Linux.by

Скажите пожалуйста такое на Linux или в другой системе (кроме винды) можно сделать?
Заеб… корочи замучила винда своими глюками


Техническое задание.

Физическая схема сервера: 2 сетевухи на серверной материнской плате Интел камень «ПЕНЬ-4» 3000 Мгц (4 Гб. Памяти)
одна сетевуха смотрит в интернет другая во внутреннюю сеть- далее через неуправляемы свич- витая пара идёт к конечным пользователям (см. схему.)





Количество пользователей 16,
80 % сидят на WINсемёрка,
20%- Win XP. (сразу скажу они будут сидеть на этих системах и ставить на своих компах к примеру Linux они не собираются)

Что нужно сделать?

1) Чтоб все пользователи (напоминая у всех пользователей Win7, Win XP) могли ходить в интернет у каждого компа был свой внутренний статический IP – адрес.
Естественно с наружи имеется один внешний статический IP – адрес и он естественно должен быть защищен ферволом т.е. защита по портам или как там ещё.
2) Вести статистику кто и что где и сколько качает- не обязательно
3) Урезание (уменьшение) скорости интернета для каждого компа (порта)- желательно
4) Отключение порта (отдельного компа)- обязательно.
5) Строгая привязка аудификация (опознание) каждого компа к примеру по МАК адресу- не обязательно
6) На основном серваке находятся открытые (рассшариные) папки – доступ для всех пользователей внутри сети по поролю обязателено- далее разделение идет на 2 группы.
Первая группа введя свой пароль во время сессии может только видеть все папки (читать воспроизводить файлы) к примеру фильмы, но изменять в папках ни чего не может.
Вторая группа (введя свой пароль) может менять содержимое попок (стирать дописывать заменять файлы). .
7) На сервер из вне (через интернет) можно попасть по ФТП протоколу то есть видеть открытые папки- к примеру по Total Commander
но опять же, без пароля –пользователь будет видит одну папку, введя в ФТП сессии пароль он будит видит другие папки в которых может менять файлы.
8 ) Естественно удалено безопасно админичить сервак можно как из вне (интернет) так и снаружи

Короткий ответ - возможно.
И, с большего, это стандартный набор "хотелок" которые реализуются на самопальных шлюзах в интернет.

Один интерфейс сервера имеет "внешний" IP (реализуется по разному, в зависимости от того, как у вас осуществляется связь с внешним миром: PPPoE, PPTP и пр.).
Другой интерфес сервера имеет "локальный" IP (прописывается статически при конфигурации).
Включается ip_forwarding и настраивается sNAT на гейте;
Адреса хостам (клиентам) выдаются по DHCP.
И тут, внимание, важно понять что если свитч не управляемый (т.е. нет какой-то адекватной обратной связи (RADIUS или др.)), то контроль доступа, насколько я знаю, можно сделать лишь на следующем уровне:
- контроль достпа к интернет на уровне IP - iptables;
- контроль доступа к локальной сети на уровне IP - DHCP;
- контроль скорости доступа в интернет каждого клиента (шейпинг) - tc (iproute2);

По статистике. Насколько я знаю, статистику всего "кто, что, сколько, когда скачал" простым образом не сделаешь. (Да, возможно это делается через создание лог-файлов iptables-ом а потом обработки их парсером, но я такого не встречал). Из стандартных средств, это контроль WEB (HTTP, HTTPS, FTP) траффика с помощью прокси-сервера - squid + sarg.

По доступам к файлам на сервере. Как я понимаю, есть необходимость предоставить доступ к файлам, находящимся на сервере по двум протоколам: FTP и SMB. Так как база пользователей едина, то это либо Linux-пользователи, либо LDAP/RADIUS + авторизация в FTP и SMB сервисы будет использовать базу LDAP/RADIUS, либо дублировать кадого пользователя в конфигурации каждого сервиса доступа к файлам (FTP, SMB). Каждый сервис настраивается таким образом что бы соотвествовал изложенным Вами требованиям.

Как настроить каждый из компонент - рассказывать глупо, в интернете Вы найдёте достаточно информации, если займётесь всерьёз данным вопросом.

Pramen, Спасибо что вы ответили.
Уточняю свое задачу. Нужна готовая сборка, которая управлялась бы с Вэб-интерфейса. Что-то наподобие FreeNas (это сетевое хранилище, ставишь на старый комп и забот не знаешь). Прошу также рекомедаций типа ставишь Линукс+Фаевол+Прокси больше не советовать. Нужен готовый дистрибутив с минимумом настроект через Вэб для чайников в x-NIX