Доброго времени суток.
Есть задача фильтровать интернет у удаленных(мобильных) сотрудников. Фильтрация через прокси не подходит т.к. сотрудников около 300 и и для работы нужен очень серьезный канал.
Возможно ли замутить что-нибудь на dns. Еше оч желательно деление по группам, например на основание ip или чего-нибудь еще.
> ... т.к. сотрудников около 300Пффф...
> Доброго времени суток.
> Есть задача фильтровать интернет у удаленных(мобильных) сотрудников. Фильтрация через
> прокси не подходит т.к. сотрудников около 300 и и для
> работы нужен очень серьезный канал.
> Возможно ли замутить что-нибудь на dns. Еше оч желательно деление по группам,
> например на основание ip или чего-нибудь еще.А напрасно от прокси отказываетесь!
300 это не та цифра, которой стоит бояться. ))
Все же порекомендую связку:
сквид (без кеширования) + squidGuard
ну а уж в squidGuard и настраивайте доступ по IP, времени, etc
ну и блэклисты применяйте (и самопальные можно прикручивать)
> Доброго времени суток.
> Есть задача фильтровать интернет у удаленных(мобильных) сотрудников. Фильтрация через
> прокси не подходит т.к. сотрудников около 300 и и для
> работы нужен очень серьезный канал.что в вашем понимании серьезный канал? У меня ~300 людей, 200 мбит канал. squid (без кеширования) + squidguard. Проблем не наблюдал.
> Возможно ли замутить что-нибудь на dns. Еше оч желательно деление по группам,
> например на основание ip или чего-нибудь еще.не стоит одевать штаны через голову
дело в том что юзера на редкость прожорливые, а канал более 100 Мбит/с влетает в "мегакопейку" т к провайдер в БЦ монополист, так же руководство не хочет выносить сервер в датацентр(по непонятным причинам). На 100 все тормозит. Мож кто делал аналог SKYDNS
> дело в том что юзера на редкость прожорливые, а канал более 100
> Мбит/с влетает в "мегакопейку" т к провайдер в БЦ монополист, так
> же руководство не хочет выносить сервер в датацентр(по непонятным причинам). На
> 100 все тормозит. Мож кто делал аналог SKYDNSНормально задачу сформулируйте!
у вас что, пока можно все всем и без всякого учета/контроля?
>> дело в том что юзера на редкость прожорливые, а канал более 100
>> Мбит/с влетает в "мегакопейку" т к провайдер в БЦ монополист, так
>> же руководство не хочет выносить сервер в датацентр(по непонятным причинам). На
>> 100 все тормозит. Мож кто делал аналог SKYDNS
> Нормально задачу сформулируйте!
> у вас что, пока можно все всем и без всякого учета/контроля?На данный момент squid + squidguard канал 100 Мбит/c. и все лагает, из-за загрузки канала.
Пользователей скоро будет больше, до 1500, и стомегабитный канал не потянет, а денег на 200- 300 мбит не дадут
>>> дело в том что юзера на редкость прожорливые, а канал более 100
>>> Мбит/с влетает в "мегакопейку" т к провайдер в БЦ монополист, так
>>> же руководство не хочет выносить сервер в датацентр(по непонятным причинам). На
>>> 100 все тормозит. Мож кто делал аналог SKYDNS
>> Нормально задачу сформулируйте!
>> у вас что, пока можно все всем и без всякого учета/контроля?
> На данный момент squid + squidguard канал 100 Мбит/c. и все лагает,
> из-за загрузки канала.
> Пользователей скоро будет больше, до 1500, и стомегабитный канал не потянет, а
> денег на 200- 300 мбит не дадутну на 1500 людей 100 мбит в любом случае мало. А что говорит статистика логов squid?
>[оверквотинг удален]
>>>> же руководство не хочет выносить сервер в датацентр(по непонятным причинам). На
>>>> 100 все тормозит. Мож кто делал аналог SKYDNS
>>> Нормально задачу сформулируйте!
>>> у вас что, пока можно все всем и без всякого учета/контроля?
>> На данный момент squid + squidguard канал 100 Мбит/c. и все лагает,
>> из-за загрузки канала.
>> Пользователей скоро будет больше, до 1500, и стомегабитный канал не потянет, а
>> денег на 200- 300 мбит не дадут
> ну на 1500 людей 100 мбит в любом случае мало. А что
> говорит статистика логов squid?Статистика говорит, что за сутки выкачивается почти 600 ГБ и канал лежит, качают клипарты, и тд(нужно по работе).
Все-таки хочется реализовать решение аля скай днс.
>[оверквотинг удален]
>>>> у вас что, пока можно все всем и без всякого учета/контроля?
>>> На данный момент squid + squidguard канал 100 Мбит/c. и все лагает,
>>> из-за загрузки канала.
>>> Пользователей скоро будет больше, до 1500, и стомегабитный канал не потянет, а
>>> денег на 200- 300 мбит не дадут
>> ну на 1500 людей 100 мбит в любом случае мало. А что
>> говорит статистика логов squid?
> Статистика говорит, что за сутки выкачивается почти 600 ГБ и канал
> лежит, качают клипарты, и тд(нужно по работе).
> Все-таки хочется реализовать решение аля скай днс.А какие проблемы со СкайДНС? Там платные аккаунты есть. Я пользуюсь халявным.
> не стоит одевать штаны через головуПро ДНС фильтрацию - это вы зря. Очень хорошая весчь. Конечно, одного этого мало.
Я настроил прозрачный прокси, фильтрующий НТТР-методы + приоритизация трафика файерволом.
Да, торренты качают (специально разрешено), ну и пусть при скорости в 100Кбит. :-))
>> не стоит одевать штаны через голову
> Про ДНС фильтрацию - это вы зря. Очень хорошая весчь. Конечно, одного
> этого мало.
> Я настроил прозрачный прокси, фильтрующий НТТР-методы + приоритизация трафика файерволом.
> Да, торренты качают (специально разрешено), ну и пусть при скорости в 100Кбит.
> :-))У генерального заскок по поводу сторонних сервисов "типа наши действия будут пасти" )))
хочется у себя решение реализовать по средствам dns.
>>> не стоит одевать штаны через голову
>> Про ДНС фильтрацию - это вы зря. Очень хорошая весчь. Конечно, одного
>> этого мало.
>> Я настроил прозрачный прокси, фильтрующий НТТР-методы + приоритизация трафика файерволом.
>> Да, торренты качают (специально разрешено), ну и пусть при скорости в 100Кбит.
>> :-))
> У генерального заскок по поводу сторонних сервисов "типа наши действия будут пасти"Достаточно распространенная проблема (я о заскоках).
> )))
> хочется у себя решение реализовать по средствам dns.Вы, наверное, плохо понимаете или плохо объясняете руководству. Своими силами вы dns не осилите. Как вы представляете себе создать и поддерживать базу урлов\адресов с миллионами хостов, разделенных по неким категориям???
Тут только коммерческие решения. Из свободных на просторах укр\ру нета - уже упоминался.
> Достаточно распространенная проблема (я о заскоках).
>> )))
>> хочется у себя решение реализовать по средствам dns.
> Вы, наверное, плохо понимаете или плохо объясняете руководству. Своими силами
> вы dns не осилите. Как вы представляете себе создать и поддерживать
> базу урлов\адресов с миллионами хостов, разделенных по неким категориям???
> Тут только коммерческие решения. Из свободных на просторах укр\ру нета - уже
> упоминался.о базе я уже думал- ее можно поиметь из squidguarg листов, ее достаточно.
шеф сам когда то оч крутой мен в it.
и самому уже интересно это замутить. не найду готового буду на С++ писать, но велосипед изобретать как то не оч хочется.
Так что ищу по форумам предложения по готовым решениям или варианты прикрутки к бинду
>> не стоит одевать штаны через голову
> Про ДНС фильтрацию - это вы зря. Очень хорошая весчь. Конечно, одного
> этого мало.
> Я настроил прозрачный прокси, фильтрующий НТТР-методы + приоритизация трафика файерволом.
> Да, торренты качают (специально разрешено), ну и пусть при скорости в 100Кбит.
> :-))И как тут поможет ДНС при условии - "Статистика говорит, что за сутки выкачивается почти 600 ГБ и канал лежит, качают клипарты, и тд (нужно по работе)."
>>> не стоит одевать штаны через голову
>> Про ДНС фильтрацию - это вы зря. Очень хорошая весчь. Конечно, одного
>> этого мало.
>> Я настроил прозрачный прокси, фильтрующий НТТР-методы + приоритизация трафика файерволом.
>> Да, торренты качают (специально разрешено), ну и пусть при скорости в 100Кбит.
>> :-))
> И как тут поможет ДНС при условии - "Статистика говорит, что за
> сутки выкачивается почти 600 ГБ и канал лежит, качают клипарты,
> и тд (нужно по работе)."Прочтите свой первый пост в этой теме. На тот момент топикстартер ни слова не сказал о качают клипарты, и тд (нужно по работе).
А если в целом, то фильтрация на уровне ДНС, то это существенная доля в целом комплексе мер по борьбе с "правильны" потреблением канала юзерами.
В первом топике написано про то что пользователи удаленные, следовательно, трафик не будет гонятся через нашу проксю, а проходить только днс запросы, тем самым канал будет разгружен.
Про клипарты не сказал, т.к. это уточнение про почти 100% загрузку канала.
Если нужны еще вводные все готов ответить.
Оч хочется конструктива.
> В первом топике написано про то что пользователи удаленные, следовательно, трафик не
> будет гонятся через нашу проксю, а проходить только днс запросы, тем
> самым канал будет разгружен.
> Про клипарты не сказал, т.к. это уточнение про почти 100% загрузку канала.
> Если нужны еще вводные все готов ответить.
> Оч хочется конструктива.А я это... Я тут вот до сих пор понять не могу, как так у вас будет работать фильтрация на уровне DNS?
Что будет мешать пользователю использовать не фильтрующие DNS-сервера?
> Что будет мешать пользователю использовать не фильтрующие DNS-сервера?А блокировать файерволом, не?
>> Что будет мешать пользователю использовать не фильтрующие DNS-сервера?
> А блокировать файерволом, не?Мешать использовать не фильтрующие днс будет настройка компьютера нашим системным администратором - прав поменять не будет.
Локальным файрволом вы имеете ввиду, не реально, т.к. списки сайтов могут пополнятся, нужно централизованное решение.
>>> Что будет мешать пользователю использовать не фильтрующие DNS-сервера?
>> А блокировать файерволом, не?
> Мешать использовать не фильтрующие днс будет настройка компьютера нашим системным администратором
> - прав поменять не будет.
> Локальным файрволом вы имеете ввиду, не реально, т.к. списки сайтов могут пополнятся,
> нужно централизованное решение.Он имеет в виду разрешение одного единственного адреса на 53ем порту.
Ну ок, а если пользователи прошарят, что можно обращаться к сайтам мимо DNS, напрямую по IP?
Во-вторых некоторые клиенты думаю всё же смогут получить администраторские права на своей машинке и выкосить фаервол или забитый DNS-сервер.
> Во-вторых некоторые клиенты думаю всё же смогут получить администраторские права на своей
> машинкеА админ, собственно, зачем??
В корпоративном сегменте - это редкость.
Я не ищу 100 процентную панацею от всего, от пользователей получающих админские права и т.д. с такими пользователями бороться нужно индивидуально.
Мне нужна защита не более чем скай днс. Обойдут, ну и ладно, не думаю что их будет более 5 процентов(учитывая контингент).
Господа, все вами приведенные аргументы мной рассмотрены, и я жду не аргументов против этого решения а способов реализации.
Заранее спс.
> Господа, все вами приведенные аргументы мной рассмотрены, и я жду не аргументов
> против этого решения а способов реализации.
> Заранее спс.Купить скайднс и отадминить пользователей. :)
>> Господа, все вами приведенные аргументы мной рассмотрены, и я жду не аргументов
>> против этого решения а способов реализации.
>> Заранее спс.
> Купить скайднс и отадминить пользователей. :)Покупка скайднс не катит - заскок генерального )))(описано выше)
> А если в целом, то фильтрация на уровне ДНС, то это существенная
> доля в целом комплексе мер по борьбе с "правильны" потреблением канала
> юзерами.самый правильный способ - "админ-ные штрафы". Проверенно!
>> не стоит одевать штаны через голову+10000
> Про ДНС фильтрацию - это вы зря. Очень хорошая весчь. Конечно, одного
> этого мало.
> Я настроил прозрачный прокси, фильтрующий НТТР-методы + приоритизация трафика файерволом.И куда приотизируете? )
> Да, торренты качают (специально разрешено), ну и пусть при скорости в 100Кбит.
> :-))И как порезали до 100Кбит этот трафик? )
> Доброго времени суток.
> Есть задача фильтровать интернет у удаленных(мобильных) сотрудников. Фильтрация через
> прокси не подходит т.к. сотрудников около 300 и и для
> работы нужен очень серьезный канал.
> Возможно ли замутить что-нибудь на dns. Еше оч желательно деление по группам,
> например на основание ip или чего-нибудь еще.а что если использовать локальную проксю у клиентов?
например 3proxy, поддерживает авторизацию, время работы.
списки доступа к руссурсам можно выкладывать на фтп, потом скриптами централизовано обновлять.сам столкнулся с подобной задачей, пока что решил так... но 300 инсталляций придется все-же выполнить...
>[оверквотинг удален]
>> Есть задача фильтровать интернет у удаленных(мобильных) сотрудников. Фильтрация через
>> прокси не подходит т.к. сотрудников около 300 и и для
>> работы нужен очень серьезный канал.
>> Возможно ли замутить что-нибудь на dns. Еше оч желательно деление по группам,
>> например на основание ip или чего-нибудь еще.
> а что если использовать локальную проксю у клиентов?
> например 3proxy, поддерживает авторизацию, время работы.
> списки доступа к руссурсам можно выкладывать на фтп, потом скриптами централизовано обновлять.
> сам столкнулся с подобной задачей, пока что решил так... но 300 инсталляций
> придется все-же выполнить...это все умеет и squid, зачем изобретать велосипеды
> это все умеет и squid, зачем изобретать велосипедыИМХО 3proxy по-легче будет чем squid в плане прожорливости
>> это все умеет и squid, зачем изобретать велосипеды
> ИМХО 3proxy по-легче будет чем squid в плане прожорливостиУ меня несколько копий 3прокси, каждая на своем внешнем направлении. С помощью файервола заворачивается трафик с сети на каждый 3прокси с определенной вероятностью, в зависимости от толщины канала. Неплохая балансировка получается.
У сквида только один плюс - наличие кэша. А кому он нужен в 2013...
>>> это все умеет и squid, зачем изобретать велосипеды
>> ИМХО 3proxy по-легче будет чем squid в плане прожорливости
> У меня несколько копий 3прокси, каждая на своем внешнем направлении. С помощью
> файервола заворачивается трафик с сети на каждый 3прокси с определенной вероятностью,
> в зависимости от толщины канала. Неплохая балансировка получается.
> У сквида только один плюс - наличие кэша. А кому он нужен
> в 2013...согласен, кэш не особо нужен, а вот фильтрация реально спасает.
к тому же ТС явно не указал, предполагаю, что речь идет о вендах.
> У сквида только один плюс - наличие кэша.ошибаетесь. Гибкость acl у сквида явно уделает 3proxy. Да и проект давно заброшен
> А кому он нужен в 2013...
ну если вы только однокласники смотрите, то конечно не нужен, но люди ведь еще и работают. И вот там он еще ой как нужен ;)
>> У сквида только один плюс - наличие кэша.
> ошибаетесь. Гибкость acl у сквида явно уделает 3proxy. Да и проект давно
> заброшенЧто вы этими acl-ми, время доступа в сеть регулируете или блэк-листы\режики и т.д. Все это прекрасно работает на том уровне на котором должно - на уровне файервола\днс. Бросьте вы свои привычки все через проксю блочить.
>> А кому он нужен в 2013...
> ну если вы только однокласники смотрите, то конечно не нужен, но люди
> ведь еще и работают. И вот там он еще ой как
> нужен ;)Назову один случай, где ваше утверждение верно: группа сотрудников часто грузит больших размеров одинаковый файл. Все! Для обеспечения нормальной работы предприятия дешевле взять нормальный канал, а не дорогостоящее оборудование с хорошей дисковой подсистемой и т.д.
Или для вас скорость работы сквида на десктопных "серверах" считается пределом мечтаний? :-)
>>> У сквида только один плюс - наличие кэша.
>> ошибаетесь. Гибкость acl у сквида явно уделает 3proxy. Да и проект давно
>> заброшен
> Что вы этими acl-ми, время доступа в сеть регулируете или блэк-листы\режики
> и т.д. Все это прекрасно работает на том уровне на котором
> должно - на уровне файервола\днс.ну можно конечно штаны и через голову одевать, только зачем? ;)
>>> А кому он нужен в 2013...
>> ну если вы только однокласники смотрите, то конечно не нужен, но люди
>> ведь еще и работают. И вот там он еще ой как
>> нужен ;)
> Назову один случай, где ваше утверждение верно: группа сотрудников часто грузит
> больших размеров одинаковый файл. Все!узкий у вас какой то взгляд, советую почитать что же такое squid
> Для обеспечения нормальной работы предприятия дешевле
> взять нормальный канал, а не дорогостоящее оборудование с хорошей дисковой подсистемой
> и т.д.тогда по вашей логике каждая конторка должна иметь AS и BGP
> Или для вас скорость работы сквида на десктопных "серверах" считается пределом
> мечтаний? :-)300 mbit/s, проблем со сквидом нет. ЧЯДНТ?
>>>> У сквида только один плюс - наличие кэша.
>>> ошибаетесь. Гибкость acl у сквида явно уделает 3proxy. Да и проект давно
>>> заброшен
>> Что вы этими acl-ми, время доступа в сеть регулируете или блэк-листы\режики
>> и т.д. Все это прекрасно работает на том уровне на котором
>> должно - на уровне файервола\днс.
> ну можно конечно штаны и через голову одевать, только зачем? ;)Вот и я вам говорю, зачем?
>>>> А кому он нужен в 2013...
>>> ну если вы только однокласники смотрите, то конечно не нужен, но люди
>>> ведь еще и работают. И вот там он еще ой как
>>> нужен ;)
>> Назову один случай, где ваше утверждение верно: группа сотрудников часто грузит
>> больших размеров одинаковый файл. Все!
> узкий у вас какой то взгляд, советую почитать что же такое squidА я вам советую прочитать про другие прокси.
>> Для обеспечения нормальной работы предприятия дешевле
>> взять нормальный канал, а не дорогостоящее оборудование с хорошей дисковой подсистемой
>> и т.д.
> тогда по вашей логике каждая конторка должна иметь AS и BGPПричем тут это? Где же ваша логика? Я говорю о гораздо меньшей потребности в кэширующих прокси нежели, допустим 10 лет назад. Вы лепите сквид на "десктопный сервачек" с 32ГБ оперативы под кэш (максимум что есть на рынке из десктопов) с максимум сата3 и говорите пользе кэша.
Вот когда у нас сквид был на айбиэмовском лезвии со 128Гб, сас и т.д вот тогда чувствовалось, что работаешь через кэш. А если нет такого оборудования, то от такого кэша будет, скорее, зло, нежели работать через прокси без кэша.>> Или для вас скорость работы сквида на десктопных "серверах" считается пределом
>> мечтаний? :-)
> 300 mbit/s, проблем со сквидом нет. ЧЯДНТ?Все. Фундаментально :-)
> Вот и я вам говорю, зачем?так ты себе и ответь на этот вопрос. Зачем ты одеваешь их через голову ;)
> Причем тут это? Где же ваша логика? Я говорю о гораздо меньшей потребности в кэширующих прокси нежели, допустим 10 лет назад
если таки лень ознакомиться что есть squid, то открою тайну, это не только кеширующий прокси. Ваш К.О.
> Вот когда у нас сквид был на айбиэмовском лезвии со 128Гб, сас и т.д вот тогда чувствовалось, что работаешь через кэш. А если нет такого оборудования, то от такого кэша будет, скорее, зло, нежели работать через прокси без кэша.
если оно у вас не работало, так это ваши личные проблемы, нее? У меня стоит два intel 520 и отлично справляются с нагрузкой. Польза есть, еще и какая. Сервер окупился за месяц. ЧЯДНТ?
ну давай грамотей, покажи как ты средствами iptables/dns предоставишь доступ AD пользователю ipetrov к сайтам twitter/facebook/whatever.com только в выходные дни.
P.S.
пользователь мобильный, так что про ip его машины сразу забудь
>[оверквотинг удален]
> так ты себе и ответь на этот вопрос. Зачем ты одеваешь их
> через голову ;)
>> Причем тут это? Где же ваша логика? Я говорю о гораздо меньшей потребности в кэширующих прокси нежели, допустим 10 лет назад
> если таки лень ознакомиться что есть squid, то открою тайну, это не
> только кеширующий прокси. Ваш К.О.
>> Вот когда у нас сквид был на айбиэмовском лезвии со 128Гб, сас и т.д вот тогда чувствовалось, что работаешь через кэш. А если нет такого оборудования, то от такого кэша будет, скорее, зло, нежели работать через прокси без кэша.
> если оно у вас не работало, так это ваши личные проблемы, нее?
> У меня стоит два intel 520 и отлично справляются с нагрузкой.
> Польза есть, еще и какая. Сервер окупился за месяц.
>ЧЯДНТ?У вас ошибки фундаментальны, лежащее в основе всей стратегии построения системы коллективного доступа в Инет.
> ну давай грамотей, покажи как ты средствами iptables/dns предоставишь доступ AD пользователю
> ipetrov к сайтам twitter/facebook/whatever.com только в выходные дни.Вы вообще читали что я написал? Тут дело не в нагрузке, а о безполезности решения, которое вы предлагаете. Вы не слишите оппонента и нетерпите самокритику - плохой сигнал :-). А доступ к twitter/facebook/whatever.com можно ограничить любой другой проксей типа 3прокси, что будет гораздо эффективнее. Тут без проблем и без мега-монстра в виде сквида. Учите socks,ldap, crontab, sh scripting and so on...
> P.S.
> пользователь мобильный, так что про ip его машины сразу забудьP.S. Не надо мне тыкать и хамить, невежа. Твой уровень познания ты уже показал.
> Твой уровень познания ты уже показал.давно уже, кстати показал... лет пять назад учился по его статьям
>> Твой уровень познания ты уже показал.
> давно уже, кстати показал... лет пять назад учился по его статьямэто во время турбогаза что ли? Когда я еще верил, что freebsd единственная провильная ОС в мире :D
>>> Твой уровень познания ты уже показал.
>> давно уже, кстати показал... лет пять назад учился по его статьям
> это во время турбогаза что ли?да, постфикс особенно хорошо получился
> Когда я еще верил, что freebsd единственная провильная ОС в мире :D
альтернативы еще нет, фря так и осталась единственной правильной ОС
>>>> Твой уровень познания ты уже показал.
>>> давно уже, кстати показал... лет пять назад учился по его статьям
>> это во время турбогаза что ли?
> да, постфикс особенно хорошо получился
>> Когда я еще верил, что freebsd единственная провильная ОС в мире :D
> альтернативы еще нет, фря так и осталась единственной правильной ОСК сожалению, не могу согласиться с этим, но это уже совсем другая история :D
слив засчитан :)
> У вас ошибки фундаментальны, лежащее в основе всей стратегии
> построения системы коллективного доступа в Инет.если ваша основа построения коллективного доступа в Инет - 3proxy и самописные скрипты, то мне жаль вас и вашу фирму
> Вы вообще читали что я написал? Тут дело не в
> нагрузке, а о безполезности решения, которое вы предлагаете.ты читаешь через строку по диагонали?
> А доступ к twitter/facebook/whatever.com можно ограничить любой другой проксей типа 3прокси, что будет гораздо эффективнее. Тут без проблем и без мега-монстра в виде
> сквида. Учите socks,ldap, crontab, sh scripting and so on...в каком месте эффективнее? В чем заключается монструозность squid? Или вы его запускаете на p3 и 256 Mb Ram
> P.S. Не надо мне тыкать и хамить, невежа. Твой уровень
> познания ты уже показал.ну все понятно, аргументы закончились. Предлагаю закончить разговор
> Вы вообще читали что я написал? Тут дело не в
> нагрузке, а о безполезности решения, которое вы предлагаете. Вы не слишите
> оппонента и нетерпите самокритику - плохой сигнал :-). А доступ к
> twitter/facebook/whatever.com можно ограничить любой другой проксей типа 3прокси, что
> будет гораздо эффективнее. Тут без проблем и без мега-монстра в виде
> сквида. Учите socks,ldap, crontab, sh scripting and so on...Я, конечно, дико извиняюсь, но вам бы сначала русский подучить, а потом уже предлагать другим поучить sh.
> Доброго времени суток.
> Есть задача фильтровать интернет у удаленных(мобильных) сотрудников. Фильтрация через
> прокси не подходит т.к. сотрудников около 300 и и для
> работы нужен очень серьезный канал.
> Возможно ли замутить что-нибудь на dns. Еше оч желательно деление по группам,
> например на основание ip или чего-нибудь еще.vpn
> Доброго времени суток.
> Есть задача фильтровать интернет у удаленных(мобильных) сотрудников. Фильтрация через
> прокси не подходит т.к. сотрудников около 300 и и для
> работы нужен очень серьезный канал.
> Возможно ли замутить что-нибудь на dns. Еше оч желательно деление по группам,
> например на основание ip или чего-нибудь еще.прочитайте про OSI, и решите на каком уровне фильтровать надо и какую инфу по фильтрам надо получать. и перестрайвайте систему под свои нужды, если руководство бабло даст. если бабла нет, то базар про то, какой софт прикладного уровня использовать (свквид-не_сквид), когда даже не описана структура физических подключений (L2-уровень хотя бы) - это выпендреж и разговор ни о чем.
PS
я уже говорил о vpn выше, как пример одного из решений, как авторизовать клиента (даже мобильного). про "фильтрация интернета" - слов вообще нет адекватных. всем спасибо.
Вообще если вам охота аналог скайднс, тобешь нагибать клиента с помощю DNS, могу предложить упоротый костыль:Поднимаете у себя DNS-сервер, обеспечиваете его использование всеми вашими клиентами и просто-напросто фильтруете его ответы у себя там же на локальном фаерволе. Это конечно если "закон" у вас один для всех.