ПО для home-шлюза/www

[mikeO]

Общая ситуация такова -
есть две сети (квартирная на 3 компа с XP и ноут с w98, и локальная домовая с общим выходом)

имеется писюк p4_478_3G/1024G/2xsata 120g/softraid 1
1xLAN marvell gig и pci Intel pro100
корпус Чифтек 360в, полный самосбор с отдельным ups
одним словом - конфигурация ужасная, нормальными людьми нелюбимая  :roll:

хочется сделать его шлюзом для своих 3х компов между квартирой и общей сетью, дабы снять файервольные нагрузки с остальных компов. кроме того - установить на него небольшой форум.

планируется - 5 одновременных подключений к форуму и файлопомойка для небольших (до 50 мег) файлов. то есть уже есть www,ftp,fw и (возможно) update service для домашних машин.
backup будет =)

оставлять на круглосуточную работу планируется не чаще 1-2 раз в неделю.

вопрос такой - какой софт в _максимальной_ для данного писюка и _минимальной_ конфигурации (os-web-firewall-antivir-et cetera) ставить на него с учетом исключения на ближайшие три-четыре месяца доп.бюджета на железки для этой прелести?  :?

рекомендации желательны под win, так как все остальные компы под этим семейством. но могу, в принципе и bsd с самбой протянуть.

отвечу на все вопросы. желательно только не услышать - "продай нафиг" =) машинка заслуженная, но не старая (март этого года - ни одного сбоя тьфу-тьфу-тьфу).

[Stranger03]

рекомендации желательны под win, так как все остальные компы под этим семейством. но могу, в принципе и bsd с самбой протянуть

Поставьте что-то вроде Винроут или Винпрокси. Описания в и-нете полно.

[mikeO]

То есть получается Win-IIS-wingate. А что с файером и антивирусом?

[Kirill Tkachev]

Для Ваших задач вполне достаточно WinXP SP2 с его встроенным Firewall'ом и Internet Connection Sharing. Как сие настроить могу небольшой гайд выложить вечером, как до дома доберусь - писал для своей домашней сетки.
А так, по идее, на этот компьютер вполне можно накрутить Win2003 Server+ISA 2004+IIS/Апач.
По поводу антивируса - хотите ли Вы фильтровать входящий трафик? Если да, то тут надо сильно думать, т.к. это создает неслабую нагрузку на процессор.

[mikeO]

Для внешний сети, из которой будут идти 3 подключения из 5 встроенного фаерволла недостаточно уже сейчас. Увы. Каждые два-три дня усиленный portscan идет. Захлебывался даже zonealarm один раз. Поэтому и решил делать шлюз, на который однозначно переложить файервольные функции. И либо делать целиковый разверт unix (trustix linux или bsd) или windows вещь-в-себе (что предпочтительнее - больше опыта =).

Видимо все-таки это будет w2k3 (нужна постоянная практика с ней =) и iis.

Так как кроме гейта вынести с домашней станции планируется и файло-склад, то... антивирус не помешает. Хотя может его действительно оставить на станции и проверять гейт как сетевой диск??

А форум планируется в основном для тренировки по организации форума и его узких мест (для работы нужно приобрести практический опыт с phpBB).

Получается уже 3 штуки - форум (то есть www), файлосервер (обойдемся sharingом) и роутер-файерволл.

[Kirill Tkachev]

Для внешний сети, из которой будут идти 3 подключения из 5 встроенного фаерволла недостаточно уже сейчас.

Как FireWall связан с подключениями?

Увы. Каждые два-три дня усиленный portscan идет. Захлебывался даже zonealarm один раз.

Вот я и предлагаю убрать нафиг всякин "зоналармы" и воспользоваться штатным стредством ибо оно не заморачиваеться особо анализом - что неразрешено, то запрещено - всем спасибо, все свободны.  :twisted: Тем более что у него bootstrap режим есть - для шлюза полезно.

Поэтому и решил делать шлюз, на который однозначно переложить файервольные функции. И либо делать целиковый разверт unix (trustix linux или bsd) или windows вещь-в-себе (что предпочтительнее - больше опыта =).

Как вариант купите простенький маршрутизатор за 30 долларов типа D-Link DI-604 и незаморачивайтесь. Перегружать его по питанию раз в день и все ОК.

Видимо все-таки это будет w2k3 (нужна постоянная практика с ней =) и iis.

Тогда уж и ISA 2004 поставьте - крайне удобная и толковая штука.

Так как кроме гейта вынести с домашней станции планируется и файло-склад, то... антивирус не помешает. Хотя может его действительно оставить на станции и проверять гейт как сетевой диск??

Сейчас вирусы на дисках/дискетах  довольно редкое явления, поэтому целесообразнее иметь антивирус на каждом компьютере или фильтровать на сервере весь трафик. Но в случае Torrent'a, eMule и т.п. это непоможет, так что хотя бы для проверки после скачивания все равно стоит иметь локальный антивирус.

Получается уже 3 штуки - форум (то есть www), файлосервер (обойдемся sharingом) и роутер-файерволл.

Под sharing'ом вы подразумеваете "файлопомойку" для дома или выставденную наружу? Если первое то вполне правильное решение, если второе, то сие крайне небезопасно - лучше фтп поднять.

[mikeO]

Как FireWall связан с подключениями?
Не так выразился - его возможностей не хватает. Разрешать-запрещать например порты - это да. А вот определять тип атаки или попытку прогрыза оборны червяком? Это тоже интересно. Я ведь делаю гейт не для чужих (поставил-настроил-забыл). Я ставлю дома, для связи с внешней сетью и интернетом через нее. И мне интересно, что приплыло  :twisted:

Вот я и предлагаю убрать нафиг всякин "зоналармы"  Тем более что у него bootstrap режим есть - для шлюза полезно.
Насчет замарачивания анализом - см.выше  :) Мне будет интересно не только кто лезет, но и с чем и зачем. А насчет bootstrap в винде - можно подробнее? Это в смысле самовосстановления службы файерволла?

Как вариант купите простенький маршрутизатор за 30 долларов типа D-Link DI-604 и незаморачивайтесь. Перегружать его по питанию раз в день и все ОК.
Это конечно можно. Но только хотелось бы ближе к моему первому посту - использовать имеющийся комп. Доп. бюджета пока нет =)
Хотя это вариант... Просто не задумывался о таком роутере.

Но в случае Torrent'a, eMule и т.п. это непоможет, так что хотя бы для проверки после скачивания все равно стоит иметь локальный антивирус.
Куда же без них =( иногда нужную музыку быстрее найти через них.  Вопрос, что лучше - emule будет на станции => локальный антивирь или emule на роутере => проверка на роутере или через sharing.
Оборот файлов небольшой, но вот число открытых подключений в emule убивает..  :evil:

Под sharing'ом вы подразумеваете "файлопомойку" для дома или выставденную наружу? Если первое то вполне правильное решение, если второе, то сие крайне небезопасно - лучше фтп поднять.
Файлопомойка будет открыта для дома и трем людям во внешней.
Скорее всего будет действительно ftp, но открытый не всем. Вот тут и понадобиться что-то вроде isa, так как стандартный файер винды я не преддставляю, как настроить на избирательный доступ к www,ftp по ip-mac адресам  :?

[mikeO]

Простите, DSR. Вы говорили про черновые схемы устройства сети для себя. Ваше предложение с ними ознакомиться еще в силе?  

[Kirill Tkachev]

Это несовсем схема сети. Это описание как настроить ICS для подключения домашней сетки к общемировой.

ICS забороть удалось, вот краткая инструкция (названия английские, т.к. нет под рукой компьютера с русским WinXP)
Алгоритм настройки NAT под WinXP
1. В компьютере, который подключен к Сети должно стоять две сетевые карты. Одна подключена к Сети, вторая ко второму компьютеру или смотрит в вашу локальную сеть - это не принципиально.
2. Конфигурируем IP на интерфейсе подключенном к Сети в соответсвии с настройки предоставляемым Провайдером. (Рекомендую в настройках WINS поставить галку Disable NetBIOS over TCP/IP.)
3. Переходим на закладку Advanced конфигурации сетевого интефеса. Ставим галку Allow other network users to connect through this computer's Internet connection. Нажимаем ОК что бы применились настройки и включился ICS.
3. На интерфейсе смотрящем в вашу сетку (подключенном ко второму компьютеру) настраиваем только два параметра:
IP address 10.0.0.1
Subnet Mask 255.255.255.0
Больше ничего настраивать там ненадо.
4. На компьютерах которые надо подключить к инету настраиваем
IP address из диапазона 10.0.0.2-10.0.0.254
Subnet mask 255.255.255.0
Default gateway 10.0.0.1
DNS <выданный Провайдером адрес ДНС>.
Нажимаем ОК и радуемся.

Пункты 3 и 4 делаються в случае если Провайдер выдает IP адреса из 192.168.* подсети - любят это дело провайдеры домашних сетей. Если адрес реальный или 10.*, то можно их не делать. В этом случае внутренний интерфейс будет настроем мастером как 192.168.0.1, а локальной сетке адреса будут раздаваться с помощью DHCP из диапазона 192.168.*.

PS: на предыдущие вопросы напишу ответ как до работы доберусь.

[Kirill Tkachev]

Как FireWall связан с подключениями?
Не так выразился - его возможностей не хватает. Разрешать-запрещать например порты - это да. А вот определять тип атаки или попытку прогрыза оборны червяком? Это тоже интересно. Я ведь делаю гейт не для чужих (поставил-настроил-забыл). Я ставлю дома, для связи с внешней сетью и интернетом через нее. И мне интересно, что приплыло  :twisted:

Ну это другое дело, тут можно только порекомендовать поиграться с разными FireWall'ми и выбрать для себя наиболее понравившийся. Вот только сейчас столько всякой кадости постоянно лезет, что запаритесь логи читать.

Вот я и предлагаю убрать нафиг всякин "зоналармы"  Тем более что у него bootstrap режим есть - для шлюза полезно.
Насчет замарачивания анализом - см.выше  :) Мне будет интересно не только кто лезет, но и с чем и зачем. А насчет bootstrap в винде - можно подробнее? Это в смысле самовосстановления службы файерволла?

Несовсем - Windows Firewall грузиться до загрузки сетевых протоколов, т.е. в момент загрузки и инициализации протоколов у вас компьютер уже защищен. Во всяком случае так уверяют представители МС.

Но в случае Torrent'a, eMule и т.п. это непоможет, так что хотя бы для проверки после скачивания все равно стоит иметь локальный антивирус.
Куда же без них =( иногда нужную музыку быстрее найти через них.  Вопрос, что лучше - emule будет на станции => локальный антивирь или emule на роутере => проверка на роутере или через sharing.
Оборот файлов небольшой, но вот число открытых подключений в emule убивает..  :evil:

На сервере удобнее тем что повесил его у пусть себе висит качает - чем дольше висит тем выше рейтинг, качаться будет быстрее. А рулить им можно через Веб интерфейс. Про антивирус я уже писал - на каждом компьютере по антивирусу не помешает.
Ну и что то подключений много? В WinXP/2003 оно практически неограничено, в разумных пределах.

Под sharing'ом вы подразумеваете "файлопомойку" для дома или выставденную наружу? Если первое то вполне правильное решение, если второе, то сие крайне небезопасно - лучше фтп поднять.
Файлопомойка будет открыта для дома и трем людям во внешней.
Скорее всего будет действительно ftp, но открытый не всем. Вот тут и понадобиться что-то вроде isa, так как стандартный файер винды я не преддставляю, как настроить на избирательный доступ к www,ftp по ip-mac адресам  :?

По MAC адресам бойсь что вообще неполучиться, если вы с "клиентами" не в одной подсети. А по IP во встроенном FireWall'у смотрите Add port-> Scope.

[mikeO]

Т.о. имеем общий вывод - пробовать   Чем и займемся.

Большое спасибо за советы!