From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=0.2 required=5.0 tests=BAYES_00, SPF_PASS, SUBJ_RE_NUM autolearn=no version=3.2.5 X-AntiVirus: Checked by Dr.Web [version: 4.44, engine: 4.44.0.09170, virus records: 510070, updated: 27.01.2009] Date: Wed, 28 Jan 2009 15:47:49 +0300 From: MisHel64 Organization: Office X-Priority: 3 (Normal) Message-ID: <9610283692.20090128154749@Bk.Ru> To: ALT Linux sysadmin discuss In-Reply-To: <497FE712.3070705@nzh.ieml.ru> References: <494B8637.8090407@nzh.ieml.ru> <494B8703.3000305@tangramltd.com> <497F15C3.8080800@nzh.ieml.ru> <6358290.20090127174928@Bk.Ru> <497FE712.3070705@nzh.ieml.ru> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Transfer-Encoding: 8bit X-Spam: Not detected X-Mras: Ok Subject: Re: [Sysadmins] DSL + IpTables + Squid X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.10b3 Precedence: list Reply-To: MisHel64 , ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 28 Jan 2009 12:57:00 -0000 Archived-At: List-Archive: Здравствуйте, Garafiev. Вы писали 28 января 2009 г., 8:03:14: > Меня интересует немного другое - технические тонкости настройки данной > системы, поскольку опыта в настройке Iptables и Squid'а практически > никакого. Судя по твоему письму у тебя вообще опыта в администрировании серверов никакого, что еще хуже нет еще и теоретической базы. И что бы ответить на твои вопросы придется читать тебе много часовую лекцию. > 1. Модем настроен роутером и адрес Ethernet интерфейса "серый" - > 192.168.101.254. > 2. На сервере, который является шлюзом и будет резать всякую гадость, > две сетевые карты (посредством одной он соединяется с модемом: адрес > интерфейса 192.168.101.253, а посресдством второй: адрес интефейса > 192.168.1.1 - соединяется с локальной сетью, интернет контент для > которой будет фильтроваться) Для начала, я бы тебе посоветовал не использовать для своих сетей адреса из 192.168.0.0/24 и 192.168.1.0/24. Долгое сидение на ADSL своего провайдера четко навели меня на эту мысль. Если у тебя правильный провайдер, и PPPoE, то адреса DNS модем должен получать автоматом. Нормальный модем умеет их использовать и становится DNS сервером. Имеено модем будет DNS сервером для твоего сервера. То есть, адреса DNS серверов провайдера прописываются в модеме автоматом. Если этого не происходит, то только тогда в вручную. Теперь ты должен поднять DNS сервер у себя на сервере. Для начала простой кэширующий. Очень желательное, но не очень обязательное условие. Из-за криворуких админов моего провайдера, лично мне пришлось настраивать полноценный DNS сервер, что бы не использовать DNS адреса провайдера. Для поднятия собственного полноценного DNS есть масса других причин. При наличие локальной сети очень желательно поднять у себя DHCP сервер. Если в локальной сети используется ОС Windows и нет сервера на базе Windows, то очень желательно поднять у себя еще и WINS сервер (Читай про самбу), в DNS прописать прямые и обратные зоны (т.е. простым кэширующим сервером DNS уже не отделаешься), и заставить DHCP сервер обновлять эти зоны в DNS. Это все очень желательные, но необязательные условия. > Указывал через route маршруты до ДНС провайдера через модем - не > помогло, работают только ДНС запросы :((( Что бы что-то трафик из локальной сети с серыми ИП мог уйти за пределы этой локальной сети, на сервере который является шлюзом нужно настроить NAT. Читаем про iptables до просветления. Если маршрутизация настроена правильно, но ничего добавлять в таблицы роутинга ненужно. Настраиваем, пробуем пинговать внешние ресурсы, пингуется, значит все здорово. Теперь нужно запретить весь трафик из локальной сети наружу. Этим ты запретишь и доступ к внешним WEB серверам. Настраиваем, пробуем пинговать внешние ресурсы, НЕ пингуется, значит все здорово. Теперь думаем, что можно пускать наружу. Переписываем все программное обеспечение используемое в локальной сети которое не умеет, или не должно ходить через прокси, но должно ходить наружу. К таким программам относятся почтовые клиенты, аска (по желанию), клиенты DNS (по настройкам сервера). Смотрим какие протоколы и какие порты используют серверы этих программ, и открываем их. За одно открываем ICMP протокол. Теперь пробуем пинговать внешние ресурсы, и открыть WEB страничку. Пинги опять идут, но странички открываются. Значит все здорово. Только теперь переходим к настройкам сквида. Сначала настраиваем его, потом прикручиваем авторизацию, что бы знать кто и куда ходит. Потом прикручиваем стоп лист. Статистика посещений пишется в лог, но читать ее там, это мазохизм. Прикручиваем анализатор трафика. Тебе уже советовали ЛичСквид. Я лично его использую, ставится из бранча и работает при минимальной доводке. Что бы увидеть эту статистику, тебе придется поднимать у себя веб сервер. Это уже отдельная песня. И в первый раз аппач ты будишь настраивать очень долго. Но дело полезное. > Заранее благодарен за помощь!!! И прежде чем делать все это, я очень рекомендую почитать об общих принципах организации сетей, маршрутизации и прочем. Если тебе нужно все это сделать быстро, то лучше найми кого-нибудь. С твоим уровнем знаний за пару недель не уложишься. > _______________________________________________ > Sysadmins mailing list > Sysadmins@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/sysadmins -- С уважением, MisHel64 mailto:MisHel64@Bk.Ru