SKFREE :: View topic - Ma vyznam proxy server?

SKFREE

Software - Ma vyznam proxy server?

backslash_ - 21.11.2010 - 06:31
Post subject:

Zalezi v akom setupe uvazujes o nasadeni proxy a aj o tom, na ake protokoly chces ten proxy nasadit. Ak len premyslas, ze supnes nejake stare zelezo na 100Mbit linku a zinstalujes squida, tak si si prave nasadil brutalnu brzdu do siete. To sa uz potom riesi clusterom, kde si budu chobotnicky zdielat cache a potrebujes riesit loadbalancing a podobne. Nehovoriac o tom, ze musis rucne skonfigurovat u kazdeho klienta pouzivanie proxy, pripadne to osetris cez transparentne proxy, ale to ti nebude fungovat na SSL spojenie. Ak mas ale malicku linku typu 2Mbit od T-comu a pripadne je to nejaka firma a pripadne ak firma pouziva nejaky centralizovany manazment, tak tam este usetris aj nejake tie bajtiky a z vlastnej skusenosti viem, ze manazeri strasne radi stalkuju svojich zamestnancov a prezeraju si reporty Smile

rakel - 21.11.2010 - 10:12
Post subject:

ja proxy pouzivam do skol , pccka nemaju nastavenu gw, idu do netu len cez to proxy. Uz mam aj par firiem co presli na tento sposob pripojenia a pochvaluju si to. Ovela menej sa im zasiera linka. Ide to v pohode aj cez MK, napr 433AH.

backslash_ - 21.11.2010 - 10:36
Post subject:

rakel, definuj pojem "zasiera sa linka", lebo neviem, co si mam pod tym predstavit v suvislosti s proxy Very Happy

Osobne by som ako proxy MK nikdy nenasadil, len v krajnych pripadoch. MK je dobry tak na prehadzovanie packetov z jedneho iface na druhy, nemal by som potom dobry spanok Smile

Ozaj, este som si spomenul, ze na squida sa da nalepit clamav, takze ziskas transparentne skenovanie HTTP trafficu, co je celkom cool vec Wink

rakel - 21.11.2010 - 10:44
Post subject:

si predstav firmu co ma 100pc a kazde pc ide do netu priamo, linka 6/6. Bez proxy bol upload nonstop nad 5 mega, pritom nikto realne nemal potrebu nic odosielat, po nasadeni proxy na vacsinu Pc klesol upload na 1mego. Neskumal som co za hovadiny boli na tych pcckach poinstalovane, dostal som ulohu vyriesit to, za dve hodiny sa to vyriesilo, ideto ta tak roky a nie je ziaden problem.

broli99 - 21.11.2010 - 15:34
Post subject:

Ano ma vyznam.
Napriklad v skolach, firmach. Staci ti nejaky stary komp s dvoma sietovkami a nejaka nenarocna mini linuxova distribucia na to urcena.

Zaujimavo vyzera linuxova distribucia IP-Fire.
http://www.ipfire.org/en/index

Prave ju testujem vo vmware.

Pokial mas dake 12 mbit dslko tak secko ok.
Ale pokial mas 50mbit tak sietovky za 5€ uz nestacia.

eXplorer - 21.11.2010 - 19:50
Post subject:

Ked testujes, testni si aj Endian Firewall, community verzia je free -> http://www.endian.com/en/community/download/

Proxy nema v dnesnej dobe prakticky ziadny vyznam, cacheovat flashove stranky sa neda vobec a zvysne su nastavene s parametrom "no cache". Cache-ovanie fungovalo na pomalych linkach v 90tych rokoch v case ked sa stranky zmenili raz za mesiac, dnes uz je to zbytocna brzda pretoze vsetky stranky su dynamicky generovane a zmenia sa aj 100x za den. Navyse boli casy ked proste neexistoval NAT Smile

Proxy ma zmysel pre kontrolu obsahu z hladiska virusov a nepovolenych kategorii stranok, vacsinou sa ale riesi transparentne. Dalsim prinosom je detailny loggin "kto, kde, co" firewall to nevie a zalogovat IPcky casto nestaci.

Profi riesenia dokazu robit filtering bez toho aby bolo nutne konfigurovat proxy (ani transparentne) a niektore maju aj take specialitky ze dokazu uzivatelovi povolit pristup na nejaku stranku (prip. kategoriu) na zvoleny cas denne (napr 5min, 10 min, hodina ...). Pre firmy je to idealne, nezablokuju pokec.sk alebo facebook.sk ale povolia ho na 10 min denne v pracovnom case. Zzamestnavatelia si to pochvaluju Razz

Maly box s rozmermi 8 portoveho switchu bez aktivneho chladenia (ticho) dokaze odfirewallovat 1Gbit a odfiltrovat asi 100Mbit, podpora clusteringu je samzorejma - ziadne velke servery, ziadny hluk, ziadna zlozita sprava, takmer ziadne naklady na elektrinu, a za to vsetko nizka cena uz pri porovnani so serverom typu "skladacka" a navyse sa tam nema co pokazit. Ale sak ked chcete hrajte sa s linuxom Very Happy

Producenta nenapisem pretoze 421 ma asi dorazi Laughing

broli99 - 21.11.2010 - 20:32
Post subject:

No ja som zvedavy tak napis...

eXplorer - 21.11.2010 - 22:45
Post subject:

Fortinet FortiGate

Web: http://www.fortinet.com/products/fortigate/
Konkretne napriklad FortiGate60C alebo FortiGate80C

Online demo https://www.fortigate.com Login: demo Pass: fortigate
Pozor nie su zobrazene uplne vsetky moznosti, hlavne co sa editacie tyka (user "demo" nema dostatocne prava)

To o com som hovoril najdes v menu:
UTM -> Web Filter -> Profile tam si vpravo nejaky vyber a klikni na "View", zobrazi sa nova stranka, tam rozklikni "FortiGuard WebFiltering" (kliknutim na modru sipku). Rozkliknut sa da aj kazda kategoria. V tejto casti zaroven vidno FortiGuard Quota, co je obmedzenie pristupu na urcity cas. A cele toto sa da spojit s Windows Active Directory a groupami v AD, uzivatelia su overovani voci domene bez toho aby sa museli niekam prihlasovat. V logoch je potom vidiet ktory uzivatel (nezavisle na tom aku IPcku aktualne ma) kam siel. Overenie v domene sa tyka aj inych protokolov, nielen HTTP/FTP.

Checkpoint ma na svojich strankach zverejnenu poslednu analyzu od Gartnera - tzv Magic Quadrant, cim viac vpravo hore producent je, tym lepsie. Az sa divim ze to zverejnili ked nie su najlepsi ... pozri kde je Fortinet. http://www.checkpoint.com/products/prom ... e=hpbanner

421 - 21.11.2010 - 22:57
Post subject:

.....urcite co sa tyka firewallu je to zatial najshodnejsie riesenie, tu povazujem explorera naozaj za odbornika, ktory preluskal tuto masinu do detailu. Netreba podlahnut cisco rieseniu z dielne ASA....to radsej dam k dispozicii cislo uctu a mozete mi prispiet na dovolenku, xcem ist na barbados, podla najlepsich odporucani zelmara. Inak ako je to s tym nakupom fortinetov, co tu nakupoval Gyro a vyhlasoval, ze uz uz bude mat minimalne 2ks.....gyro? mas ich ci to bolo zasa iba osial pri splni mesiaca v BB Smile

gyro - 22.11.2010 - 11:24
Post subject:

Nevyslovuj bozie meno nadarmo.

rado3105 - 22.11.2010 - 14:42
Post subject:

Ten fortigate vyzera velmi zaujimavo. Malo by to vyznam pre nejakych sto klientskych pc? Kolko to stoji, kde su nejake lepsie info z pouzitia v praxi? Kde v topologi siete sa to zapaja?

check:
https://www.fortigate.com/
meno: demo
heslo: fortigate

gyro - 22.11.2010 - 23:02
Post subject:

BTW, Cisco a Fortigate kupujeme vyhradne u specializovaneho predajcu a nim je ebay.de Wink

Stvrtinove aj nizsie ceny, aj v pripade FortiGate. Dokonca uplne nove nerozbalene.

Aman - 23.11.2010 - 11:48
Post subject:

a mas uz to fortigate nasadene? realne skusenosti a vysledky? kazdy tu o tom hovori, ale nikto sa nevyjadril este ze by to mal nasadene...

askeboy - 23.11.2010 - 11:54
Post subject:

z tych fortinetov by bol ktory vhodny na strednu skolu kde je okolo 100 az 300 PCs ?

broli99 - 23.11.2010 - 16:41
Post subject:

No ja som uz rozbehal Ipfire v organizacii kde je DSLko a cca 60 PC. Na 2,4 ghz Celerone.
Absolutne ziadny problem.
Absolutne jednoducha instalacia a nastavenie. Aby sme sa rozumeli IPfire nie je len proxy. Je to "router/firewall" distribucia pre PC ale obsahuje aj proxy.

Zatial to je ako docasne riesenie...sice pociatocne naklady su 0 € ale pocitac bude vela papkat elekriky...

eXplorer - 23.11.2010 - 22:58
Post subject:

Aman: referencie ti dat nemozem bez suhlasu klientov, ale je ich uz dost Smile

Nie su to ziadne low-end riesenia ala zyxel, tplink a pod. A pokial si to nekupis z eBayu tak je normalne nakupovat formou Try&Buy.

askeboy: na pocte PC absolutne nezalezi - z pohladu vykonu ani z pohladu licencii, dolezita je kapacita linky do internetu ktoru to ma kontrolovat. Ak potrebujes chranit konekt do 20Mbit tak mozes skusit FGT60C -> http://www.fortinet.com/products/fortigate/60C.html Priepustnost firewallu 1Gbit, priepustnost antiviru 20Mbit, pocet paralelnych spojeni ktore dokaze obsluzit 80 000. Ak chces nejaku rezervu mozes skusit FGT80C. Vyhodou 60C je ze ma integrovany "storage" (SD card reader) pre logy, statistiky a reporty. Pre skolu je celkom zaujimava moznost vyuzit FortiGate (od 60C vyssie) ako wireless controler, tj do siete po celej skole osadis "hlupe" APcka a celu wireless siet spravujes cez interface FortiGateu, pritom FortiGate samotny moze byt vo variante "bez" wifi. Len pre info skus sa popytat kolko stoji centralne manazovana wireless siet od Cisca, Motoroly alebo Aruby ...

broli99: das IPcku ? poviem ti ci no problem Very Happy