@Андрей Бойченко

Добрый день! Уважаемые специалисты расскажите, дайте несколько советов пожалуйста о том как такую систему можно изменить на сеть, в которой можно:
• Смотреть в каком браузере, на каком сайте находится любой из участников сети.
• Запретить конкретному компьютеру доступ к конкретному сайту/списку сайтов.
Сейчас есть сетевая папка которая находится на отдельном компьютере, но права на ее использование у всех одинаковы, допустим нужно создать N папок и определить права доступа только определенным участникам сети.

Есть неуправляемый коммутатор от которого идут кабеля к компьютерам в сети. Какую выбрать ОС для сервера и какое доп оборудование необходимо докупать? Я на предприятии работаю веб - разработчиком, а с недавних пор еще и эникейщиком( Вот сижу и думаю как все это добро реализовать?. На карте сети я не выделил отдельный компьютер который работает как файловый сервер. В перспективе из него уже будет сделан полноценный сервер с которого и будет идти администрирование. Спасибо большое!

0

@Fotohunter

Squid + Rejec + принудительное проксирование + SARG - вся документация есть в сети.

Либо виндовозный сервак с правами доступа и файловым сервером, можно почитать про AD.
либо Linux + SAMBA - документация есть в сети.

Сколько вешать в граммах??? Размер сети, сколько компьютеров и насколько критично для паранои людей видеть значки с компами соседей по конторе? у меня все параноики

Для сетей предпочтительнее Linux, но это не всем дано освоить с нуля, я Вашего уровня не знаю.
Если на картинке ваш коммутатор, то он скорее всего управляемый и значит можно получить статистику его загруженности и делать другие интересные/полезные вещи.

Для начала структурируйте свои проблемы, выстройте более чёткую цель и разбейте её на маленькие под-цели.
Для начала провести бы инвентаризацию того что есть и понять как оно сейчас работает, выписать ip адреса машин, распределить их по структурным подразделениям и помещениям.

0

@Андрей Бойченко

Fotohunter, в сетях я абсолютный профан. Линукс использую для разработки, знаком с терминалом. В сети около 20 компьютеров, возможно расрирение парка до 30. На данный момент поставил Ubuntu server 14.04 и настроил на нем интернет, сейчас стоит задача дать возможность другим пк заходить в интернет, для начала этого хватит. Поскольку гос. структура то, что либо настраивать я могу только по выходным. Я как то отключил интернет на 2 часа - это был ад.

0

@Fotohunter

Андрей Бойченко, для начала проанализируйте необходимости деления сети на сегменты. И как я уже говорил ранее посмотрите что и где есть. Приведу пример моей сети, кстати тоже гос.контора. Сеть разбита на посети в зависимости от структурных подразделение т.е. бухглатера отдельно, кадры отдельно, руководство отдельно, другие подразделения тоже по отдельности. Так же обособленно выделена подсесть под VoIP (телефонию) и внутренние(локальные) файловые/веб-сервера. Это позволяет снизить параною у сотрудников разных отделов (у меня бухгалтера ненавидят кадровиков), а так же упростит процесс раздачи приоритетов для пользования интернетом. Кстати у вас на схеме есть WiFi - так же желательно в отдельную подсеть, что бы не было возможности прослушать трафик бухгалтерии, кадров и начальства. Адекватное деление на посети возможно лишь при наличии коммутатора понимающего VLANID. Для тестирования технологий имеет смысл либо выделить пару свободных компьютеров, либо поставить VMware(можно взять триальную лицензию) на свободном компьютере и поэксперементировать.
Так же важно оговорить орг.вопросы с начальством, что бы понять что нужно по минимуму и по максимуму.

Добавлено через 4 минуты
Андрей Бойченко, чуть не забыл - напишите модель нынешнего комутатора и точек доступа.

0

@Андрей Бойченко

Fotohunter, коммутатор allied telesyn AT-FS724L. Настроили сервер, он раздает интернет в сеть, но после установки squid3 по вот этой инструкции ссылка доступа в интернет на клиентах уже нет.
Тут можно обойтись без GUI? И подскажите дальнейший порядок действий, спасибо!

0

@Fotohunter

Его хватает? Насколько далеко клиенты от коммутатора? адекватный предел дальности с учётом изгиба проложенного кабеля не более 90метров + 2х5метров на пачкорды. На перспективу его было бы хорошо заменить на гигабитный управляемый коммутатор, но если схема работает, то можно и не трогать.

В статье до кучи настройки фаервола прописаны, а так же вы могли с адресами или маской подсети где то напутать.
Для начала прокси-сервер должен работать параллельно т.е. клиент может его использовать, а может и не использовать.
И лишь когда всё настроено можно настраивать transparent proxy и другие фишки.
Я бы рекомендовал статьи по настройке прокси на opennet.org или харбаре.
Да, GUI не нужен, все сервисы спокойно настраиваются и запускаются в консоли, отображение статистики так же можно смотреть как в консоли так и через Веб-формы.
Я уже говорил - нужен чёткий план действий. К примеру если ваша организация планирует переходить на VoIP телефонию может понадобиться коммутатор с поддержкой PoE. И вы ранее писали, что планируется увеличение устройств с 20 до 30, а у вас 24х портовый коммутатор. Это 10 дополнительных устройств будут располагаться в радиусе 100метров или понадобиться дополнительный коммутатор. Если расстояние позволяет, то можно купить 48портовый гигабитный коммутатор с PoE. но опять же это вопрос необходимости и финансов. У меня первоначально всё на гирлянде 8ми портовых 10/100 коммутаторов держалось и я каждую неделю их перезапускал ибо они регулярно подвисали...

0

@Андрей Бойченко

Fotohunter, Сейчас нашлась новая информация. Схема выглядит следующим образом. Все клиенты в пределах 90 метров.
План составил:
1. Контроль и мониторинг траффика, загружаемых файлов, блокирование сайтов - это решает прокси
2. Файловый сервер с правами доступа( у всех есть доступ к общей папке, у некоторых клиентов доступ к доп папкам) - это решается с помощью SAMBA
Правильно я думаю?

Сейчас стоит еще программа Лига - база законов Украины, стоит она на отдельном пк и по большому счету все работает отлично, не падает. Думаю ее так и оставить. Кстати у некоторых клиентов техника собственная к которой мне нельзя прикасаться, соответственно это потенциальная дыра? Получается так, что я пропишу всем клиентам статический ip и благодаря этому буду иметь контроль за всем парком, а как быть с теми машинами у которых настройки которых я поменять не смогу( там скорее всего динамический ip в настройках). Можно было бы не пускать их в интернет, но поскольку это начальство...

0

@Fotohunter

тут правильно.

Не обязательно, просто вы случайно можете кому то прописать уже занятый адрес.

Лучше бы поставить DHCP-сервер - он раздаст автоматически ip-адреса, причём можно создать таблицу какому MAC-адресу какой адрес отдавать - это решает кучу проблем с повторами ip-адресов.
А если ещё и DNS-сервер настроить с обновлением таблицы адресов взятых у DHCP то можно получить красивые имена в паре с ip.

SAMBA, DHCP, DNS - могут быть реализованы на всё той же вашей Ubuntu.

Единственное "узкое" место вашей сети это WiFi-мост если я правильно понял вашу схему в виде участка в центре сверху где WiFi и 3 лаптопа. Если этот мост прокинут через улицу - дождь может нарушить качество связи.

Добавлено через 50 минут
Андрей Бойченко, а еще есть замечательно команда
Она просканирует сеть и покажет ip всех включенных в данный момент компьютеров - полезно для анализа состава сети, а с другими параметрами можно и дырки поискать....

1

@Андрей Бойченко

Fotohunter, спасибо. Вот еще вопрос, правда больше из интереса. Допустим пк частенько мигрируют из одного кабинета в другой, с помощью каких инструментов можно сделать так, что бы пользователь ввел свой логин, а ему с сервера подгрузилась можно сказать вся система( ОС, файлы, папки и программы которые были установлены и привязаны к его аккаунту) Такое вообще возможно?

0

@Fotohunter

Да, такое возможно и есть несколько подходов для реализации. В вашей нынешней схеме нет проблем перетащить комп из кабинета в кабинет.
А вот какие есть вариант для миграции ЛЮДЕЙ
1. тонкий клиент с загрузкой по сети до уровня терминального клиента и авторизацией на терминальном сервере по RDP протоколу, VNC или аналогу. Т.е. есть безликое рабочее место человек пришёл сунул карту доступа и открыл свой рабочий стол, вынул карту, ушёл в другой конец здания, сунул свою карту в другой терминал и снова получил своё рабочее место. Вся работа выполняется на сервере, а на столе лишь монитор, клавиатура, мышь + по необходимости колонки, гарнитура, usb-порты, принтеры. Это реализовано у SUN, есть наработки у VmWare и есть куча готовых наработок других производителей(у меня на работе в одном из подразделений стоит KraftWay).
2. тонкий клиент с загрузкой с встроенной флэшки до уровня терминального клиента и ..... (см. п.1)
3. толстый клиент с загрузкой по сети и подцеплением сетевых дисков - полноценный комп без винчестера - всё что нужно подгружается с сервака.
4. обычный комп имеющий аккаунт в AD (Винды с Activ Directory) - при подключении клиент авторизуется на сервере и получает доступ к своим папкам хранящимся на сервере, а так же к назначеным ему принтерам и другим ресурсам.

Соответсвенно в зависимости от варианта мы получаем:
В 1м и 2м варианте клиентом может быть старый списаный комп от которого нужны лишь монитор, сетевуха и никаких требований к процу ибо вся работа на дорогом и мощном серваке, сетевой трафик минимален ибо нужно всего лишь картинки показывать.
В 3 и 4 вариантах получаем большой трафик по сети и серваком может быть обычный комп выделенный под цели авторизации и/или шранилища.

0