Перейти к содержанию
Asher

Требуется совет по проектированию сети

Автор Asher, в Интернет и Сетевое оборудование Свитчи, Роутеры, Точки доступа WiFi

Рекомендуемые сообщения

Asher    2

Asher
Опубликовано (изменено)

Всем доброго времени суток!

Имеется межсетевой экран на PFSense напрямую подключенный к внешке, с поднятым OpenVPN. На нем вполне мирно живут Squid(прокси) со SquidGuard(прокси-фильтр) и SquidLight(статистика). Добавил HAVP+ClamAV(антивирус) полет шел нормально, но после установки Snort (система обнаружения/нейтрализации вторжений) интернет кончился, то есть он был, но страницу можно было открыть лишь один раз, после чего она добавлялась в черный список :) По отдельности всё работает исправно, однако всё вместе - глючит, и как потом оказалось из-за Perl, который приходилось после каждого рестарта сервера переустанавливать.

В связи с этим у меня возникла мысль разнести всё это на два сервера - 1 (Squid, SquidGuard и SquidLight) и 2 (HAVP+ClamAV и Snort) или даже только Snort отдельно.

Вопрос 1: Если перед серверами поставить роутер D-Link DFL-210 (из роутеров только это пока есть), подымется ли OpenVPN сквозь него?

Вопрос 2: Как лучше их (сервера) подключить, если после межсетевого экрана стоит свитч?

Как-то так :)

Изменено пользователем Asher

Поделиться сообщением

Ссылка на сообщение

Asher    2

Asher
Опубликовано

За свитчем есть еще файловые сервера. Если их в DMZ разместить, то тогда как быть?

Поделиться сообщением

Ссылка на сообщение

Asher    2

Asher
Опубликовано (изменено)

Кстати, у этого D-Link DFL-210 есть "дырка" с надписью DMZ. Как её использовать кто нибудь в курсе?

Или не, наверно лучше её не задействовать в данной конфигурации...

Изменено пользователем Asher

Поделиться сообщением

Ссылка на сообщение

amanita    0

amanita
Опубликовано

Однозначно - не стоит на одной машине городить огород. По-взрослому:

- PFSense в качестве шлюза.

- кальмар отдельно со статистикой на отдельной машине.

- DFL*** от Длинка неплохие девайсы, DMZ там можно настроить на любом порту, ибо они переназначаются. Впрочем, не могу понять, за чем оно может понадобиться при наличии PFSense. Можно подробнее сеть и структуру обрисовать?

- не совсем понял, за чем нужен SNORT...Есть реальная потребность в нем?

OpenVPN поднимется без проблем (при настройке естественно). ЕМНИП на DFL-ах правила как положено организованы - что не разрешено, то запрещено... (лет 6 назад ковырял последний раз их).

Вы там не DPI доморощенный случайно поднять собрались?

Поделиться сообщением

Ссылка на сообщение

Asher    2

Asher
Опубликовано (изменено)

В Snortе, на мой взгляд реальной потребности нет, однако руководство высказало пожелание установить IDS\IPS систему. т.к. PFSense используем, то как вариант предложил Snort. Попробовали - не пошло, месяц спустя вопрос вновь поднялся - "Как там обстоят дела с IDS\IPS?" Вот теперь думаю. Я сам не админ, но в связи с отсутствием в штате админа приходиться этим заниматься.

Сейчас структура сети следующая:

PFSense смотрит во внешку, за ним свитч, за которым файловые сервера (5 штук) и компы пользователей (~100 штук). Помимо этого есть 2 филиала (назовем их так) посредством OpenVPN имеющие доступ в локалку.

Вот как-то так...

...Я сам там недавно, руководством выдвинуты требования в модернизации сети и приведения её в соответствие разного рода нормативным документам по безопасности и т.д. и т.п.

Изменено пользователем Asher

Поделиться сообщением

Ссылка на сообщение

Sot    7

Sot
Опубликовано

Заплатить профессионалам и не лезть туда, где не шаришь...

Поделиться сообщением

Ссылка на сообщение

amanita    0

amanita
Опубликовано

Заплатить профессионалам и не лезть туда, где не шаришь...

Злой ты. Человек совета спрашивает. :) Впрочем, согласен, готовых решений никто не даст, только направление можем показать. Остальное - либо сам, либо за вознаграждение. Да и странно, что нет должности штатного админа...Таки 3 офиса, ~100 ПК и прочая инфраструктура...

2 Asher а какие задачи начальство планирует решать при помощи IDS? Оно (начальство) само в курсе, для чего такие системы используются? Или им нужны просто красивые отчеты типа "кто-куда-откуда-сколько-во сколько" ходил/качал/заливал + чтение переписки сотрудников? Если так, то Snort там как бы не к чему.

Поделиться сообщением

Ссылка на сообщение

Asher    2

Asher
Опубликовано (изменено)

2 amanita Да никакие задачи оно не планирует решать, просто есть документ ФСТЭК где написано, что это должно быть и план проверки с датой, к этой дате нужно подготовиться. Вот и всё. По поводу "кто-куда-откуда-сколько-во сколько" ходил/качал/заливал" это я в первые дни пребывания на данном предприятии сделал, но аппетиты растут во время еды так сказать :)

2 Sot Я уверен, что Вы не родились Ацким FreeBSDшым админом, а стали им в результате пути сквозь тернии к звездам. Порой приходится делать ту работу которую дают, а не выбирать типа: "Я программист, и в сервер не полезу". Остались еще руководители, которые считают, раз ты АйТишник, значит в компах шаришь и ничего ты им не докажешь. И раз прокси с впном смог поднять, значит и всё остальное сможешь, но просто выделываешься. Да и еще, из всего отдела мне видимо одному интересно изучать что-то новое, вот и не отказываюсь.

Тему думаю можно закрыть\удалить как бесперспективную.

Всем спасибо.

P.S. По поводу того, зачем я создал тему - мне не зазорно спросить совета у людей, на мой взгляд более опытных в том или ином вопросе. Как говориться - одна голова хорошо, а две лучше. Ну да ладно, это уже лирика...

Изменено пользователем Asher

Поделиться сообщением

Ссылка на сообщение

Sot    7

Sot
Опубликовано

2 Sot Я уверен, что Вы не родились Ацким FreeBSDшым админом, а стали им в результате пути сквозь тернии к звездам.

Не родился. А тернии мои заключались в долгом и упорном чтении. Спрашивать было не у кого. А на форумах задавать глупые вопросы, не мой метод. (Я на Вас не намекаю, и задеть не хочу.) После длительного и углубленного чтения, вопросы, как правило, сами отпадают.

От того, что где-то в каком-то месте Вам помогут, общего понимания не придет. А без него так и будете по форумам вопросы задавать.

Порой приходится делать ту работу которую дают, а не выбирать типа: "Я программист, и в сервер не полезу". Остались еще руководители, которые считают, раз ты АйТишник, значит в компах шаришь и ничего ты им не докажешь. И раз прокси с впном смог поднять, значит и всё остальное сможешь, но просто выделываешься. Да и еще, из всего отдела мне видимо одному интересно изучать что-то новое, вот и не отказываюсь.

Нужно оставаться профессионалом. Во первых, Вы сами себя обрекли на этот гимарой, единожды ввязавшись. Во вторых, если взялись, то должны сделать. Иначе это не профессионализм. Когда нибудь появится человек, которому придется разбираться в том, что Вы нагородили. И поверьте, от его комментариев, в глазах начальства вы не подниметесь.

А новое изучать это хорошо. Только начинать нужно сначала, а не с конца.

P.S. По поводу того, зачем я создал тему - мне не зазорно спросить совета у людей, на мой взгляд более опытных в том или ином вопросе. Как говориться - одна голова хорошо, а две лучше. Ну да ладно, это уже лирика...

Я абсолютно не против этой темы. И рад бы помочь, но в данном случае не стану. Все что Вы хотите, поднимается на одной железке и прекрасно работает. pfSense - это зло для Вас! Ставьте чистую FreeBSD и разбирайтесь. Это мой совет.

ЗЫ. pfSense - это как билет на самолет. То, что Вы на нем летали, еще не означает, что Вы умеете им управлять.

Поделиться сообщением

Ссылка на сообщение

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Перейти к списку тем Интернет и Сетевое оборудование Свитчи, Роутеры, Точки доступа WiFi
×