Как организовать локальную сеть на Ubuntu Server

[Square]

Здравствуйте уважаемые форумчане.

Необходима помощь в понимании "как и что".

Сразу скажу:
- ничего не искал. Так как не знаю как правильно сформулировать запрос.
- разжёвывать не нужно. Необходимо только описание этапов и некоторые советы


И так.

Есть офис, в котором:
- 2 подсети по ~20 компов в каждой.
- 4 сервера (точнее 1 шлюз, через 2 подключается другая сеть, сервер какой-то мудреной программы, и какая-то фигня) (не в них суть, важен только шлюз)

сейчас сеть находится в какой-то ...

1 подсеть имеет IP-адреса 10.10.10.Х
2 подсеть имеет IP-адреса 192.168.1.Х

Маска подсети - 255.255.255.0

отдельная сеть (которая подключается через 2 сервер)

Подготовил Paint-проект:



Специалистов у нас не имеется, "имеюсь" только я, в роли мастера по ремонту компьютеров и орг техники. (Опыт в построении локальных сетей минимальный)

И вот мне, как единственному мастеру была поставлена задача, привести сеть в должное состояние (начальство жадное, и нанимать никого не хотят)

А сделать нужно следующее:

Локальная сеть и 2 подсети:
- 1 подсеть 192.168.1.Х
- 2 подсеть 192.168.2.Х
- отдельная сеть (останется без изменений, для меня не понятно вообще почему, и зачем она нужна)
- в будущем добавятся еще сети

Чтобы был доступ между сетями (С этим проблем нет, я знаю как это сделать. Описал для полноты картины)

- DHCP-сервер
- Файловый сервер
- Usergate (аналог для Linux)
- Интернет-шлюз
- Сервер с мудреной программой
- Сервер с какой-то фигней
- Сервер для соединения с отдельной сетью

Суть поста заключается в следующем:

- Можно ли объединить интернет-шлюз, DHCP, usergate (это само собой нужно объединять) и файловый сервер (не большая нагрузка)
- Какие аналоги у usergate (могу и сам поискать, но лучше на вашем опыте)
- Желательно этапы воплощения сия чуда
- Ссылки на полезные ресурсы
- Рекомендации
- Ответы на вопросы, если возникнут

Надеюсь на Вашу помощь

Заранее спасибо!!!

[fisher74]

- Можно ли объединить ...

Можно

- Какие аналоги у usergate (могу и сам поискать, но лучше на вашем опыте)

Для начала ответьте себе на вопрос: что такое usergate?

- Желательно этапы воплощения сия чуда

Формирование схемы сети, настройка пользовательских сервисов (доступ в локальную сеть, локальные информационные ресурсы сети, доступ с интернет), настройка служебных сервисов (логгирование, бекапирование и т.п.) и не забываем про информационную безопасность.

- Ссылки на полезные ресурсы

https://help.ubuntu.ru/

- Ответы на вопросы, если возникнут

https://forum.ubuntu.ru/

[Square]

Вот к чему я пришел.

Поставил 2 компьютера и соединил их через свич (тестовая минисеть)
- на 1 (сервер) Ubuntu, 2 сетевые, dns, dns, squid
- на 2 (клиент) Windows XP

При подключении клиент получает IP, выходит в интернет.

Все работало отлично до появления squid, теперь доступ запрещен.

Настройки сейчас такие:

Сетевые карты

Код: [Выделить]

# eth0 - подключена к роутеру
eth0
address 192.168.211.104
netmask 255.255.255.0
gateway 192.168.211.2

# eth1 - подключена к сети
eth1
address 192.168.1.10
netmask 255.255.255.0
gateway 192.168.1.254

iptables

Код: [Выделить]

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j REJECT
iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.10:3128

/etc/squid3/squid.conf

Код: [Выделить]

acl url_filtred src 192.168.1.100-192.168.1.200
acl blacklist url_regex -i "/etc/squid3/blacklist"

acl localnet src 192.168.2.0/24

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost manager
http_access deny manager

http_access allow localhost

http_access deny all
http_access deny blacklist url_filtred
http_access allow localnet

http_port 192.168.1.10:3128 intercept

cache_mem 1024 MB

maximum_object_size_in_memory 512 KB

cache_dir ufs /var/spool/squid3 2048 16 256

maximum_object_size 4 MB

access_log daemon:/var/log/squid3/access.log squid
logfile_rotate 31

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern . 0 20% 4320


/etc/dhcp/dhcpd.conf

Код: [Выделить]

ddns-update-style none;
option domain-name "example.org";
option domain-name-servers ns1.example.org, ns2.example.org;
authoritative;

log-facility local7;

subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.100 192.168.1.200;
option domain-name-servers 192.168.1.10;
option domain-name "oxs";
option routers 192.168.1.10;
option broadcast-address 192.168.1.254;
default-lease-time 600;
max-lease-time 7200;
}

host pc {
   hardware ethernet 00:0C:29:E7:45:7C;
   fixed-address 192.168.1.152;
}

Подскажите, пожалуйста, почему squid запрещает доступ?

Спасибо!

[theurs]

а сквид вобще запускается? там вроде не указан порт для непрозрачного прокси и он должен на это ругаться. надо посмотреть журналы


http_access allow localhost
http_access allow localnet
http_access deny blacklist url_filtred
http_access deny all # это должно быть ниже всех, ниже чем http_access allow localnet точно


http_port 192.168.1.10:3127
http_port 192.168.1.10:3128 intercept

[Square]

http_access allow localhost
http_access allow localnet
http_access deny blacklist url_filtred
http_access deny all # это должно быть ниже всех, ниже чем http_access allow localnet точно

Я так понимаю, приоритет идет снизу вверх?

http_port 192.168.1.10:3127
http_port 192.168.1.10:3128 intercept

Добавил непрозрачный. Все равно не работает. Настраивал прокси в ручную, та же история.

Выдает следующее:


Где находится журнал?

[theurs]

не приоритет сверху вниз, а просто сверху вниз до первого попадания

еще в конфиге указана локалькая сеть с клиентами 192.168.2.0 а сервер находится в 192.168.1.0 это не опечатка?

журналы в /var/log/squid
там access.log и squid.log, если нет то возможно они отключены в конфиге

[Square]

еще в конфиге указана локальная сеть с клиентами 192.168.2.0 а сервер находится в 192.168.1.0 это не опечатка?

Настройки копировал из статьи, забыл изменить. Изменил, все равно не работает

журналы в /var/log/squid
там access.log и squid.log, если нет то возможно они отключены в конфиге

access.log

Код: [Выделить]

1460580211.246     25 192.168.1.152 TCP_DENIED/403 3959 GET http://mail.ru/ - HIER_NONE/- text/html
1460580216.230   4980 192.168.1.152 TCP_DENIED/403 3857 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html
1460580718.880     69 192.168.1.152 TCP_DENIED/403 3959 GET http://mail.ru/ - HIER_NONE/- text/html
1460580719.083    178 192.168.1.152 TCP_DENIED/403 3857 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html
1460581355.925    117 192.168.1.152 TCP_DENIED/403 3959 GET http://mail.ru/ - HIER_NONE/- text/html
1460581356.456    520 192.168.1.152 TCP_DENIED/403 3854 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html
1460581987.389     94 192.168.1.152 TCP_DENIED/403 3959 GET http://mail.ru/ - HIER_NONE/- text/html
1460581990.900   3498 192.168.1.152 TCP_DENIED/403 3854 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html
1460581992.335      2 192.168.1.152 TCP_DENIED/403 3836 GET http://vk.com/ - HIER_NONE/- text/html
1460581992.338      0 192.168.1.152 TCP_DENIED/403 3856 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html
1460585206.559    107 192.168.1.152 TCP_DENIED/403 4063 GET http://mail.ru/ - HIER_NONE/- text/html
1460585207.053    473 192.168.1.152 TCP_DENIED/403 3857 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html
1460585318.432     21 192.168.1.152 TCP_DENIED/403 3959 GET http://mail.ru/ - HIER_NONE/- text/html
1460585319.205    772 192.168.1.152 TCP_DENIED/403 3857 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html
1460585320.831      0 192.168.1.152 TCP_DENIED/403 3959 GET http://mail.ru/ - HIER_NONE/- text/html
1460585320.832      0 192.168.1.152 TCP_DENIED/403 3857 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html
1460587762.205    156 192.168.1.152 TCP_DENIED/403 3959 GET http://mail.ru/ - HIER_NONE/- text/html
1460587762.610    392 192.168.1.152 TCP_DENIED/403 3857 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html
1460587763.621      0 192.168.1.152 TCP_DENIED/403 3959 GET http://mail.ru/ - HIER_NONE/- text/html
1460587763.623      0 192.168.1.152 TCP_DENIED/403 3857 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html
1460587764.573      0 192.168.1.152 TCP_DENIED/403 3959 GET http://mail.ru/ - HIER_NONE/- text/html
1460587764.577      0 192.168.1.152 TCP_DENIED/403 3857 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html
1460587949.427    235 192.168.1.152 TCP_DENIED/403 4066 GET http://mail.ru/ - HIER_NONE/- text/html
1460587951.630   2167 192.168.1.152 NONE_ABORTED/000 0 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- -
1460587951.632      0 192.168.1.152 TCP_DENIED/403 3962 GET http://mail.ru/ - HIER_NONE/- text/html

squid.log - искал, в конфиге не нашел как его включить

В syslog - (на всякий случай посмотрел) ничего нет

[theurs]

исправь в конфиге

acl localnet src 192.168.2.0/24
на
acl localnet src 192.168.1.0/24

[Square]

еще в конфиге указана локальная сеть с клиентами 192.168.2.0 а сервер находится в 192.168.1.0 это не опечатка?

Настройки копировал из статьи, забыл изменить. Изменил, все равно не работает

А может проблема с iptable?

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.10:3128

[theurs]

В журнале написано что в доступе отказано адресу 192,168,1,х а в конфиге написано разрешить доступ адресам 192,168,2,0-255.

[fisher74]

Сетевые карты

Код: [Выделить]

# eth0 - подключена к роутеру
eth0
address 192.168.211.104
netmask 255.255.255.0
gateway 192.168.211.2

# eth1 - подключена к сети
eth1
address 192.168.1.10
netmask 255.255.255.0
gateway 192.168.1.254


Здесь есть проблема - устраняйте. Иначе может быть неприятная ситуация с доступом в интернет на всех элементах
Пользователь добавил сообщение 14 Апреля 2016, 18:49:25:

А может проблема с iptable?

Вам указывают на проблему, почему бы не устранить её.
Или Вам ОЧЕНЬ хочется поковырять iptables?

[Square]

2 поста наверх я написал, что ошибку acl localnet src 192.168.2.0/24 исправил, это не помогло.


В чем ошибка в настройках сетевых карт?

Ковыряться в iptables мне не хочется. Настройки были скопированы из статьи по настройке squida, может и не подойти ко мне (я просто спросил)
Пользователь добавил сообщение 14 Апреля 2016, 19:27:03:

Код: [Выделить]

acl localnet src 192.168.1.0/24

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access allow localnet
http_access deny all

http_port 192.168.1.10:3127
http_port 192.168.1.10:3128 intercept

cache_mem 1024 MB
maximum_object_size_in_memory 512 KB
cache_dir ufs /var/spool/squid3 2048 16 256
maximum_object_size 4 MB

access_log daemon:/var/log/squid3/access.log squid
logfile_rotate 31

coredump_dir /var/spool/squid3

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880


[fisher74]

2 поста наверх я написал...

Там Вы с цитированием накосячили, потому не понял, что исправили.

Исправить-то исправили, а реконфиг устраивали?

В чем ошибка в настройках сетевых карт?

Оставлю этот вопрос Вам в качестве домашнего задания для получения опыта в поиске ошибок. Надеюсь коллеги поддержат меня.

Настройки были скопированы из статьи по настройке squida

Плохо, что Вы не пытаетесь понять назначение используемых механизмов.
Опять же в качестве развития, попробуйте понять - будет ли работать кальмар в случае отказа от внесения правил в netfilter.

[Square]

По порядку:

1. Извиняюсь, если что не так. Пишу как можно более понятно, стараюсь всю информацию выложить сразу, иногда парюсь.
Если реконфигурирование заключается только в перезапуске службы, тогда делал. Перезапускал squid, dhcp, dns и всю систему - много раз

2. Я не против опыта. И так как это не влияет (насколько я понимаю) на данную проблему, займусь ею после.

3. Еще как пытаюсь, последние 2 дня только и делаю, что читаю про iptables. Уже голова пухнет... И дочитался пока до того, что весь трафик, который приходить из локальной сети завязывается на squid. И если правила squid'a позволяют, он его пропускает, а если нет - отдает обратно ошибку (надеюсь в правильном направлении думаю!?)

[fisher74]

То есть Вы сами поняли, что вся проблема в конфиге кальмара.
Смотрите в него внимательней
Например вот так

Код: [Выделить]

sudo grep -v "^#\|^$" /etc/squid*/squid.conf
Нам тоже можете показать, что эта команда нарисовала (только не сокращайте и лучше под спойлер).