прозрачный прокси

[Ar3s]

Задача:
есть локалка 30 win машин. Им нужно раздавать ip, часть из этих машин выпускать в интернет прозрачно (browser, icq, ftp, ssl, wm-keeper), нужно мне в экстренных случаях подключаться к сети через vpn из вне.
Есть "сервер": Celeron 666, 512 RAM, 10Gb HDD. На нем одна сетевая eth0 и одно PPPOE соединение.

Решено мной:
ставлю dhcp3-server, указываю диапазон ip который можно раздавать пользователям (допустим 192.168.1.40-100) И по MAC-адресам резервирую адреса пользователям которым можно в интернет (192.168.1.3-10)
Ставлю squid3 в прозрачном режиме, в котором разрешаю диапазону 192.168.1.3-10 выходить в интернет.
Ставлю OpenSSH.

Внимание вопрос! У меня проблема в том, что пользователь сам установивший себе ip может выходить с интернет. Можно ли в squid разрешать в сеть не по ip а по MAC?
Как заставить работать ftp icq wm-keeper через проксю?
Нужно ли ставить dns кэширующий? Squid вроде умеет dns кэшировать.
Посоветуйте vpn.

[Sam Stone]

маки

Как заставить работать ftp icq wm-keeper через проксю?

Вроде как по дефоту работает. Посмотри, если ли в acl safe_ports порт 21 (привожу обозначения из дефолтного конфига). Нет ли запрета на фтп через acl proto.
Асе надо открыть 443 или 5190 порт. Вебмане какой нужен - не знаю. При этом, если настроил фаер, то и там надо эти порты открыть.
Для гарантии можно выставить в клиенте пассивный режим для фтп.

[AnrDaemon]

WM Keeper через прокси напрямую не работает. Решить это можно. Подробности на webmoney.ru
Подмена MAC, IP - проблема социальная, а не техническая. И решать её надо социальными методами (штрафы, увольнения).

[Ar3s]

почти все сделал. Поставил squid3 dhcp3-server dns-кэширующий.
Тепер с фаерволом нужно домудрить. Какие порты форвардить кроме 80, 8080?
Ну понятно icq 5190, жабу тоже поищу, 22, 21.
Для скайпа и для wm-keeper-а что форвардить?

[AnrDaemon]

Что ты вообще форвардить взялся? O.o

[badfiles]

термин "форвардить" обычно применяется в обратном направлении, когда пакеты нужно забросить внутрь сети и ответный трафик вернуть клиенту наружу.
Когда из локальной сети нужно прозрачно выпустить пользователей, то обычно говорят "натить", хотя все едино.

Слово "прокси" обычно относится к конкретному протоколу (или группе протоколов), аналогичное действие с трафиком всех возможных протоколов выполняет маршрутизатор.

Если вы хотите сделать маршрутизатор с NAT'ом, то тогда не совсем понятно, зачем вам сквид, хотя он умеет работать в прозрачном режиме.

[Ar3s]

я выпускаю в интернет заданный диапазон ip адресов. К сквиду подключен файл с указанием этих самых ip.
Фаерволом я заварачиваю запросы из внутренней сети на сквид. Сейчас у меня прописаны правила для 80, 8080 портов.
Еще планирую туде же заворачивать 5190, 5222, 5223, 22, 21.
У вас хочу узнать какие порты/протоколы нужно заворачивать для правильной работы скайпа и вэб-моней.

[Mam(O)n]

Еще планирую туде же заворачивать 5190, 5222, 5223, 22, 21.
У вас хочу узнать какие порты/протоколы нужно заворачивать для правильной работы скайпа и вэб-моней.

Squid — программный пакет, реализующий функцию кэширующего прокси-сервера для протоколов HTTP, FTP, Gopher и (в случае соответствующих настроек) HTTPS (c) Wikipedia
Плясать при заворачивании трафика в сквид надо от этого. 5190(ацка) и 22(ssh) к вышеуказанным протоколам не относится. 5222, 5223 я не знаю что это. Остальной трафик только натить, кешировать там нечего.

[Ar3s]

Mam(O)n - СПАСИБО!

Я тупанул тут. Вот то что ты написал и поставило для меня все на свои места. СПС.

Пользователь решил продолжить мысль 13 Ноября 2009, 11:15:09:Надеюсь последний вопрос. Где курить на тему простого шэйпера на ubuntu server?

[Mam(O)n]

Надеюсь последний вопрос. Где курить на тему простого шэйпера на ubuntu server?

ъ вариант - tc
А так, на форуме погугли, много что есть по этому поводу.

[AnrDaemon]

5222, 5223 я не знаю что это. Остальной трафик только натить, кешировать там нечего.

5222 xmpp
5223 xmpps
Жабка, если короче.

[Ar3s]

если кому интересно - могу конфиги в конце своих страданий прикрутить к этой теме.

[Userz]

Если получилось сделать сквид прозрачным, выложи squid.conf и правила iptables (которые отвечают за заворачивание портов).

[Ar3s]

Код: [Выделить]

#!/bin/sh
PATH=/usr/sbin:/sbin:/bin:/usr/bin
#
# удалить все действующие правила
#
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
# Всегда принимать трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT
# Разрешить соединения, которые инициированы изнутри (eth0)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ppp0 -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCE
PT
# Разрешить доступ из LAN-сети к внешним сетям
iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
# Masquerade.
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
# Запретить forward извне во внутреннюю сеть
iptables -A FORWARD -i ppp0 -o eth0 -j REJECT
# Включить forward
echo 1 > /proc/sys/net/ipv4/ip_forward
# to squid
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 55
55
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j REDIRECT --to-port
5555

Код: [Выделить]

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl gogogo src "/etc/squid3/users"
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports


http_access allow localhost
http_access allow gogogo
http_access deny all
icp_access deny all
htcp_access deny all

http_port 192.168.5.110:5555 transparent

dead_peer_timeout 10 seconds
hierarchy_stoplist cgi-bin ?
cache_mem 50 MB
maximum_object_size_in_memory 1024 KB
cache_dir ufs /var/spool/squid3 1500 16 256
store_dir_select_algorithm least-load
minimum_object_size 1 KB
maximum_object_size 1024 KB

access_log /dev/null squid
cache_log /dev/null

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern (cgi-bin|\?)    0       0%      0
refresh_pattern .               0       20%     4320

icp_port 3130

coredump_dir /var/spool/squid3