Настраиваем шлюз со статистикой

[ad667]

Имеется локальная сеть 192.168.40.0/24 и adsl соединение с интернетом. Для раздачи интернета по локальной сети мной был установлен прокси сервер на ubuntu alternate 10.04, squid, sarg. Config squid

(Нажмите, чтобы показать/скрыть)

acl intranet src 192.168.40.0/24
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8   # RFC1918 possible internal network
acl localnet src 172.16.0.0/12   # RFC1918 possible internal network
acl localnet src 192.168.0.0/16   # RFC1918 possible internal network
http_access allow intranet.
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access allow localnet
icp_access deny all
http_port 192.168.40.252:3128 transparent
hierarchy_stoplist cgi-bin ?
cache_mem 64 MB
minimum_object_size 0 KB
maximum_object_size 20480 KB
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp:      1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern -i (/cgi-bin/|\?) 0   0%   0
refresh_pattern (Release|Package(.gz)*)$   0   20%   2880
refresh_pattern .      0   20%   4320
hosts_file /etc/hosts
coredump_dir /var/spool/squid

я закоментаренные строки удалил и не показал порты.

P.S. кстати я только сейчас заметил, что 30 мая я поменял строку acl all src 192.168.40.0/24 на acl intranet src 192.168.40.0/24 и
http_access allow all на http_access allow intranet. логи squidа вообще исчезли. Последний лог был как раз от 30 числа

P.S.  Забыл разместить результаты ifconfig -a, а iptables-save в каком месте смотреть?
        

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 40:61:86:0e:58:82  
          inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::4261:86ff:fe0e:5882/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:38123 errors:0 dropped:0 overruns:0 frame:0
          TX packets:28380 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:48403547 (48.4 MB)  TX bytes:3940605 (3.9 MB)
          Interrupt:26 Base address:0x2000
eth1      Link encap:Ethernet  HWaddr 00:80:48:34:67:c9  
          inet addr:192.168.40.252  Bcast:192.168.40.255                     Mask:255.255.255.0
          inet6 addr: fe80::280:48ff:fe34:67c9/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:29553 errors:0 dropped:0 overruns:0 frame:0
          TX packets:36537 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3844206 (3.8 MB)  TX bytes:46926418 (46.9 MB)
          Interrupt:20 Base address:0xe800
lo        Link encap:Локальная петля (Loopback)  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:65 errors:0 dropped:0 overruns:0 frame:0
          TX packets:65 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:25870 (25.8 KB)  TX bytes:25870 (25.8 KB)

[ad667]

Подскажите в каком направлении надо начать рыть?

[roma333]

а вывод команды iptables-save? Как у Вас squid настроен? Прозрачный прокси или пользователи прописывают в браузере?
В конфиге три одинаковых имени - непорядок

(Нажмите, чтобы показать/скрыть)

acl localnet src 10.0.0.0/8   # RFC1918 possible internal network
acl localnet src 172.16.0.0/12   # RFC1918 possible internal network
acl localnet src 192.168.0.0/16   # RFC1918 possible internal network  # RFC1918 possible internal network,

они вам не нужны, удалить!

acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 - а это, что за ерунда. Читать мануал сквида, и думаючи составить конфиг...

[ad667]

Понял, спасибо, уберу, но теперь только после праздников. Вообще то это по умолчанию в конфиге squida было. Я такие строки не прописывал. Я настраивал по мануалу на прозрачный прокси. В браузерах я ставлю напрямую, а в сетевых настройках прописываю шлюз 192.168.40.252 и DNS провайдера. Выводы команды смогу сделать только во вторник.

[arayakao]

У меня при запуске генератора отчётов вываливается следующая ошибка: Unknown option site_user_time_date_type table
 как пофиксить ?

[reanim]

У меня при запуске генератора отчётов вываливается следующая ошибка: Unknown option site_user_time_date_type table
 как пофиксить ?

В sarg.conf закоменти строку site_user_time_date_type list/table

[ad667]

Вот вывод команты iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Wed Jun 23 08:28:29 2010
*filter
:INPUT ACCEPT [45778:4090431]
:FORWARD ACCEPT [269267:284002399]
:OUTPUT ACCEPT [30610:26087273]
-A INPUT -s 192.168.40.0/24 -d 192.168.40.252/32 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -s 192.168.40.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.40.0/24 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Wed Jun 23 08:28:29 2010
# Generated by iptables-save v1.4.4 on Wed Jun 23 08:28:29 2010
*mangle
:PREROUTING ACCEPT [529944:324594932]
:INPUT ACCEPT [48340:4210912]
:FORWARD ACCEPT [480942:320344884]
:OUTPUT ACCEPT [30610:26087273]
:POSTROUTING ACCEPT [512080:346550328]
COMMIT
# Completed on Wed Jun 23 08:28:29 2010
# Generated by iptables-save v1.4.4 on Wed Jun 23 08:28:29 2010
*nat
:PREROUTING ACCEPT [33685:2026669]
:POSTROUTING ACCEPT [118:28298]
:OUTPUT ACCEPT [533:87530]
-A PREROUTING -s 192.168.40.0/24 -d 192.168.40.252/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Jun 23 08:28:29 2010

В логах squida последняя информация только за 31 мая. Такое ощущение, что squid вообще не работает. При рестарте squid он ругается  на http_access allow intranet. Выдает сообщение такого вида,

(Нажмите, чтобы показать/скрыть)

010/06/23 08:56:41| ACL name 'intranet.' not defined!
FATAL: Bungled squid.conf line 658: http_access allow intranet.
Squid Cache (Version 2.7.STABLE7): Terminated abnormally.

Хотя я прописал выше строку acl intranet src 192.168.40.0/24

[roma333]

Найди отличие - "intranet." и "intranet" 
А прокси сервер у пользователей прописан в браузере? С вашей конфигурацией ничто не мешает ходить в интернет мимо прокси сервера...

[ad667]

Млин! По буквам 3 раза читал, а точку упустил из виду ! Спасибо!  В браузерах прописано "без прокси" а в сетевых настройках прописаны шлюз и DNS провайдера. Как мне запретить пользователям "ходить" мимо прокси? Я подразумеваю, что это надо в iptables правило какое то написать (или написал что-то лишнее).
Пользователь решил продолжить мысль 24 Июня 2010, 22:00:40:Помоему решил вопрос заворачивания трафика на squid (по крайней мере лог в squid появился) этим правилом
iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128
(на соседней ветке нашел инструкцию по 15 минутной настроке squid). А почему в данной инструкции нет этого правила?
Спасибо всем за помощь. Инет есть, отчеты тоже, теперь можно засеть за блолее "утонченные" правила acl .

[reanim]

Вопросик:валится у нас статистика в /var/www/squid-reports и отображается хорошо.А как сделать что бы это дело запаролено было када через броузер ломишься???

[Малышъ]

А еще вот такой вот вопрос:

А как вот этот же сервер сделать, но с авторизированным выходом в интернет, т.е. я руками указываю кому разрешить доступ в инет, а потом пользователь при запуске браузера получает приглашение на ввод логина и пароля и только после его ввода получит доступ в инет?

[reanim]

Вот может здесь ответ найдешь
http://squid.opennet.ru/FAQ/my/FAQrus-23.html

[Малышъ]

интересная статейка, но с многим еще придет разобраться. я не так много знаю и умею....
Но я быстро учусь

[ya4ept]

Столкнулся с тем, что хромала кодировка при просмотре страниц статистики..

вылечил правкой кодировки в файле "/etc/squid/sarg.conf"

Код: [Выделить]

language Russian_UTF-8
charset UTF-8
подправьте в первом сообщении!
 

[garbals]

хорошая статья  
еще бы  написали как  можно рулить приорететами трафика  
и прикрутить авторизацию AD по группам   (например http_users ftp_users icq_users  vip_users admin_users )
buh_users ( для различных банк клиентов  порты нужно открывать на шлюзе )
и чтобы можно было ставить разрешёния на доступ к различным сайтам разных групп

пока у меня не получается собрать это все

Пользователь решил продолжить мысль 28 Июля 2010, 19:53:30:вот рабочий squid.conf для сети 192.168.1.0/24  
как сюда прикрутить аутентификацию AD  ??

(Нажмите, чтобы показать/скрыть)

acl all src 192.168.1.0/24
acl intranet src 192.168.1.0/24
http_access allow intranet
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access allow localnet
icp_access deny all
http_port 3128
#http_port 192.168.1.1:3128 transparent
hierarchy_stoplist cgi-bin ?
cache_mem 64 MB
cache_dir ufs /var/spool/squid 1024 16 256
maximum_object_size 4096 KB
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp:      1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern -i (/cgi-bin/|\?) 0   0%   0
refresh_pattern (Release|Package(.gz)*)$   0   20%   2880
refresh_pattern .      0   20%   4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
visible_hostname localproxy
icp_port 0
hosts_file /etc/hosts
coredump_dir /var/spool/squid