Блог об:
Информационных технологиях, информации, информатизации и защите информации.
Сетевое проектирование и коммутации телефонных линий.
Железо и тематические подборки для решения различных задач.
Программное обеспечение и операционные системы советы, где скачать.
Тематическая информация по безопасности и управления ИТ в целом.
К чему были эти две предыдущие статьи про шлюз? Отвечаю. Для того чтобы уяснилось понятие — «Что такое шлюз». Многие из друзей спрашивают: - Шлюз это прокси? …нет.
Шлюз это совокупность программно-аппаратных сервисов, позволяющих обеспечить общий контролируемый и безопасный доступ к внешним ресурсам сети. Под этими ресурсами можно понимать, как папки с данными, так и отдельные публикуемые приложения. Ну думаю с «help»`ом понятно, если нет гугл в зубы и серфить, а я продолжу.
Итак, следующим думаю базовым понятием чтобы уяснить как происходит обмен в сети, стоит прочитать о так называемом «тройственном» рукопожатии. т.е. Когда любое приложение обращается по сети к какому либо узлу, предварительно идёт широковещательный запрос (если узел внутренний) или запрос DNS (если внешний) вкратце это приблизительно так, не буду вдаваться в подробности, это можно отследить используя утилиты сети, такие как Wireshark+Winpcap. Далее, идёт запрос на соединение с флагом ^SYN^ (хочу соединится, образно выражаясь), в ответ приходит* обратный запрос ^SYN^ (одобряю), далее от узла с которым инициировано соединение приходи ^SYN+ACK^ (соединяемся). После уже идёт передача различных данных таких, как список директорий удалённой папки (к примеру). Выше описанное нам поможет в дальнейшем строить правила блокировки для различных узлов в сети. Лог WireShark соединяюсь с внутренним хостом SMB. 34 3,166337 10.0.0.95 10.0.0.7 TCP 4576 > microsoft-ds [SYN] Seq=0 Win=65535 Len=0 MSS=1460 35 3,166409 10.0.0.95 10.0.0.7 TCP 4578 > netbios-ssn [SYN] Seq=0 Win=65535 Len=0 MSS=1460 36 3,167101 10.0.0.7 10.0.0.95 TCP microsoft-ds > 4576 [SYN, ACK] Seq=0 Ack=1 Win=16384 Len=0 MSS=1460
Теперь ещё одна мелочь, но не маловажная. Порты. К дополнению правила «тройственного» рукопожатия порты накладывают свой отпечаток, а именно, если разбирать соединение с интернетом флаги установки соединения остаются те же, но теперь после «рукопожатия», Windows* «берёт» любой свободный, не занятый порт системой, и открывает по нему соединение на 80 порт, куда был получен запрос из строки браузера, после чего начинается передача, сопоставление тегов iexplorer`а и т.д. Таким образом, немного начинаешь понимать эталонную модель OSI.
Учитывая стандартную настройку всех шлюзов обладающих Firewall`ом, политика их такова, что любое соединение из вне блокируется по умолчанию, если нету в таблице правил условия для этого соединения. < - ЭТО надо учитывать. Тем самым если только вы не начали соединение, к вам ничего попасть не может. Я исключаю сейчас ситуации взлома и DDOS атак.
Далее…
Состав нашего шлюза:
1. Сервис контроля и блокировки контента (proxy) 2. Сервис блокировки внутреннего и внешнего трафика (FireWall) 3. Сервис для организации распределённых сетей (VPN) 4. Сервис публикации внешних и внутренних портов (PNAT-PAT) 5. Сервис блокировки заведомо опасных DNS зон (Black DNS)
Не для кого не секрет что приведённый выше перечень является стандартной задачей шлюза начального уровня. Теперь думаю стоит выбрать на чём мы будем делать сие решение. Сразу хочу огорчить, я не буду описывать как делать на чистой FreeBSD, но… если вчитаться и понять для чего я выбрал сей путь, станет понятным смысл данной статьи.
Для реализации я взял готовый клон FreeBSD заточенный умельцами для данных целей, он называется PFSense (клон Monowall, а точнее дочка). Форум и полезную информацию по тонким настройкам можно найти по адрему pfsense.com, там даже есть русский раздел, где можно смело задать вопрос связанный либо с вашей проблемой, либо поделится знаниями. Так вот. Описанной ниже конфигурации железа с лихвой хватит для реализации наших задач: 1. Проц+М\п Intel Atom 2. ОЗУ 2 Гб ДДР2. 3. Flash накопитель на 1Гб или более. 4. 2 сетевые карты, одна уже идёт с М\п. 5. Корпус по вкусу)))
Никто не запрещает использовать для реализации более старое железо и наоборот, второй мой шлюз будет на дисках модели Raptor для кэширования запросов генерируемых squid прокси.
Сборка и установка проста до невозможности, качаем ISO образ отсюда () выбрав меня Download и обязательно сконфигурированную версию под семейство именно тех процов на которых вы собираетесь её запускать. В противном случае возникнут проблемы…И ещё небольшой совет, при выборе М\п и клонировании описанного мною решения, убедитесь что М\п поддерживает загрузку с Flash носителя.
По установки, проблем возникнуть не должно, выбрав в меню пункт 99, система установится на носитель. И в дальнейшем будет запускаться от туда.
*Совет, для надёжности лучше WAN интерфейс использовать внешний сетевой интерфейс, а не впаянный в М\П, реже выходят из строя.
Далее идёт процесс конфигурации нашего шлюза. Вопросы настройки, прокидки портов, установки squid я опишу позже. Как только шлюз достигнет места X, и я его включу в сеть, дабы наглядно показать какие могут возникнуть ошибки при первом рассмотрении. Но если пошариться по форуму PFsense можно это сделать самостоятельно. Поэтому до новых встреч.
Напомню чтобы вызвать меню групповой политики, нужно, вызвать из «Пуска» меню выполнить и написать gpedit.msc. Но как её убить если ты настроил таким путём что даже локальный пользователь с правами «Администратор» не может практически ничего сделать…
Я тоже долго маялся с этим, решил настроить, и настроил. Сделав ошибку в нескольких строчках, я не смог в дальнейшем эксплуатировать сервак. Но…удалять вам никто не запрещал. Поэтому шагаем C:\Windows\system32\GroupPolicy и трём все файлы которые там находятся, после чего победный ребут. И заново настраиваем.
Способ конечно корявый, но другой возможности оградить себя от паранойи я не нашёл.
И проблем при использовании не возникнет. Шагом первым вам нужно взять «Лицензионный диск Win2k3» и просто его «отграбить» (сделать ISO образ) или скопировать в папку (распаковать WinRar`ом), и после указать путь для nLite где лежит данный дистрибутив. Он уже сам определил что за версия ОС, какой сервис пак, и версию. Вообще если честно, данной утилитой можно много что приятного сделать, например напрочь стереть ненавистный iExplore из Win2k3, но это тема другой статьи. Поэтому продолжим. Следующем приглашение nLite попросит вам загрузить «его» предыдущие настройки, которые возможно вы сохранили. Давим «Next». Вот: Ради чего вообще стоило так долго рыскать в поисках сия чуда!!! Теперь всё в ваших руках, берём внедряем драйвера нашего контроллера, которые мы с радостью скопировали где нибудь с дискеты (которая идёт с М\п). И идём дальше. «Он» произведёт изменение той папки ОС которую вы указали вначале, с учётом ваших изменений и сохранит, выведя отчёт об изменение (МБ).… Создаём из папки образ включая последнюю опцию в nLite (в меню выбора изменений) и потом благополучно «прожигаем» его на подготовленную болванку. !!!Желательно RW!!! вдруг вы сделали что либо не правильно. А лучше иметь при себе WMWare и спокойно оттестить полученный ISO образ на виртуалке. У меня например с первого раза не заработала пришлось выкинуть болванку. Удачи.
Я пошёл играться с nLite, потому как интересная вещь.
Доброго времени суток. Я позже продолжу статью про шлюзы, как будет время. Долго не радовал новостями, отдыхал. Вот столкнулся с задачей…создать сервер терминалов для обособленного подразделения предприятия. Которое должно работать независимо от погоды, света, и многих других негативных факторов. Теперь ближе к делу.
Т. З. Создать сервер терминалов для группы 10—15 человек для работы с офисными приложениями, 1С, и электронной отчётностью. А так же обеспечить сохранность данных.
Ну в принципе как обычно, стандартная задача для рядового админа на небольшом предприятии. С чего начать. Я думаю как всегда с плана:
1. Железо которое потребуется. 2. Установка и настройка ОС 3. Установка и настройка приложений 4. Настройка систем резервного копирования 5. Ввод в строй и тестирование 6. Заключение
1. Железо
При выборе железа стоит учесть факторы того, что у вас будут одновременно работать более 5 человек на ПК, то есть нагрузка на винчестеры, а именно беспорядочные обращения к данным будут обыденным случаем. В наилучшем случае можно собрать ПК за 50 т.р. на базе 4х ядерного Core5 и контроллера Adaptec 3405 с SAS винтами в RAID10, но мне порезали бюджет, так что поэтому моя модель не сильно идеальная.
Вот моё железо на котором буду я это дело собирать. Учитывая то что винты у меня уже есть, а именно Raptor 36 Gb.
3*Вентилятора 80 в корпус Корпус минимум на 5 дисков *два верхних пункта оставляю на ваше усмотрение потому как не вижу разницы, главное чтобы холодно было. М\п S-775 Intel BLKDQ45CB (с Raid контроллером на борту, + 5 SATA2 сосков) Процессор Intel Core2 Quad Q8300 2,5 ОЗУ DIMM DDR2 800 Mhz 2gb*2 Kingston Cl6
Вот приблизительная полная конфа моей железяки. Я не беру в расчёт 4 винта Raptor 36Gb, правда проблема вылезла сама собой когда, как оказалось у меня их только 3 и один умер, плохо. Ну не буду останавливаться.
Первая проблема с которой все столкнутся если в дальнейшем будут собирать ПК с поддержкой Raid массива на базе Intel, это при установки будет «синий экран смерти», проблема возникает сама собой. Причиной сие проблемы является невозможность опознать область логического диска который вы сформировали на контроллере Intel. Вот что пишет «САМ» Intel по этому поводу () думаю проблема бы иссякла сама собой, если бы у вас был бы Flop`ик….мда…минус, выбранная мною материнка не поддерживает Flopy, точнее она может, но инженеры Intel решили не тулить туда сей старый интерфейс. Да и не проблема найти переходник на SATA. Но у меня его как раз и нет. Что же делать?
Советую не паниковать, а открыть любой поисковик и найти программу nLite которая может внедрить данный драйвер в установочную версию Win2k3, хотя это и незаконно, но другой возможности я не вижу.
Составляем план по которому будем дальше двигаться от простого, к сложному.
1. Обзор 2. Выбор оптимального решения 3. Закупка и проектирование железа 4. Установка и настройка 5. Ввод в строй, подводные камни 6. Заключение
1. Обзор.
Не для кого не секрет что многие интеграторы борются за данный сегмент рынка, D-link и Cisco, хотя первый уступает на порядок, я не выбрал не одно из представленных ими решений. Почему, ну главные плюсы Cisco устойчивость, минусы цена. Что касается D-link то цена и качества приемлемы только для SOHO сетей, но меня они не устраивают. Ведь по сути что такое шлюз, как говорит нам вики : Сетевой шлюз — аппаратный маршрутизатор (англ. gateway) или программное обеспечение для сопряжения компьютерных сетей, использующих разные протоколы (например, локальной и глобальной). (). То есть, это железка в которую забит программный код, который что то делает, что читай выше. Подходя к данному вопросу с нескольких сторон можно выделить параметры которые в дальнейшем будут критичными для нормальной работы сие творения.
Итак параметры которые я думаю стоит учесть при проектировании: 1. Пропускную способность канала 2. Сетевые сервисы которые будет использовать наша сеть 3. Удалённые подключения из вне 4. Безопасность ПО, и его стоимость 5. Гибкая настройка и восстановление
Вот те особенности которые стоит учесть, теперь немного капнём глубже в железо. Что будет делать шлюз? - Обрабатывать сетевые запросы, то есть, работать на 2—5 уровнях модели OSI, а то и на всех 7, но последние стоят не дёшево, хотя…
Выше приведённая схема отображает соединение сетевых интерфейсов, и материнской платы в целом.
Для работу шлюза нам может потребоваться две сетевые карты, учитывая то, что один сетевой кабель приходит от провайдера, другой же, воткнут в коммутатор (неуправляемый). Учтите что для реализации данной схемы вам нужно чтобы ADSL модем (если таковой есть) работал в режиме бриджа, то есть по дефолту.
Схема работы приведена ниже, так же прошу прощения что забегая вперёд, на ней же изображена топология сети которую я буду реализовывать.
Т. О. Наш шлюз будет являться некой стеной между нашей сетью, и глобальной паутиной.
Немного предыстории: Банальна, но всё же. Побывав недавно не семинаре организованном клубом ИТ директоров Юга России, я сидя и наслаждаясь докладами услышал разговор двух человек, на вид они были старше меня на 2 года, мне 23. - Что поднял usergate? - Да. - Работает щас ковыряю.
Меня немного затронуло банальное до ужаса рассуждение народа из южной столицы, поэтому я обернулся и сказал, не проще поднять по быстрому Ubuntu server и поставить squid и срастить с squidGuard`ом, на что получил ответ, ну……и т.д.
Зная что есть такая вещь как — wmware, и на ней можно можно тестировать различные интересные решения, я в своё время просидел в «виртуальной реальности» и собирал неосязаемое железо. Зная *nix особенно стандартную команду apt-get update/install. И посерфить в интернете можно найти кучу статей о том как собирать squid/squidG/havp и многое другое. Не понимаю за что им начальство платит деньги….
Ну да ладно. В следующих частях речь пойдёт как собрать относительно недорогой шлюз с возможностями блокирования трафика, запросов, и файлов.
Начну с самого простого.
Итак.
Т. З. Обеспечить общий доступ к сети интеренет. Обеспечить доступ в частной сети по протоколу VPN. Обеспечить контроль, блокировку, доступ к ресурсам как глобальной сети, так и внутренней. Обеспечить внутреннюю и внешнюю безопасность сети.
Давайте выберем сеть и вспомним что у нас за сети есть, и вообще какие можно применять.
Согласно RFC1918 перевод можно найти здесь ()служба распределения номеров IANA (Internet Assigned Numbers Authority) зарезервировала для частных сетей три блока адресов: 10.0.0.0 — 10.255.255.255 (префикс 10/8) 172.16.0.0 — 172.31.255.255 (префикс 172,16/12) 192.168.0.0 — 192.168.255.255 (префикс 192,168/16)
Тем самым мы можем взять наиболее больший диапазон адресов,про запас, вдруг наше небольшое предприятие разрастется, первый 10.0.0.0. Чем он удобен (просьба без холивара потому что лично моё мнение) быстро набирается, можно разделять по сетям в плане регионов (10.0.77.1 — 77 Москва). Да и запутаться сложнее. Поэтому я выбрал для построения небольшой сети указанный выше адрес.
Дальше, у меня всего в подчинение в данном месте 5 компов, и может быть пару принтеров сетевых и «файлопомойка». Поэтому я выбираю маску 240, то есть на 14 хостов в сети. Какие маски и как их определять можно найти здесь (). Что получается: Address: 10.0.77.1 Шлюз Netmask: 255.255.255.240 Network: 10.0.77.0 Адрес сети HostMin: 10.0.77.1 Первый хост в сети HostMax: 10.0.77.14 Максимальный хост Broadcast: 10.0.77.15 Широковещательный запрос
Т. О. Arp запросы будут ходить на 14 адресов. Сеть можно сразу узнать по префиксу.
Итак подведём итоги, мы познакомились с адресацией в частных сетях, немного о маске сети, выбрали сеть и адрес шлюза. Далее в статьях я подробно рассмотрю Т. З.
Финальный прогон и завершение ТЗ + Отчёт. Заключительная часть. Итак было ТЗ, ниже.
Т. З. Создать защищённый файл сервер для нужд отдельных подразделений предприятия с возможностью авторизации и правами. Обеспечить сохранность и безопасность данных используя устойчивую ОС. Настроить резервное копирование.о Был выбран план реализации.
Выбор конфигурации мат. части (железо для серва)
Выбор ОС для реализации.
Установка и настройка.
Тестовая перезагрузка и время работы.
Финальный прогон и завершение тз.
Отчёт.
Было выбрано железо:
Блок питания и остальное железо ниже в таблице. Так же указана стоимость на 21.10.2009 Блок питания ATX 350W — 650 Мат/плата sAM2 nf630 — 1364 процессор s-AM2 Amd sepron 2800 — 1000 ОЗУ DDR2 2GB PC6400 — 1430 Корпус и куллер по вкусу. итого 4930 руб. + Винты по 2300 каждый итого к бюджет 9600 руб на 21.10.2009
Был реализован дисковый массив RAID1 (mirror)
Связка с учётными записями домена Windows работает (часть 2+3)
Я опустил настройку правил FireWall`а специально потому что как раз над ними работаю, вычисляю порты по которым идёт обращение как к модулям smb, так и к остальным. А точнее уже закончил. Главной интересной особенностью данного решения это безопасность на нескольких уровнях:
Физическом (доступ к носителям возможен только при вскрытии корпуса, поэтому можно использовать корпуса с замком)
На сетевом уровне модели OSI (путём правил FireWall и авторизации в домене, либо же локальными учётными записями)
Программном (модуль CIFS/SMB поддерживает «корзину» - для мусора и удалённых файлов, а так же различные правила rwx)
Гибкость (для реализации я не зря выбрал флэш носитель, и ОС, при использовании на совершенно разной конфигурации железа — эффект один и тот же, система быстро стартует и работает практически без драйверов)
Безопасность (встроенная утилита UPS — поможет выключить дисковый массив и сервер в целом, когда выключат электропитание)
Скорость (в зависимости от винтов, в моём случае, скорость достигала до 190—230 Мб/с при записи больших файлов, и 120—140 при обмене мелкими)
Т. О. Техническое задание было выполнено на 100%, бюджет составил около 10000 руб, аналогичные решения присутствуют на рынке, но дорогие.
Спасибо. Следующей темой для обсуждения будет сеть, и шлюзы.
Затянул немного с продолжением. Сори работы очень много, сейчас надо еще сеть всю перестроить. Тестовая перезагрузка и время работы.
Финальным доказательством и тестом покажу несколько тематических скринов. Так сказать пруф:
На рисунке «красным квадратом» помечено, далее сверху вниз, ОС FreeBSD, время непрерывной работы, и дисковый массив который в данный момент уже забит на половину.
Теперь скрин с AD.
Так же описываю маркеры: Вкладка домен, успешная авторизация в домене (я специально затёр имя домена), пользователи которых он подхватил; и это далеко не конец списка.
И теперь самое думаю интересное
Как вы видете есть определённая директория, в которой в меню безопасность присутствует как пользователи домена, так и пользователи Unix. Пользователи домена при создании папки в праве раздавать права сами на директорию, это уже зависит от первоначальных настроек SMB модуля.
* Интересное замечание, почему так мало скринов, видео покажи с авторизацией, не могу ребят, я признаюсь честно, не умею видео писать с экрана, хотя Fraps должен помочь. Думаю стоит просто поверить наслово и копать в направлении реализации.
Приступим наверно к самому интересному разделу. Итак для установки нам понадобится дистрибутив FreeNas () версии 0.69.2 желательно img образ для дальнейшего импортирования на флэш диск. Конечно можно прибегнуть к различным конфигурациям и манипуляциям установки, к примеру: скачав образ в формате ISO записать на диск и в дальнейшем использовать схему — CD Flash для записей конфига, либо CD 3HDD (где 3й диск малого объёма) и установку произвести на физический диск. Но я выбрал другую конфигурацию.
Описывать как установить FreeNAS я не буду, поделюсь ссылками.
1. Установка FreeNAS на флэшку — 2. Установка FreeNAS на HDD
Для всех есть полное описание всех функций и установок FreeNAS ,686
По данным ссылкам есть полное руководство как устанавливать, я его полностью придерживался, исключая некоторые внутренние настройки типа FTP/SMART/SMB, именно о них я и расскажу более подробно.
SMB ввод в AD и обратно.
Для ввода в домен вам понадобится права администратора домена. Далее немного пошаманить с самими настройками домена. Что именно расскажу дальше по статье.
Итак идём в меню CIFS/SMB начинаем настройку файловой области нашего сервера. Аутентификация ставим — Домен Netbios имя — по вкуссу Рабочая группа* - имя домена Кодовая страница DOS — CF850 Локальный основной…. — нет Сервер времени — нет WINS — поле пустое
Вторая часть данной настроки ниже
Далее, идем по меню в раздел дополнительно — файловый менеджер и запускаем. Теперь нужно будет дописать для наших общих ресурсов дирекотории в которые в дальнейшем будут писаться файлы. Путь для создания директорий mnt >имя образа(смонтированного массива) >… Сдесь можете создавать кучу директорий, не забывайте выдавать права 777 для всех директорий, позднее объесню почему.
Теперь следующее переходим обратно в раздел CIFS/SMB закладка «Общие ресурсы». Создаём общий ресурс дописывая путь к той директории которую создали выше с некоторыми настройками.
Далее в поле дополнительные настройки обязательно указываем параметры для smb. Какие именно я заведомо указывать не буду хотя очень хочеться поделиться ноу-хау. Думаю для админов не составит труда понять о чём я говорю. Для домашних же пользователей есть статьи с более простым описанием поднятия помойки.
Дальше идем в раздел Доступ-Служба коталогов AD И прописываем все данные, но обязательно поле Доменное имя пишите адрес контроллера домена.
Итак машина уже в домене и есть авторизация через AD. Далее разбиваем таким же образом директории и создаём правила для оных. Руководствуясь группами и пользователями.
Другие службы думаю более подробного описания не нуждаются укажу лишь следующее, при создании бэкапа обязательно создайте отдельного пользователя и выдайте ему права, именно на данный сервис, только тогда у вас получиться удалённо записывать данные.
Добрый день мой читатель ты посетил мой блог, уже приятно. Итак думаю начну по порядку.
Т. З.Создать защищённый файл сервер для нужд отдельных подразделений предприятия с возможностью авторизации и правами. Обеспечить сохранность и безопасность данных используя устойчивую ОС. Настроить резервное копирование.
Задача одна не из легких, для выполнения нужно первым делом разбить ТЗ на некоторые подзадачи и дальше по плану его выполнять.
Выбор конфигурации мат. части (железо для серва)
Выбор ОС для реализации.
Установка и настройка.
Тестовая перезагрузка и время работы.
Финальный прогон и завершение тз.
Отчёт.
Выбор железа.
Итак. Проанализировав некоторые предложения и бюджет проекта можно для себя сделать пометки. Информация которая будет храниться и использоваться на данном файл-сервере в основном текстовая, макеты, картинки, сканы, и софт для меня. То есть нам не нужно придумывать и тратиться на корзину на 16 слотов с САС винтами, а нам лишь необходимо два относительно недорогих SATA2 винта. Для этого я взял WD7200 на 750 Gb каждый, итого 2. Конечно для устоичивости их бы в RAID, но не буду забегать вперёд.
Блок питания и остальное железо ниже в таблице. Так же указана стоимость на 21.10.2009 Блок питания ATX 350W — 650 Мат/плата sAM2 nf630 — 1364 процессор s-AM2 Amd sepron 2800 — 1000 ОЗУ DDR2 2GB PC6400 — 1430 Корпус и куллер по вкусу. итого 4930 руб. + Винты по 2300 каждый итого к бюджет 9600 руб на 21.10.2009 Почему взял процессор AMD не Intel, из соображений только лишь стоимости, по характеристикам и производительности первый уступает, но у меня не те задачи чтобы делать упор на проц. Насчёт ОЗУ в моём случае я бы посоветовал две планки по 1Гб так же из той же серии. По причине устойчивой работы, к примеру, одна из них выходит из строя серв продолжает работать независимо от этого. В моём случаем не было две по 1Гб, но я их уже заказал и жду.
Выбор операционной системы
Тут думаю все начнут кричать и холиварить насчёт оных. Тем более мне как специалисту по защите информации не безразличен мой проект, и я основываясь на критерии сделал выбор в пользу FreeNAS (). Почему, критерии: целостотность, доступность, безопасность. Из целостности — решение умещается на USB носитель и по возможности прячется в корпус системного блока, соответственно блок опечатывается. Доступность — человек (который имеет доступ) может восстановить систему, или дописать в неё некоторые настройки, применив web-интерфейс. Безопасность — применив различные уровни защиты встроенные в данном дистрибутиве, а именно FireWall, авторизация по паролю в WebGUI, и физический доступ к самой консоли, мы получаем довольно пластичное решение удовлетворяющее нашим требованиям. Да и кстати авторизация и доступ к файлам на доменном уровне (пользователя, групп).
Версия FreeNAS 0.69.2 Muad'Dib (revision 4700) Cборка от Thu Jun 11 00:06:51 UTC 2009. Единственная версия которую я заставил нормально работать и срастил с AD. Под нормальной работой я понимаю различные внутренние интеграции как в сам дистрибутив, так и внешние в целом. Функции которыми обладает данный дистрибутив можно посмотреть в поисковиках я лишь приведу некоторые. Сразу же дам ответ на интересующий вопрос, почему не более поздние или ранние. Я испробовал все возможные способы интеграции с AD, а так же авторизацию с последней. Седьмая версия напичкана многими бесполезными модулями, а если лишний раз нагружать систему всяким хламом, путного ничего из этого не выйдет.
Итак функции которые мне понадобились: SSH — для удалённого администрирования. SMB — сам файл сервер для хранения. FTP — для удалённого бэкапа. Firewall — контроль и блокирование внешних ресурсов. Rsync — для бэкапа файлов инкрементально + утилита для пользователей WinX
При выборе дистрибутива и железа убедительная просьба заглянуть по ссылке ;— список совместимости дистрибутива.
sys-admin