ALT Linux sysadmins discussion
 help / color / mirror / Atom feed
From: MisHel64 <MisHel64@Bk.Ru>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Subject: Re: [Sysadmins] DSL + IpTables + Squid
Date: Wed, 28 Jan 2009 15:47:49 +0300
Message-ID: <9610283692.20090128154749@Bk.Ru> (raw)
In-Reply-To: <497FE712.3070705@nzh.ieml.ru>

Здравствуйте, Garafiev.

Вы писали 28 января 2009 г., 8:03:14:

> Меня интересует немного другое - технические тонкости настройки данной
> системы, поскольку опыта в настройке Iptables и Squid'а практически 
> никакого.

Судя по твоему письму у тебя вообще опыта в администрировании серверов
никакого, что еще хуже нет еще и теоретической базы. И что бы ответить
на твои вопросы придется читать тебе много часовую лекцию.

> 1. Модем настроен роутером и адрес Ethernet интерфейса "серый" -
> 192.168.101.254.
> 2. На сервере, который является шлюзом и будет резать всякую гадость,
> две сетевые карты (посредством одной он соединяется с модемом: адрес 
> интерфейса 192.168.101.253, а посресдством второй: адрес интефейса 
> 192.168.1.1 - соединяется с локальной сетью, интернет контент для 
> которой будет фильтроваться)

Для  начала,  я  бы  тебе  посоветовал не использовать для своих сетей
адреса  из  192.168.0.0/24  и  192.168.1.0/24.  Долгое сидение на ADSL
своего провайдера четко навели меня на эту мысль.

Если  у тебя правильный провайдер, и PPPoE, то адреса DNS модем должен
получать   автоматом.   Нормальный   модем  умеет  их  использовать  и
становится  DNS  сервером.  Имеено модем будет DNS сервером для твоего
сервера.  То  есть,  адреса  DNS  серверов  провайдера прописываются в
модеме автоматом. Если этого не происходит, то только тогда в вручную.

Теперь  ты  должен  поднять  DNS  сервер у себя на сервере. Для начала
простой  кэширующий.  Очень  желательное,  но  не  очень  обязательное
условие. Из-за криворуких админов моего провайдера, лично мне пришлось
настраивать  полноценный DNS сервер, что бы не использовать DNS адреса
провайдера.  Для  поднятия  собственного  полноценного  DNS есть масса
других  причин.  При наличие локальной сети очень желательно поднять у
себя  DHCP сервер. Если в локальной сети используется ОС Windows и нет
сервера на базе Windows, то очень желательно поднять у себя еще и WINS
сервер (Читай про самбу), в DNS прописать прямые и обратные зоны (т.е.
простым  кэширующим сервером DNS уже не отделаешься), и заставить DHCP
сервер  обновлять  эти  зоны  в  DNS.  Это  все  очень желательные, но
необязательные условия.

> Указывал через route маршруты до ДНС провайдера через модем - не
> помогло, работают только ДНС запросы :(((

Что бы что-то трафик из локальной сети с серыми ИП мог уйти за пределы
этой   локальной  сети,  на  сервере  который  является  шлюзом  нужно
настроить NAT. Читаем про iptables до просветления. Если маршрутизация
настроена  правильно,  но ничего добавлять в таблицы роутинга ненужно.
Настраиваем,  пробуем пинговать внешние ресурсы, пингуется, значит все
здорово.

Теперь  нужно  запретить весь трафик из локальной сети наружу. Этим ты
запретишь  и  доступ  к  внешним  WEB  серверам.  Настраиваем, пробуем
пинговать внешние ресурсы, НЕ пингуется, значит все здорово.

Теперь  думаем, что можно пускать наружу. Переписываем все программное
обеспечение  используемое  в  локальной  сети которое не умеет, или не
должно   ходить  через  прокси,  но  должно  ходить  наружу.  К  таким
программам  относятся почтовые клиенты, аска (по желанию), клиенты DNS
(по  настройкам  сервера).  Смотрим  какие  протоколы  и  какие  порты
используют  серверы  этих  программ, и открываем их. За одно открываем
ICMP протокол. Теперь пробуем пинговать внешние ресурсы, и открыть WEB
страничку.  Пинги  опять  идут,  но  странички открываются. Значит все
здорово.

Только теперь переходим к настройкам сквида. Сначала настраиваем его,
потом прикручиваем авторизацию, что бы знать кто и куда ходит. Потом
прикручиваем стоп лист.

Статистика  посещений  пишется  в лог, но читать ее там, это мазохизм.
Прикручиваем анализатор трафика. Тебе уже советовали ЛичСквид. Я лично
его использую, ставится из бранча и работает при минимальной доводке.

Что  бы  увидеть  эту  статистику,  тебе придется поднимать у себя веб
сервер.  Это  уже  отдельная  песня.  И  в  первый раз аппач ты будишь
настраивать очень долго. Но дело полезное.

> Заранее благодарен за помощь!!!

И  прежде  чем  делать  все  это, я очень рекомендую почитать об общих
принципах  организации  сетей, маршрутизации и прочем. Если тебе нужно
все  это  сделать  быстро, то лучше найми кого-нибудь. С твоим уровнем
знаний за пару недель не уложишься.


> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins



-- 
С уважением,
 MisHel64                          mailto:MisHel64@Bk.Ru



  reply	other threads:[~2009-01-28 12:47 UTC|newest]

Thread overview: 31+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2008-12-19 11:32 [Sysadmins] Кеширование содержимого интернет-ресурсов Garafiev Aidar
2008-12-19 11:34 ` Anatol B. Bazyukin
2008-12-19 11:35 ` Slava Dubrovskiy
2008-12-19 11:41   ` Garafiev Aidar
2008-12-22 13:58   ` [Sysadmins] Web-server in LAN Garafiev Aidar
2008-12-22 14:05     ` Mykola S. Grechukh
2008-12-22 14:13   ` Garafiev Aidar
2008-12-22 14:19     ` Mykola S. Grechukh
2008-12-22 14:22       ` Garafiev Aidar
2008-12-22 14:24         ` Anatol B. Bazyukin
2008-12-22 14:30         ` Mykola S. Grechukh
2008-12-22 14:32         ` Mykola S. Grechukh
2008-12-23  5:52           ` Garafiev Aidar
2008-12-22 14:21     ` Dmitriy M. Maslennikov
2009-01-27 14:10   ` [Sysadmins] DSL + IpTables + Squid Garafiev Aidar
2009-01-27 14:20     ` Dmitriy Kruglikov
2009-01-28  9:54       ` Alexey Morsov
2009-01-27 14:20     ` Dmitriy M. Maslennikov
2009-01-27 14:49     ` MisHel64
2009-01-28  5:03       ` Garafiev Aidar
2009-01-28 12:47         ` MisHel64 [this message]
2009-01-29  5:16           ` Garafiev Aidar
2009-01-28  5:22     ` Garafiev Aidar
2009-01-28  6:37       ` Anton Kvashin
2009-01-28  7:00       ` Dmitriy Kruglikov
2009-01-28 12:53       ` MisHel64
2009-01-28 14:01         ` Aleksey Avdeev
2009-01-28 14:21           ` MisHel64
2008-12-19 13:33 ` [Sysadmins] Кеширование содержимого интернет-ресурсов "А. Куликовский"
2008-12-19 14:33 ` Konstantin A. Lepikhov
2008-12-21 12:29   ` Yuri Bushmelev

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=9610283692.20090128154749@Bk.Ru \
    --to=mishel64@bk.ru \
    --cc=sysadmins@lists.altlinux.org \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git