From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-1.8 required=5.0 tests=AWL,BAYES_00 autolearn=ham version=3.2.5 Message-ID: <49813BB9.6010207@nzh.ieml.ru> Date: Thu, 29 Jan 2009 08:16:41 +0300 From: Garafiev Aidar User-Agent: Thunderbird 2.0.0.14 (X11/20080508) MIME-Version: 1.0 To: ALT Linux sysadmin discuss References: <494B8637.8090407@nzh.ieml.ru> <494B8703.3000305@tangramltd.com> <497F15C3.8080800@nzh.ieml.ru> <6358290.20090127174928@Bk.Ru> <497FE712.3070705@nzh.ieml.ru> <9610283692.20090128154749@Bk.Ru> In-Reply-To: <9610283692.20090128154749@Bk.Ru> Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit X-SpamTest-Version: SMTP-Filter Version 3.0.0 [0284], KAS30/Release X-SpamTest-Info: Not protected Subject: Re: [Sysadmins] DSL + IpTables + Squid X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.10b3 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 29 Jan 2009 05:16:46 -0000 Archived-At: List-Archive: MisHel64 пишет: > Здравствуйте, Garafiev. > > Вы писали 28 января 2009 г., 8:03:14: > > >> Меня интересует немного другое - технические тонкости настройки данной >> системы, поскольку опыта в настройке Iptables и Squid'а практически >> никакого. >> > > Судя по твоему письму у тебя вообще опыта в администрировании серверов > никакого, что еще хуже нет еще и теоретической базы. И что бы ответить > на твои вопросы придется читать тебе много часовую лекцию. > > >> 1. Модем настроен роутером и адрес Ethernet интерфейса "серый" - >> 192.168.101.254. >> 2. На сервере, который является шлюзом и будет резать всякую гадость, >> две сетевые карты (посредством одной он соединяется с модемом: адрес >> интерфейса 192.168.101.253, а посресдством второй: адрес интефейса >> 192.168.1.1 - соединяется с локальной сетью, интернет контент для >> которой будет фильтроваться) >> > > Для начала, я бы тебе посоветовал не использовать для своих сетей > адреса из 192.168.0.0/24 и 192.168.1.0/24. Долгое сидение на ADSL > своего провайдера четко навели меня на эту мысль. > > Если у тебя правильный провайдер, и PPPoE, то адреса DNS модем должен > получать автоматом. Нормальный модем умеет их использовать и > становится DNS сервером. Имеено модем будет DNS сервером для твоего > сервера. То есть, адреса DNS серверов провайдера прописываются в > модеме автоматом. Если этого не происходит, то только тогда в вручную. > > Теперь ты должен поднять DNS сервер у себя на сервере. Для начала > простой кэширующий. Очень желательное, но не очень обязательное > условие. Из-за криворуких админов моего провайдера, лично мне пришлось > настраивать полноценный DNS сервер, что бы не использовать DNS адреса > провайдера. Для поднятия собственного полноценного DNS есть масса > других причин. При наличие локальной сети очень желательно поднять у > себя DHCP сервер. Если в локальной сети используется ОС Windows и нет > сервера на базе Windows, то очень желательно поднять у себя еще и WINS > сервер (Читай про самбу), в DNS прописать прямые и обратные зоны (т.е. > простым кэширующим сервером DNS уже не отделаешься), и заставить DHCP > сервер обновлять эти зоны в DNS. Это все очень желательные, но > необязательные условия. > > >> Указывал через route маршруты до ДНС провайдера через модем - не >> помогло, работают только ДНС запросы :((( >> > > Что бы что-то трафик из локальной сети с серыми ИП мог уйти за пределы > этой локальной сети, на сервере который является шлюзом нужно > настроить NAT. Читаем про iptables до просветления. Если маршрутизация > настроена правильно, но ничего добавлять в таблицы роутинга ненужно. > Настраиваем, пробуем пинговать внешние ресурсы, пингуется, значит все > здорово. > > Теперь нужно запретить весь трафик из локальной сети наружу. Этим ты > запретишь и доступ к внешним WEB серверам. Настраиваем, пробуем > пинговать внешние ресурсы, НЕ пингуется, значит все здорово. > > Теперь думаем, что можно пускать наружу. Переписываем все программное > обеспечение используемое в локальной сети которое не умеет, или не > должно ходить через прокси, но должно ходить наружу. К таким > программам относятся почтовые клиенты, аска (по желанию), клиенты DNS > (по настройкам сервера). Смотрим какие протоколы и какие порты > используют серверы этих программ, и открываем их. За одно открываем > ICMP протокол. Теперь пробуем пинговать внешние ресурсы, и открыть WEB > страничку. Пинги опять идут, но странички открываются. Значит все > здорово. > > Только теперь переходим к настройкам сквида. Сначала настраиваем его, > потом прикручиваем авторизацию, что бы знать кто и куда ходит. Потом > прикручиваем стоп лист. > > Статистика посещений пишется в лог, но читать ее там, это мазохизм. > Прикручиваем анализатор трафика. Тебе уже советовали ЛичСквид. Я лично > его использую, ставится из бранча и работает при минимальной доводке. > > Что бы увидеть эту статистику, тебе придется поднимать у себя веб > сервер. Это уже отдельная песня. И в первый раз аппач ты будишь > настраивать очень долго. Но дело полезное. > > >> Заранее благодарен за помощь!!! >> > > И прежде чем делать все это, я очень рекомендую почитать об общих > принципах организации сетей, маршрутизации и прочем. Если тебе нужно > все это сделать быстро, то лучше найми кого-нибудь. С твоим уровнем > знаний за пару недель не уложишься. > > Согласен с тем, что опыта у меня довольно-таки немного. А вот нанимать кого-то для этого дела.... С этим я не согласен, поскольку это убдет просто уход от проблемы а не её решение. Зачем же тогда я устраивался на такую должность?!