Любой бизнесмен стремится к сокращению расходов. То же самое касается и IT-инфраструктуры.
При открытии нового офиса у кого-то начинают шевелиться волосы. Ведь надо организовать:
- локальную сеть;
- выход в интернет. Лучше ещё с резервированием через второго провайдера;
- VPN до центрального офиса (или до всех филиалов);
- HotSpot для клиентов с авторизацией по sms;
- фильтрацию трафик так, чтобы сотрудники не сидели в соцсетях и не трещали в скайпе;
- защиту сеть от вирусов и атак. Обеспечить защиту от вторжений (IDS/IPS);
- свой почтовый сервер (если не доверяете всяким pdd.yandex.ru) с антивирусом и антиспамом;
- файловую помойку;
- Вероятно Вам нужна телефония, т.е. организовать АТС, подключить к SIP провайдеру и другие плюшки…
Но поднять сеть предприятия с такими требованиями эникейщик не сможет… Нанимать дорогого сисадмина?
Вырисовывается очень крупное, по грядущим затратам, рублёвое число.
1. Настройка IP адреса, (понятие адрес, маска, шлюз, днс сервер)
Но эти расходы можно существенно сократить, если обратить внимание на UTM-решения, которых сейчас огромное количество. А так как я придерживаюсь стратегии «чем проще — тем лучше» в решениях своих задач, то мой взор пал на UTM Интернет Контроль Сервер (ИКС).
Чем эта система поможет сохранить бюджет компании и почему для её обслуживания не нужен дорогой сисадмин — расскажу ниже.
Но забегая вперёд скажу — это специфический продукт и имеет свои ограничения. Более детально оценить возможности шлюза можно изучив документацию на оф.сайте .
Я же настраивал для статьи «по-русски», то есть не заглядывая в маны, чтобы понять на сколько всё интуитивно понятно.
Начальная установка
ИКС можно установить как на реальное железо, так в гипервизор. Можно задействовать какой-нибудь безвентиляторный ПК.Например такой.
Система базируется на FreeBSD 11.3 и на большинстве оборудования должно взлететь без проблем.
Установка производится на чистый диск. Точнее если там что-то было, то можете смело попрощаться с этим.К сожалению, инсталлятор поддерживает только английский язык. Но после установки основной интерфейс может быть на русском. 
ЧТО ТАКОЕ ИНТЕРНЕТ ШЛЮЗ И КАКИЕ ЕСТЬ ЕГО ВИДЫ
Про отказоустойчивость тоже не забыли.Если в системе несколько дисков, то они могут быть объеденены в рэйд средствами ZFS.
Выбираем сетевой интерфейс и назначаем ip из выбранной сети.
Доменное имя указывайте реальное, если Вы планируете поднять, например, почтовый сервер. Если такой потребности нет сейчас, то можно написать от балды. Далее в интерфейсе можно будет поправить.
Всё! Можно заходить в вэб-интерфес по ip, который указали в настройках, и порту 81. DHCP на этом этапе пока не включен, поэтому на своём ПК придётся назначить ip из этой же сети вручную.
Подключаем к интернету и соединяем офисы.
При первом входе запускается мастер, который заставляет Вас установить надёжный пароль.
Мастер
Далее лезем в настройки сети 
и настраиваем подключение к нашему провайдеру и роли всех сетевых интерфейсов. 
Провайдеров можно настроить несколько и организовать балансировку.
Кстати, если Вам не удобен английский язык интерфейса, то его легко можно поменять здесь.
Если требуется подключить офис, например, к головному офису. То создаём новое подключение
и настраиваем маршруты до ресурсов в удалённой сети.
Только о динамической маршрутизации можете забыть — её тут нет.
Может я сильно придираюсь, но ИМХО это большой недостатком…
Доступ в интернет сотрудников
Чаще всего основная задача шлюза — контроль доступа сотрудников в интернет.
Идентифицировать сотрудников можно как по ip/mac, так и по логину/паролю через агента или captive portal.
Также если в Вашей организации используется Active Directory, то ИКС можно интегрировать и с ним.
Настройки фильтрации (куда сотруднику можно и куда нельзя) очень обширны.
Огромное количество готовых шаблонов правил:
Можно разрешить youtube, но запретить загружать туда видео.
Но можно не ограничивать и ИКС всё равно расскажет куда кто и куда ходил своими обширными отчётами:
А как же гостевой Wi-Fi?
И гостевой вай-фай можно организовать с соблюдением требования законов РФ об обязательной идентификации пользователей.
ИКС поддерживает отправку смс по протоколу SMPP через любого SMS-провайдера.
Телефония.
Да-да! Не надо ставить отдельный сервер с Asterisk. Он уже есть в ИКС.
Я успешно подключил SIP от Мегафона (emotion, мультифон).
Как получить SIP от Мегафона по сотовым тарифам физлиц можно почитать в статье «SIP от Мегафона по домашнему тарифу» .
Безопасность.
В ИКС есть много инструментов, которые позволят настроить уровень безопасности по Вашим требованиям: от бесплатных антивирусов ClamAV и систем обнаружение вторжений Suricata до продуктов Евгения Касперского , настраивая только через понятны вэб-интерфейс.
Даже тот же незаменимый fail2Ban настраивается в несколько кликов
Так же ИКС может мониторить трафик по netflow протоколу с сетевого оборудования, не пропуская через себя трафик.
Коммуникационные плюшки
Коммуникацию сотрудников можно организовать не только телефонией и почтой
но и через jabber. Правда мало уже кто помнит о таком протоколе.
Web-server:
На ИКС есть даже web-server c поддержкой PHP. HTTPS сертификат можно установить свой, если есть приобретённый, или указать, чтобы ИКС получил бесплатный Let’s Encrypt.
Этого достаточно для размещения сайта-визитки или рекламного лендинга. Но впилить тяжёлый портал с кастомными модулями у Вас не выйдет. И по мне — это глупо. Всё-таки шлюз должен оставаться шлюзом.
Гибкая настройка мониторинга и уведомлений.
Алярмы можно слать даже в Телеграм. А в реалиях РФ есть даже возможность слать сообщения через прокси.
В заключении
Интернет-шлюз «ИКС» содержит в себе практически все компоненты, необходимые для функционирования небольшого офиса.
При этом всё это может настроить начинающий системный администратор.
Несмотря на то, что система построена ни FreeBSD, доступа по ssh к нему нет. То есть без костылей доустановить модули PHP у Вас не получится. Придётся довольствоваться тем, что есть… Или просить саппорт допилить.
При любом раскладе в начале скачайте триал на 35 дней и проверьте на сколько этот шлюз Вам подходит.
Лицензия не имеет срока действия, но несмотря на это стоимость является вполне демократичной.
На стенде в синтетических тестах система показала себя адекватно.
Если заказчик одобрит и Вам будет интересно как данная система поведёт себя в «бою», то месяцев через 3-6 напишу отзыв со всеми возникшими задачами и сложностями. Если получится, то проверим качество технической поддержки.
В комменты жду от Вас вопросы, на которые надо будет детально заострить внимание в боевом применении.
Источник: prohoster.info
Интернет-шлюз
Интернет-шлюз – программный сетевой шлюз, распределяющий и контролирующий доступ в сеть Интернет среди клиентов локальной сети (пользователей).
Описание
Интернет-шлюз, как правило, это программное обеспечение, призванное организовать из локальной сети доступ к сети Интернет. Программа является рабочим инструментом системного администратора, позволяя ему контролировать трафик и действия сотрудников. Обычно Интернет-шлюз позволяет распределять доступ среди пользователей, вести учёт трафика, ограничивать доступ отдельным пользователям или группам пользователей к ресурсам в Интернет. Интернет-шлюз может содержать в себе прокси-сервер, межсетевой экран, почтовые сервер, шейпер, антивирус и другие сетевые утилиты.
Интернет-шлюз может работать как на одном из компьютеров сети, так и на отдельном сервере. Шлюз устанавливается как программное обеспечение на машину с операционной системой (например, Kerio winroute firewall на Windows), либо на пустой компьютер с развертыванием встроенной операционной системы.
Программные интернет-шлюзы
См. также
Ссылки
Источник: www.tadviser.ru
Программный интернет-шлюз для небольшой организации
Любой бизнесмен стремится к сокращению расходов. То же самое касается и IT-инфраструктуры.
- локальную сеть;
- выход в интернет. Лучше ещё с резервированием через второго провайдера;
- VPN до центрального офиса (или до всех филиалов);
- HotSpot для клиентов с авторизацией по sms;
- фильтрацию трафика так, чтобы сотрудники не сидели в соцсетях и не трещали в скайпе;
- защиту сеть от вирусов и атак. Обеспечить защиту от вторжений (IDS/IPS);
- свой почтовый сервер (если не доверяете всяким pdd.yandex.ru) с антивирусом и антиспамом;
- файловую помойку;
- Вероятно Вам нужна телефония, т.е. организовать АТС, подключить к SIP провайдеру и другие плюшки.
Но поднять сеть предприятия с такими требованиями эникейщик не сможет… Нанимать дорогого сисадмина?
Вырисовывается очень крупное, по грядущим затратам, рублёвое число.
Но эти расходы можно существенно сократить, если обратить внимание на UTM-решения, которых сейчас огромное количество. А так как я придерживаюсь стратегии «чем проще — тем лучше» в решениях своих задач, то мой взор пал на UTM Интернет Контроль Сервер (ИКС).
Чем эта система поможет сохранить бюджет компании и почему для её обслуживания не нужен дорогой сисадмин — расскажу ниже.
Но забегая вперёд скажу — это специфический продукт и имеет свои ограничения. Более детально оценить возможности шлюза можно изучив документацию на оф.сайте.
Я же настраивал для статьи «по-русски», то есть не заглядывая в маны, чтобы понять на сколько всё интуитивно понятно.
Начальная установка
ИКС можно установить как на реальное железо, так в гипервизор. Можно задействовать какой-нибудь безвентиляторный ПК.
Например такой.
Система базируется на FreeBSD 11.3 и на большинстве оборудования должно взлететь без проблем.
Установка производится на чистый диск.
Точнее если там что-то было, то можете смело попрощаться с этим.
К сожалению, инсталлятор поддерживает только английский язык. Но после установки основной интерфейс может быть на русском. 
Про отказоустойчивость тоже не забыли.
Если в системе несколько дисков, то они могут быть объединены в рэйд средствами ZFS.
Выбираем сетевой интерфейс и назначаем ip из выбранной сети.
Доменное имя указывайте реальное, если Вы планируете поднять, например, почтовый сервер. Если такой потребности нет сейчас, то можно написать от балды. Далее в интерфейсе можно будет поправить. 
Всё! Можно заходить в вэб-интерфес по ip, который указали в настройках, и порту 81. DHCP на этом этапе пока не включен, поэтому на своём ПК придётся назначить ip из этой же сети вручную.
Подключаем к интернету и соединяем офисы.
При первом входе запускается мастер, который заставляет Вас установить надёжный пароль.
Мастер
Далее лезем в настройки сети 
и настраиваем подключение к нашему провайдеру и роли всех сетевых интерфейсов. 
Провайдеров можно настроить несколько и организовать балансировку.
Кстати, если Вам не удобен английский язык интерфейса, то его легко можно поменять здесь.
Если требуется подключить офис, например, к головному офису.
То создаём новое подключение
и настраиваем маршруты до ресурсов в удалённой сети.
Только о динамической маршрутизации можете забыть — её тут нет.
Может я сильно придираюсь, но ИМХО это большой недостаток…
Доступ в интернет сотрудников
Чаще всего основная задача шлюза — контроль доступа сотрудников в интернет.
Идентифицировать сотрудников можно как по ip/mac, так и по логину/паролю через агента или captive portal.
Также если в Вашей организации используется Active Directory, то ИКС можно интегрировать и с ним.
Настройки фильтрации (куда сотруднику можно и куда нельзя) очень обширны.
Огромное количество готовых шаблонов правил:
Можно разрешить youtube, но запретить загружать туда видео.
Но можно не ограничивать и ИКС всё равно расскажет куда кто и куда ходил своими обширными отчётами:
А как же гостевой Wi-Fi?
И гостевой вай-фай можно организовать с соблюдением требования законов РФ об обязательной идентификации пользователей.
ИКС поддерживает отправку смс по протоколу SMPP через любого SMS-провайдера.
Телефония.
Да-да! Не надо ставить отдельный сервер с Asterisk. Он уже есть в ИКС.
Я успешно подключил SIP от Мегафона (emotion, мультифон).
Как получить SIP от Мегафона по сотовым тарифам физлиц можно почитать в статье «SIP от Мегафона по домашнему тарифу».
Безопасность.
В ИКС есть много инструментов, которые позволят настроить уровень безопасности по Вашим требованиям: от бесплатных антивирусов ClamAV и систем обнаружение вторжений Suricata до продуктов Евгения Касперского, настраивая только через понятны вэб-интерфейс.
Даже тот же незаменимый fail2Ban настраивается в несколько кликов
Так же ИКС может мониторить трафик по netflow протоколу с сетевого оборудования, не пропуская через себя трафик.
Коммуникационные плюшки
Коммуникацию сотрудников можно организовать не только телефонией и почтой
но и через jabber. Правда мало уже кто помнит о таком протоколе.
Web-server:
На ИКС есть даже web-server c поддержкой PHP. HTTPS сертификат можно установить свой, если есть приобретённый, или указать, чтобы ИКС получил бесплатный Let’s Encrypt.
Этого достаточно для размещения сайта-визитки или рекламного лендинга. Но впилить тяжёлый портал с кастомными модулями у Вас не выйдет. И по мне — это глупо. Всё-таки шлюз должен оставаться шлюзом.
Гибкая настройка мониторинга и уведомлений.
Алярмы можно слать даже в Телеграм. А в реалиях РФ есть даже возможность слать сообщения через прокси.
В заключение
Интернет-шлюз «ИКС» содержит в себе практически все компоненты, необходимые для функционирования небольшого офиса.
При этом всё это может настроить начинающий системный администратор.
Несмотря на то, что система построена ни FreeBSD, доступа по ssh к нему нет. То есть без костылей доустановить модули PHP у Вас не получится. Придётся довольствоваться тем, что есть… Или просить саппорт допилить.
При любом раскладе в начале скачайте триал на 35 дней и проверьте на сколько этот шлюз Вам подходит.
Лицензия не имеет срока действия, но несмотря на это стоимость является вполне демократичной.
На стенде в синтетических тестах система показала себя адекватно.
Если заказчик одобрит и Вам будет интересно как данная система поведёт себя в «бою», то месяцев через 3-6 напишу отзыв со всеми возникшими задачами и сложностями. Если получится, то проверим качество технической поддержки.
В комменты жду от Вас вопросы, на которые надо будет детально заострить внимание в боевом применении.
Источник: habr.com