Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Ubuntu+Squid+Sams (прозрачный прокси) + ClamAV  (Прочитано 17193 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Cybele

  • Автор темы
  • Новичок
  • *
  • Сообщений: 30
    • Просмотр профиля
Приветствую.

Ситуация такая на машинке отдельной стоит Ubuntu server 10.04 на нем Squid+sams , все настроенно все отлично работает и трафик считает и на сайты со всякой бякой не пускает и скорость ограничивает и группам и отдельным пользователям , как говорится все шоколадно. Но возникла проблема, не весь софт дает возможность произвести настройки для подключения к интернет через прокси (а у меня обязательно надо прописать прокси сервер для этого (192.168.1.1:3128)), вот и встал вопрос как сделать прокси прозрачным при условии что самс все будет подсчитывать и учитывать как и раньше.

в squid.conf стоит http_port 3128 transparent

мне кажется дело в iptables, пробовал следующее:
---------------------------------------------------------------
-sudo iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.1:3128 (почему-то ругается на ! знак)
---------------------------------------------------------------
- #!/bin/sh
# Включаем форвардинг
/sbin/sysctl -w net.ipv4.ip_forward=1
/sbin/sysctl -w net.ipv4.conf.default.forwarding=1
/sbin/sysctl -w net.ipv4.conf.all.forwarding=1

# Подключаем сетевые ништяки
/sbin/modprobe ip_gre
/sbin/modprobe nf_conntrack_proto_gre
/sbin/modprobe nf_nat_ftp
/sbin/modprobe nf_nat_pptp
/sbin/modprobe nf_nat_sip
/sbin/modprobe nf_nat_proto_sctp
/sbin/modprobe nf_nat_amanda
/sbin/modprobe nf_nat_proto_gre
/sbin/modprobe nf_nat_h323
/sbin/modprobe nf_nat_snmp_basic
/sbin/modprobe nf_nat_tftp
/sbin/modprobe nf_nat_irc

# Делаем собственно форвардинг
iptables -P FORWARD ACCEPT
iptables --table nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables --table nat -A POSTROUTING -o eth2 -j MASQUERADE
iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 3128 -j ACCEPT # squid
iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 80 -j ACCEPT # http (в этом случае если у клиента прописаны настройки шлюз,днс то он получает интернет , все работает отлично, но по какойто причине самс не хочет считать трафик и запрешать лазать куда попало а так же не режет скорость)


Прошу подсказать в чем затык если потребуется могу выложить все конфиги. В темке https://forum.ubuntu.ru/index.php?topic=3244.msg119501#msg119501 ответа не удалось найти.

« Последнее редактирование: 18 Июня 2010, 16:55:28 от Cybele »

Оффлайн adamst

  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: Ubuntu+Squid+Sams (прозрачный прокси)
« Ответ #1 : 17 Июня 2010, 10:25:58 »
я не уверен, но думаю что если ты за натишь, нужные тебе порты через iptables, то трафик по этому каналу не будет считаться, т.к. его считает и ограничивает (по скорости в том числе) твоя прокся

а так полагаю идея заключается оставить все как есть, и еще прокинуть необходимые порты iptables

Оффлайн Cybele

  • Автор темы
  • Новичок
  • *
  • Сообщений: 30
    • Просмотр профиля
Re: Ubuntu+Squid+Sams (прозрачный прокси)
« Ответ #2 : 17 Июня 2010, 11:23:27 »
я не уверен, но думаю что если ты за натишь, нужные тебе порты через iptables, то трафик по этому каналу не будет считаться, т.к. его считает и ограничивает (по скорости в том числе) твоя прокся

а так полагаю идея заключается оставить все как есть, и еще прокинуть необходимые порты iptables


Вы правы, хочется все оставить как есть просто добавив iptables, но поскольку уровень знаний оставляет желать лучшего, хотелось бы получить помощь, может какая-то наводка на грамотную статью или же живаой пример


Оффлайн adamst

  • Новичок
  • *
  • Сообщений: 11
    • Просмотр профиля
Re: Ubuntu+Squid+Sams (прозрачный прокси)
« Ответ #3 : 17 Июня 2010, 13:30:41 »
полагаю тогда суть вопроса меняется на то как прокинуть или просто занатить порты с помощью iptables

у тебя где-то то есть скрипт с правилами для iptables, теперь тебе нужно в нужное место сунуть нужное правило
тебе какие порты нужны и куда раздавать, вообщем определимся с параметрами правила

Оффлайн solmedas

  • Участник
  • *
  • Сообщений: 101
  • все это рейв
    • Просмотр профиля
    • solmedas.blogspot.com
Re: Ubuntu+Squid+Sams (прозрачный прокси)
« Ответ #4 : 17 Июня 2010, 17:02:23 »
вкл. форвардинг
sudo nano /etc/sysctl.conf
net.ipv4.ip_forward=1

маскард с интерфейса етх0 на остальные
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

заворачивание 80,8080 и других нужных тебе портов на проксю, которую считает самс
iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128
ubuntu 10.04 x_86_64, x86

Оффлайн Cybele

  • Автор темы
  • Новичок
  • *
  • Сообщений: 30
    • Просмотр профиля
Re: Ubuntu+Squid+Sams (прозрачный прокси)
« Ответ #5 : 18 Июня 2010, 06:26:22 »
вкл. форвардинг
sudo nano /etc/sysctl.conf
net.ipv4.ip_forward=1

маскард с интерфейса етх0 на остальные
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

заворачивание 80,8080 и других нужных тебе портов на проксю, которую считает самс
iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128


Огромное спасибо , в течении пары часов проверю и отпишусь.

Пользователь решил продолжить мысль 18 Июня 2010, 08:02:20:
solmedas , огромное вам спасибо. я даже незнаю как выразить свою благодарность. все замечательно работает и самс все считает и режет и так далее все великолепно.


Еще раз огромное вам спасибо.
« Последнее редактирование: 18 Июня 2010, 08:02:20 от Cybele »

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Ubuntu+Squid+Sams (прозрачный прокси)
« Ответ #6 : 18 Июня 2010, 12:57:20 »
Ага, а теперь в провайдерской сетке появился шлюз с халявным инетом. Трафик по 80,8080 может и сквид по acl резать. А вот остальные порты, пожалуйста..

Оффлайн solmedas

  • Участник
  • *
  • Сообщений: 101
  • все это рейв
    • Просмотр профиля
    • solmedas.blogspot.com
Re: Ubuntu+Squid+Sams (прозрачный прокси)
« Ответ #7 : 18 Июня 2010, 14:29:27 »
Ага, а теперь в провайдерской сетке появился шлюз с халявным инетом. Трафик по 80,8080 может и сквид по acl резать. А вот остальные порты, пожалуйста..
Покажи дяденька как надо! без слов, конфигами. там разберемся

А если сервак-шлюз находится еще за одним натом адсл-модема?
тогда шлюз находится в демилитаризованной зоне и ему как-бы все равно. Я правильно это понимаю?
« Последнее редактирование: 18 Июня 2010, 14:43:34 от solmedas »
ubuntu 10.04 x_86_64, x86

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Ubuntu+Squid+Sams (прозрачный прокси)
« Ответ #8 : 18 Июня 2010, 14:53:46 »
Покажи дяденька как надо! без слов, конфигами. там разберемся
Цитата: Очередная копипаста из темы на форуме, первой попавшейся в поиске
iptables -t nat -A POSTROUTING -o интерфейс_интернета -j MASQUERADE
iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -i интерфейс_локалки  -j ACCEPT
# Если есть интерфейс с пониженным mtu, раскомментировать следующее:
# iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

А если сервак-шлюз находится еще за одним натом адсл-модема?
тогда шлюз находится в демилитаризованной зоне и ему как-бы все равно. Я правильно это понимаю?
Типа того. Если только NAT а не BRIDGE.
« Последнее редактирование: 20 Июня 2010, 20:47:46 от Mam(O)n »

Оффлайн solmedas

  • Участник
  • *
  • Сообщений: 101
  • все это рейв
    • Просмотр профиля
    • solmedas.blogspot.com
Re: Ubuntu+Squid+Sams (прозрачный прокси)
« Ответ #9 : 18 Июня 2010, 14:58:13 »
Покажи дяденька как надо! без слов, конфигами. там разберемся
Цитата: Очередная копипаста из темы на форуме, первой попавшейся в поиске
iptables -t nat -A POSTROUTING -o интерфейс_интернета -j MASQUERADE
iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -o интерфейс_интернета  -j ACCEPT
# Если есть интерфейс с пониженным mtu, раскомментировать следующее:
# iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

А если сервак-шлюз находится еще за одним натом адсл-модема?
тогда шлюз находится в демилитаризованной зоне и ему как-бы все равно. Я правильно это понимаю?
Типа того. Если только NAT а не BRIDGE.

fnx
ubuntu 10.04 x_86_64, x86

Оффлайн Cybele

  • Автор темы
  • Новичок
  • *
  • Сообщений: 30
    • Просмотр профиля
Re: Ubuntu+Squid+Sams (прозрачный прокси)
« Ответ #10 : 18 Июня 2010, 16:52:30 »
Огромное спасибо Mam(O)n и solmedas, оба варианта работают отлично.

Теперь встал вопрос о том что надо в эту связку для окончательного удовлетворения всех потребностей добавить ClamAV , но пока к величайшему сожалению не получается.

Пробовал реализовать на основании SquidClamav и Dansguardian и icap
вот по этим статьям : 
 - http://ubuntueasy.com/node/365
 - http://panda.nowere.net/?p=187
 - http://blog.sozinov.eu/2007/04/clamav-squid.html


Огромная просьба, поделитесь опытом или же линками на хорошие статейки по поводу прикручивания Clamav к Squid.
К величайшему моему сожалению я сегодня несмог в этом вопросе сдинутся с мертвой точки , поэтому вдвойне буду рад любой помощи.

Оффлайн Cybele

  • Автор темы
  • Новичок
  • *
  • Сообщений: 30
    • Просмотр профиля
Re: Ubuntu+Squid+Sams (прозрачный прокси) + ClamAV
« Ответ #11 : 20 Июня 2010, 20:27:55 »
UP темке, прошу помочь прикрутить ClamAV для впроверки интернет трафика на данный момент настрен SQUID(прозрачный прокси)+SAMS(учет и контроль трафика), все работает замечательно, но надо еще и антивирус оживить.

Оффлайн solmedas

  • Участник
  • *
  • Сообщений: 101
  • все это рейв
    • Просмотр профиля
    • solmedas.blogspot.com
Re: Ubuntu+Squid+Sams (прозрачный прокси) + ClamAV
« Ответ #12 : 21 Июня 2010, 13:05:59 »
КламАВ прикручивать не пробовал,был неудачный опыт с dr.web для шлюзов, он тоже работает через i-cap. с ходу не завел, а дальше стало в падлу им заниматься, но сейчас детх-лайн  маячит на горизонте и я должен буду его быстро настроить.
опытом поделюсь
ubuntu 10.04 x_86_64, x86

Оффлайн Cybele

  • Автор темы
  • Новичок
  • *
  • Сообщений: 30
    • Просмотр профиля
Re: Ubuntu+Squid+Sams (прозрачный прокси) + ClamAV
« Ответ #13 : 23 Июня 2010, 06:23:01 »
КламАВ прикручивать не пробовал,был неудачный опыт с dr.web для шлюзов, он тоже работает через i-cap. с ходу не завел, а дальше стало в падлу им заниматься, но сейчас детх-лайн  маячит на горизонте и я должен буду его быстро настроить.
опытом поделюсь


Огромное спасибо за участие, заранее благодарен

Оффлайн motoprof

  • Новичок
  • *
  • Сообщений: 14
    • Просмотр профиля
Re: Ubuntu+Squid+Sams (прозрачный прокси) + ClamAV
« Ответ #14 : 21 Июля 2010, 13:48:16 »
Cybele, пытаюсь поднять сервак такой же конфигураци (US 10.04 + SQUID + SAMS2). Могу я увидеть ваши конфиг-файлы если не секрет? )
Ставил вебморду самса1.х.х вместе со сквидом - не работает авторизация по айпи в такой связке. Поставил самс2, говорят на нем работает, вот и проверю сейчас ...

 

Страница сгенерирована за 0.037 секунд. Запросов: 23.