Re: Netware прощай....
Добавлено: 23 янв 2014, 18:58Понятно, но AD пока не рассматриваю.
Еще у кого как прокси сделан?
Еще у кого как прокси сделан?
proNovell
Netware прощай....
Страница 2 из 3
Добавлено: 23 янв 2014, 18:58Re: Netware прощай....
Добавлено: 23 янв 2014, 19:41Я по следам Dimerson-а иду: squid на oes11 плюс squidtrust. Squidtrust из login скрипка запускается, отдает имя пользователя плюс его группы. На сервере перловым скрипом проверяем есть у пользователя нужная группа и соответственно либо пускаем в сеть либо нет
Re: Netware прощай....
Добавлено: 24 янв 2014, 10:49squid в таком исполнении память жрёт, как слон банные веники. 8 Гб ему на 300 персон мало.
Re: Netware прощай....
Добавлено: 24 янв 2014, 18:12Ковалев Артем писал(а):Коллеги, а на чем у вас бордюры?
Или как вы реализуете прокси с прозрачной авторизацией?
Superlumin Nemesis
Re: Netware прощай....
Добавлено: 24 янв 2014, 19:14Ковалев Артем писал(а):squid в таком исполнении память жрёт, как слон банные веники. 8 Гб ему на 300 персон мало.
100-150 юзеров. Больше 2 Гб оперативы слон не кушает. Приходится правда где-то раз в неделю перловые скрипты, которые за опрос пользователей отвечают, сносить, чтобы он их заново создал: бывает юзеры в сеть не пробиваются, очевидно некоторые коннекты подвисвют. Кэша у нас два тома по 120 Гигов, занято на каждом не более 40. Так что не так и прожорлив слон
Re: Netware прощай....
Добавлено: 26 янв 2014, 13:10Ковалев Артем писал(а):Понятно, но AD пока не рассматриваю.
Еще у кого как прокси сделан?
У нас squid в таком варианте. Память не жрёт (правда, юзеров всего около 200).
Re: Netware прощай....
Добавлено: 30 янв 2014, 00:09Ковалев Артем писал(а):Коллеги, а на чем у вас бордюры?
Или как вы реализуете прокси с прозрачной авторизацией?
Привет Артем. Мы сидим на этом: http://www.novell.com/partnerguide/product/204001.html
Весьма производительная железка, своя ASIC-матрица коммутации.
Почитать можно тут: http://www.astarots.ru/files/Manual_ASG_8-001_RU.pdf
п. 5.3
Удачи!
Re: Netware прощай....
Добавлено: 01 фев 2014, 09:38Данная тема поднимается регулярно.
Я пробовал в свое время SuperLumin.
У него неплохо с производительностью. Но в то время у него было похоже что к неплохому прокси притянули за уши vpn/sso/firewall итд.
То есть политика ACL недалеко ушла от описания их в squid.conf
А SSO работал с чуть более чем нестандартным скриптом через cookie не очень. Приходилось откатываться на модель подобную той что в BM.
Firewall там убогий - сделан на основе SuSE Firewall.
Мне нужно было реализовать STATIC NAT подобный тому что в BM (то есть работа черезе ADD SECONDARY IPADDRESS).
И фигушки. OpenVPN 100% обычный. И поскольку лумин не дешевый решил допилить Squid/SquidTrust.
OpenVPN - с ним все понятно - остановился на сертификатах в eToken.
Ну а Firewall реализующий на 100% то что было в BM (и еще много что), притом что с нормальным гуем чтоб было все возможно оглядеть одним взглядом - взял FWBuilder.
В общем второй год все ок. хотел добавить:
1. Зачем пускать squidtrust в логин скрипте ? У меня в автозапуске. При перелогине все ок.
2. Скрипты не тупят. Бывает аптайм по 200 дней но это редко - чаще ядра sles обновляются.
ежели и так : squid -k reconfigure и без потери бойца внешние ACL перезапускаются.
3. По поеданию памяти: после старта сквид растет в памяти но через некоторое время устаканивается на 36-37%
Всего памяти 8 GB.
Intel(R) Xeon(R) CPU X3450 @ 2.67GHz
RAID bus controller: LSI Logic / Symbios Logic MegaRAID SAS 1078 (rev 04)
под кеш 2 SAS HDD 15k RPM сконфигуренные в JBOD (REISERFS).
/dev/sdb1 on /var/cache/squid1 type reiserfs (rw,noatime,notail)
/dev/sdc1 on /var/cache/squid2 type reiserfs (rw,noatime,notail)
4. Прикручивать Drweb пробовал - тормозит (менее всего когда демон на том же компе). Предполагаю
что если взять железо с Очень Толстыми Процессорами и их Большим Количеством то будет тормозить меньше.
С недельку изучаю Fortigate (не для замены Squid - в другое место) FortiWifi60CX-ADSL.
В общем что-то в этом есть. Если у него все ОК с SSO (заявлен для AD и eDir) то старшие модели
могут представлять интерес как замена BM (краем глаза читал что может быть например внутри 2 SSD
как сторадж). Что могу сказать по модели 60:
Каменюка ARM SoC 525 MGz. 512MB ram. Производитель пишет что в процессоре аппаратный offload для
firewall/antivirus. По крайней мере для VPN какой-то NP там видать. Для данной железки производитель-
ность антивируса заявлена 20 Мб/сек. Веб фильтрация тоже вполне живая. Все меньше работы не править
ACL руками - проще крыжики по категориям расставить
2 шт wan (100 ethernet), 8 LAN (4x100+ 4x1000), USB for 3G/4G Modem, PC-Card for modem, ADSL, Wi-Fi.
Все это живет поверх ядра Linux 2.4.xx (этого никак не видать в консоли, но можно получить
из cat /proc/version
Имеется internal сторадж 8 GB (SDHC). Производитель рекомендует не использовать его для логов, а лить логи
в облако (своё). Можно на SDHC сделать web proxy cache.
В общем я его погонял - весьма интересно . Proxy/Nat с AV/IPS/DLP итд итп с SSO. Умеет SSL Inspection
(юзеру в браузер отдается сертификат от FortiNet на нужный сайт, перед этим устанавливаем
сертификат Fortinet CA в доверенные) и враг/viruses в SSL туннеле не пройдут.
С ним на халяву AV Свой на 10 устройств - управляются с него же.
Обошелся в 60 тыр. Раз в год продлять придется (не 60 тыр конечно).
Да, Сертифицировано типа в России насквозь.
Было интересно узать про железки от ASTARO. Настораживает что его похоже скупили и что будет с
поддежкой eDirectory в новых железках ?
Если кто юзает старше железки от FortiNet поделитесь впечатлениями PLS.
Я пробовал в свое время SuperLumin.
У него неплохо с производительностью. Но в то время у него было похоже что к неплохому прокси притянули за уши vpn/sso/firewall итд.
То есть политика ACL недалеко ушла от описания их в squid.conf
А SSO работал с чуть более чем нестандартным скриптом через cookie не очень. Приходилось откатываться на модель подобную той что в BM.
Firewall там убогий - сделан на основе SuSE Firewall.
Мне нужно было реализовать STATIC NAT подобный тому что в BM (то есть работа черезе ADD SECONDARY IPADDRESS).
И фигушки. OpenVPN 100% обычный. И поскольку лумин не дешевый решил допилить Squid/SquidTrust.
OpenVPN - с ним все понятно - остановился на сертификатах в eToken.
Ну а Firewall реализующий на 100% то что было в BM (и еще много что), притом что с нормальным гуем чтоб было все возможно оглядеть одним взглядом - взял FWBuilder.
В общем второй год все ок. хотел добавить:
1. Зачем пускать squidtrust в логин скрипте ? У меня в автозапуске. При перелогине все ок.
2. Скрипты не тупят. Бывает аптайм по 200 дней но это редко - чаще ядра sles обновляются.
ежели и так : squid -k reconfigure и без потери бойца внешние ACL перезапускаются.
3. По поеданию памяти: после старта сквид растет в памяти но через некоторое время устаканивается на 36-37%
Всего памяти 8 GB.
Intel(R) Xeon(R) CPU X3450 @ 2.67GHz
RAID bus controller: LSI Logic / Symbios Logic MegaRAID SAS 1078 (rev 04)
под кеш 2 SAS HDD 15k RPM сконфигуренные в JBOD (REISERFS).
/dev/sdb1 on /var/cache/squid1 type reiserfs (rw,noatime,notail)
/dev/sdc1 on /var/cache/squid2 type reiserfs (rw,noatime,notail)
4. Прикручивать Drweb пробовал - тормозит (менее всего когда демон на том же компе). Предполагаю
что если взять железо с Очень Толстыми Процессорами и их Большим Количеством то будет тормозить меньше.
С недельку изучаю Fortigate (не для замены Squid - в другое место) FortiWifi60CX-ADSL.
В общем что-то в этом есть. Если у него все ОК с SSO (заявлен для AD и eDir) то старшие модели
могут представлять интерес как замена BM (краем глаза читал что может быть например внутри 2 SSD
как сторадж). Что могу сказать по модели 60:
Каменюка ARM SoC 525 MGz. 512MB ram. Производитель пишет что в процессоре аппаратный offload для
firewall/antivirus. По крайней мере для VPN какой-то NP там видать. Для данной железки производитель-
ность антивируса заявлена 20 Мб/сек. Веб фильтрация тоже вполне живая. Все меньше работы не править
ACL руками - проще крыжики по категориям расставить
2 шт wan (100 ethernet), 8 LAN (4x100+ 4x1000), USB for 3G/4G Modem, PC-Card for modem, ADSL, Wi-Fi.
Все это живет поверх ядра Linux 2.4.xx (этого никак не видать в консоли, но можно получить
из cat /proc/version
Имеется internal сторадж 8 GB (SDHC). Производитель рекомендует не использовать его для логов, а лить логи
в облако (своё). Можно на SDHC сделать web proxy cache.
В общем я его погонял - весьма интересно . Proxy/Nat с AV/IPS/DLP итд итп с SSO. Умеет SSL Inspection
(юзеру в браузер отдается сертификат от FortiNet на нужный сайт, перед этим устанавливаем
сертификат Fortinet CA в доверенные) и враг/viruses в SSL туннеле не пройдут.
С ним на халяву AV Свой на 10 устройств - управляются с него же.
Обошелся в 60 тыр. Раз в год продлять придется (не 60 тыр конечно).
Да, Сертифицировано типа в России насквозь.
Было интересно узать про железки от ASTARO. Настораживает что его похоже скупили и что будет с
поддежкой eDirectory в новых железках ?
Если кто юзает старше железки от FortiNet поделитесь впечатлениями PLS.
Re: Netware прощай....
Добавлено: 01 фев 2014, 11:21Тема регулярная, ибо весьма актуальна. Хотя и ветка не ахти для этой дискуссии 
Ну вот у меня не спасает реконфигуре - пользователь опять на просторы сети не попадает. Либо рестарт сквида, либо в ручную убить все перловые скрипты, тогда он их перезапустит.
Аптайм да, радует.
Dimerson писал(а):.....
2. Скрипты не тупят. Бывает аптайм по 200 дней но это редко - чаще ядра sles обновляются.
ежели и так : squid -k reconfigure и без потери бойца внешние ACL перезапускаются.
.....
Ну вот у меня не спасает реконфигуре - пользователь опять на просторы сети не попадает. Либо рестарт сквида, либо в ручную убить все перловые скрипты, тогда он их перезапустит.
Аптайм да, радует.
Re: Netware прощай....
Добавлено: 01 фев 2014, 19:08Любопытно. Реальная альтернатива всяким континентам...Dimerson писал(а): Обошелся в 60 тыр. Раз в год продлять придется (не 60 тыр конечно).
Да, Сертифицировано типа в России насквозь.
Re: Netware прощай....
Добавлено: 02 фев 2014, 12:42sovchik писал(а):Тема регулярная, ибо весьма актуальна. Хотя и ветка не ахти для этой дискуссииDimerson писал(а):.....
2. Скрипты не тупят. Бывает аптайм по 200 дней но это редко - чаще ядра sles обновляются.
ежели и так : squid -k reconfigure и без потери бойца внешние ACL перезапускаются.
.....
Ну вот у меня не спасает реконфигуре - пользователь опять на просторы сети не попадает. Либо рестарт сквида, либо в ручную убить все перловые скрипты, тогда он их перезапустит.
Аптайм да, радует.
Я бы рекомендовал в моменты глюков сделать на сервере к которому сквидтраст ходит по LDAP
ndstrace -all +ldap
и поглядеть что и как.
P.S. У вас чьи скритпы работают - мои или буржуйские ?
Re: Netware прощай....
Добавлено: 02 фев 2014, 16:11Dimerson писал(а): (заявлен для AD и eDir)
У Fortigate нет прозрачной авторизации. Это точно.
Re: Netware прощай....
Добавлено: 04 фев 2014, 07:50Dimerson писал(а):....
Я бы рекомендовал в моменты глюков сделать на сервере к которому сквидтраст ходит по LDAP
ndstrace -all +ldap
и поглядеть что и как.
P.S. У вас чьи скритпы работают - мои или буржуйские ?
Спасибо за совет, попробую.
Скрипты буржуйские по моему. Я тогда несколько вариантов перепробовал и уже сомневаюсь на чём остановился.
Re: Netware прощай....
Добавлено: 05 фев 2014, 05:29ezhik40 писал(а):Dimerson писал(а): (заявлен для AD и eDir)
У Fortigate нет прозрачной авторизации. Это точно.
В доке описан SSO для eDirectory используется внешний вспомогательный сервис.
Re: Netware прощай....
Добавлено: 03 мар 2014, 20:45И я ушел на OES. Вместо бордюра squid с авторизацией через squidtrustIII. Собственно говоря косяк остался с первазивом, не ловит права на базки. Не ограничить на чтение через файловые права. Придется в программах разрулить.