Автор Тема: Типичная тема организации сети.  (Прочитано 4732 раз)

MisHel64

  • Гость
Специально для  anjelo_03.

1) Сервер, он же гейт.
Берется один компьютер с двумя сетевыми картами.
Если есть возможность выделить специальный компьютер, то ставится серверная ОС.
Если такой возможности нет, ставится ОС наиболее удобная для работы человека который будет работать на этом компьютере.
Через одну сетевую карту подключается ADSL модем. Все. К ADSL модему больше ничего не подключается. При наличии вайфая и прочих рюшечек эти рюшечки отключаются. Вторая сетевая карта подключается к ГЛАВНОМУ хабу.
На этот компьютер доставляются прокси сервер и сервер имен, и по желанию (настоятельно рекомендую) сервис динамических адресов. Читать про SQUID, NAMED, DHCPd.
На сервере поднимается PPPoE, или что-то похожее для получения интернета от ВолгаТелекома. Искать на сайте ВолгаТелекома.
Поднимается VPN туннель до инет провайдера, в данном случае, это РТком, если я правильно помню.

2) DNS
Сервер имен настраивается на поддержку домена локальной школы, по желанию.
Форвард всех запросов настраивается на DNS сервера сетевой полиции, если нужна фильтрация трафика по DNS.
Форвард всех запросов настраивается на DNS сервера провайдера, если такая фильтрация не нужна.
Если фильтрация по DNS не нужна, и провайдер ВолгаТелеком настоятельно рекомендую самостоятельно разрешать запросы, не используя форвард.

3) SQUID (Прокси).
Настраиваете на самостоятельную доставку коннекта, иначе фильтрация трафика по именам работать не будет.
Или настраиваете доставку трафика с прокси сервера вашего провайдера (не ВТ!), фильтрация трафика по именам работать не будет, но трафик фильтровать будет ваш провайдер (не ВТ!). Это более правильное решение.
И дополнительно: Средствами прокси сервера, или сторонних дополнений к нему, настраиваете фильтрацию черному списку. На ваше усмотрение и/или по белому. Попутно режете банеры и прочую рекламу.

4) DHCP
Настраиваете по типовой схеме. Документации море. Можно на два диапазона. Один для учеников, второй для учителей. Обсуждается сейчас в рассылках. Фильтрация по мак адресам.

5) Трансляция адресов.
Блокируете весь трафик из локальной сети наружу.
Исключения для асек и прочих пейджеров и только для компов учителей.
Скайп и подобное пускаете только через прокси сервер, и там же настраиваете разрешения.

6) Если есть потребность сделать доступ к ресурсу внутри сети из локальной сети провайдера, настраиваете проброс портов, или выделяете специальный IP из диапазона выделенных провайдером, и транслируете его на внутренней ИП.

7) Все хабы включаются только в главный хаб. И по возможности в главный хаб включаются только другие хабы, и сервер.

8 ) На всех рабочих станциях говорите, что использовать нужно свой собственный DNS сервер, который работает на гейте. А в инет ходить только через локальный прокси.
Про использование DNS можете руками прописать, можете выдавать с помощью DHCP сервера или зероконфа.
Про использование прокси можно рассказать клиентам в ручную, с помощью DHCP сервера, с помощью механизма WPAD, или вообще перевести прокси сервер в "прозрачный" режим работы.


Это типовая схема. Которая может быть изменена под действием дополнительных условий.
В частности, если нужна фильтрация и по именам и через прокси провайдера и по собственным спискам придется ставить ДВА прокси сервера. И речь тут не о двух компьютерах а о двух программах.
« Последнее редактирование: 23.03.2010 16:22:30 от MisHel64 »

Оффлайн anjelo_03

  • Завсегдатай
  • *
  • Сообщений: 64
  • Новичок. Пытаюсь внедрить Линукс в школе.
    • Сайт МОУ  СОШ № 39
    • Email
Re: Типичная тема организации сети.
« Ответ #1 : 23.03.2010 16:36:19 »
У нас сейчас модем ADSL  подключен к роутеру.
Роутер нужен чтобя делать локальную сеть по школе. Так как Волгателеком даёт только 20 адресов школам.
Можно ли в схему ADSL  - Роутер - Сетевой хаб подключить сервер?
Можно обойтись без двух сетевых карт на ПК  учителя?
 :)
Новичок. Пытаюсь внедрить Линукс в школе.

MisHel64

  • Гость
Re: Типичная тема организации сети.
« Ответ #2 : 23.03.2010 17:13:35 »
Почтите наконец "Методические материалы" (pdf, 1.9Mb) с сайта skf.edu.ru.
И перестанте путать ОАО «РТКомм.РУ» и местный филиал ВолгаТелекома. Я не однократно вам об этом говорил.
Прочтите наконец вот этот пост: _http://forum.altlinux.org/index.php/topic,6128.msg87678.html#msg87678 Тут я вам все разжевал.
И вот этот пост вы до сих пор не прочитали: _http://forum.altlinux.org/index.php/topic,6128.msg87601.html#msg87601

Вы поймите меня правильно. Пропадает всякое желание писать что-то человеку, который ни читает ответы.

Оффлайн Balbes

  • alt linux team
  • ***
  • Сообщений: 891
Re: Типичная тема организации сети.
« Ответ #3 : 23.03.2010 17:30:13 »
На сервере поднимается PPPoE, или что-то похожее для получения интернета от ВолгаТелекома. Искать на сайте ВолгаТелекома.
Поднимается VPN туннель до инет провайдера, в данном случае, это РТком, если я правильно помн
Это можно исключить, только настроить сетевую карту подключенную к модему.

Оффлайн YYY

  • Мастер
  • ***
  • Сообщений: 5 950
Re: Типичная тема организации сети.
« Ответ #4 : 23.03.2010 18:03:40 »
Простите конечно, что вмешиваюсь.
Но у  anjelo_03 есть уже сетка, есть скаченный Юниор, есть компы со статическими адресами.
И я не думаю что он вот возмет сейчас да за неделю перестроит сеть и настроит сервак как в посте 1.
Может ему предложить минимально сложное (пусть неправитьное/корявое) решение его проблемы?
А уж как от них отстанет прокуратура и будет лето с кучей времени - тогда и переделают по уму.
Например. Поставить на учительский Юниор.
Там есть СКФ. Настроить.
Настроить резалку по нехорошим словам - тема в этом разделе уже есть есть уже. Andrei обещал список этих слов.
На их роутере, раз уж купили, разрешить выходить в интернет только компьютеру учителя. Думаю с веб интерфейсом роутера у anjelo_03 проблем не будет. А остальным запретить выход через роутер. Тогда для выхода в интернет на компьютерах учеников в качестве прокси сервера прописать IP компьютера учителя и порт СКФ учителя.
Чем не решение на первое время?
Тем более ковыряться с одним компьютером, сеть остается как есть.

ЗЫ: А теперь кидайтесь помидорами :)
« Последнее редактирование: 23.03.2010 18:07:37 от YYY »

Оффлайн Balbes

  • alt linux team
  • ***
  • Сообщений: 891
Re: Типичная тема организации сети.
« Ответ #5 : 24.03.2010 09:59:05 »
есть компы со статическими адресами.
И я не думаю что он вот возмет сейчас да за неделю перестроит сеть и настроит сервак как в посте 1.
Может ему предложить минимально сложное (пусть неправитьное/корявое) решение его проблемы?
А уж как от них отстанет прокуратура и будет лето с кучей времени - тогда и переделают по уму.
Например. Поставить на учительский Юниор.
Там есть СКФ. Настроить.
Настроить резалку по нехорошим словам - тема в этом разделе уже есть есть уже. Andrei обещал список этих слов.
На их роутере, раз уж купили, разрешить выходить в интернет только компьютеру учителя. Думаю с веб интерфейсом роутера у anjelo_03 проблем не будет. А остальным запретить выход через роутер. Тогда для выхода в интернет на компьютерах учеников в качестве прокси сервера прописать IP компьютера учителя и порт СКФ учителя.
Чем не решение на первое время?
Тем более ковыряться с одним компьютером, сеть остается как есть.
Ваше предложение в полном объеме не пройдет, насколько понял, на ученических ПК, в первом кабинете, сейчас адреса назначены в ручную и использованы из диапазона выданного провайдером (из тех 20 доступных про которые anjelo_03 написал ранее, хотя это еще надо проверять), и для организации сети во втором кабинете и для остальных ПК в школе этих 20 провайдерских адресов  банально уже не хватит, поэтому все равно придется адреса на ученических ПК первого кабинета менять на другие, которые обычно используют для внутренних локальных сетей с шлюзом в инте и которые ни как не связаны с этими 20 выделенными провайдером.
Для anjelo_03 все куда проще, если бы он прислушивался к советам и перестал метаться из одной крайности в другую. Порядок действий для него простой :
1. Переподключить правильно кабели локальной сети на хабе, модеме и учительском ПК.
2. Установить на учительский ПК дистрибутив из тех что имеется.
(Что-бы посоветовать какой оптимальнее сейчас ставить и давать конкретные пошаговые рекомендации по этому дистрибутиву, что и как делать в нем, надо знать какие есть, и так понимаю по предыдущим постам, кроме Юниора 5.0, есть Легкий, и наверняка есть комплекты дисков которые рассылались централизованно, на первое время их то же можно задействовать под текущую задачу - отбиться от проверки).
3. Настроить учительский ПК на раздачу инета ученическим ПК и на фильтрацию (все настройки можно проделать через простой и удобный веб-интерфей, на учительском ПК, ни чего курочить в АДСЛмодеме не нужно)
4. Настроить ученические ПК на работу с инетом через учительский ПК, можно даже для начала не менять ОС, но по хорошему лучше сразу ее переустановить на всех ученических ПК и настроить все "с нуля" как надо (заодно убъется весь кэш на них, который похоже уже сыграл злую шутку - не позволил сразу увидеть нормальную работу фильтрации при замене DNS-адресов на "полицаевские").
 
Вот и все, ни чего сложного. По хорошему, тут работы на день, но с учетом консультирования через инет - два\три дня. И заодно решается вопрос с разворачиванием остальное ЛВС (локальной сети школы) - останется только сделать кабельную разводку и простейшую настройку остальных ПК.
« Последнее редактирование: 24.03.2010 10:05:02 от Balbes »

Оффлайн YYY

  • Мастер
  • ***
  • Сообщений: 5 950
Re: Типичная тема организации сети.
« Ответ #6 : 24.03.2010 13:51:52 »
и так понимаю по предыдущим постам, кроме Юниора 5.0, есть Легкий, и наверняка есть комплекты дисков которые рассылались централизованно
Ну 4тые Шкльные на дисках конечно должна быть. Но железо у anjelo хорошее, Юниора 5.0.1 скачал, помоему 5.0.1 лучший выбор чем 4-тые.

>сейчас адреса назначены в ручную и использованы из диапазона выданного провайдером

Ну я не думаю что будет проблемой в ХР (а я как понял о полном переходе на линукс речи пока нет), поставить авто-получение настроек от роутера (от АДСЛ модема кабель кинуть в WAN порт роутера) и в ручную прописать проксик на браузере. И пусть этот роутер будет основой сетки - раздает всем IP - в него свитч из другого класса завести. За одно проблема с DHCP решиться. А уж потом - хоть сервер в разрыв между модемом и роутером ставить, хоть на роутере не пускать кроме тех кто через СКФ на учительском.

Кстати из плюсов последнего - можно учителю легко со своего компьютера запретить ученикам выход в интернет, чтоб не баловались во время когда интернет не требуется. Ярлычек на рабочем столе сделал - включить/выключить сквид и красота :) Когда сервер отдельный конечно тоже решается - но уже сложнее...
« Последнее редактирование: 24.03.2010 14:06:08 от YYY »

Оффлайн Balbes

  • alt linux team
  • ***
  • Сообщений: 891
Re: Типичная тема организации сети.
« Ответ #7 : 24.03.2010 15:02:22 »
Ну 4тые Шкльные на дисках конечно должна быть. Но железо у anjelo хорошее, Юниора 5.0.1 скачал, помоему 5.0.1 лучший выбор чем 4-тые.

>сейчас адреса назначены в ручную и использованы из диапазона выданного провайдером

Ну я не думаю что будет проблемой в ХР (а я как понял о полном переходе на линукс речи пока нет), поставить авто-получение настроек от роутера (от АДСЛ модема кабель кинуть в WAN порт роутера) и в ручную прописать проксик на браузере. И пусть этот роутер будет основой сетки - раздает всем IP - в него свитч из другого класса завести. За одно проблема с DHCP решиться. А уж потом - хоть сервер в разрыв между модемом и роутером ставить, хоть на роутере не пускать кроме тех кто через СКФ на учительском.

Кстати из плюсов последнего - можно учителю легко со своего компьютера запретить ученикам выход в интернет, чтоб не баловались во время когда интернет не требуется. Ярлычек на рабочем столе сделал - включить/выключить сквид и красота :) Когда сервер отдельный конечно тоже решается - но уже сложнее...
ИМХО На 256 ОЗУ - лучше ставить либо четвертую линейку, либо Легкий 5.0.1, от Юниора 5.0.1 на таком железе лучше воздержаться, и интерфейс Гнома для учеников, привыкших к Вин-платформе, будет в начале не привычен.
Можно было бы использовать и один роутер, но если прокуратуре будет не достаточно тех блокировок по DNS (через фильтр netpolic), которые будут прописаны в роутере, все равно придется ставить вторую сетевую и поднимать прокси-сервер с СКФ на учительском ПК (или делать сервер), тогда роутер в этой схеме, лишняя пятая нога, проще все делать сразу через единый вэб-интерфейс на учительском ПК (или сервере) по единой схеме проверенной и хорошо документированной схеме, чем еще упражняться с разбирательством в настройках еще и роутера, где легко накосячить и пустить по ошибке  весь трафик минуя прокси и СКФ, через сам роутер или наоборот, запретить а грешить на прокси. ИМХО лучше убрать роутер - как слишком не предсказуемое звено.
По поводу быстрого отрубания прокси - согласен. Как раз и предполагал использовать этот дополнительный вариант быстрой и полной блокировки для проверки, если что-то не получиться настроить сразу как надо, выключил ПК учителя (или отключил прокси) и проверяющий увидит только то, что сохранено в локальном кэше на ПК учеников. ;)
 

Оффлайн anjelo_03

  • Завсегдатай
  • *
  • Сообщений: 64
  • Новичок. Пытаюсь внедрить Линукс в школе.
    • Сайт МОУ  СОШ № 39
    • Email
Re: Типичная тема организации сети.
« Ответ #8 : 25.03.2010 16:00:39 »
Простите конечно, что вмешиваюсь.
Но у  anjelo_03 есть уже сетка, есть скаченный Юниор, есть компы со статическими адресами.
И я не думаю что он вот возмет сейчас да за неделю перестроит сеть и настроит сервак как в посте 1.
Может ему предложить минимально сложное (пусть неправитьное/корявое) решение его проблемы?
А уж как от них отстанет прокуратура и будет лето с кучей времени - тогда и переделают по уму.
Например. Поставить на учительский Юниор.
Там есть СКФ. Настроить.
Настроить резалку по нехорошим словам - тема в этом разделе уже есть есть уже. Andrei обещал список этих слов.
На их роутере, раз уж купили, разрешить выходить в интернет только компьютеру учителя. Думаю с веб интерфейсом роутера у anjelo_03 проблем не будет. А остальным запретить выход через роутер. Тогда для выхода в интернет на компьютерах учеников в качестве прокси сервера прописать IP компьютера учителя и порт СКФ учителя.
Чем не решение на первое время?
Тем более ковыряться с одним компьютером, сеть остается как есть.

ЗЫ: А теперь кидайтесь помидорами :)
Буду делать как вы предложили
Новичок. Пытаюсь внедрить Линукс в школе.

Оффлайн Balbes

  • alt linux team
  • ***
  • Сообщений: 891
Re: Типичная тема организации сети.
« Ответ #9 : 25.03.2010 16:46:42 »
Буду делать как вы предложили
Вот и прекрасно, будет хоть результат вместо многодневного топтания на месте.



toYYY сопровождение теперь за Вами.  ;)
« Последнее редактирование: 25.03.2010 17:07:58 от Balbes »

Оффлайн YYY

  • Мастер
  • ***
  • Сообщений: 5 950
Re: Типичная тема организации сети.
« Ответ #10 : 25.03.2010 17:48:45 »
Буду делать как вы предложили
Ну тогда первый шаг - Мастер на учительский - там уже СКФ из коробки