[ majstorovic @ 29.08.2006. 14:59 ] @
Uh, krenimo redom... Cilj je softwerski sistem za kontrolu interneta prema krajnjem korisniku.
Ovim problemom se bavim vec vise godina i jednostavno rjesenje jednog problema prouzrokuje novi problem.
1) Wingate
je po meni jedan od najboljih programa za djeljenje interneta u mrezi, medjutim veoma je skup i ima nekih svojih mana.
Zadnja verzija koju koristim je verzija 5.0.0c i koja je ok, za vecinu verzija prije ove koju instalirate moracete vratiti sat na racunaru na recimo 97 godinu. Kod svih tih verzija problem je sigurnost jer postoji samo detekcija usera po IP adresi tako da ako odredite da neki korisnik moze ici na internet samo preko svoje IP adrese, neko drugi ladno moze staviti njegovu IP adresu kad njega nema i ici na internet. Ovo je na neki nacin i rijeseno u Wingateu preko dhcp servera gdje je moguce staviti da su neke IP adrese rezervisane za odredjene MAC adrese, gdje je onda kontrola jako dobra i moguce je ograniciti masu stvari. Medjutim ovo povlaci opet zavisnost od servera jer ako racunar koji se upali nedobije ip adresu od servera (npr. server je ustopao) onda ce doci do totalnog rasula na mrezi. Npr. Borgchat ce biti onemogucen kao i mnogi drugi servisi. Veliki problem je sto u wingate-u nema dakle kontrole po mac adresi (normalne kontrole bez dhcp-a). Zatim nema bandwidth kontrole, dakle nema kontrole protoka prema krajnjem klijentu. Bandwidth kontrole su jako dobro uradjenje u verziji 6 pa na dalje u okviru sekcije Extended Networking. Dalje stare verzije wingejta po mojim testovima mnogo bolje rade na windows ME recimo nego na XP ili 2000, krajnjem korisniku internet ide mnogo brze ako je wingate instaliran na win ME. Zatim tu je jos problem pri instaliranju wingatea na win 2000 gde neradi MSN messenger krajnjeg korisnika. Zato sto je u win 2000 sve te portove koje wingate propusta potrebno rucno postimati.
2) CCproxy
je odlican program koji je ipak samo proxy. Njegov najveci problem je sto se za svaki (skoro svaki) program na klijent masini moraju unositi podesavanja. Outlook nekad nece da radi, kao ni mnogi programi koji u sebi nemaju posebna podesavanja (socks, proxy), zatim Kaspersky nekad zna da zeza sa downloadom novih definicija, nece da se konektuje... Spisak programa i problema je ogroman.
CCproxy podrzava filtriranje sajtova, usera po IP i MAC, kontrolu protoka ama bas sve ali on je samo proxy, nema NAT funkcije itd. Zatim MSN Messenger i njegov rad je problematican, narocito ako se instalira CCproxy na windows ME.
U principu ovo je odlican program ako nemate u mrezi zahtjevne korisnike koji ce htjeti da gledaju live kamere ili slicne stvari... Jednostavno nije vrijedno truda da se to sve postima preko CCproxy-a.
3) Usergate ili Gatewall to su otprilike dva slicna programa i sad ako neko kaze da je jedan za englesko a drugi za rusko trzizte vara se jer postoji i Usergate na engleskom... Trenutna verzija je 4 koja se moze koristiti 30 dana, program ima sve sto zamislite sem automatskog ukidanja accounta korisnika za odredjen broj dana sto i nije tako strasno...
4) Inet-shaper ili kako se vec pise, nije vrijedan truda, projekat je ukinut ali program je jos moguce skinuti na netu. U stvari program nije ukinut ali je koncepcija programa skroz promjenjena. Skontacete o cemu pricam ako skinete staru i novu verziju programa...
5) Winroute necu ni da komentarisem, jednostavno mi se nesvidja... Bar ova verzija sto ja imam je losa do bola (znam da je zastarila). Od ovog programa me odbija to sto sam ga instalirao 100 puta pa sam se poslije morao penjat i po krovovima i tavanima da dodjem do servera. Jer prilikom instalacije on prekida svaku vezu sa ostatkom mreze dok se nepostima program. Ako instalirate programe na serveru pomocu VNC ili nekog drugog programa potrebno je da pri instalaciji Winroute unesite ip adresu nekog racunara sa kojeg pristupate na taj server.
--------------------------
programa je jos milion sto sam probao ali svi su sa nekim manama nema ni jedan potpun sem wingate 6.1 sa registracijom od jedno 1500$ hehe...
--------------------------
Rjesenje svih mojih problema sam nasao u kombinaciji programa.
1. Npr wingate i ccproxy na milenijumu posto sam zakljucio da tu wingate stari najbolje radi. Ovde je potrebno samo promjeniti proxy portove na ccproxy, zatim socks, iskljuciti dns, mail, ftp, news da se nesudaraju sa wingate-om. Npr u ccproxy za proxy staviti umjesto 808, 801 a za socks staviti 1081. Sada mozete dijeliti internet po paketima, one jeftinije i sporije pakete saljete na ccproxy, a one ful pakete na wingate. Postoji mogucnost preusmjeravanja proxy servera sa wingate-a na ccproxy, samo pri tome u ccproxy morate kreirati account za wingate. Tako da onda mozete sve korisnike slati na net preko wingate-a pri tome da oni slabiji jeftiniji paketi idu preko wingate proxy-a koje je usmjeren i usporen od strane ccproxy-a. Ovo je dobro ali ima nekih sigurnosnih rupa...
2. Onda sam razmisljao wingate mi radi sve samo mi treba nesto da radi bandwidth i kontrolu po mac adresi, znaci treba mi BandwidthController odlican program koji opet ima jednu manu... U mogucnosti je da ogranicava protok prema serveru, da filtrira korisnike po macu. Jako je jednostavan i sa njima ogranicavate brzinu protoka prema tom nekom korisniku. Medjutim njime neogranicavate samo brzinu interneta prema korisniku nego kompletnu brzinu lana prema korisniku, tako da ako recimo imate pored interneta na serveru i druge servise( npr. sharing, neku prezentaciju DC server ili sl.) sve ce biti usporeno prema tom korisniku... Uz ovaj BandwidthController nemorate ni koristiti wingate ili neki slican program jednostavno na serveru sarujte konekciju i preko njega sve radite. Samo morate kreirat za svakog korisnika na mrezi nalog, koristio on ili nekoristio internet. Oni koji nekoriste internet ili neplate samo stavite na 0. Ovo je potrebno uraditi jer ako se nekreira nalog za svakoga oni za koje nije kreiran nalog ce imati prolaz do servera... Medjutim BandwidthController neradi pod win me niti postoji neki slican program koji radi pod win me....
3. Vodeci se svim ovim instalirao sam win me jer mi wingate radi najbolje pod njim i ccproxy. Ako imate kakvih prijedloga, primjera, rjesenja ovih problema, pisite.
-----------------------------------------------------
Pitanja:
1.Da li je neko upucen u isa server i sta se sa njim moze, nisam ga uspio ni instalirati (verzija 2000) jer nisam imao sistem pod ntfs a mislio sam da nije vrijedno da se sad mucim sa tim...
2. Da li je moguce dodati neke filtere u stari wingate da se njime regulise brzina protoka prema krajnjem korisniku.
3. Da li postoji mozda jos neki program koji sam previdio da bi mogao da rijesi te problemcice.
[ AleksandarNS @ 29.08.2006. 15:48 ] @
Ako hoćeš da instaliraš ISA Server, nemoj instalirati ISA 2000 već obavezno ISA2004 (Veruj mi, sačuvaćeš mnogo živaca).
[ majstorovic @ 29.08.2006. 21:40 ] @
Instalirao bi ja isa server ali jednostavno se bojim uraditi to, bojim se sad unistiti sistem ovaj koji sam jedva napravio poslije toliko truda a da nedobijem nista. Treba mi neko da mi na srpskom u 5 recenica kaze zasto da instaliram isa server2004 sta mi je potrebno za to i uopste sta on nudi. Da li je komplikovan ili ne. Procitao sam milion tekstova o tome ali mi treba par recenica iz prve ruke od nekoga ko ima iskustva sa istim.
[ skydiver021 @ 30.08.2006. 08:23 ] @
ISA Server 2004
Microsoft Internet Security and Acceleration (ISA) Server 2004 je zaštitni zid i Web keš server.
Detaljnije na http://www.microsoft.com/scg/i...luation/overview/whatsnew.mspx na srpskom!

Isa server nije uopšte jeftin pogledaj koliko košta. Jedna od mana mu je da nema ugrađen bandwith control već se to mora naknadno instalirati od nezavisnih proizvođača. Više o tome na http://www.isaserver.org/software/ISA/Bandwidth-Control/

Što se tiče cena pošto si kukao da je wingate skup :)
ISA Server 2004 Standard Edition
$1,499 per processor
ISA Server 2004 Standard Edition is Microsoft's next-generation application-layer firewall, virtual private network, and Web cache solution, delivering new levels of security, simplified management, and performance.

ISA Server 2004 Enterprise Edition
$5,999 per processor
ISA Server 2004 Enterprise Edition is designed for large organizations that require flexible deployment options with the highest levels of manageability, availability, and scalability.

Required Software
Microsoft Windows Server 2003
$999 per server

Pogledaj malo i na http://www.mikrotik.com/software.html mislim da će ti se ovo svideti a nije ni skup od 45$ do 250$ :)

RouterOS Features
Router
Bandwidth Manager
Firewall
HotSpot Gateway
VPN Server/Client
Wireless AP/Router
all in one box
and much more!

Applications
Firewall
ISP backbone router
HotSpot Gateway
Dial-In Server
Dial-Out Server
Bandwidth shaper
Traffic logger
[ Ser_Boyler @ 30.08.2006. 08:42 ] @
Citat:
majstorovic: Instalirao bi ja isa server ali jednostavno se bojim uraditi to, bojim se sad unistiti sistem ovaj koji sam jedva napravio poslije toliko truda a da nedobijem nista. Treba mi neko da mi na srpskom u 5 recenica kaze zasto da instaliram isa server2004 sta mi je potrebno za to i uopste sta on nudi. Da li je komplikovan ili ne. Procitao sam milion tekstova o tome ali mi treba par recenica iz prve ruke od nekoga ko ima iskustva sa istim.

Mozes da instaliras virtuelnu masinu sa ISA serverom ako zelis blize da se upoznas sa mogucnostima ovog firewall/proxy/etc. , a bez bojazni da ces nesto upropastiti...
[ majstorovic @ 30.08.2006. 17:18 ] @
Uh cini mi se da je ovaj RouterOS 2.9 prava stvar sad cu to malo ispitati. Ali u ovome svemu ljudi nema nikakve logike ti programi bi morali biti puno jeftiniji jer sada na trzistu vec postoje ruteri koji su strasno jeftini i koji sve podrzavaju. Recimo najprostiji canyon ruter sa rtl8186 cipom kosta oko 55 eura sto je daleko jeftinije od ovih programa.... Ode sad da se bacim na ovaj program. Hvala puno na prijedlogu.