой Ideco.  

 
У меня сомнения толь в Ideco, т.к. для этих целей раньше использовал подобный шлюз от Astaro (astaro.com) и таких проблем вообще ни разу не было.
 

Цитата:
Вобщем все зависит от ваших рук. А вообще, сначала немного теорию надо изучить как, что и для чего работает в сети...

 
Это само-собой, но я еще раз повторяю, что сейчас занимаюсь поиском альтернативы шлюзам, которые использую в настоящее время (по ряду объективных причин). Ideco - первый шлюз который попался мне под руки. Радует цена и возможность подключения к провайдеру по VPN, но очень не хочется отказываться от тех функций, которые использую.  
 
Самой важной осталась задача - как всем пользователям сети (которые есть в базе и которых нет) дать доступ к нескольким внешним ресурсам.

Всего записей: 181 | Зарегистр. 26-04-2007 | Отправлено: 17:47 13-04-2009
axelmib



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DIoriev

Цитата:
У меня сомнения толь в Ideco, т.к. для этих целей раньше использовал подобный шлюз от Astaro (astaro.com) и таких проблем вообще ни разу не было.  

Никто не говорит, что это не из-за Ideco. Как вариант - проверить 3 способ и попробывать обновиться до последних версий (на счет 3 ничего сказать не могу, не использую).  

Цитата:
Самой важной осталась задача - как всем пользователям сети (которые есть в базе и которых нет) дать доступ к нескольким внешним ресурсам.

Которые есть в базе это не проблема, а вот которых нет.... Можете поставить как вариант для тех, которых не хотите заводить в базу, любой роутер. Идека нарисована как биллинг, а не просто "раздавальщик инета" и соответственно ничего не должно пропасть. А в случае если "просто дать" и ничего вообще не контролировать, то идека нафиг не нужна.
 
Вы напишите каких именно пользователей вам надо зацепить. Чем они физически попадают в сеть - Ethernet, Wi-Fi или еще как-то.

Всего записей: 147 | Зарегистр. 27-11-2003 | Отправлено: 08:27 14-04-2009
ramms1

Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Ребят всемдоброго времени суток!
Опишу в кратце по поводу идеки
У меня локальная сеть на 60 юзеров(кол-во пользователей постоянно увеличивается), стоит идеко 2.5.8 817к(вроде такая) лицензия сгенерирована кейгеном, идека работает как часики уже более 1 года, настроил заточил под себя, вроде проблем нет
Но переодически стал замечать что загрузка ЦП достгает пиковый значений от 80-100%
Это соответственно меня будоражет, поставил идеку 3.0 для тестирования, ну пока юзал вроде понравилась больше чем предыдущая, вот хотелось бы ее протетировать уже с кейгеном
тогда бы и посмотрели?! А вообще пишут хоть на 3 кейген?

Всего записей: 10 | Зарегистр. 26-02-2009 | Отправлено: 15:45 16-04-2009
filyaxxxcom

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
 А вообще пишут хоть на 3 кейген?

Такие вещи обсуждаются только тут
http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=28656&start=1820

Всего записей: 122 | Зарегистр. 16-02-2003 | Отправлено: 19:25 16-04-2009
Yseff86

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго времечка!
 
Поставил на тест идеко 2.5.9
есть несколько проблем:
1. При работе через ICS Manager постоянно выкидывает ошибку про устаревшую демо-версию. в пункте "пользователи" не разворачиваются группы и не создаются новые.
2. локалку в и-нет сервак не пропускает ни в какую даже меня(использую ICS Manager и авторизация админа через VPN, никак не активировал еще. триал кароче)

Всего записей: 11 | Зарегистр. 04-03-2007 | Отправлено: 02:56 18-04-2009
dib



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
 
Поставил на тест идеко 2.5.9  

Какой билд?

----------
http://partizan-l.livejournal.com/

Всего записей: 700 | Зарегистр. 24-12-2003 | Отправлено: 07:54 20-04-2009
MegaLinker

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Доброго времечка!  
Поставил на тест идеко 2.5.9  
есть несколько проблем:  
1. При работе через ICS Manager постоянно выкидывает ошибку про устаревшую демо-версию. в пункте "пользователи" не разворачиваются группы и не создаются новые.  
2. локалку в и-нет сервак не пропускает ни в какую даже меня(использую ICS Manager и авторизация админа через VPN, никак не активировал еще. триал кароче)

То же самое происходит, но версия 2.5.8 (817k). Из Винды всё вычистил, а всё-равно тоже самое. Пока ничем не вылечил.

Всего записей: 4 | Зарегистр. 23-01-2009 | Отправлено: 12:38 27-04-2009
Yseff86

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Поставил на тест идеко 2.5.9  
 
 
Какой билд?

 
 
821 билд, хотя я понимаю что тут дело не в билде(((

Всего записей: 11 | Зарегистр. 04-03-2007 | Отправлено: 11:28 02-05-2009
kaf127

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А как работает 2.5.9 (build 826g)
с DVB картой  ST-4200 не пробывал никто?

Всего записей: 6 | Зарегистр. 12-08-2006 | Отправлено: 11:43 09-05-2009
mrBaTlt



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
чего то офф сайт не пашет 3.0.2 114 билд появился..

Всего записей: 149 | Зарегистр. 14-12-2005 | Отправлено: 21:47 17-05-2009
dib



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
чего то офф сайт не пашет 3.0.2 114 билд появился..

Уже пашет, и более того, появилась версия 3.1.0
 
В данную бета версию входят все изменения Ideco ICS 3.0.2, а так же:
 
* Добавлены Антивирус Касперского для проверки веб и почтового трафика
* Добавлен Антиспам Касперского
* Веб-интерфейс: реструктуризация, создание модуля Безопасность
* Веб-интерфейс: добавлены карты оплаты
* Веб-интерфейс: повышение удобства использования
 
Антиспам Касперского нужно будет посмотреть внимательней Др.Веб иногда случается пропускает спам пачками.

----------
http://partizan-l.livejournal.com/

Всего записей: 700 | Зарегистр. 24-12-2003 | Отправлено: 10:24 18-05-2009
dib



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
А 3 (третью) версию кто-нибудь пробовал уже в живую? Не хочется опять превращать рабочую сетку в полигон для испытаний.  

Использую уже месяц, с 3.0.1 до 3.1.
Поначалу не понравилась ощутимо медленная работа веб-интерфейса. Но в версии 3.1 его видимо окончательно доработали, и необходимость в ICS Manager-е теперь практически не возникает, все действительно удобно отовсюду делать через веб. Удобно стало, что можно там-же перезапускать отдельные сервисы. Правда допустим прокси перезапускается похоже полным стопом-стартом, а не reconfigure, поэтому не быстро.
 
Очень понравился контент-фильтр, ради него собственно и делал обновление. Реально сокращает расходы на трафик (порядка 20% за месяц вышло, на 120 пользователях). И практически полностью решает проблему с порно (до этого у меня был собственный список блокированных сайтов, приходилось его часто вручную обновлять, и все равно некоторые находили новые сайты, сейчас же заблокировано ~202000 порно-сайтов, редко кто находит что-то еще).
Также с 3.1 нагрузка на процессор сервера упала, с 30-40% при обычной работе, до 10-20%, видимо оптимизировали шейперы в файерволе (они у меня активно юзаются).
 
Остальные функции, авторизация, dns, и прочие работают как и раньше в 2.5, так что их и не замечаешь. Вроде бы быстрее стал переключать на резервный канал, но может показалось.

----------
http://partizan-l.livejournal.com/

Всего записей: 700 | Зарегистр. 24-12-2003 | Отправлено: 14:16 02-06-2009 | Исправлено: dib, 14:19 02-06-2009
dib



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Появилась бесплатная версия Ideco ICS 3.0 для домашнего использования (на 5 подключений):
http://www.ideco-software.ru/products/free_home_edition.aspx?l=126
Веб, DNS, фтп-сервер, прокси (с фильтрами, которыми можно детям порнуху закрыть и баннеры), почтовый сервер (если кому-то охота делать дома собственный) - в принципе неплохо получается, особенно для обучения основам nix.

----------
http://partizan-l.livejournal.com/

Всего записей: 700 | Зарегистр. 24-12-2003 | Отправлено: 08:50 05-06-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8

Компьютерный форум Ru.Board » Компьютеры » Программы » Ideco UTM


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru