Allora per ordine
Il controllo di accesso internet può essere effettuato in due modi (in realtà in 1000 modi, ma andiamo per ordine)
- firewall
- proxy
- firewall+proxy

Il "firewall" è un programma (che può essere materialmente dentro uno scatolotto fingendo di essere hardware, oppure un normalissimo computer windows, linux o bsd, in generale linux) che consente di bloccare tutto il traffico dall'interno della rete verso l'esterno, per certi IP (o MAC address per quelli più avanzati).

In questo modo puoi dire "tutte le macchine NON vanno in internet, tranne quelle che decido io"

Puoi anche aprire solo alcuni servizi (es. le macchine vanno in internet, ma solo su siti "sicuri", tipo banche etc).
In generale però non sono metodo "blindati" per controllare l'accesso ad internet, perchè aprendo anche solo una porta è facile veicolarci il traffico.

---
Si usa quindi, normalmente, un proxy (tipicamente squid per linux, più raramente per windows, o ISA per windows), che è un altro programma col quale si possono creare filtri più "mirati".

Una configurazione normale può essere fatta così: tutti i computer (via firewall) sono inibiti per l'accesso a internet.
Questo "spazza via" messenger, facebook, skype, tor e chi più ne ha ne metta.

Una singola macchina (su cui gira il proxy) è abilitata per l'accesso a internet.

Tutti gli altri client si connettono a internet attraverso il proxy (materialmente sono impostazioni da mettere in internet explorer, firefox o quello che usi - esistono anche i proxy trasparenti automatici ma non complichiamo).

Il proxy ha una lista (ACL) del tipo
"l'utente X con password Y può andare in internet dove vuole"
"l'utente Z con password K può andare solo su certi siti che decido io"
(...)


gateway è il sinomimo windows per router
Se c'è 2003 server al 99% avete un PDC

fai benissimo a lasciarlo lì, siete niubbi e vi complicherete eccessivamente la vita.
Una mossa "ragionata" sarebbe spostarlo su gmail, per avere una migliore integrazione con IMAP e i cellulari.
Fossi in voi lascerei perdere

Non ho capito un granchè, ma è facile sincerarsi.

tasto destro->proprietà su risorse del computer di una qualsiasi macchina client XP
linguetta "nome computer" e lì vedi subito se c'è un
GRUPPO DI LAVORO oppure un DOMINIO

Ho un "Gruppo di lavoro" e non un dominio. Il gateway limita l'upload e il download oppure solo l'upload?

Ho anche visto un modem alice e un apparecchio grigio scuro o nero 15X20X5 con sopra scritto: Internet Security Astraro Gateway. L'apparecchio ha davanti 2 porte sul fronte, su una c'é un simbolo strano mentre sull'altra c'é scritto USB.

100 dipendenti e un gruppo di lavoro?

Vabbè avranno avuto i loro motivi
"gateway" è sinonimo per microsoft di router.

Il firewall, che può essere integrato nel router, oppure esterno (come nel tuo caso), oppure un programma che gira su un computer, può limitare sia gli accessi interni -> internet che internet -> interni.
In realtà spesso anche interni -> interni o con le varie zone in cui è segmentata la rete.


Il modem (che sarà quasi certamente un router) alice immagino abbia solo due collegamenti

1 telefonico (adsl), l'altro un cavetto ethernet verso l'astaro.
Il quale, per inciso, è una sorta di minipc che fa funzionare una distribuzione linux customizzata ad uso firewall, router (ce ne sono parecchi).

In pratica potresti far girare lo stesso programma su un vecchio computer, invece che nello "scatolotto".

Dall'idea che mi son fatto dallo scatolotto dovrebbe partire un singolo cavetto ethernet verso uno degli switch, a cui saran collegati i vari server, computer etc.

confermi?

Dipende cosa vuoi farci.
Linux ha degli enormi vantaggi rispetto a Windows(che preciso: uso e considero un buon sistema seppur
inferiore a Linux nel campo server,ma più intuitivo semplice e palloso nel lato desktop ).
Uno è che lo puoi controllare bene,un altro è che è opensource e salvo soluzioni commerciali non ti devi districare tra 100000 licenze
Ovviamente è più difficile e ostico specie per chi è alle prime armi.
Questa azienda con 100 dipendenti che deve far girare?DNS?LAMP?PROXY?FTP?

E' difficile poterlo stabilire, i cavi sono troppi, ma credo di si. Quindi secondo te lo switch riceve "le direttive" dal PC con linux e decide a chi dare internet e a chi non lo dare? A dir la verità era anche la mia idea iniziale...
Comunque da quando hanno sostituito il firewall con l'Internet Security Astraro Gateway i PC con linux non funzionano più e si sta cercando una soluzione valida per limitare l'ADSL. Voi cosa consigliate? Si può fare tutto dal firewall?

Ciao e grazie

Cosa sono i DNS? Cos'é il LAMP? Cosa centra l'FTP con una rete locale? Si sta parlando di un semplice server per mettere in comunicazione diversi pc e metterci sopra i file di lavoro, tutto qui.

Ahem... per ordine...

1) il baracchino astaro è una mezza ciofeca. esistono soluzioni "simil-hardware" migliori, o addirittura gratuite che fai funzionare su un vecchio computer.
2) lo switch è un apparato "scemo", una sorta di "ciabatta" per connettere più apparati.
3) da quanto posso intuire lo schema dovrebbe essere

ADSL - alice - astaro - switch - (insieme computer)
---
Per quanto riguarda la limitazione ADSL, inteso come controllo di accesso ad internet, come detto può essere effettuato
- a livello di IP, ossia si può dire la macchina con indirizzo X può andare, Y no.
Questo però è bypassabile da parte dell'utente il qualche, cambiando l'IP del computer, può "assumere" diritti.
Un filtro del genere si può fare con un firewall, a partire da circa 250 euro per uno zywall 2 fino a "baracchini" seri

- a livello di utente.
In questo caso è la coppia utente-password che dà i privilegi. Quindi l'utente X può spostarsi su vari computer e, inserendo i suoi dati, avere la possibilità di navigare o meno. Si fa con un proxy

Mettendoli insieme (proxy e firewall) è possibile inibire la possibilità di un utente di "bypassare" cambiando l'IP alla macchina che usa.

col proxy si possono fare anche white list (cosa assai utile).
In pratica si definiscono un insieme di siti su cui TUTTI possono navigare, che so quelli delle banche, o di informazioni, INPS o quelli che usate.

Su tutti gli altri siti bisogna avere i relativi "poteri".
----
Materialmente una situazione del genere la gestirei (nella fantascientifica ipotesi che utilizziate una banale ADSL per 100 utenti!!!) in vari modi a seconda dell'hardware che avete (io personalmente userei VM, ma mi sembrate ancora troppo "niubbi").

In sintesi non ho capito benissimo cosa fanno le macchine linux, ed a cosa serve l'astaro.

Ok tornando a noi, nell'ipotesi di riprogettare, farei in tre modi alternativi.

0) userei una macchina BSD come proxy-firewall. te lo sconsiglio, inadatto per niubbi, è quello che faccio di solito.

1) metterei un computer Linux con una versione specifica di una distro (praticamente come astaro, ma migliore), con due schede di rete, che funga da firewall e proxy. Questo può andar bene per la gestione "niubbesca" perchè ha una interfaccia web. Non è facilissimo da configurare, ma niente di che

2) metterei uno zywall 2 plus (come firewall, o l'astaro, ma se pagate un tot di assistenza lo bidonerei) con un computer Windows-linux con proxy squid. Questo per rendere più facile ai niubbi la modifica di una eventuale white list

-----------
Per individuare la topologia della rete ti consiglio di dotarti di una pila e seguire i vari cavetti, fai uno schema e postalo

L'alternativa è staccare tutto, e rifare tutto da zero

DNS è il servizio che consente di far "comunicare" tra di loro i computer.
In una rete Windows esistono un sacco di sistemi diversi per farlo (sono le incrostazioni storiche di derivazione addirittura novell ed smb).

Nel tuo caso non è indispensabile, in generale (per un dominio, ma abbiamo detto che non c'è un dominio) è utile che il server PDC (windows 2003 per capirci) funga sia da server DNS che DHCP per tutti i client (è più facile che si colleghino)


LAMP, in breve, è l'acronimo che individua una serie di programmi per pubblicare siti web su internet (o su una rete locale interna).

FTP ti servirebbe per consentire il caricamento (dall'esterno) di file. In pratica filiali, agenti etc.

EDIT: ti servirebbe anche (soprattutto in un dominio!) per facilitare i backup su NAS, in quanto il meccanismo di autenticazione è semplice e non devi impazzire col PDC.
Traduzione: con un dominio (ma abbiamo detto che non l'avete, anche se mi pare strano, tutto può essere) può essere difficile fare i backup tra computer diversi.
E' più facile mettere un server FTP interno e scrivere lì dentro
---
Per "mettere i file di lavoro"; ossia una cartella condivisa per capirci, puoi usare tranquillamente linux-bsd (col programma samba), anch'esso configurato con dominio o meno.
Addirittura potresti usare distro specifiche BSD-based, se vuoi avere un livello bassissimo di rotture di maroni per configurarlo, e non ti interessano prestazioni elevatissime.

Unica vera differenza tra un fileserver linux e windows è che quando cambi una password peer linux tocca BLOCCARE il server (!!!!) ovvero possono (in generale capita) "cadere" le connessioni di tutti gli utenti (!!!!)

---
EDIT2: non conosco specificamente astaro, ho dato una rapida occhiata e mi pare sia SENZA proxy (ecco perchè non è un granchè).
Esistono parecchi strumenti simili, più completi e gratuiti, tipo questo
http://www.endian.com/en/community/overview/
Come puoi vedere esiste anche in versione "baracchino", ma francamente te lo sconsiglio (si regalano soldi, in sostanza, alla ditta, e nel vostro caso la configurazione è banale e non richiede chissà quale assistenza)

Suggerimento:
scrivi cosa VUOI che succeda, poi ti dico COME fare, indipendentemente da come adesso avere "abborracciato" il sistema.

Dunque un file server?
Allora samba+ldap

C'è già una macchina Windows 2003 Server, perché complicarsi la vita?

Parzialmente OT: come la vedi pfSense (basata su FreeBSD) come una "1 e mezzo"? Lo uso da un po' in produzione e mi ha fatto un'ottima impressione, mi pare più leggero sul sistema rispetto ad Endian, il che, se le macchine su cui girerà sono vecchiotte, può essere una buona cosa.

Questo mi sembra il corso per sistemista della Scuola Radio Elettra per corrispondenza
(ovviamente non esiste ...)

non è malaccio, ma in realtà dà meno servizi niubbo-like come efw.
Personalmente prediligo macchine "vere" bsd per poter fare shaping e capping dell'upload, cosa che non è per nulla facile con linux e "derivati"; in quest'ottica non ha molto senso pfs.
Riguardo all'hw, nel 99.9% dei casi uso macchine virtuali, quindi non ha molto senso, o comunque è assai meno rilevante, il discorso sulle prestazioni

(poche cose son peggio di un firewall-proxy-router-antivirus-antispam-antitutto-solcazzo che si guasta e ti blocca una rete con 100 macchine )
---
Versione breve: come approccio "1.5" è certamente da tenere in seria considerazione, soprattutto se su macchine "fisiche"

bhè nel mio caso è più simile ad un corso per sistemista alla Libera Università dei Gatti Norvegesi & Ragdoll

Innanzitutto un grazie di cuore per la disponibilità. Leggendo i vostri post ho capito molte cose.

Non so se il cavo ADSL che parte dall'astaro arriva al pc con linux e poi da questo ritorna al server o allo swich oppure ancora se arriva direttamente allo swich e il pc con linux e collegato a quest'ultimo come un normalissimo pc client con windows. Voi che dite?

Come da post precedenti vi descrivo la rete e vi espongo le sue problematiche, consigliatemi voi la soluzione più indicata.

La rete ADSL proviene da modem Alice, passa attraverso router Astaro e arriva al rack dove é posizionato il server. Dal rack partono i cavi che vanno a tutti i pc.

Le problematiche della rete solo le seguenti:

1) Pochi soldi a disposizione
2) Sul server é installata una versione di windows server 2003 OEM non valida. [Anni fa si era fuso il server di rete e si era sostituito con uno nuovo (quello attuale) ma su quest'ultimo si era messo la licenza OEM relativa al server precedente oltretutto con soli 5 cal. (Così mi é stato detto!)]
3) Ora con l'astaro tutti hanno l'accesso alla rete ma in futuro si vorrebbe dare solo ad un numero prefissato di utenti la possibilità di usare internet.

Usare il server per fare tutto forse non conviene perché se si fonde i client restano senza rete internet ed e-mail.

P.S.: Che differenza c'é tra numero fisico della macchina e l'IP? Dove si leggono su windows?

Più probabile che vada alla macchina Linux e poi allo switch.

Il punto è più che altro di che servizi avete bisogno... Autenticazione centralizzata? Condivisione di file? Condivisione di altre risorse? Gestione centralizzata di aggiornamenti/installazioni/...? Gestione centralizzata della posta? Altro ancora?

E questo è un grande classico. Di quanto si parlerebbe?

Questo esclude di poter usare questo server come PDC per 100 macchine... o si continua così che fa solo da condivisione file "brutale", o si passa ad un dominio, ma bisogna o pagare una cospicua quantità di euri a Microsoft. L'alternativa sarebbe un dominio gestito da una macchina Linux.
Per inciso, questo è il server con su l'applicazione di fatturazione o è un altro? Se è un altro, come si colloca all'interno della rete? Che OS ci gira su?

Fattibilissimo con una macchina dedicata con su Endian o pfSense; se si decide di mettere in piedi un'architettura di autenticazione centralizzata (dominio/LDAP) non sarebbe male integrare le due cose (e se non sbaglio sia Endian che pfSense possono gestire l'autenticazione degli utenti sul proxy via LDAP).

Anch'io sarei per una certa ridondanza, specie se non è una macchina recentissima; come concetto trovo giusto separare il server su cui stanno i file/il DB degli utenti/eccetera dal firewall perimetrale.

Tra l'altro, per i backup attualmente come fate? La roba di ciascun utente che non è condivisa sta sul suo PC?

In che senso "numero fisico"? Intendi il MAC address?

Altra parentesi (solo parzialmente) off-topic: qualcuno ha mai provato ClearOS "per davvero"? Impressioni? Non mi gusta tanto il mettere il firewall perimetrale e tutto il resto sulla stessa macchina, ma credo si possa usare tranquillamente solo come PDC & co...