несколько вопросов по шлюзу на Linux

[Fusariun]

Есть задача организовать шлюз с шейпером. Я плохо понимаю в шлюзах, а еще меньше в шлюзах на Linux и уже неделю вчитываюсь в литературу.
Задачу вижу так: установить Ubuntu с ядром выше 2,6,20 (десктоп\сервер без разницы насколько я понял), запустить пппконфиг (настроет мое пппое соединение через бридж, подключенный к 1 сетевухе), проверить файл /etc/network/interfaces (проконтролировать названия интерфейсов и их настройки), в этот момент инет должен быть на этой машине. Далее приступить к настройке брандмауэра: для этого собираюсь использовать скрипт отсюда http://www.opennet.ru/docs/RUS/iptables/#RCFIREWALLTXT (толковое руководство по иптаблес). Следующим шагом я попробую реализовать шейпер на основе HTB, используя скрипт хтб.инит.
Схему описал для того, чтоб, если в ней есть ошибки, мне на них указали. А вопросы в следующем:
1. надо ли где-то объявлять, что вот новый скрипт или достаточно просто скопировать его в папку инит.д и поставить флаг на исполнение?
2. Будут ли корректно обрабатываться днс-запросы из локалки (у пользователей стоит шлюз праймари днс) или для этого надо подымать днс сервер? Если это необязательно, то сильно ли увеличится быстродействие инета, если кешировать днс запросы?
3. Стоит ли ставить сквид в ближайшее время,тоесть я его установлю когда-нибудь все равно, но кроме кеширования, я для него задач пока не вижу.
4. Кстати, какие модули иптаблес входят в ядро современной версии? То есть, будет ли возможность поднять фтп протокол и ирс без перезборки ядра (мой мозг этого не выдержит)?
5. Какие возможны гуи для моих целей?

[atem32]

хм есть прикрепленная тема сверху про расшаривание инета,дальше сквид можешь приспособить также для резания скорости посредством пулов,точнее не скажу
также его можно будет использовать для фильтрации,посдчета траффика
днс можешь указывать днс провайдера а можешь поднять свой

мне был удобен только gadmin-bind остальное оказалось уг лично для меня,ещё удобен webmin если планируешь отказаться от гуя

[Fusariun]

хм есть прикрепленная тема сверху про расшаривание инета,дальше сквид можешь приспособить также для резания скорости посредством пулов,точнее не скажу
днс можешь указывать днс провайдера а можешь поднять свой

Спасибо за ответ. Темку просмотрел, но там нет фаерволла фактически - нетфильтр просто пропускает все транзитом, на шлюз можно залезть из инета, к тому же используются тупо базовые скрипты или советы скидать все в рс.локал. Зачем же делать помойку?
По поводу пулла, то насколько я понял из литературы, этим модулем можно управлять только хттп трафиком, меня в основном итересует ограничение уродских пирринговых сетей в часы пик. Статистика пока совсем неинтересна - все равно это бесплатная домосеть.

[AnrDaemon]

Спасибо за ответ. Темку просмотрел, но там нет фаерволла фактически - нетфильтр просто пропускает все транзитом, на шлюз можно залезть из инета, к тому же используются тупо базовые скрипты или советы скидать все в рс.локал. Зачем же делать помойку?

Этот вопрос не относится к расшариванию интернета, тебе не кажется?
В любом случае - есть другая прилепленная тема, с примерами настройки именно фаервола.

[Fusariun]

Этот вопрос не относится к расшариванию интернета, тебе не кажется?

мне кажеться, что нас уносит в сторону. Похоже, это политика по дефолту для этого форума  Я не обсуждаю (не стремлюсь) конкретные правила нетфильтра - не хватает для этого знаний. Хочу воспользоваться шаблонным вариантом. Я описал свою логическую схему для страховки, хотя чисто теоретически она верна. В конце поста задал конкретные вопросы. Больше всего волнует первый - может ли метадемон (крассива названно!) init запустить скрипты, которые я хочу впихануть и, если сможет, то chmod +x .... будет достаточно?

[AnrDaemon]

По сути - да. Достаточно положить исполняемый файл в каталог init.d и воспользоваться командой update-rc.d для настройки его запуска.
Конкретный же ответ будет сильно зависеть от цели скрипта.
Вплоть до "не майся дурью, без костылей всё будет работать лучше и надёжнее".

[drako]

1. Помимо chmod +x нужно командой update-rc.d указать когда нужно запускать скрипт.
2. Указать днс прова у клиентов;поставить dnsmasq; поставить bind9 - на вкус и цвет..., но если планируете дальнейшее развитие(судя по пункту 4), то надо полагать bind будет правильным решением.
3. Прокси в прозрачном режиме можно поставить, хотя лично мое мнение - не нужно оно.
4. Вопрос немного непонятен. Сервера ftp и irc к iptables никакого отношения не имеют.
5. Самый правильный GUI на сервере - консоль.

А кстати зачем огород с шейпингом на сервере городить, когда можно vlan'ы на свичах с нужной пропускной способностью настроить?

[yuristep]

Есть задача организовать шлюз с шейпером. Я плохо понимаю в шлюзах, а еще меньше в шлюзах на Linux и уже неделю вчитываюсь в литературу.

... проще взять какой-нить тазик, и начать делать на нем ПРАКТИЧЕСКИ, задавая конкретные вопросы

Далее приступить к настройке брандмауэра: для этого собираюсь использовать скрипт отсюда http://www.opennet.ru/docs/RUS/iptables/#RCFIREWALLTXT (толковое руководство по иптаблес). Следующим шагом я попробую реализовать шейпер на основе HTB, используя скрипт хтб.инит.

Если собираетесь делать это более-менее серьезно - скрипты из этих источников ф топку. Ман действительно прекрасный, его более чем достаточно для того, чтобы самостоятельно раскурить iptables и сваять именно то, что нужно ВАМ, а не типовое-среднестатистическое...

2. Будут ли корректно обрабатываться днс-запросы из локалки (у пользователей стоит шлюз праймари днс) или для этого надо подымать днс сервер? Если это необязательно, то сильно ли увеличится быстродействие инета, если кешировать днс запросы?

лично я в подобных случаях - поднимаю всегда

3. Стоит ли ставить сквид в ближайшее время,тоесть я его установлю когда-нибудь все равно, но кроме кеширования, я для него задач пока не вижу.

... а Вы ничего о клиентах не сказали... Если это шлюз предприятия - стоит, кроме кеширования есть еще фильтрация контента, проверка на вирусы и т.д.

4. Кстати, какие модули иптаблес входят в ядро современной версии? То есть, будет ли возможность поднять фтп протокол и ирс без перезборки ядра (мой мозг этого не выдержит)?

Поверьте, Вам на первое (да и не на первое) время хватит   Это хорошая новость.  А теперь плохая новость - "мой мозг этого не выдержит" - может тогда и браться не стоит - позовите спеца, он вам все настроит ...

5. Какие возможны гуи для моих целей?

Консоль, консоль и еще раз консоль ....

[atem32]

ещё попутный вопрос как через консоль копировать симлинки в другую папку?

[censor]

ещё попутный вопрос как через консоль копировать симлинки в другую папку?

man cp
разве отменили уже?