Server Admin Авторский блог системного администратора
Сегодня хочу рассказать о необычном продукте росскийской разработки - интернет шлюзе ИКС. Ранее мне не приходилось о нем ничего слышать, тем более пробовать в деле, но после тестов могу сказать, что решение мне в целом понравилось. Это платный продукт c freebsd под капотом, но все управление только через web-интерфейс. В консоль лазить не надо.
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
Цели статьи
- Рассказать об интернет-шлюзе, который позиционирует себя как коробочное решение для настройки безопасного шлюза с ограничением доступа к ресурсам интернета, контентной фильтрацией в том числе https трафика с подменой сертификата.
- Настроить фильтрацию https трафика в том числе по содержимому web страниц.
- Потестировать остальной функционал продукта - voip, почтовый, файловый, jabber сервер.
- Поделиться своим мнением о шлюзе.
Введение
Эта статья заказная. Ко мне обратились авторы продукта и предложили оценить его и написать по нему статью. Требований никаких не предъявляли. С сайта скачивается полнофункциональный триал на 35 дней. Я посмотрел описание, меня заинтересовал функционал, поэтому я согласился. У меня есть пара очень старых статей, которые описывают заявленный в ИКС функционал, но делают это не очень хорошо, поэтому под статьями десятки комментариев. Функционал востребованный, статьи популярны, с множеством комментариев и вопросов. Вот эти статьи:
Мне показалось, что готовое коробочное решение, которое решает схожие задачи, будет полезно и интересно. Забегая вперед скажу, что это так и есть. Продукт в целом мне понравился, сделан добротно. Заявленный функционал работает нормально.
Для прокси серверов сейчас практически нет альтернатив, везде используют squid. К нему колхозят всякие авторизации, статистики, отчеты и т.д. Получается всегда так себе. Обслуживать неудобно. Я сам лично использовал шлюзы на базе описанного sams + squid с авторизацией по ip. Так же настраивал squid на работу в AD с доступом к ресурсам по группам домена. Работало вполне нормально, но не очень удобно.
Со временем перестал работать с этими продуктами, потому что мне надоело обслуживать все это. Надоели наколенные поделки. Готовые платные шлюзы сам не использовал никогда, потому что заказчики чаще всего не хотят платить за то, что можно настроить бесплатно, а я не любил это настраивать. В итоге просто исключил этот сегмент из своей сферы деятельности.
Что такое Интернет Контроль Сервер (ИКС)
Переходим теперь к ИКС. Сами разработчики позиционируют свой продукт как безопасный интернет-шлюз в связи с тем, что он соответствует требованиям ФСТЭК России. В чем именно состоят эти требования и насколько это влияет на безопасность я судить не берусь, потому что с сертификацией не знаком вообще.
Тем не менее, с безопасностью, по идее, проблем быть не должно, потому что под капотом этого решения стандартные проверенные временем инструменты. В основе операционная система Freebsd, которую традиционно любят использовать в сборках под шлюзы. Например, самый популярный шлюз с веб интерфейсом - pfsense использует freebsd.
В качестве firewall используется традиционные для bsd систем ipfw и pf, в качестве прокси все тот же squid, в качестве телефонии asterisk, файлового сервера samba и т.д. То есть все стандартное, но завернутое в единый web интерфейс. Мне сам интерфейс понравился. Выглядит современно, красиво, работает шустро. В процессе настройки у меня к нему претензий не было.
Среди преимуществ разработчики выделяют следующее:
- Отечественная разработка, зарегистрированная в едином реестре российских программ для ЭВМ и БД. Соответствует ФЗ №188 и статье 14 ФЗ №44. Может использоваться в бюджетных учреждениях и коммерческих организациях любого уровня.
- Объединение в одном продукте практически всех служб, которые требуются для функционирования современной локальной сети - шлюз, почта, телефония, файловый сервер, чат.
- Простая и интуитивная (тут у меня есть сомнения) настройка, с которой справится любой эникей.
- Льготные цены для учебных заведений и библиотек.
После изучения функционала, просмотра цен и тестирования, я понял, в какую нишу в основном метят разработчики - бюджетные учреждения, в том числе школы. Смысл в том, что сейчас все больше и больше всяких законодательных требований к контролю за интернетом и трафиком. Бюджетные учреждения обязаны как-то заниматься этим вопросом, а не пускать его на самотек и доверять своим админам, которые, как известно, не очень, из-за низких зарплат бюджетников.
В целом, продукт отвечает на поставленные вопросы. Он действительно прост в управлении и имеет под капотом все необходимые инструменты для выполнения требований закона по контролю за интернет активностью. Он автоматом обновляет списки Минюста и Госнаркоконтроля и ограничивает доступ в интернет в соответствии с этими списками.
Когда я изучал сайт и читал описание, думал, что это очередная поделка с лейблом "отечественное", созданное под распил бюджетных денег. Когда уже потестировал, могу сказать, что продукт в целом качественный и решает вопросы не только бюджетников, но и коммерческих организаций. Я бы такой купил и поставил в организацию. Думаю, после описания возможностей и демонстрации отчетов, вам тоже его захочется. Это я для тех, кто настраивал отчеты сквида в Sams или LightSquid и им подобным панелям. В ИКС все гораздо удобнее и нагляднее.
Ну и помимо собственно функционала прокси-сервера с анализом трафика там есть мультиван, объединение сетей, отказоустойчивость на основе CARP и многое другое. То есть продукт вполне функциональный с претензией на enterprise.
Некоторые полезные ссылки:
- Описание и основные преимущества
- Видеоуроки и прошедшие вебинары
- Документация в wiki и pdf
- Загрузка (данные можно казать любые, проверки нет) и стоимость.
О ценах судить не берусь. У каждого свои представления. Если все настраивать самостоятельно, то нужен будет админ с зарплатой каждый месяц выше, чем единоразовая покупка, скажем, на 100 пользователей. Сужу по зарплатам в Москве. Этим же шлюзом сможет управлять любой эникей, посмотрев обучающие ролики и обратившись в тех поддержку.
Установка российского интернет-шлюза ИКС
С установкой российского интернет-шлюза ИКС никаких сложностей нет. Инсталлятор очень простой с минимумом настроек, плюс на русском языке. Поставить сможет практически любой и не возникнет вопросов, а как разбить диск на разделы, сколько выделить под /var, /home и т.д. :)
Системные требования тоже очень скромные. На сайте они указаны, но понятно, что это все очень условно. Внутри неприхотливая freebsd, которая в качестве шлюза требует очень скромных ресурсов. А вот если вы развернетесь на полную с установкой почтового и файлового сервера, то ресурсов потребуется уже побольше. Для простого шлюза начать можно с 1 ядра и 2 Гб памяти. Если есть возможность, я бы начал с 2 ядра, 4 гига оперативы. Диск подбирать по потребностям, начиная 50 Гб. Я буду ставить на виртуальную машину KVM.
Установщик нас встречает выбором языка.
Дальше принимаете лицензионное соглашение и переходите к настройке сети.
Выбрать нужно интерфейс, который будет смотреть в локалку. Указываем ему ip адрес, маску и имя сервера. Я все выбрал дефолтное - 192.168.0.1/24.
Дальше выбираем диск, часовой пояс и начинается установка. Не буду на этом задерживаться, там нечего выбирать, все оставляем дефолтное. После завершения установки извлекаем установочный диск и перезагружаем сервер.
После загрузки сервера видим информацию для подключения к web интерфейсу. Учетная запись root и пароль 00000 (пять нулей).
У меня иногда почему-то сразу же загружалась консоль восстановления, через которую можно так же управлять сервером. Если что, ее дефолтный пароль recovery. Эта инфа есть в документации, но я не сразу понял, что это вообще такое и какой нужен пароль.
Теперь можно отправляться по адресу https://192.168.0.1:81 и начинать настройку безопасного интернет шлюза.
Настройка доступа в интернет
В принципе, шлюз уже сейчас практически готов к работе. Нам нужно только выполнить начальную настройку сетевых адаптеров. Для этого идем в раздел Сеть -> Мастер настройки сети. Указываем параметры для WAN и LAN интерфейсов и применяем их. Рекомендую осмысленно называть интерфейсы. По именам потом проще будет оперировать в настройке firewall.
У меня получилось примерно так. Теперь нам нужно создать пользователя, на котором будем тренироваться. Если я правильно понял подход к организации доступа в интернет, то он выдается только тем, кому разрешено. То есть по умолчанию, сейчас шлюз в интернет никого не пускает. Добавим нового пользователя и назначим ему IP адрес.
Идем в раздел Пользователи и Статистика -> Пользователи и добавляем нового пользователя. В настройках пользователя на вкладке IP/MAC-адреса указываем ip адрес этого пользователя.
Теперь идем на компьютер пользователя и прописываем ему адрес прокси сервера. В данном случае 192.168.0.1 и порт 3128. После этого у пользователя появится доступ в интернет. Концепция такая, что неконтролируемого доступа в сеть нет ни у кого. Разрешено только тому, кого вы сами добавите и разрешите доступ.
По пользователю доступна полная статистка в удобном виде. Ее можно посмотреть как в разрезе самого пользователя, так и в целом по системе. Вот пример статистики пользователя.
А вот системный отчет по всем пользователям.
Если пользователю нужно отдельно открывать что-то еще, кроме http, то можно добавить правила фаервола либо конкретно пользователю, либо всей группе, в которой он состоит. Удобный подход, причем делается это все через веб интерфейс с наглядной визуализацией.
С простым доступом в интернет закончили. Переходим к более интересным штукам, таким как ограничение доступа.
Фильтрация HTTPS трафика в интернет-шлюзе ИКС
Рассмотрим теперь ситуацию, когда нам нужно запретить пользователю или группе пользователей доступ к какому-то сайту. Пусть это будет mail.ru. Идем в настройки правил пользователя и добавляем Запрещающее правило прокси.
Идем к пользователю и проверяем. Если сайт открыть по http, то будет видно запрещающее сообщение. Если сайт https, то никакого сообщения не будет, он просто не откроется.
Пользователей можно объединять в группы и настраивать запреты по группам. Помимо ограничений по адресам сайтов, можно настроить и другие правила запретов и разрешений.
Давайте теперь включим контентный фильтр и настроим ограничения доступа на основе содержимого https страниц. Фильтровать можно будет как по готовым спискам от госорганов, так и создавать свои. Для этого нам надо включить Контент-фильтр в разделе Защита.
Далее нужно создать сертификат, который будет использоваться для MITM. То есть нам надо этот сертификат поместить на прокси сервер и в доверенные сертификаты клиента. Только в таком случае возможно анализировать и разбирать https трафик. Других способов нет. Создаем сертификат в разделе Защита -> Сертификаты.
Теперь указываем прокси серверу использовать этот сертификат. Идем в раздел Сеть -> Прокси -> Настройки.
Делаем экспорт этого сертификата и передаем его на компьютер клиента.
На компьютере клиента устанавливаем этот сертификат в хранилище Доверенные корневые центры сертификации.
Теперь нам можно создать свой список в Контент-фильтре. Я назвал его Мой список и добавил туда слово google, которое фильтр будет искать в содержимом страницы.
Добавляем пользователю правило Сканировать трафик с помощью контент-фильтра.
Теперь идем на компьютер пользователя и пробуем открыть сайт google.com, где на странице точно встречается слово google.
Если на каком-то сайте будет встречаться слово google, открываться он не будет. Можно убедиться, что MITM работает, проверив сертификат любого https сайта. Там будет стоять метка нашего CA.
Если браузер использует не системное хранилище сертификатов, а свое, например Firefox, то сертификат нужно добавить отдельно в браузер через его настройки.
Таким образом фильтруется https трафик. С помощью подмены сертификата можно смотреть подробную статистику по всем посещенным страницам пользователя. Срабатывание контент-фильтра логируется.
Отчеты по трафику
Отдельно хочу показать вам отчеты, которые рисует ИКС шлюз. Мне они очень понравились. Сами по себе информативны, плюс возможность гибких настроек. Я такого нигде больше не видел. Вот несколько примеров.
И так далее. Отчеты реально удобные и наглядные. Можно строить свои через конструктор. Работает экспорт.
Что еще умеет интернет шлюз ИКС
Функционал этого шлюза огромен. Куча всяких модулей, списков доступа и т.д. Половина из этого платное с отдельной подпиской. Я все не проверял, так как надо тестовый доступ запрашивать, да и долго все проверять.
Из того, что я проверил и это работало - файловый сервер и почтовый сервер. Под капотом файлового сервера samba. Я просто расшарил папку и настроил в ней доступ по пользователям. Авторизация была по паролю. Работает просто и надежно.
Попробовал почтовый сервер. Что там внутри не проверял, думаю, что postfix. Функционал понравился. Сразу интегрировано несколько spam фильтров, как платный от Kaspersky (он хорошо, я его много где использую и всегда рекомендую), так и бесплатные. В принципе, для настройки почтового сервера в нем не обязательно разбираться, все настраивается через web интерфейс. Сравните это с ручной настройкой примерно такого же функционала.
Jabber и сервер телефонии не пробовал настраивать. Судя по тому, что все предыдущее работало без плясок с бубном, подозреваю, что и это будет работать.
У сервера встроенный простенький мониторинг.
Я забыл упомянуть, что в качестве файловой системы используется zfs со всеми ее фишками - софтовый рейд, снепшоты и т.д.
Сервер умеет слать уведомления на почту, в ICQ и Jabber. Не хватает тут Telegram. Я лично не знаю людей, которые пользуются ICQ в наше время.
Данный шлюз может выступать в качестве web и ftp сервера. Просто невероятный комбайн :) Я такого еще не видел. Ах да, забыл сказать про VPN. Он умеет PPTP и OpenVPN. Я не тестировал, но не думаю, что там могут быть проблемы. OpenVPN все интернет шлюзы умеют настраивать.
Еще забыл сказать, что он интегрируется с AD. Может брать пользователей оттуда.
Заключение
Я потратил целый день на исследование и настройку сертифицированного интернет шлюза ИКС от российских разработчиков. И он мне понравился. В голове даже план созрел, как это все можно отладить, настроить, проработать стратегию внедрения и ставить в госы или малые и средние компании.
Взять два бюджетных сервера или простых компьютера. Настроить отказоустойчивость с помощью CARP, чтобы не потерять связь при выходе одного из строя, и внедрять в организации. У разработчиков есть готовые видеоролики по управлению и неплохая документация. Соответственно, надо внедрить и обучить местный персонал. Реально этот шлюз покрывает большинство потребностей малого и среднего бизнеса по ИТ инфраструктуре.
А уж тем, кому нужно соблюдать требования закона в плане ограничения доступа к информации в интернете это может стать настоящей находкой и простым способом закрытия вопроса за вполне приемлемую цену. Так что берите на вооружение, кому интересно, и внедряйте. Сам я уже давно этим не занимаюсь.
Я тестировал множество различных комбайнов с web панелями в свое время, когда занимался обслуживанием офисов. Идея была внедрить и оставить на обслуживание местным специалистам. Нужно было максимально простое и стабильное решение. В бесплатных сборках функционала, подобного ИКС, нет нигде, это точно. С платными я не знаком вообще, не тестировал ни один. Наверняка есть какие-то аналоги. Интересно было бы сравнить.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном онлайн-курcе по администрированию MikroTik. Автор курcа – сертифицированный тренер MikroTik Дмитрий Скоромнов. Более 40 лабораторных работ по которым дается обратная связь. В три раза больше информации, чем в MTCNA.
О да покупали мы этот продукт!
Когда тестировали на 10 пользователей все просто летало! На 10 пользователей проблем не было все работало хорошо, но когда после тестов перешли на нашу рабочую сетку вот тогда поперли проблемы, тех поддержка особо не помогла, хотя они молодцы отвечали быстро.
Возможно я все разворачивал на виртуалке, может поэтому работало плохо. Фиг знает, хотя сервак где работал икс,принципе нормальный.
Так же поднимал еще Sophos UTM 9 который, лицензия на 3 года и тоже все было на виртуалке с такими же характеристиками 100Vlan на 200 пользователей. Тоже все отлично работало, нечего не выкидывало.
Ну в итоге подумали и перешли на микротик. Он постабильнее.
Сейчас у меня микротик + Drweb Enterprise Security Suite.
Может конечно они, что нибудь сделали и улучшили софт.
Он так с виду красивый и все работает, но на практике под нагрузкой со 100 vlan и 200 пользователей. Приоритеты трафика почему то не работали,
с терминалов постоянно выкидывало
Он просто не смог держать нашу сетку, в итоге плюнули и все сделали на микротике. С точно такими же сетевыми характеристиками 100 Vlan и 200 пользователей полет нормальный!
А вообще мне икс с начала тоже очень понравился. Настраивать действительно удобно и инструкции у них хорошие. VPN очень много вариантов хочешь openvpn хочешь WireGuard- настраивается все легко соединял несколько офисов.
А в чём конкретно проблемы были? Какая-то служба падала и не держала нагрузку? Там под капотом Freebsd. Для неё 100 vlan и 200 пользователей не видятся большой проблемой. Хотя, конечно, всё от суммарного трафика зависит. Именно трафик даёт нагрузку, а не пользователи.
Пользуемся ИКС с 6-ой версии - очень своеобразно себя иногда ведет. Например, после обновления в пределах версии 9.0-9.2 периодически отваливался DNS, что решалось удалением и повторным добавлением адреса DNS в настройках провайдера или DNS-сервера.
Посмотрел комментарии.
Жесть!
Неужели не осталось людей которые могут работать с FreeBSD напрямую, без подобных оберток.
Если уж вам нужны админы чтобы настроить через веб-морду, то лучше взять чела который может без вебморды.
Человек, который сможет всё это настраивать и поддерживать без веб интерфейса, будет требовать зарплату в 2 раза больше чем тот, кто будет всё делать через веб интерфейс.
Люди есть.
Но есть задачи, которые надо менять на лету "срочно до вчера". При кухне в 150 машин на разношерстных ОС, один админ за минималку как то не очень есть желание что либо настраивать ручками да еще и по ночам в выходные.
Просто Вы не в курсе что творится в бюджетных организациях? Полный абзац.
Например: требуют ставить отечественную ОС, а то что куча отечественного спец ПО исключительно под форточку ни кого не интересует. Требуют отечественное железо и то что оно из китайских компонентов и собрано там в же Китае тоже всем пофиг. Главное наклейка "Made in USSR".
Так что при всех недостатках ICS он просто спасение для многих админов.
Нормальная вещь. Если использовать по основному назначению. Назначение в названии. Никакие базы туда совать не надо.
Две штуки работают много лет. Лицензия ФСТЭК у них сейчас утекла, но обещали получить.
Правила, действительно, загадочно применяются. Не очень просто организовать пробросы. Не идёт Тандербёрд никакими силами. Не поддаётся подхват второго провайдера, при падении основного.
Но, во всяком случае, есть чем отбиться от РКН с перданными(если продлят лицензию). Но даже так есть преимущество - "мы его купили, это коробка, а не сами наколхозили".
Пользователем может быть не только отдельная машина, но и группа. Просто прописываем несколько IP. Статистика будет тоже по группе, как и правила, но не всегда же нужно бдить за каждым. Стоимость ведь зависит от количества пользователей. Если в статистике группы начинает лезть ересь, то можно вынести подозреваемого(если лень идти и устраивать групповые разборки) и уже на основании этого бить по башке. Сложновато? Зато экономно. Не на 200-300 пользователей лицензия, а на 30-50.
Если использовать эту шляпу, то только крайне ограниченно.
1. Для веб и хранения важных данных Категорически не советую. Используется ZFS и в случае падения системы или HDD на котором система все данные на всех дисках и разделах потеряны навсегда. И это без возможности восстановить.
Да же если вы на диске с системой развернете бекап, данные с раздела stripe все равно не восстановятся. Проверено на собственном опыте.
В общем развертывать базы 1C на нем крайне опасно и рискованно если не создавать резервную копию на другой машине.
2. Резервные копии сохраняет на своих же дисках, но из-за первого пункта бессмысленны. Есть возможность хранить на внешнем FTP, но тогда это уже не для маленькой организации, потребуется второй сервер. Но и это не все. Копии в формате bin. То есть извлечь данные можно только развернув на сервере. Приходится сторонней утилитой с другого компа делать резервные копии в zip архив.
3. Настраивал по белому списку. Живет своей жизнью. Три группы с одинаковыми наборами правил. На одной группе срабатывает и пускает только на указанные ресурсы, на второй почему-то пускает везде. На третей группе вообще ни куда и ни как. Как так? При чем с начала все шикарно работало, и потом начало жить своей жизнью.
Вывод. Для дома может и пойдет, но для организации только для контроля доступа и то не факт что будет работать нормально.
Думаю, zfs вы просто не осилили и не поняли, как с ним работать. В общем случае, там есть отказоустойчивость. Некоторые люди тут в комментариях мне постоянно топят за zfs. Но сам я лично тоже его не использую. Но вообще, претензии в стиле, все данные могут быть потеряны, если система или железо умрет, бессмысленные. Так будет на любой системе, где что-то сломается. Бэкап куда-то вне сервера никто и никогда не отменяет, какое-бы железо не использовалось.
Бекап на другое железо само собой. Но это если умрет совсем хард. А тут вероятность смерти данных 80%. Сегодня добавил хард ( зеркало к основному) и все ок. Но хард страйп почему то система выплюнула и данные на нем в аут.
Отсюда вывод. ZFS крайне не надежная . Во всех известных мне файловых системах при смерти разделов и даже после форматирования всегда есть большой шанс восстановить данные.
А вот ZFS это будет крах полный и вероятность восстановить данные ничтожна.
Все же справедливости ради, я бы не говорил, что zfs крайне не надежная. С надежностью у нее все в порядке. Тот же proxmox по дефолту zfs использует. У нее есть свои нюансы, это да. Но это не имеет отношения к надежности в целом. Данные там тоже можно восстанавливать. Это не черный ящик. Есть и софт по восстановлению zfs.
Вы совершенно забыли, что речь в контексте использования конкретного решения, описанного в статье. На чистом фри я сам себе хозяин и могу делать то, что мне вздумается. В данном решении у вас только веб морда и консоль восстановления. И как хранилище данных его использовать крайне не осмотрительно. Уже не первый раз система чудит с разделами, а поправить сам не можешь. Тех поддержка тоже не компетентны. Пару раз пытался не вышло у них.
Да и если о ZFS вообще. Предположим у нас 10 шт HDD по три тб. Всего 30 тб. Развернуть копию одно из неисправных или все 30 тб. Или восстанавливать утилитами один HDD или все 10? Вот и встает вопрос о целесообразности ZFS. Пока все работает она вроде как идеально. Но только до падения и дальше упираешся в тупик и бессмыслицу. Ни одна FS так непредсказуема и сложна в поднятии данных.
Да наверно для школ пойдет. Но для организации точно шляпа. Какой год с ним работаем мучаемся. Начинали еще с 4 версии сейчас уже 8. Уж очень специфично работает прозрачный прокси.А у ж про явный прокси молчу. Фактически многие вещи просто не работают как заявлено. И многие нюансы настроек не описаны толком. К примеру оказывается чтобы нормально работали маршруты на ИКС. На виртуальной машине надо добавлять количество адаптеров равное количеству заведенных в икс сетей. И это только капля в море...
Я пользовался ИКС нормальное решение, для школ. Поставил белый список, а остальное запретил. Работает отлично. Плюс настроил доступ, сидя дома подключал учителей и все работает хорошо.
SOPHOS UTM kruto
Я, кстати, смотрел его. Увидел в работе у одного заказчика и захотел попробовать. Почитал описание, функционал. Продукт понравился. Но дальше не срослось. Чтобы скачать то ли бесплатную, то ли триальную версию, нужно было кучу персональных данных оставить. Я решил, что это того не стоит.
ya uzhe 5 let rabotayu sophos utm for free 50 users.Ochen kruto. license mozhno myutm.sophos.com vzyat i polzuetsa na 3 goda
pfsense выкинул пакет asterisk :-((( Может есть в этом ИКС?
В ИКС астериск интегрирован и ставится по-умолчанию во время установки сервера.
Ну вот на кой болт тебе asterisk в pfsense?
Поставь freepbx и не выдумывай.
https://xserver.a-real.ru/download/
Версия Lite - ДО ВОСЬМИ пол-лей только
Полная версия - только на 35 дней
Pfsense, ОДНОЗНАЧНО, Pfsense.
Мой выбор - pfsense \ opnsense. Пользую еще с версии 1.2.3. Крайне активно развивается. Удобен в пользование. В хозяйстве почти полтора десятка. Проблем особых нет.
Отличная документация docs.netgate.com/pfsense/en/latest/
Присоединяйтесь - forum.netgate.com/category/10/russian , forum.netgate.com/topic/120102/proxmox-ceph-zfs-pfsense/
googil' ничего стоящего не дал...
было бы интересно сравнить Данное ПО с ПО IDECO, может кто делал уже? (самому? времени не хватает... :()
Сравнивали. Даже в тот момент тестировали Керио.
Тут для каждого своё, было бы по-моему - купили бы керио.
В момент тестирования не было той нагрузки, которая появилась после внедрения, и оценить сложно тот или инной продукт. Неизвестно как будут отрабатывать его функции, правила. Еще и от железа много зависит.
Тех.спецы из айдеко меня уговаривали взять их продукт, так как у них авторизация проходит посредством керберос. По сути, больше никаких преимуществ мне не сказали.
Керио просто интересовались покупкой их продукта)
Работаю с данным продуктом более года.
Не скажу что доволен полностью. После ТМГ есть неудобства. Он не видит субдомены, у правил странная логика работы.
Хочешь фильтрации https? готовь серверное железо с зионом на борту и кучей оперативы. Террабайта на жестком диске Вам хватит не на долго, при условии, что пользователей много.
Заявленный netflow так и не заработал, про который совсем мало написано в документации.
Я бы действительно был "ЗА", если бы была возможность выпиливать не нужные пакеты из дистрибутива (или выбирать при установке). Это же шлюз, зачем там астериск, почта? сервер и так обрабатывает тонну информации.
Насколько я понимаю логику работы, почта, астериск и все прочее там просто установлено, но не работает изначально. Если вы не запускали эти службы, они выключены и никаких ресурсов все равно не потребляют. Но вообще, логичнее было бы сделать их установку в виде отдельных пакетов. Думаю, не пошли на это, потому что web интерфейс придется переделывать, собирать пакеты, репозиторий поддерживать и т.д. В общем, это затраты на реализацию и поддержку. Пошли по более простому пути.
Мне кажется, они специально суют фри пакеты в свой продукт, добавляя некой "универсальности" своему продукту. Или это некие "плюсы" перед выбором между ними и айдеко.
Для небольшой компании это реально может быть удобно. Сам то я сторонник разделения ролей. Но если у тебя 20 человек в офисе и один эникей, думаю, будет удобнее, если у тебя все на одном сервере и управляется через web интерфейс, а не каждая роль в отдельной виртуалке, которую надо настраивать и поддерживать.
Тут, конечно, надо разбираться, как лучше. Моя рекомендация - брать на частичную занятость хорошего админа всем этим управлять и отдельно эникея. Тогда можно и в отдельных виртуалках все держать и настраивать по-отдельности под конкретные задачи. Но на это не все идут. А можно использовать облачные ресурсы под почту и телефонию. Там есть свои плюсы и минусы.
В общем, вариантов может быть много. Каждый собственник сам решает, как он будет поступать в своем случае. ИКС в таком виде, как есть, имеет право на жизнь.
Вам лишь бы ограничить пути поиска информации. Из-за таких как вы и блокируют телеграм и подобные. Любому человеку должны быть доступны пути поиска информации, даже сатанистам по вызову дьявола или анимешнику для просмотра порно с трапами. А вот решать пользоваться или нет этой информацией уже лежит на пользователе, на основе ее законности и прочего.
Устраиваясь на работу, подписывается некое соглашение о политике работы с пк. И в этой политике есть ограничения на доступ к некоторым типам ресурсов. И здесь решает работодатель, к каким ресурсам у тебя будет доступ, а к каким нет. На работу приходят работать, а не аниме смотреть.
При чем здесь я? Я вообще перестал заниматься шлюзами. Это запросы бизнеса. Директора и руководители чаще всего хотят что-то ограничивать и контролировать. Я лично считаю это бесполезным в условиях, когда у каждого смартфон в кармане с интернетом.
А есть еще правительства и их требования, которые нужно выполнять. Так что это вопрос не к системным администраторам, которые подбирают технические средства для реализации запросов руководителей.
Ещё один вариант pfsense :) Типо своя разработка :) Молодым наши российские разработчики возьмут свободный продукт подкорректирую русскую локализацию и изменят внешний вид.
Справедливости ради, это не так. Я могу ошибаться, давно не смотрел pfsense, но MITM из коробки я там не видел. А в качестве отчетов использовался lightsquid, на который без слез не взглянешь и руководству не покажешь. В ИКС же отчеты просто праздник. Я такие нигде не видел.
Если мне кто-то покажет бесплатную панель с MITM и фильтрацией https из коробки, плюс удобные и красивые отчеты с экспортом, с удовольствием посмотрю и напишу обзор. У меня было много запросов по этой теме. Но мне бесплатные панели с таким функционалом не известны, хотя я видел их много.
Красивее отчёты есть! В IDECO UTM и работа с HTTPS фильтрацией тоже, ну и + бесплатная версия на 40 пользователей. Но из личного опыта работы с ИКС и Ideco мне больше понравился ИКС.
Так в том то и дело, что Ideco тоже платный. Мне уже не один человек говорил, что все, что есть в платных шлюзах, если и так в бесплатных. Типа за что тут платить. Но на деле я вижу, что это не так. А убедить в обратном аргументированно никто не может.
Pfsense отлично умеет Squid + MITM . Уж больше года , точно.
Насчет красивости отчетов. Тут не так радужно. Есть только LightSquid. Или отправляйте все по трафику на ELK, напр.
pfSense реально получше будет как минимум тем что там пакеты устанавливаются через plugin manager. В коробке установлен только нужный набор софта. Squid, pfBlockerNg, Snort IDPS. И нет ненужной почты и тд.
Пользуюсь ИКС уже 5 лет хорошее решение, единственное что бы хотелось при чистой установки можно о было выбрать какие модули можно ставить, к примеру Джабер мне не нужен, и Почта
Я использую TMG, отличная совместимость с AD. Зачем лес городить в доменной структуре со сторонними вендарами? :)
Разве TMG не на пенсии?