Ciao,

vorrei installare una macchina a valle del firewall, che faccia da gateway internet per tutta la rete interna.

La quale deve fare due cose: (la seconda opzionale)

1. Schedulare, filtrare, bloccare, impostare policy, creare log, per l'accesso ad internet di qualsiasi client e utente. (un contentfilter. praticamente)
(2. Filtro Antivirus per i file in download da qualsiasi client della rete interna.)

ad oggi per il punto 1. usiamo WEBSENSE che va benone.. però è costoso.
Volevo capire se c'era una soluzione interessante lato opensource. E tagliare questo costo.


PS: l'operazione per i client deve essere del tutto trasparente... nel senso che NON va configurato NIENTE sui client.
I client gia sanno tramite routing che per andare in internet devono passare per questo gateway. Sul quale sarà impostato un forward automatico ad internet e viceversa.

Ciao,

vorrei installare una macchina a valle del firewall, che faccia da gateway internet per tutta la rete interna.

La quale deve fare due cose: (la seconda opzionale)

1. Schedulare, filtrare, bloccare, impostare policy, creare log, per l'accesso ad internet di qualsiasi client e utente. (un contentfilter. praticamente)
(2. Filtro Antivirus per i file in download da qualsiasi client della rete interna.)

ad oggi per il punto 1. usiamo WEBSENSE che va benone.. però è costoso.
Volevo capire se c'era una soluzione interessante lato opensource. E tagliare questo costo.


PS: l'operazione per i client deve essere del tutto trasparente... nel senso che NON va configurato NIENTE sui client.
I client gia sanno tramite routing che per andare in internet devono passare per questo gateway. Sul quale sarà impostato un forward automatico ad internet e viceversa.

Nella mia azienda avevamo la stessa esigenza. Ho configurato un transparent proxy utilizzando squid e dansguardian. A questi poi, ho aggiunto snort per individuare eventuali tentativi di accesso alla rete

Nella mia azienda avevamo la stessa esigenza. Ho configurato un transparent proxy utilizzando squid e dansguardian. A questi poi, ho aggiunto snort per individuare eventuali tentativi di accesso alla rete

bello.

hai qualche how-to ? personale.

bello.

hai qualche how-to ? personale.
No, magari:cry: Quando ho configurato il tutto, purtroppo, non ho avuto il tempo per scrivere una sorta di documentazione. Se un domani dovessi reinstallare il tutto, dovrei ricominciare da zero:muro: :stordita:
Se posso esserti di aiuto, comunque, chiedi pure:)

va bene! grazie.


io parto da qua intanto

http://linuxdidattica.org/docs/gcdss/squid/page2.html



una cosuccia.. l'hai integrato con AC di Windows immagino?
e... i report? chi te li fa? Legalmente dovremmo avere dei report su chi fa cosa e per quant tempo (utente/ip/orari/source/destinatario...)
Li fai sempre con squid e dansguardian?

va bene! grazie.


io parto da qua intanto

http://linuxdidattica.org/docs/gcdss/squid/page2.html



una cosuccia.. l'hai integrato con AC di Windows immagino?
e... i report? chi te li fa? Legalmente dovremmo avere dei report su chi fa cosa e per quant tempo (utente/ip/orari/source/destinatario...)
Li fai sempre con squid e dansguardian?
No, non ho nessun dominio. I pc con windows installati sono solo 4/5. Tutti gli altri sono client linux:D
Per quanto riguarda i report puoi utilizzare sarg

No, non ho nessun dominio. I pc con windows installati sono solo 4/5. Tutti gli altri sono client linux:D
Per quanto riguarda i report puoi utilizzare sarg



capito.


e cacti invece? è simile a sarg?

capito.


e cacti invece? è simile a sarg?

Sinceramente è la prima volta che lo sento nominare:p Ho dato un rapido sguardo, ma sembra più uno strumento per controllare lo stato del sistema, non per generare report dell'attività su internet degli utenti. Potrei anche sbagliarmi:stordita:

ok, forse è più per il monitoring della rete, generico.


poi, finito tutto.. c'è mica un pannello web per consultare o amministrare i diversi tools, unificato:

squid
dansguardian
sarg

?

ok, forse è più per il monitoring della rete, generico.


poi, finito tutto.. c'è mica un pannello web per consultare o amministrare i diversi tools, unificato:

squid
dansguardian
sarg

?
Non lo so, gestisco tutto da linea di comando tramite ssh. Gli unici interventi che faccio, poi, riguardano dansguardian con il quale blocco/sblocco le estensioni dei file da scaricare o abilito determinati siti.

Non lo so, gestisco tutto da linea di comando tramite ssh. Gli unici interventi che faccio, poi, riguardano dansguardian con il quale blocco/sblocco le estensioni dei file da scaricare o abilito determinati siti.

non è importantissimo. ok


per i protocolli?
se qualcuno ti usa torrent o il mulo?

su quale distribuzione linux hai sistemato il tutto?

non è importantissimo. ok


per i protocolli?
se qualcuno ti usa torrent o il mulo?

su quale distribuzione linux hai sistemato il tutto?

Non mi sono mai posto il problema. I colleghi, infatti, non sono molto smaliziati col pc ed anche per aprire un allegato email chiamano me:muro:
A questo aggiungi che:
quasi tutti i pc dell'ufficio sono basati su linux e, quindi, per installare qualsiasi programma devo intervenire io sui 4/5 pc windows ho creato degli utenti con privilegi limitati ed anche in questo caso devo intervenire io per apportare modifiche alla configurazione. dansguardian mi blocca il download degli eseguibili

Tramite iptables, comunque, potresti bloccare tutto il traffico in uscita, abilitando solo determinate porte e dirottando il traffico della porta 80 verso squid

Ma installare direttamente una distro dedicata non è più comodo, rapido e funzionale?

Io ti consiglio Endian firewall, distro sviluppata in italia (www.endian.it). Ti scarichi la versione community, si installa in pochi minuti e la configurazione di tutto quello che chiedi è ESTREMAMENTE semplice e offre anche molte altre opzioni oltre a quelle che hai richiesto.

Ma installare direttamente una distro dedicata non è più comodo, rapido e funzionale?

Io ti consiglio Endian firewall, distro sviluppata in italia (www.endian.it). Ti scarichi la versione community, si installa in pochi minuti e la configurazione di tutto quello che chiedi è ESTREMAMENTE semplice e offre anche molte altre opzioni oltre a quelle che hai richiesto.

bene a sapersi!

di solito le distribuzioni dedicate, facili e potenti, ma talvolta sono incomplete per via appunto che sono troppo specifiche.
Diventa quindi difficile metterci le mani.
Quindi va meglio una distribuzione generica e ci si applicano sopra le cose che servono. Ma ovviamente diventano più difficili e meno friendly.


provo a dare un occhio.
PS: altre distrib?
PPS: cosa differisce la versione comunity da quella a pagamento? SOLO il supporto o limiti più importanti? edit: trovato: http://www.endian.com/it/community/feature-comparison/
Praticamente oltre al supporto, manca l'antivirus.

le differenze tra le 2 versione sono:


supporto tecnico ufficiale (di alta qualità, mi hanno sistemato problemi nel giro di 1ora dalla segnalazione)
Modalità hotspot (utile per alberghi, convegni e C., nel pieno rispetto delle normative anti terrorismo)
Aggiornamenti (le enterprise che ho in giro hanno aggiornamenti per la sicurezza e la stabilità dei componenti praticamente tutte le settimane, alla fine sono backport di quelli di RHEL ma cmq funzionano benone)
Scarico di responsabilità. Le normative su privacy e trattamento dati richiedono una certa gestione della sicurezza dei dati. Qualora un ti bucassero un FW open e senza supporto diretto da parte di un'azienda il rischio legale è tuo. Con il supporto commerciale Endian srl si prende in carico la resonsabilità di garantire la sicurezza delle informazioni quindi. Alla fine non mi è mai servito (l'unica volta che mi hanno bucato un ipcop il cliente ha perso informazioni anche importanti ma non ci sono state conseguenze per nessuno, soprattutto per me visto che aveva rifiutato il preventivo per aggiornare un sistema che era ormai molto molto datato) ma per i miei clienti spendere qualche euro (parliamo di poche centinaia l'anno) vale la pena.
Recentemente sono stati introdotti un'antivirus e un'antispam di tipo commerciale. L'antivirus è sophos e IMHO funziona peggio di clamav, l'antispam è più "intelligente" nell'apprendere le regola ma anche qui IMHO non ne vale la pena....
Ho comunque poca esperienza con questi 2 strumenti. Entrambi sono attivi x 30gg dalla prima installazione delle versioni commerciali ma difficilmente ci perdo dietro del tempo.....
L'alta disponibilità: metti 2 hw uguali, uno configurato master, l'altro slave. Quando il master non funziona per un qualunque motivo (alimentatore saltato o la macchian è stata rapida dagli alieni) e quindi non risponde alle chiamate dello slave (che nel frattempo è sempre stato sincronizzato al master) quest'ultimo ne prende il posto all'interno della rete. Dalle poche prove che ho avuto modo di fare la cosa è praticamente istantanea (2 o 3 minuti).
L'endian network: un sistema che consente di aggiornare, monitorare, configurare le macchine da un'unico pannello amministrativo. Hai 10 installazioni attive dai tuoi clienti? puoi vedere quali sono attive, quali no, quante hanno aggiornamenti da fare, quando sono state riavviate l'ultima volta ecc.


Anche al versione community ha l'antivirus, l'ottimo clamav.
Altre distro potrei consigliarti monowall o smoothwall, ipcop (vecchio e mal supportato) ma nessuna IMHO offre quello che può darti endian. La uso da un pezzo, sia nelle versioni commericali che nella community e sono state davvero pochi i problemi.

P.s. se ti interessano eventuali vpn questa è l'unica distro con cui sono riuscito a creare connessioni openvpn dietro a router (quindi con una connessione nattata) senza impazzire. 5 minuti e la vpn era attiva (alla faccai dei giorni persi precedentemente con smoothwall).

un appunto sugli aggiornamenti.... sulla versione community sono più radi o NON ci sono proprio....?

Si aggiornano (di default con frequenza settimanale) antivirus, antispam e filtri anti intrusione.

Gli aggiornamenti per il resto dei componenti della versione community sono da fare manualmente (scarichi 1 file, lo trasferisci e lo scompatti).

ebbene sto provando questo endian.


pare tutto molto interessante.


sto però sistemando il PROXY http

1. ho disabilitato il firewall, non mi serve. Devo solo filtrare i contenuti.

2. ho abilitato HTTP Proxy, TRASPARENTE.

3. i log del proxy.

4. su Filtro Contenuti ho editato "Profilo predefinito (content1)" un punteggio max di 50, Punteggio massimo (50-300).
Le etichette sulle varie voci devono essere "VERDI" per essere filtrate oppure "ROSSE".
Io ho tutto "VERDE".

5. applicato e salvato tutto.

6. youporn va che è una cannonata.. dove sbaglio?

ok, bisogna creare la POLICY di ACCESSO


domanda: è possibile, nella pagina di accesso negato, attivare un campo password nel quale scrivere una password (appunto!) e proseguire la navigazione per qualche minuto?

(questa è un opzione che uso spesso su websense... )

Così a memoria direi di si, dovrei controllare ma sono fuori città per un paio di gg, rientro solo nel fine settimana.

Se non hai già sistemato ti rispondo nel fine settimana.

grazie si, magari.

poi ti aggiungo altre cose.... :D

allora... vediamo dove sono bloccato...

piccolo riassunto:


ENDIAN con due interfacce:
la GREEN collegata sulla rete (192.168.1.16/24)
la RED collegata al firewall con indirizzo pubblico (62.xxx./29).

Inseriti i server DNS:
192.168.1.3 (interno, per la lan)
151.99.250.2 (esterno, pubblico)
-------------------------------------------------------

Ho disabilitato tutti i servizi Firewall, quindi:
Outgoing Firewall - OFF
Inter-Zone Firewall - OFF
firewall VPN - OFF
(nessuna regola sulla voce: Port Forwarding / NAT)
-------------------------------------------------------

Su PROXY invece...
HTTP Proxy - ABILITATO - TRASPARENTE
Autenticazione - NTLM
-------------------------------------------------------

TOTALE: provando con il portatile ad usare ENDIAN come default_gateway e DNS_unico navigo e uso i servizi internet senza problemi

PROBLEMI:

1. non riesce a risolvere i nomi dei PC sulla LAN/GREEN a meno che non sia SPECIFICATO l'intero FQDN.. perciò se ho un pc/server che si chiama "ced2", otterrò un "unknown host" pingandolo con "ping ced2".
Otterrò invece l'indirizzo IP corretto solo nella forma "ping ced2.icp.it.local".
E questo... è gia bizzarro.


2. non riesco a fare il join in NTLM, ho provato anche manualmente, modificando winbind.conf ma succede una cosa strana. Se tento la join manualmente DOPO la modifica del file winbind.conf, la join funziona PERO' per qualche motivo il file winbind.conf viene modificato nella riga "workgroup" inspiegabilmente (da ICP.IT a ICP), perciò a parte la prima volta, continuerà a fallire in seguito....
Quindi non riesco ad ottenere gruppi e utenti della mia AC.
qui ho un link con le mie ultime disgrazie...
http://efwsupport.com/index.php?topic=1015.30



Pi che altro, questi sono i punti più importanti.. dai quali non ne esco.

http://img697.imageshack.us/img697/4821/endianproxyjoin.th.png (http://img697.imageshack.us/i/endianproxyjoin.png/)