ubuntu (NAT+DHCP+Squid+DansGuardian), нужна помощь

[grinnZli]

собвственно настроено как http://interface31.ru/tech_it/2009/11/linux-nastrojka-routera-nat-dhcp-squid.html тут написано и все работает НО...
1 хотелось бы часть компьютеров вывести в отдельную сетку, как правильно сделать? мой вариант пока сделать дополнительный интерфейс на сетевухе которая раздает интернет eth2:1 с ip 10.0.1.0 и маской 255.255.255.0 .. но как то все коряво
и вот запуск исполняемого файла для загрузки правил файервола обязательно в /etc/network/interfaces или лучше в rc.local ?
2. dnsmasq нивкакую не хочет раздавать ip который мне нужно....
3 где взять рабочие словари для фильтра , чтобы слова были в 3 русских кодировках и список запрещенных доменов ( хотябы для России) . Борьба с терроризмом мля....

[RustemNur]

хотелось бы часть компьютеров вывести в отдельную сетку, как правильно сделать? мой вариант пока сделать дополнительный интерфейс на сетевухе которая раздает интернет eth2:1 с ip 10.0.1.0 и маской 255.255.255.0 .. но как то все коряво

В чем корявость?

[AnrDaemon]

1 хотелось бы часть компьютеров вывести в отдельную сетку, как правильно сделать? мой вариант пока сделать дополнительный интерфейс на сетевухе которая раздает интернет eth2:1 с ip 10.0.1.0 и маской 255.255.255.0 .. но как то все коряво

Присоединяюсь к предыдущему оратору. В чем корявость?
Ибо кроме втыкания дополнительной физической сетевой платы, я других решений не вижу.

и вот запуск исполняемого файла для загрузки правил файервола обязательно в /etc/network/interfaces или лучше в rc.local ?

Лучше в /etc/network/if-up.d/ отдельным скриптом.
https://forum.ubuntu.ru/index.php?topic=20334.msg741834#msg741834
https://forum.ubuntu.ru/index.php?topic=20334.msg743164#msg743164

2. dnsmasq нивкакую не хочет раздавать ip который мне нужно....

Поставь нормальный DHCP сервер.

3 где взять рабочие словари для фильтра , чтобы слова были в 3 русских кодировках и список запрещенных доменов ( хотябы для России) . Борьба с терроризмом мля....

Режик ?

[grinnZli]

по порядку,
1 без установки дополнительной сетевой карты, на той которыя смотрит в локалку eth2 10.0.0.0/24 можно же поднять  eth2:1 10.0.1.0/24? и iptables в запретить обмен пакетами между ними?
2 какой кроме bind9 dns и dhcp посоветуете?
3 что значит режик?

networks

(Нажмите, чтобы показать/скрыть)

auto lo
iface lo inet loopback

# The primary network interface
auto eth1
iface eth1 inet static
address 192.168.0.151
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.1

auto eth2
iface eth2 inet static
address 10.0.0.1
netmask 255.255.255.0
network 10.0.0.0
broadcast 10.0.0.255

auto eth2:1
iface eth2:1 inet static
address 10.0.1.1
netmask 255.255.255.0
network 10.0.1.0
broadcast 10.0.1.255

post-up /etc/nat

nat

(Нажмите, чтобы показать/скрыть)

# Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

# Разрешаем трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT

# Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth2 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth2:1 -o eth1 -j ACCEPT

# Включаем NAT
iptables -t nat -A POSTROUTING -o eth1 -s 10.0.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -s 10.0.1.0/24 -j MASQUERADE

# Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth1 -o eth1 -j REJECT
iptables -A FORWARD -i eth2 -o eth2:1 -j REJECT
iptables -A FORWARD -i eth2:1 -o eth2 -j REJECT

# Заворачиваем http на прокси squid
# iptables -t nat -A PREROUTING -i eth2 ! -d 10.0.0.0/16 -p tcp -m multiport --dport 80,8080 -j DNAT --to 10.0.0.1:3128

# Заворачиваем http на прокси dansquardian
iptables -t nat -A PREROUTING -i eth2 ! -d 10.0.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 10.0.0.1:8081
iptables -t nat -A PREROUTING -i eth2:1 ! -d 10.0.1.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 10.0.1.1:8081

dnsmasq

(Нажмите, чтобы показать/скрыть)

# Override the default route supplied by dnsmasq, which assumes the
# router is the same machine as the one running dnsmasq.
dhcp-option=eth2,3,10.0.0.1
dhcp-option=eth2:1,3,10.0.1.1

hcp-range=eth2,10.0.0.2,10.0.0.100,255.255.255.0,12h
dhcp-range=eth2:1,10.0.1.2,10.0.1.50,255.255.255.0,12h


# If you want dnsmasq to listen for DHCP and DNS requests only on
# specified interfaces (and the loopback) give the name of the
# interface (eg eth0) here.
# Repeat the line for more than one interface.
interface=eth2
interface=eth2:1
# Or you can specify which interface _not_ to listen on
#except-interface=
# Or which to listen on by address (remember to include 127.0.0.1 if
# you use this.)
listen-address=127.0.0.1, 10.0.0.1, 10.0.1.1
# If you want dnsmasq to provide only DNS service on an interface,
# configure it as shown above, and then use the following line to
# disable DHCP on it.
no-dhcp-interface=eth1

[AnrDaemon]

iptables не работает с альясами, придётся фильтровать по адресам сетей. Но - да, можно.
При чём тут BIND? bind это DNS сервер.
То и значит. http://www.rejik.ru/

[RustemNur]

без установки дополнительной сетевой карты, на той которыя смотрит в локалку eth2 10.0.0.0/24 можно же поднять  eth2:1 10.0.1.0/24? и iptables в запретить обмен пакетами между ними?

Второй сетевой картой вы физически разделите трафик в подсетях. Резве плохо? За 100руб - 200руб? Боюсь утверждать, но мне кажется, что и CPU сервера будет проще.
Есть, правда, один неприятный момент: возможно придется повозиться с UTP.

какой кроме bind9 dns и dhcp посоветуете?

Че-то я как-то не пойму, что народ так от bind шарахается? У меня работает, без вопросов, вроде.

[Sofim]

по порядку,
1 без установки дополнительной сетевой карты, на той которыя смотрит в локалку eth2 10.0.0.0/24 можно же поднять  eth2:1 10.0.1.0/24? и iptables в запретить обмен пакетами между ними?
2 какой кроме bind9 dns и dhcp посоветуете?

1. Обсуждалось нечто подобное тут
2. pdnsd и udhcpd только зачем искать кривые пути, если уже есть готовые решения на bind9 и  dhcp3 ?

[grinnZli]

заместо http://www.rejik.ru/ используется DansGuardian. вот для него нужны слова типа  (бомба, секс, порно).

[krolit]

# Заворачиваем http на прокси squid
# iptables -t nat -A PREROUTING -i eth2 ! -d 10.0.0.0/16 -p tcp -m multiport --dport 80,8080 -j DNAT --to 10.0.0.1:3128

Объясните пожалуйста для чего инвертировать условие знаком восклицания? Я не очень понимаю этот момент.

[AnrDaemon]

Переведи правило на русский - поймёшь.

[krolit]

врубился, сперва не правильно понял русский перевод) вернее не на то обращал внимание) спасибо)