24 декабря Архивач восстановлен после серьёзной аварии. К сожалению, значительная часть сохранённых изображений и видео была потеряна. Подробности случившегося. Мы призываем всех неравнодушных помочь нам с восстановлением утраченного контента!
Приветствую. Пришел работать в офис. Полный пиздец твориться. Интернет раздается напрямую, без ограничений. На всех ПК стоит обычная win7 Домашняя Расширенная. Мол покупать нечто большее смысла не было, такая лицензия подходит для малых предприятий. Так что AD не проканает, да и работники часто ездят по объектам а интернет там через обычный модем или раздача на объекте через модем+ротуре. То есть анально все не огородишь через AD.
Пользователи в край охуели. Могут в открытую смотреть фильмы он-лайн, музычка, порой доходит дело до торрентов. Анально огродить на установку ПО тоже проблематично ибо порой софт специфический и люди, как писал выше, порой уезжают в ебеня на пол года. Часто приходиться что-то поставить а хуй, ограничения. По этому их нет.
Выход один. Устроить массовые репрессии в офисе на ключевом сервере, который раздает Интернет. Смотрю в сторону Squid`а. Но с Linux`ом толком дело не имел ибо не было такой надобности. Вот приперло.
Планирую погонять виртуалку на Ubuntu. На нее залить Squid + DHCP + DNS (дабы еще при помощи DNS лочить сайты).
Все усложняется "приближенными" людьми как ко мне, так и к начальству. Основные задачи, которые хотелось бы решить: 1) Возможность глобального запрета на определенные сайты (порнуха итд). 2) Возможность глобального запрета торрентов (p2p). 3) Возможность создать группы "неприкасаемые". Я, начальство и приближенные. Не блокировать ничего. 4) Возможность создания группы "рукожопыемудаки". Люди, которые откровенно охуевают, смотрят фильмы, слушают музыку и всячески наплевательски относятся к просьбе не забивать канал, тк он общий на всех. На неделю таких хватает и снова под дурака начинают страдать хуйней. Желаемо блочить им все, кроме белого листа + лимит на скорость. Пусть страдают и работают.
Короче, позволит ли Squid все это? Есть ли годные гайды как все это сделать? Или там все и вся блочится и скорость не отрегулируешь ?
>>1147145 А до тебя кто всю эту хуету соорудил? Этот уебок никаких ограничений не ставил? Или ты там у них первый такой, который перевернет представление о работе?
>>1147162 До этого был приходящий Васян. Менять всем ОС не позволят, мол купили то что надо и ради ограничений покупать другие лицензии не будут. Так что AD отпадает и анальное огорождение выборочно на ПК тоже. Люди частенько уезжают с ноутами на объекты и торчат там по пол года. Ставлю необходимый пакет, но тут вдруг приспичило поставить ПО по расчету освещенности или еще какое специфическое ПО, которое другим просто не надо. Да и частенько по телефону получается решить проблему у человека. Не будь у него полных прав - не вышло бы. Пришлось бы давать админскую учетку а это слив пароля что не хорошо. Удаленка так же не вариант ибо чаще всего там ебеня и модем.
Раньше, в нулевых, когда Интернеты были лимитированные и дорогие, ограничения были. Потом пошел безлимит, пришел Васян и все поотменял. Дополнительно пошла WIN7 и все окончательно положили хуй на политики, покупая домашнюю версию. Откопал не так давно старенький AD, то есть он был и использовался. Даже распечатки откопал, кто на каких сайтах сидел. Людей имели за нерабочие сайты. Но это было лет 5 назад.
>>1147155>>1147151 Нет. Есть адекватные люди, которые понимаю с первого слова, которые и хуй пинать могут но не мешаю другим. Тихо себе сидят и новости смотрят или общаются, не мешая другим работать. А есть мудаки, которые начинают смотреть HD-видео, и срать они хотели что у всех проблемы начинаются (на 10мб то), то есть саботирую работу всем. Таких мудаков штук 6. Остальные сразу понимают о чем я и входят в положение. Мудаки же не понимают, срать они хотели на всех.
В офисе работаю не первый год. Все было нормально. Люди все понимали и не наглели. Но сейчас понабрали всяких хипсто-петушков в менеджеры, которым делать абсолютно нехуй, убивают время просмотров видяшек и закачкой музыки. Начальнику их говорил, что пара его петухов кладут скорость всем, он им говорил, те успокаивались но через неделю снова. Начальнику похуй, мол нет ведь работы сегодня, пусть мол посидят.
>>1147145 После того как повозишься с убунтой - повозись ещё с дебианом, стейбл дебиан как сервер по моему лучше смотрится.
Сквид да, хороший прокси-сервер. В качестве dns и dhcp можно использовать dnsmasq.
Ещё можно настроить удалённую консоль на всех клиентских компьютерах в сети, это можно сделать без домена - читай про winrm. Потом скриптами можно будет задания рассылать на разные ПК, да и вообще что угодно делать. Надо только логины с паролями знать, ну и немного повозиться с настройкой.
>>1147145 > Но с Linux`ом толком дело не имел И не стоит. Ставь pfsense. Я серьёзно. > Возможность глобального запрета на определенные сайты Если не последуешь моему совету выше, то хинты для поиска: прозрачный прокси squid и squidguard. > Возможность глобального запрета торрентов NAT и маршрутизация по ойпиадресам. Доступ только по определённым портам по нужному протоколу. > Люди, которые откровенно охуевают, смотрят фильмы, слушают музыку > лимит на скорость Хинты для поиска: squid delay_pools Так же знай, что в транспарентном режиме https через кальмара не пропустишь (а ssl_bump глючное говно). Так что если не хочешь чтобы твои пользователи ебали тебя по ssl - мутить всё это придётся с авторизацией. И для этого тебе скорей всего понадобиться поискать по: wpad.dat
>>1147181 Спасибо Бро! Пока начну с убунты ибо толком опыта работы с ней нет. Надо учиться.
>>1147184 Хочу именно изучить линукс, всю эту кухню знаю только на слух. Дело не имел, баловался немного с системами этими но вглубь не залезал. Как раз прозрачный прокси и планирую использовать.
Насчет https. А ведь не проще закрыть доступ по IP ? Достаточно внести список адресов социалок и все. Всякого рода фильмы и так далее смотрят же через обычный 80 порт. Да и там чаще всего идет вещание через сервера контакта.
Но опять же, закрывать доступ к социалкам лишь особо наглым пользователям. Аналогично и торренты. Адекватным людям я объяснил, если уж совсем приперло что либо качать, ставь ограничение по скорости в клиенте либо ставь закачку по расписанию (на ночь). Такие люди не создают проблем, тк сосут трафик в течении рабочего дня постоянно но в очень малых количествах, не создавая проблем другим. Так что наверное придется создать группу прокаженных, куда будут попадать особо глупые люди, которые создают проблемы всем. После недельки боли и унижения (обрезка скорости и доступ лишь к белому списку сайтов), будут возвращаться в общество совсем другими людьми. Эдакий лепрозорий и карцер недельный.
Все же решил. Буду изучать линукс, благо все располагает к этому да и время есть. В будущем пригодиться. Крутил на виртуалках всякого рода ipcop итд. Все конечно наглядно и относительно просто но при желании что либо добавить дополнительное, начинаются дикие костыли. Лучше поставить линь и уже по надобности поднимать всякого рода прокси, днс итд. В этом плане практичнее и удобнее.
Поставил на закачку последнюю версию Ubuntu Server 14.04.1 LTS. В понедельник начну изучать. Спасибо всем отписавшимся. Надеюсь тему не смоет. Всем удачных выходных :3
>>1147145 Настрой packet scheduler, чтобы поровну делил интернеты между всеми пользователями. Расставь приоритеты траффика по портам (DNS >> SSH >> HTTP/S,IMAP,POP3 >>> torrent). Ничего не тормозит (или тормозит у всех). Профит.
>>1147184 Два чая джентельмену с pfsence. Годный шлюз+фаеар с кучей фич. Тебе даже линуксов знать не надо - он умеет в веб. Поставь, посмотри. А ad тебе, я полагаю, в хуй тут не упал - контролировать трафик - не его работа.
>pfsense Совершенно дурацкий костыль. Железный роутер MikroTik будет куда надёжней и на порядок мощнее в плане возможностей. Стоит копейки.
Что касается защиты и управления рабочими станциями, то у Касперского есть отличные решения. Никакого AD не нужно. В них, кстати, имеется и фильтрация интернетов.
Централизованную фильтрацию также можно реализовать с помощью какого-нибудь skydns.
>>1147932 >Железный роутер MikroTik >железный Вот это манямирок. В какой вселенной микротики железные? Это обычный сохо софтроутер, точно такой же как и pfsense, со сравнимым набором фич. По сути древний дебиан, сильно допиленный под себя, с кривыми кастомными дровами, оболочкой и некоторыми демонами. > куда надёжней Охуительных историй час. Напомнить, как прошивку 6.0 рожали? Да у них там вечная альфа даже, не бета. Лично ебался с DHCP и загрузкой на 100%. Официальных референсов по этому говну никакой, только вики, писанная полуебками, да форум с эстонцами и ломаным инглишем. После джуниперов-цисок просто пиздец. > и на порядок мощнее в плане возможностей Это анально огороженная хуета, в которой фичи ждут по 3 года, и для некоторых приходится гонять виртуалки с wrt, которые глючат и заставляют роутер ребутаться по вочдогу? Может расскажешь, куда подевался IGMP, например, и когда его опять введут?
Короче, RouterOS слабо отличается от pfSense. Вот железо тиков - другое дело, т.к. x86 эмбеддед железку трудно найти нормальную, а CCR сравнимых аналогов в x86 вообще нет.
>>1148110 Какая милая истерика отморозка, у которого вся сеть держится на древнем ведре с тремя сетевухами realtek и pfsense. Ведро это представляет собой обычный офисный minitower, который пять лет назад стоял у кой-нибудь тупой пизды в бухгалтерии.
Особенно в его истерике меня позабавили две детали.
1. Поциент пытался накатывать на своё ведро альфу MikroTik RouterOS и тестировал всё это на живой сети.
2. Сумасшедший вспомнил про cisco, решения которой стоят в десятки раз дороже аналогичных решений MikroTik. Притом cisco шизик видел только на картинках.
>>1148802 Что ты несешь, даун? Речь о том, что микротик это такое же "аппаратное" решение, как и pfsense на аликсборд, у которого еще и шифрование аппаратное, или циски младших серий. > пытался накатывать на своё ведро альфу MikroTik RouterOS и тестировал всё это на живой сети. Ебанат, у релизной 6.х вечные баги, виртуалка там вообще никогда вменяемо не работала. Это ты несешь хуйню, что микротик охуенно стабилен и мощен, тогда как на практике это точно такая же софтовая сохо-хуитка, только закрытая и с кучей костылей (за столько лет так и не добавили нормального механизма дерганья скриптов по событиям, приходится поллинг организовывать). Часто альтернатив ей по цене нет, но как же вы доебали форсить их везде где нужно и не нужно. > cisco, решения которой стоят в десятки раз дороже аналогичных решений MikroTik. Что для тебя cisco, ASR? Кретин, блять. Ты похоже сам и циски и микротики видел только на рекламных буклетах и картинках из гугла, особенно судя по >>1147932
>>1149673 Хуёвый ты админ, судя по всему. Основная проблема не то, что качают, а когда это делают. Когда надо срочно связаться по скайпу с n человеками, дурам из бухгалтерии срочно нужно отправить платёжку/отчёт/подключиться по РДП к чёрной бухгалтерии в зимбабве, самый главный племянник шефа на должности финансового директора тушит жопу (потому что из-за пинга его в картошке ебут) и всё это по вине долбоёбов смотрящих порно на рабочем месте - волей неволей (чтоб спасти свою жопу) надо это контролировать.
>>1149680 Если это НАДО контроллировать - то не вопрос. Оставь гарантированную полосу, расширь канал, вариантов много. У меня был один такой офис, я аж охуел, когда пришел. На одном adsl-канале висело 3 voip номера, сайт и почтовик компании, да еще и 30 юзверей через него в интернет ходили. Конечно, там были анальные ограничения. А подход "я пришел, ЗАПРЕТИИИИТЬ!!!!!111", он, как-то, неуместен. Дало начальство распоряжение - ок. Не хватает канала - ок. Админ мудак - не ок.
>>1147174 >Начальнику похуй Начальнику похуй, но ты все равно решил сделать по-своему? Потому что МОЖЕШЬ и чувствуешь себя ПРИБЛИЖЕННЫМ?
>и срать они хотели что у всех проблемы начинаются И срать ты хотел что проблем будет еще больше от того что ты решил впердолить какую-то систему, не имея вообще опыта работы с линуксами.
>Я, начальство и приближенные >самый главный племянник шефа на должности финансового директора тушит жопу (потому что из-за пинга его в картошке ебут) Вся суть вахтера-пидорахи. Срать ему на рабочий процесс, на то что кто-то там кого-то отвлекает, что он будет играться с линуксами на функционирующем предприятии, не имя при этом никаких знаний – главное стать ПРИБЛИЖЕННЫМ, подмазаться к главному, почувствовать себя выше мерзких хипсторов. Вангую что ОПа-хуя чем-то обидели те 6 хипсторов и он решил таким образом над ними возвыситься.
Надеюсь, ты им там все поломаешь со своими охуительными навыками, а начальник тебя уволит по указанию тех самых хипсторов – прибыль-то приносят они, а не ты.
И, нет, я не офисный работник, сам тоже работал сисадмином, а бомбануло потому что на моих двачах сидят вахтеры уровня тетки из жека и мелких чиновников на выдаче паспорта. Отборнейшая мразота.
>После недельки боли и унижения (обрезка скорости и доступ лишь к белому списку сайтов), будут возвращаться в общество совсем другими людьми. Не перестаю охуевать с этого ВОСПИТАТЕЛЯ.
Если так всё сложно с персоналом и софтом, то надо просто каждому на тачку въебать зонд в виде касперского, настроить права доступа и централизованно рулить этой парашей. Для просмотра кинца реально настроить QoS.
>>1149706 Ну тогда подвести к стульям электричество и каждый раз бить током за просмотр порно. Можно ещё одеть костюм АДМИНИСТРАТОРА из чёрного латекса.
Алсо, вот еще охуительная идея – выдергивать виновных прямо из роутера в качестве наказания. Тебя унижает хипстор? Выдерни шнур и все, воспитание пошло. Работы все равно нет, нахуй им интернет? Начальнику скажешь что они наказаны, он поймет, ты ж приближенный.
Ебал таких эникеев как ОП openvpn'ом прокинутым либо на домашний комп, либо на vps Само собой не наглею на работе, но когда мне надо подвачевать либо глянуть новости, когда лень работать, то почему бы и нет. И в логах все чисто.
>>1149721 А я когда-то спасался маленькой софтинкой, которая открывала нормальный socks4/5 прокси на локалхосте через http-проксю конторы. Были ж времена.
Как вы на ОПа накинулись, катком прям в говно вкатили. Не понимаю вашего недовольства. На работу приходят работать, а не прокрастинировать и смотреть порнуху. Так что вполне логичным ходом тут будет блокировка порнухи в соцсетей, продуктивность явно повысит.
>>1149741 >Начальнику похуй, мол нет ведь работы сегодня, пусть мол посидят. >На работу приходят работать >блокировка порнухи в соцсетей, продуктивность явно повысит Будто блокировки как-то отменяют возможность двачировать соцсети со своего же мобильного.
Да и вообще в 2015 что-то блокировать из соображений продуктивности – типичный признак бесполезной пидорахи, которая о продуктивности вообще ничего не знает. Как не знает и вахтер-админ, который большую часть своего 8-часового дня двачирует капчу.
>>1149741 Кто и зачем ходит на работу - это вопрос начальства. Вот ОП ходит не работать, а ЧСВ тешить, например. Что-то запиливать имеет смысл лишь тогда, когда это действительно необходимо. В данном же случае это синдром вахтера, эталонный прям.
Схуяли вас вообще порвало, дегенераты? ОП же написал прямым текстом, что ему надо обеспечить нормальную работу интернета в офисе, ибо некоторые бляди забивают канал видео и торрентами, и от этого страдают все. Почему местные эникейщики решили, что он хочет повахтерить из вредности - для меня загадка.
>>1147145>>1149901 >Пользователи в край охуели. >"рукожопыемудаки". Люди, которые откровенно охуевают >Пусть страдают >Почему местные эникейщики решили, что он хочет повахтерить из вредности Ну, даже не знаю. мимо-прошёл
>>1149901 Это можно обеспечить административными методами, по приказу директора\зам.директора.Но как только бухгалтер не сможет посмотреть 1080p видео свежих букиных на youtube она все выскажет директору, который потом заявится к ОП'у и скажет, что бы все вернул, что бы все работало как прежде. И зарплату урежет, что бы не хулиганил лишний раз >>1149722 таки всегда можно запустить putty и открыть socks5 поверх ssh. Одно плохо, так как возникает dns-leak и нужно у каждого необходимо приложения прописать прокси
>>1150061 >Но как только бухгалтер не сможет посмотреть 1080p видео свежих букиных на youtube она все выскажет директору
В этом и суть. ОП-хуй в самом начале обозначил какого-то племянника, приближенных, касту особенных, в число которых он по какой-то причине входит. Все это не имеет отношения ни к работе, ни к продуктивности (что бы под этим долбоебы не имели ввиду).
Может он и на своем месте находится, я не знаю. В рашке есть какое-то количество неэффективных пидорах-руководитетей, которым нужны пидорахи-эникейщики. Вне IT-сферы их количество приближается к 90%, при этом квалификация работников наоборот стремится к нулю, что мы можем видеть даже по ОП-посту.
Ебать тут манямирок у собравшихся. Пиздец просто. Сука, хоть один день работали не в ООО "Вектор"? >>1147145 -хуй. Руби права по максимуму: все что может быть запрещено - должно быть запрещено. Оставляешь только то, что нужно по работе и не более того. Даже директору. Не должно быть никаких исключений.
Если у тебя всякая подзалупная перхоть типа племянников директора/бухгалтерш/секретуток/не говоря уж о полуёбках-манагерах требует для себя каналов для просмотра видосов и кача торрентов, а директор не против такой хуйни, то БЕГN из этой конторы - она один хуй скоро развалится, а ты потеряешь время и все равно будешь искать работу.
>>1150200 > требует для себя каналов для просмотра видосов и кача торрентов > директор не против такой хуйни > в ООО "Вектор" Судя по всему ты как раз из него. Ну или ЫНТОРПРОЙЗ, лол. Начнём с того, что я уже говорил - главное не что делают, а чтоб канал не занимали в рабочее время. Далее, не всем выгодно и целесообразно покупать ебаканалы с резервированием и прочим. Бизнес, особенно частный, всегда стремится к минимализации расходов. Такова правда капитализма. Торренты же и видосики, могут быть нужны и по работе (скачать новый дистрибьютив/необходимый ролик и так далее). Соцсети, опять же, могут быть нужны пиар/маркетинг отделу и прочим. Есть ещё дизайнеры, которые вполне себе могут лазить по всем возможным помойкам в поисках вдохновения. Закончим же тем, что всё конечно должно производится с санкций руководства, а не самодейтельностью, как ОП-хуй.
Именно по этому крайности тут это верх непрофессионализма и долбоебизма. Правильно делать следующее: 1. Построить систему доступа к глобальному в который ты разбираешься 2. Подготовить группы пользователей на бумаге/иксцеле (аля: дизайнерам все, бухам всё кроме, этим только это и т.п.) 3. С этим всем топать к руководству и говорить. Если руководство сочтёт что проще купить выделенный канал для избранных - это право его. Запомни - ты в первую очередь исполнитель. 4. Заручится его поддержкой. 5. Донести всем сотрудникам новый регламент с полностью прозрачными условиями игры. Все должны знать в какую группу попадают. 6. Внедрить систему постепенно, дабы не обосраться под нагрузкой. Начинать естественно, как завещали предки, надо с себя любимого. 7. Всех возникающих уровня: А чё эта ёптбля у меня ну это самое та! - отправлять за письменным разрешением на включение в нужную группу к руководству.
>>1147145 >На всех ПК стоит обычная win7 Домашняя Расширенная Windows 8 Pro Upgrade Key >Пользователи в край охуели. Могут в открытую смотреть фильмы он-лайн Поговорить с начальством, лучшие методы - административные. У меня при наличии и оборудования, и возможностей, и домена, вообще ничего не заблокировано. Но попробуй кто такой хуйней заниматься - вылетит сразу. >Устроить массовые репрессии в офисе Хочется заниматься еболой - вперед. Кошки-мышки, блядь, а не работа. Кто кого перехитрит - криворукий эникей или не желающие работать работники.
>>1150218 >. Донести всем сотрудникам новый регламент с полностью прозрачными условиями игры. Все должны знать в какую группу попадают. Вначале надо определиться, готово ли начальство в случае нарушений работников из этой "группы" административно их наказывать вплоть до увольнения. По описанию опа я уверен, что нет. Васян, который работает в ООО "Контора" уже три года, скажет директору, что "я в обеденное время сел отдохнуть полчасика, а тут этот начинает мешать и че-то угрожает" и директор пошлет ОПа нахуй, прикинув, кто ему дороже - Васян, который хоть и любит посмотреть фильмы, но всё же приносит ему прибыль, или говноОП, который ничем, кроме говна не является.
>>1150218 О, мальчик-программист прорезался, блять. Иди тётенькам из бухгалтерии кнопку "any key" показывай, у них одинэс зависло.
> в который ты разбираешься Ты, походу, ни в какой не разбираешься > дизайнерам все Ну, понятно, дизайнерам же надо шревты скачивать. > ты в первую очередь исполнитель Нет, блять. Ты в первую очередь администратор сети, которого будут ебать во все щели, если в самый отвественный момент вся эта ебала с отдельными правами для племянников директора и дизайнеров посыпется нахуй, потому что они натащили вирусни по всей сети. > Донести всем сотрудникам новый регламент с полностью прозрачными условиями игры Не твоя забота. Для этого есть секретутка. > Внедрить систему постепенно, дабы не обосраться под нагрузкой Закрываешь дыры в одном месте, но дизайнером же надо, поэтому все разваливается с другой стороны. В итоге обсираешься и без нагрузки. > Всех возникающих уровня Единственный разумный совет и то с оговоркой. Ответ только один - "требование безопасности". И если долбоеб-директор не понимает, что безопасность это безопасность, то БЕГN или запасайся вазелином.
Вангую продолжение истории: оп-хуй не осилит сквид (а как ему его осиливать, если он такой еблан?), спиздит где-нибудь виндовый WinRoute (или что там нынче модно?), нахуярит ограничений и почувствует себя богом. ГЛАВНЫЙ ВАХТЕР!
Потом, логично, получит пиздюлей и от пользователей, и от руководства. Поменяет правила на "from any to any allow" и уйдет плакать в уголке, говоря, какие все вокруг глупые и никто его не понимает.
>>1150233 Именно в парашке так и должно быть. И так есть, у тех кто уже прозрел, но продолжает вести дела в этой стране. И только "компьютерщикам" из ООО "Вектор" >>1150251 это неведомо.
>>1150226 Ну я так и думал - интерпрайзист головного мозга. Тебя не учили, что есть такая вещь, как достаточность? > Ты, походу, ни в какой не разбираешься И ты это конечно сейчас сможешь обосновать. Давай, не стесняйся. > дизайнерам же надо шревты скачивать Не только. Иногда им ещё надо картинки, ролики и всю ту хуйню, которую сложно рулить политиками доступа. Или тебе важна твоя безопосность, а не удобство рабочего процесса? > Ты в первую очередь администратор сети И что? По твоему это богоподобная должность? Ок, я переформулирую - ты всего лишь заместитель начальника по информационным системам. Легче стало? Или после этого ты наделён возможностью вводить на предприятии что угодно без санкционирования генерального управляющего? > вся эта ебала с отдельными правами для племянников директора и дизайнеров посыпется нахуй Вот ты и спалился, мань. Иди провайдерам расскажи, что оказывается у них всё сыпется с отдельными правами на их зоопарке с тарифами. > натащили вирусни по всей сети Ну а это вообще пушка. Про политики и спермоАД/LDAP ты слышал что-нибудь? А про превентивные меры на центральном шлюзе доступа? Про протокол ICAP тот же? Ну или хотя бы про кламАВ? > поэтому все разваливается с другой стороны С какой, мянь? Есть группы, в них пользователи, есть ACL. Всё просто и понятно. Всё это можно реализовать от банального пердоленья пакетного фильтра на шкрептах на коленке до какого-нибудь абилса с радиус авторизацией и контролем по макам. > Не твоя забота. Только в твоих влажных мечтах. Кто эту дуру контролировать будет? Или ты даже не можешь в стандартный процесс: постановка задания -> контрольная точка? И после этого ты мне что-то будешь говорить про тыжепрогроммиста? Почитай что и кто такое администратор уже. > долбоеб-директор не понимает И не должен. Это твоя забота, как его заместителя, объяснить ему что это. Если не можешь объяснить - проблема в тебе. Если не можешь достаточно незаметно интегрировать систему безопасности в текущий рабочий процесс - твои проблемы. Но главное помнить про, упомянутый выше, уровень достаточности. Или ты предлагаешь всем теперь на уровень ФСБ? Сдавать электронные средства на входе, подставлять анус для проверки, ходить по белому списку с единственного подключённого к сети компа в присутсвии сержанта? Ты ебанутый? >>1150227 > когда утечет клиентская база - выебут ОПа Очередная пушка. Ты хоть представляешь сколькими способами можно вынести информацию? От цифровых до запоминания? Или всем штатный нейрализатор теперь выдать? Каким боком тут создание удобства и контроллируемой среды (в твоей уютной локалочке) и клиентская база?
>>1150266 > И ты это конечно сейчас сможешь обосновать. Начнем с тобой, что ты гуманитарий. > Или тебе важна твоя безопосность, а не удобство рабочего процесса? Одно другому не мешает. И что у тебя блять за дизайнеры, которым для дизайна надо скачивать картинки из интернета? > Ок, я переформулирую - ты всего лишь заместитель начальника по информационным системам. Я же сказал, что ты гуманитарий. Попробуй для начала осилить должностную инструкцию, опездол: (типовая) Системный администратор имеет право: 1.Устанавливать и изменять правила пользования локальной вычислительной сетью. 2.Знакомиться с документами, определяющими его права и обязанности по занимаемой должности, критерии оценки качества исполнения должностных обязанностей. 3.Вносить на рассмотрение руководства предложения по совершенствованию работы, связанной с предусмотренными настоящей должностной инструкцией обязанностями. 4.Требовать от руководства обеспечения организационно - технических условий, необходимых для исполнения должностных обязанностей. > Вот ты и спалился, мань. Иди провайдерам расскажи Вот ты и спалился мань. В задачи провайдера не входит обеспечение работоспособности конлюктеров юзера. > Кто эту дуру контролировать будет? Не твоя забота. > уровень достаточности. Гуманитарий, плиз. > Ты хоть представляешь сколькими способами можно вынести информацию? Не его забота. Его забота чтобы не вынесли цифровым. Можно(нужно) и флэшки заблочить тем, кому они не нужны.
>>1150266 Два чаю. Надо уметь разделять мух от котлет. Из сказанного в оп-посте мы можем выделить следующие моменты: 1. Необходимость администрировать парк из n машин без домена из-за закупленных лицензий. 2. Невозможность забрать локальные админские права у юзеров из-за их частых командировок и необходимости устанавливать софт. 3. Необходимость фильтрации трафика по причине: а) неоправданной загруженности канала б) вследствие безделья работников Про безопасность вообще ни слова, большая часть букв - размышления о том, как бы неплохо реализовать пункт 3 (3б). При этом наблюдается полный игнор пунктов 1 и 2, что на мой взгляд ощутимо более важные пункты. Вкупе с примитивными вопросами про squid и прочее, я могу сделать вывод, что оп - не разбирается в теме вообще. Мой совет опу - нанять системного администратора, а самому бегать и подключать мышки, устанавливать принтеры.
>>1150266 Вообще ты конечно все правильно говоришь. Однако есть одно охуенное "но". И рыбку съесть и пахнуть хорошо можно только в идеальном мире. Твоя схема нежизнеспособна. Проебов полно будет. И пиздюлей получишь ты(ну или ОП, если всё это запилит) Я вот этот >>1150287 если чего.
>>1150287 > ты гуманитарий О да. Высшее театрально образование. Ты угодал. Что ещё спизданёшь, мань? > Одно другому не мешает Да да. В твоём влажном манямирке конечно ничего не мешает. В реальности всё по другому. > что у тебя блять за дизайнеры, которым для дизайна надо скачивать картинки из интернета Конечно не чета твоим, инторпрайзным. Которые сами фоткают капли воды макросъёмкой и рисуют на планшетах исключительно личновыдуманные логотипы. А ещё дышат вакуумом в сферических помещениях. > должностная иструкция системного администратора > разговор про регулирование доступа в сеть > безопасность пеки > провайдеры ничего не должны Ты скоро поймёшь, что задачи надо разделять? А про сетевых администраторов что-нибудь слышал? Притащил стандартную смешанную в кучу (ты ещё БД туда впиши) инструкцию уровня ОК и что-то задвигает про гуманитариев и тыжепрогроммистов. Вообще охуеть. И чем тебе не угодил принцип достаточности, инженер ты мой? Что, все должны работать на уровне спецслужб или монетного двора? Даже три с половиной дизайнера с секретуткой? Всем ставить сиськи/жунперы уровня магистральных провайдеров? Что ты хотел сказать-то? И повторяю, если смысл до тебя не дошёл - управление доступом в сеть и контроль базы данных клиентов - разные задачи. Ты же сам выдумал задачу, сам же сказал что она не решаема минимальными затратами (и вообще мы все говно) и сам же подебил. Поздравляю. Ещё раз перечитай задачу опа, мугичка.
>>1150292 > Твоя схема нежизнеспособна Ха-ха-ха. Ох вау! Расскажи это мне, которому в два негарантированных канала по 2 Мб/с приходится разруливать порядка 60-ти пользователей без ущерба по скорости доступа нужным группам по нужным направлениям. Замечу, что когда я пришёл ситуация была сходная с оповской и плюс была поставлена задача снизить затраты на интернет. Всё реализовано на сквиде+ойпифв+спермоАД. И даже твой сценарий (в разумных пределах) выполняется. В итоге всё заебись все довольны. Ну кроме тех, кто любил хуйнёй маятся на ютубчиках вместо прямой своей обязанности. И да, если пользователю надо вот сейчас дать доступ (с разрешения руковдства) к одноглазникам - это решается даже средствами обезъянки-эникейщика по хаутушке. Давай, спрашивай свои ответы. Мне всё равно делать нечего.
Есть еще интересный подход - начальство не запиливает в интернете ничего. А раз в месяц просматривает логи (уже проанализированные, конечно). Пользователи об этом знают.
И вот тут начальник отдела уже конкретно понимает, у кого какая производительность, кто решил свои задачи рабочие, кто нет, и почему. И принимает решения, кого поощрить, кого премии лишить, с кем поговорить.
>>1147145 В треде хуйня какая-то. Я бы запилил на сервере (надеюсь, у вас интернеты через сервер идут?) примерно такую логику: Общая ширина канала S, кол-во юзеров N. Ширина на юзера SN=S/N. Для каждого юзера измеряется средняя скорость за период Su, например, за последние X рабочих часов. Каждому устанавливается доступная скорость по правилу: Скорость = S, если Su < SN, иначе Скорость = S - (S - Smin) x ((Su-SN)/(S - SN)), где Smin — минимальный лимит, 64 Кбит/c, например. Тогда тот, кто не наглеет, всегда будет иметь околопиковую скорость; тот, кто качает торренты, будем сосать хуи. Если бы не помогло, тогда пилил бы что-то более серьёзное.
>>1150317 В общем всем своим словестным поносом, аж на джва поста, ты описал все то, что я сразу сказал одной ёмкой фразой: > Оставляешь только то, что нужно по работе и не более того. Нет у меня к тебе ответов. Хули тут отвечать?
>>1150334 > своим словестным поносом, аж на джва поста, ты описал все то, что я сразу сказал одной ёмкой фразой Твоя фраза - говно. И где ты там углядел про > то, что нужно по работе умник? Я тебе повторяю ещё раз - и директора сыты и сотрудники целы. Строго запрещены только социалки у секретуток (но они сами дуры, сидеть под носом у шефа в парашах, когда он требует от них чего-нибудь). Все остальные вполне себе пользуются всеми благами глобальненького. Даже охранники порнушку посматривают. И никому не мешают при этом. И все прекрасно понимают, почему у них, после 10-ти мегабайт полученной информации непрерывно, падает скорость до данного ресурса в рабочее время. У тебя же как раз ярко выраженный синдром пидорашки - Запретить и не пущать! Абы чего не вышло. Мне похуй, что там кто делает в сети и что качает (запустить всё равно не сможет на выполнение, лел). Меня волнует только то, что когда канал нужен - он свободен. И я решаю задачи раздельно, а не пытаюсь защитить ОС ограничивая доступ в интернет. Это долбоебизм чистой воды. Я могу лишь немного уменьшить вероятность скачивания чего-то вредоносного. Не более. Защита клиентских пек - отдельная задача, которая слабо пересекается с контролем пропуской полосы внешнего канала. Но ты продолжай верить в невыполнимость условий своего манямирка.
>>1150380 Гуманькооправдания. Пидораха считает, что просмотр охранниками порнухи на рабочем месте это нормально и правильно - канал же не занят. Ебать дебил.
>>1150383 > КО-КО-КО КУКАРЕКУ Что сказать-то хотел, болезненый? Ну смотрит он порно на рабочем месте. Меня это должно волновать? Или я как богоподобная сущность сети должен беспокоится за его моральный облик и выполнение его должностных обязанностей?
>>1150384 > Ты окончательно слился. Макнув в говно пидорах-бездельников. Достойный результат.
>>1150388 > Меня это должно волновать? Должно. Но ты ж, блять, гуманитарий и неосиливаешь читать посты до конца. Я же не зря упомянул о пидорашьих конторах типа ООО "Вектор". Хотя, если у тебя нет дальнейших перспектив карьерного роста, то не должно. Продолжай в том же духе.
>>1150401 Ты всё еще не пояснил, зачем сетевому администратору беспокоится о том, чем занимаются на рабочих местах другие сотрудники. Давай, я жду более-менее развёрнутого ответа, что будет мне если ерохин будет ловить самок на мамбе, а отдел прогеров в полном составе смотреть чёрную библию на порнохабе. Даже в твоей гипотетической маняконторе с безопасностью уровня МОССАДа. Отдельно прошу объяснить, каким боком владение инструментами по шейпингу канала помешает моему карьерному росту.
>>1150407 Ебать. Как же объяснить такому видному сетевому администратору, как ты очевидное? > каким боком владение инструментами по шейпингу канала помешает моему карьерному росту. Не помешает. Помешает то, что ты долбоеб, которые не понимает одной очевидной вещи - на работе нужно работать.
>>1150424 А, я наконец-то понял. Ты отовсюду сделал БЕГN, потому что там ты нахуй не нужен.
Теперь ты работаешь в своей конторе на себя, с одним единственным сотрудником - тобой. А поскольку надо работать надо на работе - ты и работаешь, ограничиваешь себя. Старательно, качественно, без перерывов. Работа. Ограничивать. Посколько больше нет никого, а работать надо - то работаешь над ограничением себя. Ты молодец.
Денег, правда, почему-то пока не заработал, ведь платить себе их должен ты. А больше никто не хочет.
>>1150380 >И все прекрасно понимают, почему у них, после 10-ти мегабайт полученной информации непрерывно, падает скорость до данного ресурса в рабочее время. Какой-то анальный карнавал. Придут работники и выдадут тебе пиздюлей по причине невозможности скачать по работе 100 мегабайтный архив, ссылку на которую они получили по почте. Хуйню какую-то ты городишь, братишка.
>>1150434 Охохо. Вот это проекция. Маня, зачем ты хочешь списать на меня все свои жизненные неудачи? Неужели я наступил на твою больную мозоль? Тебя выпиздили из шараги с 60 компами?
>>1150474 >Не забудь для контроля смарт-карты к туалету прикрутить. Охуенная идея. И не пускать кого-то пока не обосрется. Сбой, все претензии в "болид", епта.
>>1150451 > Хуйню какую-то ты городишь > скачать по работе 100 мегабайтный архив Это тоже предусмотренно. Правда обычно такие архивы получают как раз те, у кого ограничений нет. У рядового сотрудника по работе чаще всего такого не бывает. Или ты правда считаешь, что 10мб это цифра с потолка? Нет, это средний размер файла в моей сети запрашиваемый из глобальной. А решение простое - эникейщику даётся ссылка он качает / пользователя на время переносят в группу без ограничений и он качает. Хотя такое было один единственный раз пока. > выдадут тебе пиздюлей Да что за ебанные манямирки? За что мне выпишут что-то? Если человек изначально работает с такими объёмами информации - он уже в нужной группе. Читай внимательно этапы внедрения выше.
>>1150506 >А решение простое - эникейщику даётся ссылка он качает / пользователя на время переносят в группу без ограничений и он качает. Ты просто ответь, тебе делать нехуй на работе, кроме как заниматься еболой?
>>1150510 Если вкратце, то суть претензий: решение, которое требует на регулярной основе ручное вмешательство - плохое решение. Когда машин и пользователей достаточное количество, ты с эникейщиком заебетесь вручную менять права юзерам или качать им файлы. А еще потом обнаружите, что 5 человек из группы "нет ограничения по скорости" помимо скачивания файлов, используют трафик не по работе. И хули ты будешь делать? Это всё промежуточные и нерабочие варианты.
>>1150509 Поясни. Моя работа, в рамках текущей задачи, контроллировать исходящий канал. Я всё свёл к почти полной автоматизации. При редких (повторяю, один раз за уже полтора года) требуется пнуть эникейщика/меня. Где тут проблема?
>>1150516 А меня ебет, по работе или нет? Канала хватает - ок. Трафик дорогой, но тех, кто за него платит - ок. Поставили задачу сократить трафик - ок, сделаем, вот такие-то варианты решения.
Или дали квоту каждому - 2гб без ограничений в месяц, по 64кб/c. Выбрал квоту, но нужен быстрый интернет - пиши бумагу начальнику, он заодно и глянет, куда у тебя весь траф ушел.
>>1150518 >Моя работа, в рамках текущей задачи, контроллировать исходящий канал >Поставили задачу сократить трафик - ок, сделаем, вот такие-то варианты решения. Если брать такой узкий срез, то ок, задача решена. Если смотреть шире или если начальство помимо счетов за интернет волнует чем занимаются сотрудники - то задача не решена.
>>1150516 > на регулярной основе Где тут регулярная основа? 100-метровый архив по работе который нужен офисному планктону - отклонение от нормы. Прежде чем поставить такое ограничение был проведён анализ. Средний файл для их группы - 6.4МБ. Выставил 10-ть с запасом.
>>1150516 > машин и пользователей достаточное количество Ещё раз тебе про принцип достаточности пояснить? Зачем мне тратить своё рабочее время и другие ресурсы на задачу, которая возникает раз в полтора года? Изменится частота - тогда и встанет вопрос. > Это всё промежуточные и нерабочие варианты Ну давай, поясни мне гуру, какие варианты рабочие и окончательные. А я послушаю. Может ты действительно прав, а я хуйнёй маюсь. Может есть та самая серебряная пуля.
>>1150534 >Где тут регулярная основа? 100-метровый архив по работе который нужен офисному планктону - отклонение от нормы. Повторяюсь, зависит от направления работы. У нас, например, это вполне норма и даже не предел. >Ну давай, поясни мне гуру, какие варианты рабочие и окончательные. Всё зависит от задачи, если задача исключительно минимизировать трафик - то ок, задача решена.
>>1150531 > если начальство помимо счетов за интернет волнует чем занимаются сотрудники - то задача не решена Чья не решена? Моя, начальника или отдела кадров? Или то что сотрудник не работает на работе теперь тоже проблема тыжепрогроммистов? Ну охуеть теперь, лол. Скоро ещё и управление персоналом и работу с клиентами скинем на админов и вот тогда заживём! Я максимум могу принести отчёт где и сколько сидел ерохин, вместо того что бы бумажки перебирать. А что там с ним и почему он этим занимался - проблема его начальства и ОК.
>>1150546 >проблема его начальства и ОК. А, под конец всё-таки сформулировал что-то внятное. Да, это один из двух рабочих вариантов решения проблемы. Про что я уже в треде где-то писал.
>>1150538 > это вполне норма и даже не предел Если бы и у нас это было нормой, то средний файл и весил бы больше, нет? Следовательно ограничения были бы сдвинуты. Более того, они даже сейчас могут быть сдвинуты или вообще убраны за 15 секунд. 5-ть из которых будут потрачены на коннект и вбивание пароля.
>>1150534 > Прежде чем поставить такое ограничение был проведён анализ Представил: - так, это дизайнеры и надо много, пусть у них не будет ограничений - это манагеры, им можно ограничить - а это охранник, ему надо порнуху смотреть
Ваша контора чего там производит, кроме пафоса и долбоебов? Может и правда, любые ограничения - это лишние сущности.
>>1150562 Я если честно на практике уже очень давно не встречался с анальными провайдерами с лимитом по трафику, даже упустил из вида, что где-то такое осталось. Говенной задаче говенное решение. Я бы поменял провайдера, только конечно если это не мухосранск или не ебучий бизнес-центр с монополистом.
>>1150548 > Оп-пост вообще читал Я читал. Этот вахтёр хочет освободить канал для себя любимого и приближённых. И не понимает вообще что же он хочет. Канал контроллировать или пеки пользователей. Дальше давно про него все забыли и фокус сместился. Ещё вопросы?
>>1150562 Не совсем верно. Вот дизайнеры - им можно занимать канал на n мб/с. Вот манагеры. Им можно занимать канал на n мб/с. Но так как они в основном не работают и сколонны качать всякую хуйню, то пусть качают, но не долго. Успел скачать 10-ть метров за отведнное время - молодец. Нет - подвинься, тут другие манагеры почту хотят принять. Это охрана. Про неё в ТЗ вообще ничего не было, так что на общих основаниях - n кб/с на всех. А вот группа которым ещё и на определённые доменные имена нельзя. И ещё, как помощь системным админам, мы прикрутим проверку входящего траффика на известное вредоностое ПО для всех. И баннеры порежем всем кроме пиаротдела (им-то надо следить, чтобы счётчики и баннеры работали). И тому подобное.
>>1150601 >А вот группа которым ещё и на определённые доменные имена нельзя. А тут задача какая? И дальше по тексту? Тут явно выход за рамки "ограничить потребление трафика", т.к. твои ограничения скорости с ними вполне справляются.
>>1150601 > Успел скачать 10-ть метров за отведнное время - молодец. Нет - подвинься, тут другие манагеры почту хотят принять. Анальный цирк. И ты кого-то тут называешь вахтерами?
>>1150612 Да ладно, может у них бюджет минимальный и нормальное оборудование с QoS недоступно. Вот и городят анальный цирк, главное, что с задачей справляются.
>>1150601 >>1150612 >>1150619 Современная компания, современные методы админа. Манагеры, дизайнеры, секретарша Катя, бухгалтер Света и системный администратор "программист" Коля.
>>1150610 > А тут задача какая Я уже написал выше - распоряжение руковдства. > И дальше по тексту Помощь товарищам по команде. Тут да, несакционированная инициатива. > явно выход за рамки Всё верно. Выход. Дальше что? Мне покаятся?
>>1150612 > Анальный цирк Тред не читал? У меня всего 4мб/с негарантированного канала на 60+ пользователей. Причём стоят они 300 баксов каждый. Причём тут вахтёрство? Или ты думаешь что за МКАДом жизни нет?
>>1150619 > нормальное оборудование с QoS недоступно Как должен решить КОС текущую задачу? Свои пакеты ок, я промаркирую. На остальные мой провайдер забил. Мои действия? Как быть с шифрованным трафиком? DPI внедрять и собственный центр сертификации?
>>1150654 >Я уже написал выше - распоряжение руковдства. >Всё верно. Выход. Дальше что? Мне покаятся? Можешь не каяться, вопросы были чтобы ткнуть тебя носом, что твоя реализация задачи "запретить ходить на определенные сайты" с большой вероятностью - говно. Ты, конечно, можешь объяснить, что именно такая формулировка - инициатива руководства, но твоя задача, как специалиста - обрисовать недостатки такого решения и предложить нормальные варианты. >Как должен решить КОС текущую задачу? Обычно такие задачи решаются именно так, но замкадыши с ограничением по трафику должны страдать. Касательно твоего решения - тебе это поддерживать, если нравится анал карнавал, инджой, хуле тут думать. Мне было бы до пизды какое решение с соблюдением двух правил: коли оно работником нормально поддерживается и коли оно задокументировано, чтобы в случае замены это решение не пошло по пизде.
>>1150654 > 4мб/с негарантированного канала на 60+ пользователей. Причём стоят они 300 баксов каждый. Но при этом охраннику дозволено смотреть порнушку, качать торренты и всячески развлекаться. Пиздец какой-то.
> Или ты думаешь что за МКАДом жизни нет? И похоже да, за МКАДом жизни нет, только существование.
>>1150675 > Твоя реализация говно Ок. Допустим. Руководство хочет, чтобы конкретный ерохин ни с одного помпутера сети не сидел впараше. Твои решения? Почему сквид в этом случае говно? Аргументированно только. И конечно же какие недостатки у него. inb4, ерохин воспользуется анонимайзером и всё по пизде. Почему при смене работника что-то должно пойти по пизде? Я в самом начале упомянул, что она может поддерживаться любой макакой по хавтушке. Так как всё это привязанно к спермоАДу. Всё что нужно сменщику - ничего не трогать и добавлять/удалять пользователей используя галочки с чекбосиками. > анал карнавал Какой ещё карнавал? Шейпинг канала не опираясь на кривые провайдерские настройки - карнавал? Я честно не понимаю, инторпрайзовец, что тебе не нравится? Предлагаешь тратить бабло на железки/софт со специально обученными макаками для разруливания 60 калек? Ты всё ещё ебанутый?
>>1150697 > при этом охраннику дозволено У тебя тут ошибка - ему не запрещалось. Всем глубоко похуй, до тех пор пока он выполняет свою работу. За канал всё равно уже уплачено. Когда до тебя уже дойдёт? Это не моя забота. Или ты предлагаешь мне пойти и сказать: Мной выявленно, что такой-то такой-то на посту таком-то в такое-то время посещал сайты фривольного содержания, что нарушает наши скрепы и травмирует астахова. Какие мне принять меры, хозяин? Так, пидорашка? > за МКАДом жизни нет, только существование. Вся суть, собственно. И глобус состоит только из Москвабада. Других стран нет. Это всё пропаганда госдепа. Но постой, ведь тогда получается что и госдеп WAIT OH SHI~
>>1150748 > Когда до тебя уже дойдёт? Никогда. Я не представляю каким надо быть ёбаным дегенератом, что бы давать дорогой и лимитированный канал бездельнику, за счет пользователей, которым он нужен для работы.
И я еще и пидорашка. Это у тебя, дебила - взять всё и поделить.
>>1150730 >ерохин ни с одного помпутера сети не сидел впараше. Твои решения? Я их обрисовал еще в середине треда. Решения два - административные с наказанием ерохина, в таком случае можно даже ничего не блокировать, достаточно будет просто предоставить распечатку последних http запросов, либо анальные - с принудительным введением white-листа и блокировкой всего остального. Всё, остальные варианты - нерабочие. Я подхожу к вопросу комплексно, что пытался объяснить постами выше, однако, ты всё никак этого понимать не хочешь. >ни с одного помпутера Мое стандартное решение - аутентификация по 802.1x, разные вланы, разный приоритет трафика, разные политики - отсутствие/наличие вайтлистов. Да, аутентификация по порту - если же у вас ерохин логинится то на одном, то на другом компьютере, то значит, это ты мудак, а если пользователь не блокирует компьютер когда уходит в туалет по смарт карте, и ерохин садится за его компьютер посидеть, то тут нарушение правил пользования сети, которые и ерохин и другой юзер подписывали, когда я заводил им учетки. Я вполне допускаю, что можно настроить динамическое распределение влан по группам в АД, но мне лень гуглить чтобы убедиться в этом, а на практике не было нужды реализации. По поводу вайт-листов, я думаю, тебе конкретных реализаций не нужно давать, с этим проблем не должно быть нигде. Важен сам подход. Повторюсь в очередной раз, когда заходит речь об ограничениях пользования интернетом для пользователей, эффективных подходов два - административный с наказаниями и полная блокировка всего кроме дозволенных ресурсов. Все остальные варианты, в т.ч. блек-листы нежизнеспособные и на практике обходятся, и если руководству на это насрать, ты вряд ли что-то сможешь сделать, только тратить свое время на закрывание очередных дыр, которые пользователь обнаружил, чтобы обойти твой запрет. Да, тут есть много интересных реализаций, например, можно дропать пакеты авторизации и как результат - юзер не может нигде залогиниться (кроме вайтлиста), в т.ч. на твоих любимых анонимайзерах, но опять же - это всё не работает без административного ресурса, не сможет он зайти вконтактик, будет листать дерти или сидеть и давать советы в /s/, как это делаешь ты. Всё обходится при желании, а если не обходится - находятся альтернативы, что можно поделать, только чтобы не выполнять работу.
>Шейпинг канала не опираясь на кривые провайдерские настройки - карнавал Шейпинг настроить соответственно нужно, чтобы очередь не была слишком длинной, хотя если у тебя тариф в 4 мбит, то это всё хуйня. Можно даже не шейпингом ограничивать, а просто тупо дропать лишние пакеты, делов-то. >Предлагаешь тратить бабло на железки Я не знаю, где ты работаешь и какая у вас ситуация, поэтому это тебе решать, стоит тратить или нет. Я пол треда пытался донести, что нужен нормальный подход к задачам определенного типа, о чем всё написал выше.
>>1150823 > давать дорогой и лимитированный канал бездельнику, за счет пользователей, которым он нужен для работы. Ты специально читаешь через жопу? Суть в том, что пользователям всё нормально. Они даже не замечают этого в повседневной работе. Только при нестандартной ситуации, как например с гипотетическим 100метровым архивом для офисного хомячка, который по работе максимум сканированную пэдэфку может получать на шесть метров. > лимитированный канал Где я писал про лимитированность? Я писал про скорость и стоимость. И про негарантированность. Где ты вычитал это? Опять фантазии?
>>1150855 > Суть в том, что пользователям всё нормально. > Успел скачать 10-ть метров за отведнное время - молодец. Нет - подвинься, тут другие манагеры почту хотят принять. /0 > Я писал про скорость и стоимость. Извини. Ты тут столько напоносил, что я уже забыл лимитированный он у тебя или просто дохлый.
>>1150855 > писал про лимитированность? Я писал про скорость и стоимость Я тоже почему-то про лимитированность подумал. Ну коли ограничения по трафику нет, а дело только в скорости, всё элементарно разруливается через QoS и приоритет трафика. Проблемы вообще никакой нет, а твоя реализация - говно. На деле выйдет: охранник получит минимальный лимит (как у всех юзеров) при скачивании порно ровно до тех пор, пока менеджеру с более высоким приоритетом не понадобится скачать 100 мб архив. Никакого анального карнавала, ограничений по скорости, когда они не требуются и так далее. Инджой. >>1150834-кун
>>1150871 >>1150875 Ок, допустим. Я купил еба железку с косами и вланами. Пользователи сидят по SSL и качают торренты с шифрованием. Давайте, наваляйте мне конфиг который отличит порнуху от архива в общем потоке и расставит приоритеты. Или мне сразу всем статику по макам раздавать и маркировать всё пакеты по источнику? Ах да, у нас же ещё есть вланы. Значит можно замутить по вланам. Но придётся поебстись, если пользователи будут по вафле подключаться. Надо ещё 82-ю опцию включать. Стоп, но ведь тогда придётся поменять точки доступа. И защиту портов организовывать от спуфинга. А то ведь ерохин спиздит мак самого и всё, вся пойдёт по пизде. Да! Я пойду сейчас и скажу руководству, что мне тут на харкаче сказали, что всё, что сейчас работает и экономит нам 600 баксов в месяц - говно. Надо потратить ещё 100500 баксов на новое железо, с косами и вланами. Вот тогда и заживём. Правда если я умру/съебу, вам придётся нанять не эникея, а кого-то уровня меня, а то тут понимаете ли без хотя бы CCNA не получится ничего. Уговорили. Так и сделаю.
>>1150922 >Значит можно замутить по вланам. Но придётся поебстись, если пользователи будут по вафле подключаться. Также прекрасно работает аутентификация по 802.1x, а в придачу к нормальным контроллерам и точкам доступа как побочное явление - бесшовный роуминг. По макам никто уже фильтрации не делает давно.
>Надо потратить ещё 100500 баксов на новое железо, с косами и вланами. Вот тогда и заживём. Правда если я умру/съебу, вам придётся нанять не эникея, а кого-то уровня меня, а то тут понимаете ли без хотя бы CCNA не получится ничего. Красиво жить жрать говно не запретишь. А по поводу денег на оборудование ты преувеличиваешь. Конечно, очевидные варианты железа не дешевые, особенно по меркам замкада, да, но если у тебя сейчас сеть построена из говна и палок, можно было бы найти говно и палки чуть дороже, но с поддержкой нужных стандартов. А потом ебаться с этим всем, потому что нормально не работает.
>>1150922 >Пользователи сидят по SSL и качают торренты с шифрованием. Я просто оставлю это здесь. Гостевая сеть, сейчас же большая часть трафика - ssl. Вот этот момент кстати очень показателен, ограниченность - очень плохая черта системного администратора, ты должен изучать всё новое и находить новые решения, оптимизировать и стремиться всё улучшать, а не упираться в одну свою реализацию, считая ее единственно правильной и отказываясь слушать какую-либо критику со стороны.
>>1150954 И? На твоём графике ssl - отдельная строка c 10-ю процентами. Твои пользователи используют обычный веб в основном. Или ты мне сейчас начнёшь заливать в уши, что твоя железка ищет нужные паттерны и метит ютубчик овер ssl? И что за железка?
>>1150988 >железка ищет нужные паттерны и метит ютубчик овер ssl? Ты какой-то упоротый. Где я такое говорил? Никто в ssl не вмешивается. В большинстве случаев, и в моем в т.ч., хватает ограничения скорости отдельному гостю, а также гостевому влану в целом. А при желании можно еще поиграться с разным видом трафика, что я тебе продемонстрировал - железка спокойно определяет к чему данный трафик относится. Можно сделать гарантированные полосы под http, например, да что угодно, зависит от нужд и фантазии. А железка с графиком - беспроводной контроллер, младшая модель не умеет в нормальный QoS вообще, однако, показывает такие замечательные графики (QoS у меня реализован на другой железке).
>>1150993 Ты и правда тугой. Вот тебе пример: Ерохин смотрит видео с ютубчика и хмастера по ssl. Банки тоже работают по ssl. Да и почта с вебмордой на сервере в датацентре работает по ssl. Как мне, используя твою железку с QOS, ограничить поползновения ерохина для занятия всего канала? Для твоей железки всё ssl. Что ерохин, что баба клава, что манагеры. Ты, прежде чем кукарекать, возьми и протестируй. А то я смотрю ты прям на коленке решил сейчас все проблемы провайдеров всего мира.
>>1151000 Да ты ебанутый. Приоритет конкретно по протоколам - это дополнительная фича, я, например, даже не пользуюсь. Вариантов как разнести трафик куча, раскидываешь долбоебов с бухгалтерией в разные вланы и путь открыт. Можешь выставить приоритеты, можешь ограничить скорость одним, либо дать гарантированный канал бухгалтерии, чтобы добоебы никогда на нее не вылезли. Но ты опять же, смешиваешь разные вещи, чтобы найти якобы какие-то недостатки в этом варианте. Я тебе писал, что если есть нужда запрещать всякие ютубы, есть два рабочих способа, как это сделать - при наличии такой проблемы одним из способом проблема решается.
>>1147145 Тред прочитал, удивлен безграмотностью местных "одминов", которым сосачи подавай в рабочее время. Мой тебе совет, ОП: беги. Куда угодно, хоть подсосом эникея в ростелеком, но беги.
>>1151206 Да местные обитатели, посовещавшись, пришли к выводу что вообще ограничивать сети и рулить ими не нужно, вон выше ОПа зачмырили. Главное чтобы борды с порнухой у каждого в офисе были, и торренты не мешать качать народу. Какие уж там pfsense.
Буйство 1 Семена, Бро. Данные долбаебы ходят на работу в социалочке посидеть и в курилке попиздеть. Этим петухам даже отвечать не стоит.
Когда 1 долбаеб качает торренты и сеть ложиться у всех, предъявы в первую очередь будут начальства к ТЕБЕ. В данный момент схема такая, что мудака который что-либо качает не выловить, кроме как за руку. Для этого и планирую внедрить мониторинг, ибо раз в неделю такой умник появляется и от нехуй делать заставлять всех страдать. Такие просьбы не понимают, писать жалобы итд тоже пока не иду, тк начальство выговор не делало. Будет первый камень от начальства в мою сторону, сдам этих мудаков. Я им прямым текстом говорю - подойдет начальство с жалобой, скажу что ты мудак и положил сеть.
Но буйство семена не угомонить. Пусть все-всё качают, смотрят кинцо и ловят вирусы на сомнительных сайтах. Безлимитный Интернет, хули. А что канал не резиновый так похуй.
>>1149756 а ограничить доступ к варезникам и закачки разной левой хуиты , это не безопасность? >>1149758 мамкины админы или студенты 2 курса. >>1150061 Блокировать лишь тех, кто начинает заниматься хуйней уж очень активно и тем самым мешая всем. Блокировать все и вся не планирую. Начальство как раз проблем не создает. Были инциденты но я объяснил что канал не резиновый и люди все поняли и не хуеют. Хотя генеральный директор, мог бы и нахуй послать. Но наглеют всякого рода клерки и Васяны до 30 лет, у которых одни социалки и кинцо в голове.
>>1150218 > Торренты же и видосики, могут быть нужны и по работе Да, может такое понадобиться, но зная структуру офиса и отделов, я прекрасно знаю у кого по работе такие потребности могут возникнуть. Благо работаю в фирме не первый год и всю кухню знаю.
>>1150220 >Поговорить с начальством, лучшие методы - административные. У меня при наличии и оборудования, и возможностей, и домена, вообще ничего не заблокировано. Но попробуй кто такой хуйней заниматься - вылетит сразу.
Зная свое начальство, я все же решил немного попердолиться в консольке , что бы по факту уже говорить. А то он скажет делай и на все у тебя 2 дня. Бывают такие заебы. Насчет "занимается хуйней - вылетает", тут проблема. Фирма старая, люди работаю многие давно да и склад характера у верхушки такой что мол МЫ СЕМЬЯ и мол за малые косяки и пинание хуя особо не наказывают. Да, за крупный косяк могут и выгнать но редко.
>Хочется заниматься еболой - вперед. Кошки-мышки, блядь, а не работа. Кто кого перехитрит - криворукий эникей или не желающие работать работники.
А почему бы и нет? Делать особо и так нечего. 90% всей еботни, это когда ложиться канал из-за таких гоблинов. А так и проблему решу и опыт получу. Тем более что сначала все обкатаю на виртуалке.
>>1151206 как раз залил на виртуалку. Сегодня буду изучать. Спасибо.
>>1151457 Тебе блять сказали, такое вот начальство. Им на все похуй. У нас рабочий день официально с 9 а половина мудаков, которые как раз качают, приходят к 11. Но им можно и качать и порнуху качать, ведь они с таким же Васяном-начальником в столовке смеются и курить ходят. Начальство еще выше не вмешивается, ибо часто на переговорах да и сидят в другом крыле. Главное что компания имеет прибыль а кто там что делает и во всколько приходит - похуй. А когда у бухгалтерии отчетность и удаленка начинает накрываться пиздой, все бегут ко мне. Я поднимаю кипишь а качавший Васян быстро все выключает. Поймать за руку сложно. Короче надо мониторить, чем я и занимаюсь заняться.
>>1151483 >А когда у бухгалтерии отчетность и удаленка начинает накрываться пиздой, все бегут ко мне. Я поднимаю кипишь а качавший Васян быстро все выключает. Поймать за руку сложно. Короче надо мониторить, чем я и занимаюсь заняться. Так тебе для начала можно просто на скриптах за пять минут напердолить мониторинг, чтобы знать, какой васян качает и писать докладную записку, мол «Неисправность устранена. Причиной неисправности является Васян, забивший в период с ... по ... канал своими торрентами». Гляди ж, начальство и задумается.
>>1151488 Ну, тут знаешь, ситуация типа как огородить газон заборчиком и не пускать ненужных, или не огораживать и если что то сразу на нагадившего на лужайке жаловаться.
Я не знаю, может второй вариант более действенный, но вот лично мне удобнее было бы всё решить техническими средствами, без лишних контактов с кем-то ещё.
>>1151488 Я человек не конфликтный, хоть и под 2 метра и более 100кг в массе и с бородой. Мне проще предугадать где может возникнуть параша, чем потом устраивать разборки и кидать гавном. Особо борзым прикрыть лишнее и все. На вопрос "почему не работает кинцо.ру" - " А оно тебе по работе требуется?" и все, конфликт исчерпан. Человек я подневольный. Надо что, иди качай права генеральному.
>>1151483 > А так и проблему решу и опыт получу. Админ локалхоста детектед. Ты просто всю хуйню мутишь только ради того, что бы почесать свое чсв и не более. Польза твоя для предприятия стремится к нулю
>>1153573 Ну естественно. У нас у всех подсознательное стремление выебнуться и доминировать. Это и есть двигатель прогресса.Без желание выебнуться и доминировать\трахать самок - не было бы прогресса. Обезьяна не просто так взяла палку в руку, она ебнула по голове своего соплеменника. Ты работаешь для того что бы получить много денег и тем самым БЫТЬ УСПЕШНЫМ и что бы САМОЧКИ ДАВАЛИ, что естественно. Даже хикки и то тешат себя мыслю что они НЕ ТАКИЕ КАК ВСЕ и подсознательно стараются выебнуться и выделиться среди серой толпы. Всех нас движет желание доминирования и желание потрахаться. Этого не испытывают уж совсем омежки (у которых ТНН). Так что да, тут я тешу свое ЧСВ. Для фирмы будет эффект но не значительный, чего уж скрывать. Нынешние косяки серьезных проблем не приносят. Да и в будущем профит обеспечен ибо +1 к опыту.
>>1153587 в среднем 50 рыл. Ну Слава Богам, не все сидят нон-стоп в сети. Многие работают. Чертят, проектируют. Нагрузки особо нет. Планировал скорость выбить повыше но начальству и так норм да и кризис во все поля, заказчиков найти не могут.
Пользователи в край охуели. Могут в открытую смотреть фильмы он-лайн, музычка, порой доходит дело до торрентов. Анально огродить на установку ПО тоже проблематично ибо порой софт специфический и люди, как писал выше, порой уезжают в ебеня на пол года. Часто приходиться что-то поставить а хуй, ограничения. По этому их нет.
Выход один. Устроить массовые репрессии в офисе на ключевом сервере, который раздает Интернет. Смотрю в сторону Squid`а. Но с Linux`ом толком дело не имел ибо не было такой надобности. Вот приперло.
Планирую погонять виртуалку на Ubuntu. На нее залить Squid + DHCP + DNS (дабы еще при помощи DNS лочить сайты).
Все усложняется "приближенными" людьми как ко мне, так и к начальству. Основные задачи, которые хотелось бы решить:
1) Возможность глобального запрета на определенные сайты (порнуха итд).
2) Возможность глобального запрета торрентов (p2p).
3) Возможность создать группы "неприкасаемые". Я, начальство и приближенные. Не блокировать ничего.
4) Возможность создания группы "рукожопыемудаки". Люди, которые откровенно охуевают, смотрят фильмы, слушают музыку и всячески наплевательски относятся к просьбе не забивать канал, тк он общий на всех. На неделю таких хватает и снова под дурака начинают страдать хуйней. Желаемо блочить им все, кроме белого листа + лимит на скорость. Пусть страдают и работают.
Короче, позволит ли Squid все это? Есть ли годные гайды как все это сделать? Или там все и вся блочится и скорость не отрегулируешь ?