Какой proxy server лучше использовать для Win2k. Wingate переодически вешает всю систему. Может убрать Windows File Protection? [Ответ]

ISA Server.
Windows File Protection? зачем убрать ? [Ответ]

ISA Server - достаточно глючная вещь (а если на сервере еще и RRAS запущен, то вовсе беда). Перепробовал много разных прокси под W2k, остановился на Wingate'е (года полтора работает без ошибок, хотя есть моменты, которые хотелось бы видеть несколько по другому). Встроенный в Wingate почтовый сервер слаб по возможностям, поэтому использую VisNetic MailServer.
Попробуй поставить последнюю версию Wingate - сейчас она 5.0.7 (если надо, то ключ пришлю), не устанавливай ENS, отключи лишние вингейтовские сервисы (DNS, DHCP, POP3, SMTP) и проверяй систему, скорее всего неполадки в ней, а не в Wingate'е. [Ответ]

Cham

Сообщение от :
отключи лишние вингейтовские сервисы (DNS, DHCP, POP3, SMTP)

Ну первые три понятно, а вот как ты без smtp почту с клиентов кидать будешь?
nimnul За вингада выступать не буду, но насчет подвешивает - никогда не было, где-то с полгода стоит на серваке. Единственно чего не пойму и никак не справлюсь, так это некоторые чаты через него на клиенты не проходят, но эт может что-то с настройками подшаманить надо.
А чтоб советовать прокся нужно знать задачи, которые ты с их помощью хочешь решить. Я вот некоторые пробовал, которые мне советовали, но они меня не устраивали по тем или иным функциям. Буду еще испытывать. Так что тебе нужно? [Ответ]

Ну тогда я опять скажу Squid [Ответ]

ползую eserv доволен,просто и со вкусом единственный минус не поддерживаеи nat [Ответ]

sturb
SMTP запускается на Visnetic MailServer [Ответ]

Cham

ISA Server - достаточно глючная вещь (а если на сервере еще и RRAS запущен, то вовсе беда).

а что за глюки, если не секрет? [Ответ]

Bambarbia
Иногда не корректно устанавливается, когда работает вместе с RRAS'ом, то иногда искривляются таблицы маршрутизации, иногда отваливаются или не срабатывают правила, какие - точно уже не упомню, но именно по этой причине и не стал его ставить, хотя была потрачена уйма времени на исследование причин. [Ответ]

Cham

два года у меня стоит, работает совместно с rras (vpn), подобных глюков замечено не было

zic

Ну тогда я опять скажу Squid

ISA как прокси и файервол превосходит по функциональности любую комбинацию прокси/файервол под *nix, по надежности - скажем так: достаточная [Ответ]

Bambarbia
Сильно везет [Ответ]

ISA как прокси и файервол превосходит по функциональности любую комбинацию прокси/файервол под *nix, по надежности - скажем так: достаточная
Откуда такие свдения ? Не с MS com ?
Единственное в чем он может привосходить тот же squid это в способности интеграции в AD и созданий цепочек массивов .
Что в 99% не нужно потому что мало где есть AD ( только серьезные конторы могут позволить себе его поддержку ),
и мало где есть больше одного ISA .
Надежность решений на squid на мое личное мнение гораздо выше .
ТО получаем применение ISA может быть обоснованно только в достаточно большой сети где их несколько
,где развернут ADS и сопутствующие службы .
Только в этом случае можно получить какие либо приимущества от его использования по сравнению с использованием squid . И выигрыш тут будет скорее в удобстве централизованного управления , чем в какой то повышенной функциональности ISA в сравнении squid . [Ответ]

zic

Откуда такие свдения ? Не с MS com ?

Из опыта работы. Ну и с microsoft.com тоже.

Единственное в чем он может привосходить тот же squid это в способности интеграции в AD и созданий цепочек массивов .

если ты мне предложишь работающий и надежный способ, как включить аутентификацию не-http запросов под любым *nix, с меня хороший магар

но магар останется у меня тк такого способа нет

интеграция в AD рулит, на самом деле рулит

Надежность решений на squid на мое личное мнение гораздо выше .

аргументы в студию, желательно с примерами личных успешных внедрений [Ответ]

Squid памяти много жрет. Но ISA вроде еще больше. На ИСЕ трафик реально давится? На сквиде - да, я его пробовал немного. В деле он был всего полгода, потом поставили фрю и юзаем сквид под ней. [Ответ]

Bambarbia
интеграция в AD рулит, на самом деле рулит
Ага рулит особенно потому что необратима .
Насчет аутентификации не http запросов не вполне понятно что имелось ввиду .
squid это только http прокси , елси нужно что то другое извините .
А аргументы по поводу большей устойчивости squid просты он ведь запущен на *nix без присутствия различных графических оболочек да и надежность монолитного ядра повыше чем у микроядра .
Кроме того squid распространяется по открытой лицензии в его совершенствовании могут учавствовать любые заинтересованные лица .
PS извиняюсь ,малек ушел от темы .Вроде про 2k речь . Но всеже . [Ответ]

zic

Насчет аутентификации не http запросов не вполне понятно что имелось ввиду .


Поясню на простом примере. Нужно открыть юзеру Иванову доступ по IMAP к его ящику на hotbox.ru. А юзеру Сидорову, который работает за этим же компом (ну, например, во вторую смену, или комп, например, терминальный сервак) - запретить. Т.е. авторизация по IP-адресу в данном случае не подходит. Я работающего решения под *nix не нашел. В исе же это делается элементарно. Пожалуй, нет ни одной фичи ipfw+squid (пробовал именно этот вариант), которая не была бы реализована в ИСЕ. Более того, иса бесспорно богаче функционалом. Плюс куча надстроек сторонних производителей. Да, не бесплатно, но разве мы живем не в стране бесплатного майкрософта?

А аргументы по поводу большей устойчивости squid просты он ведь запущен на *nix без присутствия различных графических оболочек да и надежность монолитного ядра повыше чем у микроядра .


это все теория, на практике иса под win2k работает достаточно устойчиво

Bambarbia добавил [date]1062004099[/date]:
Кроме того squid распространяется по открытой лицензии в его совершенствовании могут учавствовать любые заинтересованные лица .

преимущества ПО с открытым кодом, имхо, сомнительны
но это уже совсем другая история [Ответ]

Bambarbia
преимущества ПО с открытым кодом, имхо, сомнительны
но это уже совсем другая история
Они признаны многими , даже Микрософт был вынужден запустить программу "открытых" исходников , хоть пока не для всех .( OpenSource поддерживают IBM Sun Oracle и многие другие )
Собственно по моему на примере Linux и GNU можно убедиться что Open Source имеет большие перспективы .
Поясню на простом примере. Нужно открыть юзеру Иванову доступ по IMAP к его ящику на hotbox.ru. А юзеру Сидорову, который работает за этим же компом (ну, например, во вторую смену, или комп, например, терминальный сервак) - запретить.
Вообще пример не из жизни , обычно доступ к почте реализуется централизованно через свой почтовый сервер .
Чисто в теории . Можно поставить каждому пользователю в соответствие ip адресс( например в logon скрипте, или сконфигурировав DHCP ) , аутентифицировать в firewall по нему.Либо например поставить сервер Kerberos и на нем раздавать билеты в сеть .
Пожалуй, нет ни одной фичи ipfw+squid (пробовал именно этот вариант), которая не была бы реализована в ИСЕ. Более того, иса бесспорно богаче функционалом. Плюс куча надстроек сторонних производителей.
В этом то и основное отличие концепций *nix и MS , в первом большое количество разнообразных программ предоставляющих элементарные сервисы , во втором программы гиганты( иногда глючные ) имеющие кучу наворотов часто ненужных , как собственно и сама система Windows .
Да, не бесплатно, но разве мы живем не в стране бесплатного майкрософта?
А как насчет труда программистов ?
это все теория, на практике иса под win2k работает достаточно устойчиво

Ну я про глючность не говорил я просто сравнивал со squid.
К томуже слово "достаточно" может иметь много значений .

PS кроме того можно использовать прокси сервера уровня сессии Socks DanteGate et...Или использовать дополнительно к squid squidGuard и модуль LDAP auth для SQUID( естественно подрузамевается что развернту каталог OpenLDAP ).
Или в конце концов просто маскарад+ipchains или там NAT для NT + стена . [Ответ]

zic
Они признаны многими , даже Микрософт был вынужден запустить программу "открытых" исходников , хоть пока не для всех .( OpenSource поддерживают IBM Sun Oracle и многие другие )


предлагаю обсудить в отдельной ветке

Можно поставить каждому пользователю в соответствие ip адресс( например в logon скрипте, или сконфигурировав DHCP ) , аутентифицировать в firewall по нему.Либо например поставить сервер Kerberos и на нем раздавать билеты в сеть .


IP адрес в логон скрипте? Приведи пример такого скрипта.

Вообще пример не из жизни , обычно доступ к почте реализуется централизованно через свой почтовый сервер .


пример самый жизненный, свой почтовый сервак, это хорошо, но есть мобильные юзеры, которым_необходимо_ по тем или иным причинам работать со сторонним почтовиком
почту я привел просто как пример
возьмем другой случай: некая прога коннектиться по своему собственному протоколу к серваку в инете на порт 4100. Как в этом случае организовать авторизацию в *nix?

имеющие кучу наворотов часто ненужных , как собственно и сама система Windows .


это называется универсальное решение

К томуже слово "достаточно" может иметь много значений .


под словом "достаточно" я имею ввиду аптайм (122 дня на текущий момент) сервака с исой. Перезагрузки крайне редки и связаны в основном с отключением света в конторе.

кроме того можно использовать прокси сервера уровня сессии Socks

socks пробовал, не подошло, не любая прога сможет через socks работать, даже если клиента поставить

Или в конце концов просто маскарад+ipchains или там NAT для NT + стена .


авторизацией здесь и не пахнет [Ответ]

Bambarbia Для описанных случаев под UNIX пишется небольшая программа-сервер аутентификации + простенький клиент к ней, и с помощью динамических правил в каком-нибудь ipfilter все прекрасно реализуется. Я такое еще в институте делал для местных нужд :-)

А правильное решение - это не убогий ISA-сервер, рассчитанный сплошняком на Windows-платформу, а Cisco с SSG-enabled IOS и какой-либо SESM-like приблудой (можно SESM от Cisco).

P.S. Сказать, куда магар принести ? :-) [Ответ]

OlegD

Для описанных случаев под UNIX пишется небольшая программа-сервер аутентификации + простенький клиент к ней, и с помощью динамических правил в каком-нибудь ipfilter все прекрасно реализуется. Я такое еще в институте делал для местных нужд :-)


вот человек понял о чем я

А правильное решение - это не убогий ISA-сервер, рассчитанный сплошняком на Windows-платформу, а Cisco с SSG-enabled IOS и какой-либо SESM-like приблудой (можно SESM от Cisco).


паааальцааасто но для конторы с десятком компов не пойдет, дороговато однако

P.S. Сказать, куда магар принести ? :-)

в ВСИ? не вопрос, только прогу не забудь показать институтскую [Ответ]

IP адрес в логон скрипте? Приведи пример такого скрипта.
Пожалуйста :
ifconfig eth0 192.168.0.1
или там на Windows
netsh interface ip set address [name=]InterfaceName [source=]{dhcp | static [addr=]IPAddress [mask=]SubnetMask [gateway=]{none | DefaultGateway [[gwmetric=]GatewayMetric]}}

пример самый жизненный, свой почтовый сервак, это хорошо, но есть мобильные юзеры, которым_необходимо_ по тем или иным причинам работать со сторонним почтовиком
почту я привел просто как пример

DanteGate прокси работает с pop , imap , etc /////////

возьмем другой случай: некая прога коннектиться по своему собственному протоколу к серваку в инете на порт 4100. Как в этом случае организовать авторизацию в *nix?


Вариантов уйма /
Первый Socks прокси (и Socks Cap если програ Socks не держит ).
Второй писать скрипт автаризации .
Третий писать программу .
Четвертый нанять ВСИ .
И тд и тп .
Все дело в фантазии .

Кроме того позволю себе спросить какая конфигурация у вас сервера ?
И какой бы она могла быть если использовался вариант решения на *nix ?

Для описанных случаев под UNIX пишется небольшая программа-сервер аутентификации + простенький клиент к ней, и с помощью динамических правил в каком-нибудь ipfilter все прекрасно реализуется. Я такое еще в институте делал для местных нужд :-)

Зачем изобретать велосипед . Есть Kerberos сервер и клиент от Беркли .

а Cisco с SSG-enabled IOS и какой-либо SESM-like приблудой (можно SESM от Cisco).

Как космические корабли бороздят просторы большого театра .
И кого там еще наверное CCIE CCNP CCNA или там CCSI ?
пригласить ? [Ответ]

Bambarbia Черт с ним, с магаром :-) Там никакого SSL не предусмотрено и аутентификация только PLAIN, и вообще не очень написано. Молодой был и глупый еще :-) А так сохранилась, конечно. Как реликвия.

OlegD добавил [date]1062075824[/date]:
zic Ну, можно и их использовать. Просто я хотел сказать, что в UNIX не место монолитным решениям, это некий конструктор, состоящий из мелких деталек, из которых собирается конечный результат. Это часто удобнее, чем иметь нечто большое, которое умеет "почти все, что вам может понадобиться" :-) Хотя бывает и наоборот, конечно. [Ответ]

zic

IP адрес в логон скрипте - изврат, причем неработоспособный. Что будет, если юзер решит залогиниться на одном компе, а потом на втором? Или вообще в терминале работает?

Вариантов уйма /
Первый Socks прокси (и Socks Cap если програ Socks не держит ).


я же говорю, socks с клиентом пробовал, не заработало

Второй писать скрипт автаризации

поподробнее можешь здесь?

Третий писать программу .

О чем и речь, нет эффективных средств. Написать, наверное, можно все что угодно, _готовых_ средст для *nix нету.

А в исе - есть

Кроме того позволю себе спросить какая конфигурация у вас сервера ?
И какой бы она могла быть если использовался вариант решения на *nix .


Прикольно читать сообщения на форумах, типа "я поднял firewall/proxy сервер под FreeBSD на P166/32MB". Только зачем извращаться, если есть современное оборудование. [Ответ]

OlegD
Просто я хотел сказать, что в UNIX не место монолитным решениям, это некий конструктор, состоящий из мелких деталек, из которых собирается конечный результат. Это часто удобнее, чем иметь нечто большое, которое умеет "почти все, что вам может понадобиться" :-) Хотя бывает и наоборот, конечно.

Полностью с Вами согласен .
Поэтому мне и нравится *nix Свобода выбора !

Bambarbia
IP адрес в логон скрипте - изврат, причем неработоспособный. Что будет, если юзер решит залогиниться на одном компе, а потом на втором?

Да собственно ничего особенного не будет XP напишет о проблемах в сети .
*nix промолчит но отразит в логах ( хотят тут возможно много варинтов ).
Короче даже такео решни возможно , только надо учесть некоторые факторы .
Но я бы просто использовал Kerberos или OpenLdap , и врятли NIS поскольку пароли передаются открытым текстом , придется еще и VPN делать .

Второй писать скрипт автаризации
поподробнее можешь здесь?
Третий писать программу .
О чем и речь, нет эффетивных средств. Написать, наверное, можно все что угодно, _готовых_ средст для *nix нету.


На самом деле тут два разных подхода для Windows и для *nix ,о чем собственно уже и сказал OlegD ,в общем случае это все равно что срвнивать систему быстрой разработки RAD ( типа Delphi например ) и работу в vim+gcc+gdb . В певом случае мы быстро имеем приемлимое решение , во втором решение появляется позже и требуети человека с хорошим опытом , но оно наиболее эффетивно в эксплуатации .
Выбор за потребителем .

Прикольно читать сообщения на форумах, типа "я поднял firewall/proxy сервер под FreeBSD на P166/32MB". Только зачем извращаться, если есть современное оборудование

Прикольно получить из никому не нужной четверки интелектуально сетевое устройство , аналог которого от Cisco( может и более надежный виду аппратного решения ) может стоить сотни долларов .
Я например не такой богатый чтобы бросать на ветер деньги .Да как правило многие небольшие фирмы не могут себе такого позволить .
Так что как стояла стена на 486dx2 на FreeBSD ( даже без винта ) так и будет стоять . [Ответ]

Пардон , Kerberos не Беркли а от MIT . [Ответ]

zic

Прикольно получить из никому не нужной четверки интелектуально сетевое устройство , аналог которого от Cisco( может и более надежный виду аппратного решения ) может стоить сотни долларов .


вот именно, прикольно, но не более того

На самом деле тут два разных подхода для Windows и для *nix ,о чем собственно уже и сказал OlegD ,в общем случае это все равно что срвнивать систему быстрой разработки RAD ( типа Delphi например ) и работу в vim+gcc+gdb . В певом случае мы быстро имеем приемлимое решение , во втором решение появляется позже и требуети человека с хорошим опытом , но оно наиболее эффетивно в эксплуатации .
Выбор за потребителем .


как правило, потребитель выбирает первый вариант

Так что как стояла стена на 486dx2 на FreeBSD ( даже без винта ) так и будет стоять .


хотелось бы на top взглянуть на таком компе при канале в инет, ну, скажем 8Mbit (ADSL от ВСИ) [Ответ]

Bambarbia
хотелось бы на top взглянуть на таком компе при канале в инет, ну, скажем 8Mbit (ADSL от ВСИ)
Затруднительно к четверке будет ADSL подключить
ТОчнее это не будет иметь особого смысла .
Но все работает очень хорошо и на 10 Мб Ethernet
Да собственно какая разница , дело ведь в трафике а не пропускной способности канала ? [Ответ]

zic

Затруднительно к четверке будет ADSL подключить

да? и в чем за труднения? Prestige 645R - и все ок.

Да собственно какая разница , дело ведь в трафике а не пропускной способности канала ?

лежать твой сервак на i486 будет при интенсивной работе юзеров на таком канале [Ответ]

да? и в чем за труднения? Prestige 645R - и все ок.
Ну так надо брать вещь с Ethernet интерфейсом вот и я про что .
лежать твой сервак на i486 будет при интенсивной работе юзеров на таком канале
В случае решения от MS даже ось на такой машине с необходимым софтом не запустишь не говоря уже про какой то трафик .
С трудом понимаю как пользователи на 10-15 машинах могут породить трафик в и-нет повесящий стену .Естественно пользуясь и-нетом только в служебных целях .
Пока проблем небыло [Ответ]

zic

какой-нить mass downloader - и твой сервак лежит [Ответ]