Настраиваем шлюз со статистикой

[aleksej_d]

Meo, так может вы подправите правила iptables, чтобы прикрыть задницу и статья получиться  дельная, для топика? все будут благодарны.
У меня появилась новая проблемка, не открываются https-сайты. Squid настраивал так, как в статье написано, ничего лишнего. По форуму поискал, нашол толко вопрос с аналогичной проблемой. Подскажите, как полечить?

[dobriivoin]

 Сделал все, как описано в статье! Автору спасибо! Сервер поднял без проблем. Все работает. Только вот проблема: хотя файл /root/rules.sh исполняемый для всех пользователей и в /etc/sysctl.conf добавил строчку чтоб форвардинг включался автоматически при запуске системы,  при запуске системы он НЕ Включается и запустить /root/rules.sh от обычного пользователя не могу, а значит сервер после перезагрузки не включает автоматически интернет для машин локальной сети. Как решить данную проблему!!!!

[maxjet]

Раз уж всё так просто для чайников, то и bind устанавливать и настраивать незачем.
Вместо:

Установим bind9:
apt-get install bind9
Правим настройки в файле /etc/bind/named.conf.options
vi /etc/bind/named.conf.options
Приводим к виду:
options {
      directory "/var/cache/bind";
      listen-on port 53 {
            192.168.1.1;
      };
      forwarders {
              ДНС_СЕРВЕР_ПРОВАЙДЕРА_1;                #вписываем адреса DNS серверов
              ДНС_СЕРВЕР_ПРОВАЙДЕРА_2;                #одного сервера достаточно
              };
      };
logging {
category lame-servers {null; };
category edns-disabled { null; };
};
Запускаем DNS сервер.
/etc/init.d/bind9 start
Правим /etc/resolv.conf таким образом чтобы все DNS запросы система пропускала через
свой же DNS сервер:
vi /etc/resolv.conf

Установим dns-server:
apt-get install dnsmasq
Пользователь решил продолжить мысль 10 Декабря 2009, 11:47:41:

Сделал все, как описано в статье! Автору спасибо! Сервер поднял без проблем. Все работает. Только вот проблема: хотя файл /root/rules.sh исполняемый для всех пользователей и в /etc/sysctl.conf добавил строчку чтоб форвардинг включался автоматически при запуске системы,  при запуске системы он НЕ Включается и запустить /root/rules.sh от обычного пользователя не могу, а значит сервер после перезагрузки не включает автоматически интернет для машин локальной сети. Как решить данную проблему!!!!

Запустить программу или скрипт в Ubuntu можно несколькими способами, запускающий скрипт нужно разместить в каталоге /etc/init.d, далее достаточно сделать символьную ссылку на этот запускающий скрипт в /etc/rc№.d(1-4 подойдет для старта шлюза) где № - это номер runlevel’а, т.е. уровень загрузки системы.  После того как вы создали ссылку - её необходимо переименовать в виде S№№имя_скрипта, где №№ - номер очередности загрузки, если вы хотите чтобы ссылка осталась, но временно не хотите запускать скрипт переименуйте K№№имя_приложения.

Как сделать символьную ссылку: необходимо открыть консоль и перейти в каталог в котором вы хотите разместить эту ссылку написать команду ln -s “путь до скрипта”

Еще один способ, это разместить нужные вам команды запуска в скрипте /etc/rc.local - этот скрипт запускается на всех runlevel’ах.

И последний из способов которые я хочу описать - это управление запуском приложений из Gnome.

Взято здесь: http://v-kolosov.ru/35

[killeo]

Спасибо за статью! А как реализовать шейпинг? Нужно ограничивать полосу для клиента и количество TCP- сессий,  если возможно.

[inworkman]

Доброго времени суток.
Подскажите пожалуйста, настраивал вот все по этой инструкции, и возникли небольшие проблемки

вот в этом месте

Код: [Выделить]

И сохраняем правила iptables:
iptables-save > /etc/iptables.rules

не получилось(((
пишет

Код: [Выделить]

inworkman@ubuntu-server:/$ sudo /root/rules.sh
[sudo] password for inworkman:
inworkman@ubuntu-server:/$ sudo iptables-save > /etc/iptables.rules
-bash: /etc/iptables.rules: Permission denied
inworkman@ubuntu-server:/$
Пользователь решил продолжить мысль 23 Января 2010, 12:35:10:а так же вот в этом куске кода затырка...

Код: [Выделить]

Дописываем сохраненные правила в /etc/network/interfaces после строк
address 192.168.1.1
netmask 255.255.255.0
Должно получиться:
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
      address 192.168.1.1
      netmask 255.255.255.0
pre-up iptables-restore < /etc/iptables.rules
auto eth1
iface eth1 inet static
      address 195.195.195.195
      netmask 255.255.255.0
      gateway 195.195.195.1
Чтобы форвардинг автоматически включался при запуске системы
Открываем файл:
vi /etc/sysctl.conf
и добавляем в него строчку:
net.ipv4.ip_forward = 1
Брокируем доступ в интрнет по mac адресу.
iptables -I FORWARD 1 -o eth1 -m mac --mac-source 32:43:25:25:25:42 -j DROP
Вот и все, шлюз с кеширующей проксей и днс готов, каждый день генерирующий отчеты по
трафику.

дописал в /etc/network/interfaces и получилось так

auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
      address 192.168.1.1
      netmask 255.255.255.0
pre-up iptables-restore < /etc/iptables.rules
auto eth1
iface eth1 dhcp


ибо я так понял тк у меня eth1 это adsl модем, то адрес нужно получать по dhcp???


Пользователь решил продолжить мысль 23 Января 2010, 14:37:48:это вообще не сделал, тк не понял что это такое....

Код: [Выделить]

Брокируем доступ в интрнет по mac адресу.
iptables -I FORWARD 1 -o eth1 -m mac --mac-source 32:43:25:25:25:42 -j DROP



в итоге имею, что у меня при выходе с локальной машины с адресом 192,168,1,7
у прокси адрес 192,168,1,100:3128

пишет что Access denided from ubuntuproxy

[theCoder]

Привет всем.
Сделал все как в инструкции
eth0 - смотрит в локалку
eth1 - инет
Писал те же самые адреса
Сервак в инет выходит.
Провайдер Билайн (Корбина) - eth1 смотрит в локалку Корбины, потом поднимается vpn подключение и появляется доступ в инет

Проблема в следующем. Ноут подключен к серваку, имеет ip 192.168.1.120
Шлюз прописал 192.168.1.1
Но инета нет.
Подскажите глупому в чем проблема.
Я думаю из-за того что на серваке инет из-за vpn не на eth1, а на ppp0.

[ad667]

 Доброе время суток. Возникла проблема при формировании отчета в sarg. Сервак поднят по данной инструкции, только на 10.04 и с учетом, что conf файлы sarg ложаться в свой личный каталог в /etc. Так вот, отчет почему то формируется только с двух IP, хотя в инете сидят, как минимум 10 компов. Сеть 192.168.40.0/24. На клиентских машинах все сетевые настройки прописаны одинаково. С чего начинать рыться? Я conf файлы и squid и sarg посморел, ничего не нашел, что относиться к этим двум адресам (192.168.40.25 и 192.168.40.27)

[roma333]

Доброе время суток. Возникла проблема при формировании отчета в sarg. Сервак поднят по данной инструкции, только на 10.04 и с учетом, что conf файлы sarg ложаться в свой личный каталог в /etc. Так вот, отчет почему то формируется только с двух IP, хотя в инете сидят, как минимум 10 компов. Сеть 192.168.40.0/24. На клиентских машинах все сетевые настройки прописаны одинаково. С чего начинать рыться? Я conf файлы и squid и sarg посморел, ничего не нашел, что относиться к этим двум адресам (192.168.40.25 и 192.168.40.27)

Посмотрите в логах сквида, сколько там адресов?

[ad667]

Если я правильно понял что логи хранятся /var/log/squid. в файле access.log.1 На прошлый день находится только один адрес 192.168.40.27 , другая машина (25) в тот день с интернетом не работала и в отчете указан только один этот адрес 192.168.40.27.

[roma333]

Если я правильно понял что логи хранятся /var/log/squid. в файле access.log.1 На прошлый день находится только один адрес 192.168.40.27 , другая машина (25) в тот день с интернетом не работала и в отчете указан только один этот адрес 192.168.40.27.

Ну значит sarg работает верно, я не понимаю в чем проблема?

[ad667]

Проблема в том, что у нас в сети 192.168.40.0/24 15 компьютеров имеют доступ в Интернет через данный прокси. И как минимум 10 из них давольно активно использую интернет. У меня самого адрес 192.168.40.19 . Я довольно активно пользуюсь серфингом интернета и установлен торрент, который иногда неплохо использует трафик 2-3 Гб в день, но на следующий день отчет показывает, что в интернете работали только 2 машины с адресами 192.168.40.27 и 192.168.40.25 и скачали вместе около 60 Мб, а про мой IP и объем трафика ни слова.

[roma333]

Значит у Вас часть машин не идет через скви, в логах-то access.log сквиа их нет, если я правильно понял

[Гарри Кашпировский]

Ваш ссш, торчащий голой задницей в инет, если там диапазон разрешённых айпи не зарегулирован, сбрутят ОЧЕНЬ быстро...

Уж простите за некропостинг.
Это тоже не дело. Есть ситуации, когда надо подключаться вообще из ЛЮБОГО места. И как быть в таком случае?
А быть вот как
1. Настроить авторизацию по ключам. Парольную авторизацию я вообще отключаю.
2. Против брута есть такая вещь как iptables

Код: [Выделить]

-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name SSH --rsource -j DROP

[ad667]

Значит у Вас часть машин не идет через скви, в логах-то access.log сквиа их нет, если я правильно понял

Да! Вы правы. В логах действительно только эти 2 адреса.  Значит действительно все остальные компы идут в обход squid. Как мне их завернуть на squid не подскажите?

[roma333]

Значит у Вас часть машин не идет через скви, в логах-то access.log сквиа их нет, если я правильно понял

Да! Вы правы. В логах действительно только эти 2 адреса.  Значит действительно все остальные компы идут в обход squid. Как мне их завернуть на squid не подскажите?

Во-первых, показать конфиги сквида и iptables-save. И еще конечно описание структуры вашей сети, шлюза, ifconfig -a