From: MisHel64 <MisHel64@Bk.Ru> To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org> Subject: Re: [Sysadmins] DSL + IpTables + Squid Date: Wed, 28 Jan 2009 15:47:49 +0300 Message-ID: <9610283692.20090128154749@Bk.Ru> (raw) In-Reply-To: <497FE712.3070705@nzh.ieml.ru> Здравствуйте, Garafiev. Вы писали 28 января 2009 г., 8:03:14: > Меня интересует немного другое - технические тонкости настройки данной > системы, поскольку опыта в настройке Iptables и Squid'а практически > никакого. Судя по твоему письму у тебя вообще опыта в администрировании серверов никакого, что еще хуже нет еще и теоретической базы. И что бы ответить на твои вопросы придется читать тебе много часовую лекцию. > 1. Модем настроен роутером и адрес Ethernet интерфейса "серый" - > 192.168.101.254. > 2. На сервере, который является шлюзом и будет резать всякую гадость, > две сетевые карты (посредством одной он соединяется с модемом: адрес > интерфейса 192.168.101.253, а посресдством второй: адрес интефейса > 192.168.1.1 - соединяется с локальной сетью, интернет контент для > которой будет фильтроваться) Для начала, я бы тебе посоветовал не использовать для своих сетей адреса из 192.168.0.0/24 и 192.168.1.0/24. Долгое сидение на ADSL своего провайдера четко навели меня на эту мысль. Если у тебя правильный провайдер, и PPPoE, то адреса DNS модем должен получать автоматом. Нормальный модем умеет их использовать и становится DNS сервером. Имеено модем будет DNS сервером для твоего сервера. То есть, адреса DNS серверов провайдера прописываются в модеме автоматом. Если этого не происходит, то только тогда в вручную. Теперь ты должен поднять DNS сервер у себя на сервере. Для начала простой кэширующий. Очень желательное, но не очень обязательное условие. Из-за криворуких админов моего провайдера, лично мне пришлось настраивать полноценный DNS сервер, что бы не использовать DNS адреса провайдера. Для поднятия собственного полноценного DNS есть масса других причин. При наличие локальной сети очень желательно поднять у себя DHCP сервер. Если в локальной сети используется ОС Windows и нет сервера на базе Windows, то очень желательно поднять у себя еще и WINS сервер (Читай про самбу), в DNS прописать прямые и обратные зоны (т.е. простым кэширующим сервером DNS уже не отделаешься), и заставить DHCP сервер обновлять эти зоны в DNS. Это все очень желательные, но необязательные условия. > Указывал через route маршруты до ДНС провайдера через модем - не > помогло, работают только ДНС запросы :((( Что бы что-то трафик из локальной сети с серыми ИП мог уйти за пределы этой локальной сети, на сервере который является шлюзом нужно настроить NAT. Читаем про iptables до просветления. Если маршрутизация настроена правильно, но ничего добавлять в таблицы роутинга ненужно. Настраиваем, пробуем пинговать внешние ресурсы, пингуется, значит все здорово. Теперь нужно запретить весь трафик из локальной сети наружу. Этим ты запретишь и доступ к внешним WEB серверам. Настраиваем, пробуем пинговать внешние ресурсы, НЕ пингуется, значит все здорово. Теперь думаем, что можно пускать наружу. Переписываем все программное обеспечение используемое в локальной сети которое не умеет, или не должно ходить через прокси, но должно ходить наружу. К таким программам относятся почтовые клиенты, аска (по желанию), клиенты DNS (по настройкам сервера). Смотрим какие протоколы и какие порты используют серверы этих программ, и открываем их. За одно открываем ICMP протокол. Теперь пробуем пинговать внешние ресурсы, и открыть WEB страничку. Пинги опять идут, но странички открываются. Значит все здорово. Только теперь переходим к настройкам сквида. Сначала настраиваем его, потом прикручиваем авторизацию, что бы знать кто и куда ходит. Потом прикручиваем стоп лист. Статистика посещений пишется в лог, но читать ее там, это мазохизм. Прикручиваем анализатор трафика. Тебе уже советовали ЛичСквид. Я лично его использую, ставится из бранча и работает при минимальной доводке. Что бы увидеть эту статистику, тебе придется поднимать у себя веб сервер. Это уже отдельная песня. И в первый раз аппач ты будишь настраивать очень долго. Но дело полезное. > Заранее благодарен за помощь!!! И прежде чем делать все это, я очень рекомендую почитать об общих принципах организации сетей, маршрутизации и прочем. Если тебе нужно все это сделать быстро, то лучше найми кого-нибудь. С твоим уровнем знаний за пару недель не уложишься. > _______________________________________________ > Sysadmins mailing list > Sysadmins@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/sysadmins -- С уважением, MisHel64 mailto:MisHel64@Bk.Ru
next prev parent reply other threads:[~2009-01-28 12:47 UTC|newest] Thread overview: 31+ messages / expand[flat|nested] mbox.gz Atom feed top 2008-12-19 11:32 [Sysadmins] Кеширование содержимого интернет-ресурсов Garafiev Aidar 2008-12-19 11:34 ` Anatol B. Bazyukin 2008-12-19 11:35 ` Slava Dubrovskiy 2008-12-19 11:41 ` Garafiev Aidar 2008-12-22 13:58 ` [Sysadmins] Web-server in LAN Garafiev Aidar 2008-12-22 14:05 ` Mykola S. Grechukh 2008-12-22 14:13 ` Garafiev Aidar 2008-12-22 14:19 ` Mykola S. Grechukh 2008-12-22 14:22 ` Garafiev Aidar 2008-12-22 14:24 ` Anatol B. Bazyukin 2008-12-22 14:30 ` Mykola S. Grechukh 2008-12-22 14:32 ` Mykola S. Grechukh 2008-12-23 5:52 ` Garafiev Aidar 2008-12-22 14:21 ` Dmitriy M. Maslennikov 2009-01-27 14:10 ` [Sysadmins] DSL + IpTables + Squid Garafiev Aidar 2009-01-27 14:20 ` Dmitriy Kruglikov 2009-01-28 9:54 ` Alexey Morsov 2009-01-27 14:20 ` Dmitriy M. Maslennikov 2009-01-27 14:49 ` MisHel64 2009-01-28 5:03 ` Garafiev Aidar 2009-01-28 12:47 ` MisHel64 [this message] 2009-01-29 5:16 ` Garafiev Aidar 2009-01-28 5:22 ` Garafiev Aidar 2009-01-28 6:37 ` Anton Kvashin 2009-01-28 7:00 ` Dmitriy Kruglikov 2009-01-28 12:53 ` MisHel64 2009-01-28 14:01 ` Aleksey Avdeev 2009-01-28 14:21 ` MisHel64 2008-12-19 13:33 ` [Sysadmins] Кеширование содержимого интернет-ресурсов "А. Куликовский" 2008-12-19 14:33 ` Konstantin A. Lepikhov 2008-12-21 12:29 ` Yuri Bushmelev
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=9610283692.20090128154749@Bk.Ru \ --to=mishel64@bk.ru \ --cc=sysadmins@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git