ALT Linux sysadmins discussion
 help / color / mirror / Atom feed
* [Sysadmins] Кеширование содержимого интернет-ресурсов
@ 2008-12-19 11:32 Garafiev Aidar
  2008-12-19 11:34 ` Anatol B. Bazyukin
                   ` (3 more replies)
  0 siblings, 4 replies; 31+ messages in thread
From: Garafiev Aidar @ 2008-12-19 11:32 UTC (permalink / raw)
  To: sysadmins

Приветствую, Уважаемые коллеги!!!

Какой инструмент для кеширования содержимого интернет-ресурсов 
посоветуете? И сколько % трафика можно сэкономить?

Хотелось бы хоть немного сэкономить на трафике и хоть как то ускорить 
открытие интернет-страниц без увеличения скорости канала.

Заранее благодарен за содействие



^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] Кеширование содержимого интернет-ресурсов
  2008-12-19 11:32 [Sysadmins] Кеширование содержимого интернет-ресурсов Garafiev Aidar
@ 2008-12-19 11:34 ` Anatol B. Bazyukin
  2008-12-19 11:35 ` Slava Dubrovskiy
                   ` (2 subsequent siblings)
  3 siblings, 0 replies; 31+ messages in thread
From: Anatol B. Bazyukin @ 2008-12-19 11:34 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

19 декабря 2008 г. 14:32 пользователь Garafiev Aidar <garafiev@> написал:
>
> Какой инструмент для кеширования содержимого интернет-ресурсов посоветуете?
> И сколько % трафика можно сэкономить?
>
squid
Но эффективность может быть маленькая, в моем случае 15% :(

-- 
С уважением,
 Anatol

^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] Кеширование содержимого интернет-ресурсов
  2008-12-19 11:32 [Sysadmins] Кеширование содержимого интернет-ресурсов Garafiev Aidar
  2008-12-19 11:34 ` Anatol B. Bazyukin
@ 2008-12-19 11:35 ` Slava Dubrovskiy
  2008-12-19 11:41   ` Garafiev Aidar
                     ` (3 more replies)
  2008-12-19 13:33 ` [Sysadmins] Кеширование содержимого интернет-ресурсов "А. Куликовский"
  2008-12-19 14:33 ` Konstantin A. Lepikhov
  3 siblings, 4 replies; 31+ messages in thread
From: Slava Dubrovskiy @ 2008-12-19 11:35 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

[-- Attachment #1: Type: text/plain, Size: 382 bytes --]

Garafiev Aidar пишет:
> Приветствую, Уважаемые коллеги!!!
>
> Какой инструмент для кеширования содержимого интернет-ресурсов
> посоветуете? И сколько % трафика можно сэкономить?
squid обычно рекомендуют

-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3262 bytes --]

^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] Кеширование содержимого интернет-ресурсов
  2008-12-19 11:35 ` Slava Dubrovskiy
@ 2008-12-19 11:41   ` Garafiev Aidar
  2008-12-22 13:58   ` [Sysadmins] Web-server in LAN Garafiev Aidar
                     ` (2 subsequent siblings)
  3 siblings, 0 replies; 31+ messages in thread
From: Garafiev Aidar @ 2008-12-19 11:41 UTC (permalink / raw)
  To: sysadmins

Второй вопрос:

В какой конфигурации он должен функционировать, если интернет нам 
предоставляет головной офис, а до него у нас VPN канал?


^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] Кеширование содержимого интернет-ресурсов
  2008-12-19 11:32 [Sysadmins] Кеширование содержимого интернет-ресурсов Garafiev Aidar
  2008-12-19 11:34 ` Anatol B. Bazyukin
  2008-12-19 11:35 ` Slava Dubrovskiy
@ 2008-12-19 13:33 ` "А. Куликовский"
  2008-12-19 14:33 ` Konstantin A. Lepikhov
  3 siblings, 0 replies; 31+ messages in thread
From: "А. Куликовский" @ 2008-12-19 13:33 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Garafiev Aidar пишет:
> Приветствую, Уважаемые коллеги!!!
>
> Какой инструмент для кеширования содержимого интернет-ресурсов 
> посоветуете? И сколько % трафика можно сэкономить?
squid
>
> Хотелось бы хоть немного сэкономить на трафике и хоть как то ускорить 
> открытие интернет-страниц без увеличения скорости канала.
Выигрыш "не очень, чтобы уж очень"...
Вот кусок из отчета кальмара (calamaris)

Proxy statistics                                                                
--------------------------------------------------------- -------------- ------ 
Total amount:                                                   requests 349296 
Total amount cached:                                            requests 177490 
Request hit rate:                                                      %  50.81 <--
Total Bandwidth:                                                    Byte  1340M 
Bandwidth savings:                                                  Byte   223M 
Bandwidth savings in Percent (Byte hit rate):                          %  16.67 <--
Proxy efficiency (HIT [kB/sec] / DIRECT [kB/sec]):                factor   3.64 
Average speed increase:                                                %  13.75 
--------------------------------------------------------- -------------- ------ 

# Incoming requests by method
method                          request      %  sec/req   Byte       %  kB/sec  
------------------------------ --------- ------ ------- -------- ------ ------- 
GET                               338917  97.03    4.04 1353366K  98.63    0.99 
POST                                8680   2.48    2.99 14545205   1.04    0.55 
CONNECT                              892   0.26  313.17  4396615   0.31    0.02 
HEAD                                 800   0.23    0.95   289490   0.02    0.37 
OPTIONS                                3   0.00    1.57     3269   0.00    0.68 
NONE                                   2   0.00    0.22     3296   0.00    7.30 
PROPFIND                               2   0.00    1.14    11388   0.00    4.86 
------------------------------ --------- ------ ------- -------- ------ ------- 
Sum                               349296 100.00    4.80 1372164K 100.00    0.82 

# Incoming UDP-requests by status
no matching requests           

# Incoming TCP-requests by status
status                          request      %  sec/req   Byte       %  kB/sec  
------------------------------ --------- ------ ------- -------- ------ ------- 
HIT                               177490  50.81    0.49  228744K  16.67    2.62 
MISS                              158212  45.29    9.59 1126668K  82.11    0.74 
ERROR                              13594   3.89    5.23 17153564   1.22    0.24 
------------------------------ --------- ------ ------- -------- ------ ------- 
Sum                               349296 100.00    4.80 1372164K 100.00    0.82 


Т.е.  по трафику - 16.57% экономии, бывает и меньше,  по запросам - 50%

Кроме того, режется реклама и "кое что еще, кое что иное..."

-- 
С уважением, А.Куликовский
Гимназия №1, г.Дзержинск, РБ



^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] Кеширование содержимого интернет-ресурсов
  2008-12-19 11:32 [Sysadmins] Кеширование содержимого интернет-ресурсов Garafiev Aidar
                   ` (2 preceding siblings ...)
  2008-12-19 13:33 ` [Sysadmins] Кеширование содержимого интернет-ресурсов "А. Куликовский"
@ 2008-12-19 14:33 ` Konstantin A. Lepikhov
  2008-12-21 12:29   ` Yuri Bushmelev
  3 siblings, 1 reply; 31+ messages in thread
From: Konstantin A. Lepikhov @ 2008-12-19 14:33 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Hi Garafiev!

Friday 19, at 02:32:07 PM you wrote:

> Приветствую, Уважаемые коллеги!!!
> 
> Какой инструмент для кеширования содержимого интернет-ресурсов 
> посоветуете? И сколько % трафика можно сэкономить?
> 
> Хотелось бы хоть немного сэкономить на трафике и хоть как то ускорить 
> открытие интернет-страниц без увеличения скорости канала.
> 
> Заранее благодарен за содействие
лучше тогда oops. Он умеет прикидываться нормальным HTTP/1.1, который
понимает Accept-Encoding: gzip, и разжимать ответ. Более того, умеет
докачивать файлы, которые посмотрели не до конца, т.е. в след. раз не
нужно будет их повторно качать. А %% сильно зависит от типа трафика.

-- 
WBR et al.


^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] Кеширование содержимого интернет-ресурсов
  2008-12-19 14:33 ` Konstantin A. Lepikhov
@ 2008-12-21 12:29   ` Yuri Bushmelev
  0 siblings, 0 replies; 31+ messages in thread
From: Yuri Bushmelev @ 2008-12-21 12:29 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

В сообщении от Пятница 19 декабря 2008 Konstantin A. Lepikhov написал(a):
> Hi Garafiev!
>
> Friday 19, at 02:32:07 PM you wrote:
> > Приветствую, Уважаемые коллеги!!!
> >
> > Какой инструмент для кеширования содержимого интернет-ресурсов
> > посоветуете? И сколько % трафика можно сэкономить?
> >
> > Хотелось бы хоть немного сэкономить на трафике и хоть как то ускорить
> > открытие интернет-страниц без увеличения скорости канала.
> >
> > Заранее благодарен за содействие
>
> лучше тогда oops. Он умеет прикидываться нормальным HTTP/1.1, который
> понимает Accept-Encoding: gzip, и разжимать ответ. Более того, умеет
> докачивать файлы, которые посмотрели не до конца, т.е. в след. раз не
> нужно будет их повторно качать. А %% сильно зависит от типа трафика.

А еще он умер, периодически (где-то раз в месяц) самопроизвольно падал, не 
умел пропускать через себя svn, и имел какие-то проблемы под Linux (от 
не-компиляемости с новыми glibc, до каких-то подземных стуков).
Так что, если будет oops, то надо подставить под него автоподнималку и дать 
возможность ходить в обход прокси.
Я у себя уже переехал на squid везде, хотя раньше у меня везде был oops.

-- 
С уважением,
Бушмелев Юрий

^ permalink raw reply	[flat|nested] 31+ messages in thread

* [Sysadmins] Web-server in LAN
  2008-12-19 11:35 ` Slava Dubrovskiy
  2008-12-19 11:41   ` Garafiev Aidar
@ 2008-12-22 13:58   ` Garafiev Aidar
  2008-12-22 14:05     ` Mykola S. Grechukh
  2008-12-22 14:13   ` Garafiev Aidar
  2009-01-27 14:10   ` [Sysadmins] DSL + IpTables + Squid Garafiev Aidar
  3 siblings, 1 reply; 31+ messages in thread
From: Garafiev Aidar @ 2008-12-22 13:58 UTC (permalink / raw)
  To: sysadmins

Доброго времени суток, уважаемые коллеги!!!

В локалке есть ДНС сервер BIND и веб-сервер Apache. Что нужно сделать 
для того, чтобы веб-сервер был доступен компам в локальной сети по ДНС 
запросу, а не по IP адресу.

Заранее благодарен!!!



^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] Web-server in LAN
  2008-12-22 13:58   ` [Sysadmins] Web-server in LAN Garafiev Aidar
@ 2008-12-22 14:05     ` Mykola S. Grechukh
  0 siblings, 0 replies; 31+ messages in thread
From: Mykola S. Grechukh @ 2008-12-22 14:05 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

2008/12/22 Garafiev Aidar <>:
> Доброго времени суток, уважаемые коллеги!!!
>
> В локалке есть ДНС сервер BIND и веб-сервер Apache. Что нужно сделать для
> того, чтобы веб-сервер был доступен компам в локальной сети по ДНС запросу,
> а не по IP адресу.
>
> Заранее благодарен!!!

очевидно,
- научить все компы ходить на этот bind за днсом (если ещё нет)
- создать на бинде зону (если ещё нет)
- создать A запись в зоне.
......
......
PROFIT!

^ permalink raw reply	[flat|nested] 31+ messages in thread

* [Sysadmins]  Web-server in LAN
  2008-12-19 11:35 ` Slava Dubrovskiy
  2008-12-19 11:41   ` Garafiev Aidar
  2008-12-22 13:58   ` [Sysadmins] Web-server in LAN Garafiev Aidar
@ 2008-12-22 14:13   ` Garafiev Aidar
  2008-12-22 14:19     ` Mykola S. Grechukh
  2008-12-22 14:21     ` Dmitriy M. Maslennikov
  2009-01-27 14:10   ` [Sysadmins] DSL + IpTables + Squid Garafiev Aidar
  3 siblings, 2 replies; 31+ messages in thread
From: Garafiev Aidar @ 2008-12-22 14:13 UTC (permalink / raw)
  To: sysadmins

ДНС сервер не имеет внешнего адреса, имеет только один интерфейс, 
который смотрит в LAN.

Зоны в ДНС созданы и функционируют исправно

[root@server slave]# dig in945.nzh.ieml.ru

; <<>> DiG 9.3.5-P1 <<>> in945.nzh.ieml.ru
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31744
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; QUESTION SECTION:
;in945.nzh.ieml.ru.             IN      A

;; ANSWER SECTION:
in945.nzh.ieml.ru.      10800   IN      A       192.168.101.103

;; AUTHORITY SECTION:
nzh.ieml.ru.            86400   IN      NS      server.nzh.ieml.ru.

;; ADDITIONAL SECTION:
server.nzh.ieml.ru.     10800   IN      A       192.168.101.190

;; Query time: 2 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Dec 22 17:09:37 2008
;; MSG SIZE  rcvd: 88

Что значит "научить все компы ходить на этот bind за днсом"???

Какую именно запись добавить в файл зоны, чтобы добиться желаемого 
результата?

Заранее благодарен!!!

_______________________________________________
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins


^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] Web-server in LAN
  2008-12-22 14:13   ` Garafiev Aidar
@ 2008-12-22 14:19     ` Mykola S. Grechukh
  2008-12-22 14:22       ` Garafiev Aidar
  2008-12-22 14:21     ` Dmitriy M. Maslennikov
  1 sibling, 1 reply; 31+ messages in thread
From: Mykola S. Grechukh @ 2008-12-22 14:19 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

2008/12/22 Garafiev Aidar <>:
> ДНС сервер не имеет внешнего адреса, имеет только один интерфейс, который
> смотрит в LAN.
>
> Зоны в ДНС созданы и функционируют исправно
>
> [root@server slave]# dig in945.nzh.ieml.ru
>
> ; <<>> DiG 9.3.5-P1 <<>> in945.nzh.ieml.ru
> ;; global options:  printcmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31744
> ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
>
> ;; QUESTION SECTION:
> ;in945.nzh.ieml.ru.             IN      A
>
> ;; ANSWER SECTION:
> in945.nzh.ieml.ru.      10800   IN      A       192.168.101.103
>
> ;; AUTHORITY SECTION:
> nzh.ieml.ru.            86400   IN      NS      server.nzh.ieml.ru.
>
> ;; ADDITIONAL SECTION:
> server.nzh.ieml.ru.     10800   IN      A       192.168.101.190
>
> ;; Query time: 2 msec
> ;; SERVER: 127.0.0.1#53(127.0.0.1)
> ;; WHEN: Mon Dec 22 17:09:37 2008
> ;; MSG SIZE  rcvd: 88
>
> Что значит "научить все компы ходить на этот bind за днсом"???

например, /etc/resolv.conf:

nameserver 192.168.101.190

> Какую именно запись добавить в файл зоны, чтобы добиться желаемого
> результата?

так вот же она:

server.nzh.ieml.ru.     10800   IN      A       192.168.101.190

^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] Web-server in LAN
  2008-12-22 14:13   ` Garafiev Aidar
  2008-12-22 14:19     ` Mykola S. Grechukh
@ 2008-12-22 14:21     ` Dmitriy M. Maslennikov
  1 sibling, 0 replies; 31+ messages in thread
From: Dmitriy M. Maslennikov @ 2008-12-22 14:21 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

22 декабря 2008 г. 17:13 пользователь Garafiev Aidar
<garafiev@nzh.ieml.ru> написал:
> Зоны в ДНС созданы и функционируют исправно
> Что значит "научить все компы ходить на этот bind за днсом"???
Значит, в случае Linux прописать их в resolv.conf, ну или
соответствующая настройка в винде.

> Какую именно запись добавить в файл зоны, чтобы добиться желаемого
> результата?
В вашем случае никакую.

Лучше получше разобраться в DNS и IP

-- 
Dmitriy M. Maslennikov
rlz@etersoft.ru
rlz@altlinux.org
maslennikovdm@gmail.com
master@armory.ru

^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] Web-server in LAN
  2008-12-22 14:19     ` Mykola S. Grechukh
@ 2008-12-22 14:22       ` Garafiev Aidar
  2008-12-22 14:24         ` Anatol B. Bazyukin
                           ` (2 more replies)
  0 siblings, 3 replies; 31+ messages in thread
From: Garafiev Aidar @ 2008-12-22 14:22 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Mykola S. Grechukh пишет:
> 2008/12/22 Garafiev Aidar <>:
>   
>> ДНС сервер не имеет внешнего адреса, имеет только один интерфейс, который
>> смотрит в LAN.
>>
>> Зоны в ДНС созданы и функционируют исправно
>>
>> [root@server slave]# dig in945.nzh.ieml.ru
>>
>> ; <<>> DiG 9.3.5-P1 <<>> in945.nzh.ieml.ru
>> ;; global options:  printcmd
>> ;; Got answer:
>> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31744
>> ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
>>
>> ;; QUESTION SECTION:
>> ;in945.nzh.ieml.ru.             IN      A
>>
>> ;; ANSWER SECTION:
>> in945.nzh.ieml.ru.      10800   IN      A       192.168.101.103
>>
>> ;; AUTHORITY SECTION:
>> nzh.ieml.ru.            86400   IN      NS      server.nzh.ieml.ru.
>>
>> ;; ADDITIONAL SECTION:
>> server.nzh.ieml.ru.     10800   IN      A       192.168.101.190
>>
>> ;; Query time: 2 msec
>> ;; SERVER: 127.0.0.1#53(127.0.0.1)
>> ;; WHEN: Mon Dec 22 17:09:37 2008
>> ;; MSG SIZE  rcvd: 88
>>
>> Что значит "научить все компы ходить на этот bind за днсом"???
>>     
>
> например, /etc/resolv.conf:
>
> nameserver 192.168.101.190
>
>   
>> Какую именно запись добавить в файл зоны, чтобы добиться желаемого
>> результата?
>>     
>
> так вот же она:
>
> server.nzh.ieml.ru.     10800   IN      A       192.168.101.190
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>   
Такая запись на ДНС сервере есть. Что нужно помимо этого?


^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] Web-server in LAN
  2008-12-22 14:22       ` Garafiev Aidar
@ 2008-12-22 14:24         ` Anatol B. Bazyukin
  2008-12-22 14:30         ` Mykola S. Grechukh
  2008-12-22 14:32         ` Mykola S. Grechukh
  2 siblings, 0 replies; 31+ messages in thread
From: Anatol B. Bazyukin @ 2008-12-22 14:24 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

22 декабря 2008 г. 17:22 пользователь Garafiev Aidar <garafiev@> написал:

> Такая запись на ДНС сервере есть. Что нужно помимо этого?

http://freesource.info/wiki/AltLinux/Dokumentacija/DhcpBind


-- 
С уважением,
 Anatol

^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] Web-server in LAN
  2008-12-22 14:22       ` Garafiev Aidar
  2008-12-22 14:24         ` Anatol B. Bazyukin
@ 2008-12-22 14:30         ` Mykola S. Grechukh
  2008-12-22 14:32         ` Mykola S. Grechukh
  2 siblings, 0 replies; 31+ messages in thread
From: Mykola S. Grechukh @ 2008-12-22 14:30 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

2008/12/22 Garafiev Aidar <>:
> Mykola S. Grechukh пишет:
>> 2008/12/22 Garafiev Aidar <>:
>>
>>>
>>> ДНС сервер не имеет внешнего адреса, имеет только один интерфейс, который
>>> смотрит в LAN.
>>>
>>> Зоны в ДНС созданы и функционируют исправно
>>>
>>> [root@server slave]# dig in945.nzh.ieml.ru
>>>
>>> ; <<>> DiG 9.3.5-P1 <<>> in945.nzh.ieml.ru
>>> ;; global options:  printcmd
>>> ;; Got answer:
>>> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31744
>>> ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
>>>
>>> ;; QUESTION SECTION:
>>> ;in945.nzh.ieml.ru.             IN      A
>>>
>>> ;; ANSWER SECTION:
>>> in945.nzh.ieml.ru.      10800   IN      A       192.168.101.103
>>>
>>> ;; AUTHORITY SECTION:
>>> nzh.ieml.ru.            86400   IN      NS      server.nzh.ieml.ru.
>>>
>>> ;; ADDITIONAL SECTION:
>>> server.nzh.ieml.ru.     10800   IN      A       192.168.101.190
>>>
>>> ;; Query time: 2 msec
>>> ;; SERVER: 127.0.0.1#53(127.0.0.1)
>>> ;; WHEN: Mon Dec 22 17:09:37 2008
>>> ;; MSG SIZE  rcvd: 88
>>>
>>> Что значит "научить все компы ходить на этот bind за днсом"???
>>>
>>
>> например, /etc/resolv.conf:
>>
>> nameserver 192.168.101.190
>>
>>
>>>
>>> Какую именно запись добавить в файл зоны, чтобы добиться желаемого
>>> результата?
>>>
>>
>> так вот же она:
>>
>> server.nzh.ieml.ru.     10800   IN      A       192.168.101.190
> Такая запись на ДНС сервере есть. Что нужно помимо этого?

очевидно, нужно любым способом сделать так, чтобы машины в локалки
знали о существовании этого dns сервера.

^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] Web-server in LAN
  2008-12-22 14:22       ` Garafiev Aidar
  2008-12-22 14:24         ` Anatol B. Bazyukin
  2008-12-22 14:30         ` Mykola S. Grechukh
@ 2008-12-22 14:32         ` Mykola S. Grechukh
  2008-12-23  5:52           ` Garafiev Aidar
  2 siblings, 1 reply; 31+ messages in thread
From: Mykola S. Grechukh @ 2008-12-22 14:32 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

2008/12/22 Garafiev Aidar <>:
> Mykola S. Grechukh пишет:
>> 2008/12/22 Garafiev Aidar <>:
>>
>>>
>>> ДНС сервер не имеет внешнего адреса, имеет только один интерфейс, который
>>> смотрит в LAN.
>>>
>>> Зоны в ДНС созданы и функционируют исправно
>>>
>>> [root@server slave]# dig in945.nzh.ieml.ru
>>>
>>> ; <<>> DiG 9.3.5-P1 <<>> in945.nzh.ieml.ru
>>> ;; global options:  printcmd
>>> ;; Got answer:
>>> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31744
>>> ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
>>>
>>> ;; QUESTION SECTION:
>>> ;in945.nzh.ieml.ru.             IN      A
>>>
>>> ;; ANSWER SECTION:
>>> in945.nzh.ieml.ru.      10800   IN      A       192.168.101.103
>>>
>>> ;; AUTHORITY SECTION:
>>> nzh.ieml.ru.            86400   IN      NS      server.nzh.ieml.ru.
>>>
>>> ;; ADDITIONAL SECTION:
>>> server.nzh.ieml.ru.     10800   IN      A       192.168.101.190
>>>
>>> ;; Query time: 2 msec
>>> ;; SERVER: 127.0.0.1#53(127.0.0.1)
>>> ;; WHEN: Mon Dec 22 17:09:37 2008
>>> ;; MSG SIZE  rcvd: 88
>>>
>>> Что значит "научить все компы ходить на этот bind за днсом"???
>>>
>>
>> например, /etc/resolv.conf:
>>
>> nameserver 192.168.101.190
>>
>>
>>>
>>> Какую именно запись добавить в файл зоны, чтобы добиться желаемого
>>> результата?
>>>
>>
>> так вот же она:
>>
>> server.nzh.ieml.ru.     10800   IN      A       192.168.101.190
> Такая запись на ДНС сервере есть. Что нужно помимо этого?

очевидно, нужно любым способом сделать так, чтобы машины в локалке
знали о существовании этого dns сервера.

^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] Web-server in LAN
  2008-12-22 14:32         ` Mykola S. Grechukh
@ 2008-12-23  5:52           ` Garafiev Aidar
  0 siblings, 0 replies; 31+ messages in thread
From: Garafiev Aidar @ 2008-12-23  5:52 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Mykola S. Grechukh пишет:
> 2008/12/22 Garafiev Aidar <>:
>   
>> Mykola S. Grechukh пишет:
>>     
>>> 2008/12/22 Garafiev Aidar <>:
>>>
>>>       
>>>> ДНС сервер не имеет внешнего адреса, имеет только один интерфейс, который
>>>> смотрит в LAN.
>>>>
>>>> Зоны в ДНС созданы и функционируют исправно
>>>>
>>>> [root@server slave]# dig in945.nzh.ieml.ru
>>>>
>>>> ; <<>> DiG 9.3.5-P1 <<>> in945.nzh.ieml.ru
>>>> ;; global options:  printcmd
>>>> ;; Got answer:
>>>> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31744
>>>> ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
>>>>
>>>> ;; QUESTION SECTION:
>>>> ;in945.nzh.ieml.ru.             IN      A
>>>>
>>>> ;; ANSWER SECTION:
>>>> in945.nzh.ieml.ru.      10800   IN      A       192.168.101.103
>>>>
>>>> ;; AUTHORITY SECTION:
>>>> nzh.ieml.ru.            86400   IN      NS      server.nzh.ieml.ru.
>>>>
>>>> ;; ADDITIONAL SECTION:
>>>> server.nzh.ieml.ru.     10800   IN      A       192.168.101.190
>>>>
>>>> ;; Query time: 2 msec
>>>> ;; SERVER: 127.0.0.1#53(127.0.0.1)
>>>> ;; WHEN: Mon Dec 22 17:09:37 2008
>>>> ;; MSG SIZE  rcvd: 88
>>>>
>>>> Что значит "научить все компы ходить на этот bind за днсом"???
>>>>
>>>>         
>>> например, /etc/resolv.conf:
>>>
>>> nameserver 192.168.101.190
>>>
>>>
>>>       
>>>> Какую именно запись добавить в файл зоны, чтобы добиться желаемого
>>>> результата?
>>>>
>>>>         
>>> так вот же она:
>>>
>>> server.nzh.ieml.ru.     10800   IN      A       192.168.101.190
>>>       
>> Такая запись на ДНС сервере есть. Что нужно помимо этого?
>>     
>
> очевидно, нужно любым способом сделать так, чтобы машины в локалке
> знали о существовании этого dns сервера.
> _______________________________________________
>
>   
Прошу прощения за невежество!!!
Интернет-браузер был криво настроен.... :))))))))
После поправки все работает на УРА!!!
Большое спасибо в любом случае!!!


^ permalink raw reply	[flat|nested] 31+ messages in thread

* [Sysadmins] DSL + IpTables + Squid
  2008-12-19 11:35 ` Slava Dubrovskiy
                     ` (2 preceding siblings ...)
  2008-12-22 14:13   ` Garafiev Aidar
@ 2009-01-27 14:10   ` Garafiev Aidar
  2009-01-27 14:20     ` Dmitriy Kruglikov
                       ` (3 more replies)
  3 siblings, 4 replies; 31+ messages in thread
From: Garafiev Aidar @ 2009-01-27 14:10 UTC (permalink / raw)
  To: sysadmins

Доброго времени суток, уважаемые коллеги!!!

Возникла следующая ситуация:
Доступ к интернет осуществлен через DSL-модем, настроенный роутером. 
Начальство попросило закрыть доступ к порно сайтам а также к некоторым 
другим категориям интернет-контента.
Можно ли и, самое главное, каким именно образом это сделать?
Клоню в сторону Iptables + Squid.
Подскажите, если у кого получалось такое решение на практике.

Заранее благодарен!!!




^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] DSL + IpTables + Squid
  2009-01-27 14:10   ` [Sysadmins] DSL + IpTables + Squid Garafiev Aidar
@ 2009-01-27 14:20     ` Dmitriy Kruglikov
  2009-01-28  9:54       ` Alexey Morsov
  2009-01-27 14:20     ` Dmitriy M. Maslennikov
                       ` (2 subsequent siblings)
  3 siblings, 1 reply; 31+ messages in thread
From: Dmitriy Kruglikov @ 2009-01-27 14:20 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

27 января 2009 г. 16:10 пользователь Garafiev Aidar  написал:

> Клоню в сторону Iptables + Squid.
Пользовал  Squid+Rejik
http://www.rejik.ru
У меня такая связка работала, работает и будет работать,
ибо лень искать что-то другое :)

Если добавить еще и статистику (например lightsquid), которую
рекомендовать просматривать руководителю с целью дополнить технические
меры административными, то будет вообще хорошо...

Рекомендую сразу оговорить процент от штрафов с нарушителей в свой карман...
Я еще не видел руководителя, который не хотел бы снизить расходы :)

-- 
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html

Помогает:
http://search.altlinux.org

Best regards,
 Dmitriy L. Kruglikov
 Dmitriy.Kruglikov_at_gmail_dot_com
 DKR6-RIPE
 DKR6-UANIC
 XMPP: Dmitriy.Kruglikov_at_gmail_dot_com

^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] DSL + IpTables + Squid
  2009-01-27 14:10   ` [Sysadmins] DSL + IpTables + Squid Garafiev Aidar
  2009-01-27 14:20     ` Dmitriy Kruglikov
@ 2009-01-27 14:20     ` Dmitriy M. Maslennikov
  2009-01-27 14:49     ` MisHel64
  2009-01-28  5:22     ` Garafiev Aidar
  3 siblings, 0 replies; 31+ messages in thread
From: Dmitriy M. Maslennikov @ 2009-01-27 14:20 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

27 января 2009 г. 17:10 пользователь Garafiev Aidar
<garafiev@nzh.ieml.ru> написал:
> Возникла следующая ситуация:
> Доступ к интернет осуществлен через DSL-модем, настроенный роутером.
> Начальство попросило закрыть доступ к порно сайтам а также к некоторым
> другим категориям интернет-контента.
> Можно ли и, самое главное, каким именно образом это сделать?
> Клоню в сторону Iptables + Squid.
> Подскажите, если у кого получалось такое решение на практике.
>
> Заранее благодарен!!!
Для этого надо сначала найти ВСЕ порно-сайты, а так же быть в курсе
новинок. Процесс сам по себе увлекательный, но не результативный)
Проще закрыть все и разрешить только нужное.

-- 
Dmitriy M. Maslennikov
rlz@etersoft.ru
rlz@altlinux.org
maslennikovdm@gmail.com
master@armory.ru

^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] DSL + IpTables + Squid
  2009-01-27 14:10   ` [Sysadmins] DSL + IpTables + Squid Garafiev Aidar
  2009-01-27 14:20     ` Dmitriy Kruglikov
  2009-01-27 14:20     ` Dmitriy M. Maslennikov
@ 2009-01-27 14:49     ` MisHel64
  2009-01-28  5:03       ` Garafiev Aidar
  2009-01-28  5:22     ` Garafiev Aidar
  3 siblings, 1 reply; 31+ messages in thread
From: MisHel64 @ 2009-01-27 14:49 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Здравствуйте, Garafiev.

Вы писали 27 января 2009 г., 17:10:11:

Имею  опыт  решения проблемы. Первый был неудачный, решение было чисто
на  продуктах MS. Я нашел все порно сайты в топ листе сайтов, и закрыл
к  ним доступ. Помогло только на три дня. Потом в топе появились новые
сайты  с  пикантным  содержимым.  Я  это  к  тому,  чисто техническими
методами,   без   административных  мер  наказания  посетителя  данную
проблему не решить.

Второй  опыт  более  удачен.  У  каждого пользователя 2 логина в инет.
Первый  рабочий,  и  трафик  по нему оплачивает фирма. Второй частный,
трафик  по  нему оплачивает сотрудник (1руб/метр). Строится топ сайтов
для каждого "халявного" логина. И этот списочек проходит цензуру. Если
человече  будет  пойман  на посещении ненужных для работы страничек по
халявному  логину,  то  весь  свой  "халявный"  трафик  он  оплачивает
(10руб/метр) + штраф 500р (3-5% зарплаты). Самое интересное, что после
введения  этого  новшества  трафик  потребленный  всем  пользователями
сократился  в  5 раз. И это при том, что никто специально на порнуху и
прочие пакости не ходил.

Технически,  блочишь  80 порт на форварде в иптаблесе. А лучше блочить
все  из  локалки  в  инет,  и потом разрешить только нужное типа аски,
почтового клиента, etc. Сквид как прокси с авторизацией. ЛичСквид для
просмотра статистики.

> Возникла следующая ситуация:
> Доступ к интернет осуществлен через DSL-модем, настроенный роутером. 
> Начальство попросило закрыть доступ к порно сайтам а также к некоторым
> другим категориям интернет-контента.

> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins



-- 
С уважением,
 MisHel64                          mailto:MisHel64@Bk.Ru



^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] DSL + IpTables + Squid
  2009-01-27 14:49     ` MisHel64
@ 2009-01-28  5:03       ` Garafiev Aidar
  2009-01-28 12:47         ` MisHel64
  0 siblings, 1 reply; 31+ messages in thread
From: Garafiev Aidar @ 2009-01-28  5:03 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

MisHel64 пишет:
> Здравствуйте, Garafiev.
>
> Вы писали 27 января 2009 г., 17:10:11:
>
> Имею  опыт  решения проблемы. Первый был неудачный, решение было чисто
> на  продуктах MS. Я нашел все порно сайты в топ листе сайтов, и закрыл
> к  ним доступ. Помогло только на три дня. Потом в топе появились новые
> сайты  с  пикантным  содержимым.  Я  это  к  тому,  чисто техническими
> методами,   без   административных  мер  наказания  посетителя  данную
> проблему не решить.
>
> Второй  опыт  более  удачен.  У  каждого пользователя 2 логина в инет.
> Первый  рабочий,  и  трафик  по нему оплачивает фирма. Второй частный,
> трафик  по  нему оплачивает сотрудник (1руб/метр). Строится топ сайтов
> для каждого "халявного" логина. И этот списочек проходит цензуру. Если
> человече  будет  пойман  на посещении ненужных для работы страничек по
> халявному  логину,  то  весь  свой  "халявный"  трафик  он  оплачивает
> (10руб/метр) + штраф 500р (3-5% зарплаты). Самое интересное, что после
> введения  этого  новшества  трафик  потребленный  всем  пользователями
> сократился  в  5 раз. И это при том, что никто специально на порнуху и
> прочие пакости не ходил.
>
> Технически,  блочишь  80 порт на форварде в иптаблесе. А лучше блочить
> все  из  локалки  в  инет,  и потом разрешить только нужное типа аски,
> почтового клиента, etc. Сквид как прокси с авторизацией. ЛичСквид для
> просмотра статистики.
>
>   
>> Возникла следующая ситуация:
>> Доступ к интернет осуществлен через DSL-модем, настроенный роутером. 
>> Начальство попросило закрыть доступ к порно сайтам а также к некоторым
>> другим категориям интернет-контента.
>>     
>
>   
>> _______________________________________________
>> Sysadmins mailing list
>> Sysadmins@lists.altlinux.org
>> https://lists.altlinux.org/mailman/listinfo/sysadmins
>>     
>
>
>
>   
Блэклист у меня уже есть. Если кому интересно, могу поделиться 
ссылочкой. :))))
Меня интересует немного другое - технические тонкости настройки данной 
системы, поскольку опыта в настройке Iptables и Squid'а практически 
никакого.
Уточню детали:
1. Модем настроен роутером и адрес Ethernet интерфейса "серый" - 
192.168.101.254.
2. На сервере, который является шлюзом и будет резать всякую гадость, 
две сетевые карты (посредством одной он соединяется с модемом: адрес 
интерфейса 192.168.101.253, а посресдством второй: адрес интефейса 
192.168.1.1 - соединяется с локальной сетью, интернет контент для 
которой будет фильтроваться)

Указывал через route маршруты до ДНС провайдера через модем - не 
помогло, работают только ДНС запросы :(((

Заранее благодарен за помощь!!!



^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] DSL + IpTables + Squid
  2009-01-27 14:10   ` [Sysadmins] DSL + IpTables + Squid Garafiev Aidar
                       ` (2 preceding siblings ...)
  2009-01-27 14:49     ` MisHel64
@ 2009-01-28  5:22     ` Garafiev Aidar
  2009-01-28  6:37       ` Anton Kvashin
                         ` (2 more replies)
  3 siblings, 3 replies; 31+ messages in thread
From: Garafiev Aidar @ 2009-01-28  5:22 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Garafiev Aidar пишет:
> Доброго времени суток, уважаемые коллеги!!!
>
> Возникла следующая ситуация:
> Доступ к интернет осуществлен через DSL-модем, настроенный роутером. 
> Начальство попросило закрыть доступ к порно сайтам а также к некоторым 
> другим категориям интернет-контента.
> Можно ли и, самое главное, каким именно образом это сделать?
> Клоню в сторону Iptables + Squid.
> Подскажите, если у кого получалось такое решение на практике.
>
> Заранее благодарен!!!
>
>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
Мне кажется, что для начала надо настроить модем бриджом а также на 
самом шлюзе настроить ppp соединение. А дальше уже всё остальное :)))))


^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] DSL + IpTables + Squid
  2009-01-28  5:22     ` Garafiev Aidar
@ 2009-01-28  6:37       ` Anton Kvashin
  2009-01-28  7:00       ` Dmitriy Kruglikov
  2009-01-28 12:53       ` MisHel64
  2 siblings, 0 replies; 31+ messages in thread
From: Anton Kvashin @ 2009-01-28  6:37 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Garafiev Aidar пишет:
> Garafiev Aidar пишет:
>> Возникла следующая ситуация:
>> Доступ к интернет осуществлен через DSL-модем, настроенный роутером. 
>> Начальство попросило закрыть доступ к порно сайтам а также к некоторым 
>> другим категориям интернет-контента.
>> Можно ли и, самое главное, каким именно образом это сделать?
>> Клоню в сторону Iptables + Squid.
>> Подскажите, если у кого получалось такое решение на практике.
>>
> Мне кажется, что для начала надо настроить модем бриджом а также на 
> самом шлюзе настроить ppp соединение. А дальше уже всё остальное :)))))

Не обязательно, схема рабочая в обоих случаях (роутер/бридж).
Посмотрите sams, shorewall.
Помимо http трафика (и другого, который может обрабатывать squid) 
следует обратить внимание (реализовать схему контроля) на почтовый 
трафик (спам/трояны из локалки).

-- 
Anton Kvashin


^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] DSL + IpTables + Squid
  2009-01-28  5:22     ` Garafiev Aidar
  2009-01-28  6:37       ` Anton Kvashin
@ 2009-01-28  7:00       ` Dmitriy Kruglikov
  2009-01-28 12:53       ` MisHel64
  2 siblings, 0 replies; 31+ messages in thread
From: Dmitriy Kruglikov @ 2009-01-28  7:00 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

28 января 2009 г. 7:22 пользователь Garafiev Aidar  написал:

>
> Мне кажется, что для начала надо настроить модем бриджом а также на самом
> шлюзе настроить ppp соединение.

Модем в режиме роутера будет осуществлять первичную фильтрацию пакетов,
что снизит требования к настройке iptables, о которой у вас, вижу,
весьма первоначальные представления :)
Модем, зачастую, сам умеет поднимать PPP и работать в качестве DNS
сервера в вашей сети.
Шлюзовому серверу достаточно просто пересылать ему _все_ запросы...
Вам останется только настроить Squid+какой-нибудь_редиректор для
блокировки порно.

Не плоите сущностей сверх необходимого...

-- 
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html

Помогает:
http://search.altlinux.org

Best regards,
 Dmitriy L. Kruglikov
 Dmitriy.Kruglikov_at_gmail_dot_com
 DKR6-RIPE
 DKR6-UANIC
 XMPP: Dmitriy.Kruglikov_at_gmail_dot_com

^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] DSL + IpTables + Squid
  2009-01-27 14:20     ` Dmitriy Kruglikov
@ 2009-01-28  9:54       ` Alexey Morsov
  0 siblings, 0 replies; 31+ messages in thread
From: Alexey Morsov @ 2009-01-28  9:54 UTC (permalink / raw)
  To: sysadmins

[-- Attachment #1: Type: text/plain, Size: 730 bytes --]

On Tue, Jan 27, 2009 at 04:20:17PM +0200, Dmitriy Kruglikov wrote:
> 27 января 2009 г. 16:10 пользователь Garafiev Aidar  написал:
> 
> > Клоню в сторону Iptables + Squid.
> Пользовал  Squid+Rejik
> http://www.rejik.ru
режик есть в альте из коробки, redirector называется.

-- 
WBR,
Alexey Morsov
программист ЗАО "ИК "Риком-Траст"
Jabber: samurai@www.fondmarket.ru
ALT Linux Team Member

<lioka> gvy: оно бы здорово, конечно, да грехи^W evms не пускают :)
<lioka> gvy: порядок следования телеги и кобылы там непроизвольный

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 489 bytes --]

^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] DSL + IpTables + Squid
  2009-01-28  5:03       ` Garafiev Aidar
@ 2009-01-28 12:47         ` MisHel64
  2009-01-29  5:16           ` Garafiev Aidar
  0 siblings, 1 reply; 31+ messages in thread
From: MisHel64 @ 2009-01-28 12:47 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Здравствуйте, Garafiev.

Вы писали 28 января 2009 г., 8:03:14:

> Меня интересует немного другое - технические тонкости настройки данной
> системы, поскольку опыта в настройке Iptables и Squid'а практически 
> никакого.

Судя по твоему письму у тебя вообще опыта в администрировании серверов
никакого, что еще хуже нет еще и теоретической базы. И что бы ответить
на твои вопросы придется читать тебе много часовую лекцию.

> 1. Модем настроен роутером и адрес Ethernet интерфейса "серый" -
> 192.168.101.254.
> 2. На сервере, который является шлюзом и будет резать всякую гадость,
> две сетевые карты (посредством одной он соединяется с модемом: адрес 
> интерфейса 192.168.101.253, а посресдством второй: адрес интефейса 
> 192.168.1.1 - соединяется с локальной сетью, интернет контент для 
> которой будет фильтроваться)

Для  начала,  я  бы  тебе  посоветовал не использовать для своих сетей
адреса  из  192.168.0.0/24  и  192.168.1.0/24.  Долгое сидение на ADSL
своего провайдера четко навели меня на эту мысль.

Если  у тебя правильный провайдер, и PPPoE, то адреса DNS модем должен
получать   автоматом.   Нормальный   модем  умеет  их  использовать  и
становится  DNS  сервером.  Имеено модем будет DNS сервером для твоего
сервера.  То  есть,  адреса  DNS  серверов  провайдера прописываются в
модеме автоматом. Если этого не происходит, то только тогда в вручную.

Теперь  ты  должен  поднять  DNS  сервер у себя на сервере. Для начала
простой  кэширующий.  Очень  желательное,  но  не  очень  обязательное
условие. Из-за криворуких админов моего провайдера, лично мне пришлось
настраивать  полноценный DNS сервер, что бы не использовать DNS адреса
провайдера.  Для  поднятия  собственного  полноценного  DNS есть масса
других  причин.  При наличие локальной сети очень желательно поднять у
себя  DHCP сервер. Если в локальной сети используется ОС Windows и нет
сервера на базе Windows, то очень желательно поднять у себя еще и WINS
сервер (Читай про самбу), в DNS прописать прямые и обратные зоны (т.е.
простым  кэширующим сервером DNS уже не отделаешься), и заставить DHCP
сервер  обновлять  эти  зоны  в  DNS.  Это  все  очень желательные, но
необязательные условия.

> Указывал через route маршруты до ДНС провайдера через модем - не
> помогло, работают только ДНС запросы :(((

Что бы что-то трафик из локальной сети с серыми ИП мог уйти за пределы
этой   локальной  сети,  на  сервере  который  является  шлюзом  нужно
настроить NAT. Читаем про iptables до просветления. Если маршрутизация
настроена  правильно,  но ничего добавлять в таблицы роутинга ненужно.
Настраиваем,  пробуем пинговать внешние ресурсы, пингуется, значит все
здорово.

Теперь  нужно  запретить весь трафик из локальной сети наружу. Этим ты
запретишь  и  доступ  к  внешним  WEB  серверам.  Настраиваем, пробуем
пинговать внешние ресурсы, НЕ пингуется, значит все здорово.

Теперь  думаем, что можно пускать наружу. Переписываем все программное
обеспечение  используемое  в  локальной  сети которое не умеет, или не
должно   ходить  через  прокси,  но  должно  ходить  наружу.  К  таким
программам  относятся почтовые клиенты, аска (по желанию), клиенты DNS
(по  настройкам  сервера).  Смотрим  какие  протоколы  и  какие  порты
используют  серверы  этих  программ, и открываем их. За одно открываем
ICMP протокол. Теперь пробуем пинговать внешние ресурсы, и открыть WEB
страничку.  Пинги  опять  идут,  но  странички открываются. Значит все
здорово.

Только теперь переходим к настройкам сквида. Сначала настраиваем его,
потом прикручиваем авторизацию, что бы знать кто и куда ходит. Потом
прикручиваем стоп лист.

Статистика  посещений  пишется  в лог, но читать ее там, это мазохизм.
Прикручиваем анализатор трафика. Тебе уже советовали ЛичСквид. Я лично
его использую, ставится из бранча и работает при минимальной доводке.

Что  бы  увидеть  эту  статистику,  тебе придется поднимать у себя веб
сервер.  Это  уже  отдельная  песня.  И  в  первый раз аппач ты будишь
настраивать очень долго. Но дело полезное.

> Заранее благодарен за помощь!!!

И  прежде  чем  делать  все  это, я очень рекомендую почитать об общих
принципах  организации  сетей, маршрутизации и прочем. Если тебе нужно
все  это  сделать  быстро, то лучше найми кого-нибудь. С твоим уровнем
знаний за пару недель не уложишься.


> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins



-- 
С уважением,
 MisHel64                          mailto:MisHel64@Bk.Ru



^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] DSL + IpTables + Squid
  2009-01-28  5:22     ` Garafiev Aidar
  2009-01-28  6:37       ` Anton Kvashin
  2009-01-28  7:00       ` Dmitriy Kruglikov
@ 2009-01-28 12:53       ` MisHel64
  2009-01-28 14:01         ` Aleksey Avdeev
  2 siblings, 1 reply; 31+ messages in thread
From: MisHel64 @ 2009-01-28 12:53 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Здравствуйте, Garafiev.

Вы писали 28 января 2009 г., 8:22:08:

> Мне кажется, что для начала надо настроить модем бриджом а также на
> самом шлюзе настроить ppp соединение. А дальше уже всё остальное :)))))

Модем  настроить  мостом?  И  это Вы советуете человеку без даже общих
теоретических  знаний?  Пока  модем  настроен маршрутизатором, хоть он
защищает  сервер  от  всяких  сетевых  хулиганов, используя встроенный
файрвол и отбрасывая все не запрошенные соединения. И до тех пор, пока
топик   стартер  не  сможет  настроить  самостоятельно  защиту  своего
сервера,  (а  пока  он  этого не может) такие советы вредны. Да и я не
вижу  смысла  переводить  модем  в  мост. Достаточно проброса портов в
самом модеме и правильной настройки DMZ в нем же.

-- 
С уважением,
 MisHel64                          mailto:MisHel64@Bk.Ru



^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] DSL + IpTables + Squid
  2009-01-28 12:53       ` MisHel64
@ 2009-01-28 14:01         ` Aleksey Avdeev
  2009-01-28 14:21           ` MisHel64
  0 siblings, 1 reply; 31+ messages in thread
From: Aleksey Avdeev @ 2009-01-28 14:01 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

[-- Attachment #1: Type: text/plain, Size: 1168 bytes --]

MisHel64 пишет:
> Здравствуйте, Garafiev.
> 
> Вы писали 28 января 2009 г., 8:22:08:
> 
>> Мне кажется, что для начала надо настроить модем бриджом а также на
>> самом шлюзе настроить ppp соединение. А дальше уже всё остальное :)))))
> 
> Модем  настроить  мостом?  И  это Вы советуете человеку без даже общих
> теоретических  знаний?  Пока  модем  настроен маршрутизатором, хоть он
> защищает  сервер  от  всяких  сетевых  хулиганов, используя встроенный
> файрвол и отбрасывая все не запрошенные соединения. И до тех пор, пока
> топик   стартер  не  сможет  настроить  самостоятельно  защиту  своего
> сервера,  (а  пока  он  этого не может) такие советы вредны.

   +1

> Да и я не
> вижу  смысла  переводить  модем  в  мост. Достаточно проброса портов в
> самом модеме и правильной настройки DMZ в нем же.

   Вижу как минимум 2 причины:

1. При большом количестве соединений (и/или развесистых правилах 
файрвола) модем не справляется (железо там часто слабое).

2. Сервер должен быть доступен из вне по протоколам недружественным к 
NAT, на пример по ftp (настроить-то можно, но весьма гиморно)...

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]

^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] DSL + IpTables + Squid
  2009-01-28 14:01         ` Aleksey Avdeev
@ 2009-01-28 14:21           ` MisHel64
  0 siblings, 0 replies; 31+ messages in thread
From: MisHel64 @ 2009-01-28 14:21 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Здравствуйте, Aleksey.

Вы писали 28 января 2009 г., 17:01:24:

>> Да  и я не вижу смысла переводить модем в мост. Достаточно проброса
>> портов в самом модеме и правильной настройки DMZ в нем же.

>    Вижу как минимум 2 причины:

> 1.  При  большом  количестве  соединений (и/или развесистых правилах
> файрвола) модем не справляется (железо там часто слабое).

Честно  говоря  не  замечал,  и  потом  сильно сомневаюсь, что у топик
стартера  будет  "большое  количество  соединений". А с тысячей, любая
железка справится.

> 2. Сервер должен быть доступен из вне по протоколам недружественным к 
> NAT, на пример по ftp (настроить-то можно, но весьма гиморно)...

Опять же, для топик стартера не критично. Вряд ли он в ближайшее время
будет поднимать ftp с доступом из внешки.

А вот проблема безопасности на текущий момент для него более критична,
чем перечисленные тобой.

-- 
С уважением,
 MisHel64                          mailto:MisHel64@Bk.Ru



^ permalink raw reply	[flat|nested] 31+ messages in thread

* Re: [Sysadmins] DSL + IpTables + Squid
  2009-01-28 12:47         ` MisHel64
@ 2009-01-29  5:16           ` Garafiev Aidar
  0 siblings, 0 replies; 31+ messages in thread
From: Garafiev Aidar @ 2009-01-29  5:16 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

MisHel64 пишет:
> Здравствуйте, Garafiev.
>
> Вы писали 28 января 2009 г., 8:03:14:
>
>   
>> Меня интересует немного другое - технические тонкости настройки данной
>> системы, поскольку опыта в настройке Iptables и Squid'а практически 
>> никакого.
>>     
>
> Судя по твоему письму у тебя вообще опыта в администрировании серверов
> никакого, что еще хуже нет еще и теоретической базы. И что бы ответить
> на твои вопросы придется читать тебе много часовую лекцию.
>
>   
>> 1. Модем настроен роутером и адрес Ethernet интерфейса "серый" -
>> 192.168.101.254.
>> 2. На сервере, который является шлюзом и будет резать всякую гадость,
>> две сетевые карты (посредством одной он соединяется с модемом: адрес 
>> интерфейса 192.168.101.253, а посресдством второй: адрес интефейса 
>> 192.168.1.1 - соединяется с локальной сетью, интернет контент для 
>> которой будет фильтроваться)
>>     
>
> Для  начала,  я  бы  тебе  посоветовал не использовать для своих сетей
> адреса  из  192.168.0.0/24  и  192.168.1.0/24.  Долгое сидение на ADSL
> своего провайдера четко навели меня на эту мысль.
>
> Если  у тебя правильный провайдер, и PPPoE, то адреса DNS модем должен
> получать   автоматом.   Нормальный   модем  умеет  их  использовать  и
> становится  DNS  сервером.  Имеено модем будет DNS сервером для твоего
> сервера.  То  есть,  адреса  DNS  серверов  провайдера прописываются в
> модеме автоматом. Если этого не происходит, то только тогда в вручную.
>
> Теперь  ты  должен  поднять  DNS  сервер у себя на сервере. Для начала
> простой  кэширующий.  Очень  желательное,  но  не  очень  обязательное
> условие. Из-за криворуких админов моего провайдера, лично мне пришлось
> настраивать  полноценный DNS сервер, что бы не использовать DNS адреса
> провайдера.  Для  поднятия  собственного  полноценного  DNS есть масса
> других  причин.  При наличие локальной сети очень желательно поднять у
> себя  DHCP сервер. Если в локальной сети используется ОС Windows и нет
> сервера на базе Windows, то очень желательно поднять у себя еще и WINS
> сервер (Читай про самбу), в DNS прописать прямые и обратные зоны (т.е.
> простым  кэширующим сервером DNS уже не отделаешься), и заставить DHCP
> сервер  обновлять  эти  зоны  в  DNS.  Это  все  очень желательные, но
> необязательные условия.
>
>   
>> Указывал через route маршруты до ДНС провайдера через модем - не
>> помогло, работают только ДНС запросы :(((
>>     
>
> Что бы что-то трафик из локальной сети с серыми ИП мог уйти за пределы
> этой   локальной  сети,  на  сервере  который  является  шлюзом  нужно
> настроить NAT. Читаем про iptables до просветления. Если маршрутизация
> настроена  правильно,  но ничего добавлять в таблицы роутинга ненужно.
> Настраиваем,  пробуем пинговать внешние ресурсы, пингуется, значит все
> здорово.
>
> Теперь  нужно  запретить весь трафик из локальной сети наружу. Этим ты
> запретишь  и  доступ  к  внешним  WEB  серверам.  Настраиваем, пробуем
> пинговать внешние ресурсы, НЕ пингуется, значит все здорово.
>
> Теперь  думаем, что можно пускать наружу. Переписываем все программное
> обеспечение  используемое  в  локальной  сети которое не умеет, или не
> должно   ходить  через  прокси,  но  должно  ходить  наружу.  К  таким
> программам  относятся почтовые клиенты, аска (по желанию), клиенты DNS
> (по  настройкам  сервера).  Смотрим  какие  протоколы  и  какие  порты
> используют  серверы  этих  программ, и открываем их. За одно открываем
> ICMP протокол. Теперь пробуем пинговать внешние ресурсы, и открыть WEB
> страничку.  Пинги  опять  идут,  но  странички открываются. Значит все
> здорово.
>
> Только теперь переходим к настройкам сквида. Сначала настраиваем его,
> потом прикручиваем авторизацию, что бы знать кто и куда ходит. Потом
> прикручиваем стоп лист.
>
> Статистика  посещений  пишется  в лог, но читать ее там, это мазохизм.
> Прикручиваем анализатор трафика. Тебе уже советовали ЛичСквид. Я лично
> его использую, ставится из бранча и работает при минимальной доводке.
>
> Что  бы  увидеть  эту  статистику,  тебе придется поднимать у себя веб
> сервер.  Это  уже  отдельная  песня.  И  в  первый раз аппач ты будишь
> настраивать очень долго. Но дело полезное.
>
>   
>> Заранее благодарен за помощь!!!
>>     
>
> И  прежде  чем  делать  все  это, я очень рекомендую почитать об общих
> принципах  организации  сетей, маршрутизации и прочем. Если тебе нужно
> все  это  сделать  быстро, то лучше найми кого-нибудь. С твоим уровнем
> знаний за пару недель не уложишься.
>
>   
Согласен с тем, что опыта у меня довольно-таки немного.
А вот нанимать кого-то для этого дела.... С этим я не согласен, 
поскольку это убдет просто уход от проблемы а не её решение. Зачем же 
тогда я устраивался на такую должность?!


^ permalink raw reply	[flat|nested] 31+ messages in thread

end of thread, other threads:[~2009-01-29  5:16 UTC | newest]

Thread overview: 31+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-12-19 11:32 [Sysadmins] Кеширование содержимого интернет-ресурсов Garafiev Aidar
2008-12-19 11:34 ` Anatol B. Bazyukin
2008-12-19 11:35 ` Slava Dubrovskiy
2008-12-19 11:41   ` Garafiev Aidar
2008-12-22 13:58   ` [Sysadmins] Web-server in LAN Garafiev Aidar
2008-12-22 14:05     ` Mykola S. Grechukh
2008-12-22 14:13   ` Garafiev Aidar
2008-12-22 14:19     ` Mykola S. Grechukh
2008-12-22 14:22       ` Garafiev Aidar
2008-12-22 14:24         ` Anatol B. Bazyukin
2008-12-22 14:30         ` Mykola S. Grechukh
2008-12-22 14:32         ` Mykola S. Grechukh
2008-12-23  5:52           ` Garafiev Aidar
2008-12-22 14:21     ` Dmitriy M. Maslennikov
2009-01-27 14:10   ` [Sysadmins] DSL + IpTables + Squid Garafiev Aidar
2009-01-27 14:20     ` Dmitriy Kruglikov
2009-01-28  9:54       ` Alexey Morsov
2009-01-27 14:20     ` Dmitriy M. Maslennikov
2009-01-27 14:49     ` MisHel64
2009-01-28  5:03       ` Garafiev Aidar
2009-01-28 12:47         ` MisHel64
2009-01-29  5:16           ` Garafiev Aidar
2009-01-28  5:22     ` Garafiev Aidar
2009-01-28  6:37       ` Anton Kvashin
2009-01-28  7:00       ` Dmitriy Kruglikov
2009-01-28 12:53       ` MisHel64
2009-01-28 14:01         ` Aleksey Avdeev
2009-01-28 14:21           ` MisHel64
2008-12-19 13:33 ` [Sysadmins] Кеширование содержимого интернет-ресурсов "А. Куликовский"
2008-12-19 14:33 ` Konstantin A. Lepikhov
2008-12-21 12:29   ` Yuri Bushmelev

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git