Ubuntu+Squid+Sams (прозрачный прокси) + ClamAV

[Cybele]

Приветствую.

Ситуация такая на машинке отдельной стоит Ubuntu server 10.04 на нем Squid+sams , все настроенно все отлично работает и трафик считает и на сайты со всякой бякой не пускает и скорость ограничивает и группам и отдельным пользователям , как говорится все шоколадно. Но возникла проблема, не весь софт дает возможность произвести настройки для подключения к интернет через прокси (а у меня обязательно надо прописать прокси сервер для этого (192.168.1.1:3128)), вот и встал вопрос как сделать прокси прозрачным при условии что самс все будет подсчитывать и учитывать как и раньше.

в squid.conf стоит http_port 3128 transparent

мне кажется дело в iptables, пробовал следующее:
---------------------------------------------------------------
-sudo iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.1:3128 (почему-то ругается на ! знак)
---------------------------------------------------------------
- #!/bin/sh
# Включаем форвардинг
/sbin/sysctl -w net.ipv4.ip_forward=1
/sbin/sysctl -w net.ipv4.conf.default.forwarding=1
/sbin/sysctl -w net.ipv4.conf.all.forwarding=1

# Подключаем сетевые ништяки
/sbin/modprobe ip_gre
/sbin/modprobe nf_conntrack_proto_gre
/sbin/modprobe nf_nat_ftp
/sbin/modprobe nf_nat_pptp
/sbin/modprobe nf_nat_sip
/sbin/modprobe nf_nat_proto_sctp
/sbin/modprobe nf_nat_amanda
/sbin/modprobe nf_nat_proto_gre
/sbin/modprobe nf_nat_h323
/sbin/modprobe nf_nat_snmp_basic
/sbin/modprobe nf_nat_tftp
/sbin/modprobe nf_nat_irc

# Делаем собственно форвардинг
iptables -P FORWARD ACCEPT
iptables --table nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables --table nat -A POSTROUTING -o eth2 -j MASQUERADE
iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 3128 -j ACCEPT # squid
iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 80 -j ACCEPT # http (в этом случае если у клиента прописаны настройки шлюз,днс то он получает интернет , все работает отлично, но по какойто причине самс не хочет считать трафик и запрешать лазать куда попало а так же не режет скорость)


Прошу подсказать в чем затык если потребуется могу выложить все конфиги. В темке https://forum.ubuntu.ru/index.php?topic=3244.msg119501#msg119501 ответа не удалось найти.

[adamst]

я не уверен, но думаю что если ты за натишь, нужные тебе порты через iptables, то трафик по этому каналу не будет считаться, т.к. его считает и ограничивает (по скорости в том числе) твоя прокся

а так полагаю идея заключается оставить все как есть, и еще прокинуть необходимые порты iptables

[Cybele]

я не уверен, но думаю что если ты за натишь, нужные тебе порты через iptables, то трафик по этому каналу не будет считаться, т.к. его считает и ограничивает (по скорости в том числе) твоя прокся

а так полагаю идея заключается оставить все как есть, и еще прокинуть необходимые порты iptables

Вы правы, хочется все оставить как есть просто добавив iptables, но поскольку уровень знаний оставляет желать лучшего, хотелось бы получить помощь, может какая-то наводка на грамотную статью или же живаой пример

[adamst]

полагаю тогда суть вопроса меняется на то как прокинуть или просто занатить порты с помощью iptables

у тебя где-то то есть скрипт с правилами для iptables, теперь тебе нужно в нужное место сунуть нужное правило
тебе какие порты нужны и куда раздавать, вообщем определимся с параметрами правила

[solmedas]

вкл. форвардинг
sudo nano /etc/sysctl.conf
net.ipv4.ip_forward=1

маскард с интерфейса етх0 на остальные
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

заворачивание 80,8080 и других нужных тебе портов на проксю, которую считает самс
iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128

[Cybele]

вкл. форвардинг
sudo nano /etc/sysctl.conf
net.ipv4.ip_forward=1

маскард с интерфейса етх0 на остальные
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

заворачивание 80,8080 и других нужных тебе портов на проксю, которую считает самс
iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128

Огромное спасибо , в течении пары часов проверю и отпишусь.
Пользователь решил продолжить мысль 18 Июня 2010, 08:02:20:solmedas , огромное вам спасибо. я даже незнаю как выразить свою благодарность. все замечательно работает и самс все считает и режет и так далее все великолепно.


Еще раз огромное вам спасибо.

[Mam(O)n]

Ага, а теперь в провайдерской сетке появился шлюз с халявным инетом. Трафик по 80,8080 может и сквид по acl резать. А вот остальные порты, пожалуйста..

[solmedas]

Ага, а теперь в провайдерской сетке появился шлюз с халявным инетом. Трафик по 80,8080 может и сквид по acl резать. А вот остальные порты, пожалуйста..

Покажи дяденька как надо! без слов, конфигами. там разберемся

А если сервак-шлюз находится еще за одним натом адсл-модема?
тогда шлюз находится в демилитаризованной зоне и ему как-бы все равно. Я правильно это понимаю?

[Mam(O)n]

Покажи дяденька как надо! без слов, конфигами. там разберемся

iptables -t nat -A POSTROUTING -o интерфейс_интернета -j MASQUERADE
iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -i интерфейс_локалки  -j ACCEPT
# Если есть интерфейс с пониженным mtu, раскомментировать следующее:
# iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

А если сервак-шлюз находится еще за одним натом адсл-модема?
тогда шлюз находится в демилитаризованной зоне и ему как-бы все равно. Я правильно это понимаю?

Типа того. Если только NAT а не BRIDGE.

[solmedas]

Покажи дяденька как надо! без слов, конфигами. там разберемся

iptables -t nat -A POSTROUTING -o интерфейс_интернета -j MASQUERADE
iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -o интерфейс_интернета  -j ACCEPT
# Если есть интерфейс с пониженным mtu, раскомментировать следующее:
# iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

А если сервак-шлюз находится еще за одним натом адсл-модема?
тогда шлюз находится в демилитаризованной зоне и ему как-бы все равно. Я правильно это понимаю?

Типа того. Если только NAT а не BRIDGE.

fnx

[Cybele]

Огромное спасибо Mam(O)n и solmedas, оба варианта работают отлично.

Теперь встал вопрос о том что надо в эту связку для окончательного удовлетворения всех потребностей добавить ClamAV , но пока к величайшему сожалению не получается.

Пробовал реализовать на основании SquidClamav и Dansguardian и icap
вот по этим статьям : 
 - http://ubuntueasy.com/node/365
 - http://panda.nowere.net/?p=187
 - http://blog.sozinov.eu/2007/04/clamav-squid.html


Огромная просьба, поделитесь опытом или же линками на хорошие статейки по поводу прикручивания Clamav к Squid.
К величайшему моему сожалению я сегодня несмог в этом вопросе сдинутся с мертвой точки , поэтому вдвойне буду рад любой помощи.

[Cybele]

UP темке, прошу помочь прикрутить ClamAV для впроверки интернет трафика на данный момент настрен SQUID(прозрачный прокси)+SAMS(учет и контроль трафика), все работает замечательно, но надо еще и антивирус оживить.

[solmedas]

КламАВ прикручивать не пробовал,был неудачный опыт с dr.web для шлюзов, он тоже работает через i-cap. с ходу не завел, а дальше стало в падлу им заниматься, но сейчас детх-лайн  маячит на горизонте и я должен буду его быстро настроить.
опытом поделюсь

[Cybele]

КламАВ прикручивать не пробовал,был неудачный опыт с dr.web для шлюзов, он тоже работает через i-cap. с ходу не завел, а дальше стало в падлу им заниматься, но сейчас детх-лайн  маячит на горизонте и я должен буду его быстро настроить.
опытом поделюсь

Огромное спасибо за участие, заранее благодарен

[motoprof]

Cybele, пытаюсь поднять сервак такой же конфигураци (US 10.04 + SQUID + SAMS2). Могу я увидеть ваши конфиг-файлы если не секрет? )
Ставил вебморду самса1.х.х вместе со сквидом - не работает авторизация по айпи в такой связке. Поставил самс2, говорят на нем работает, вот и проверю сейчас ...