Шлюз Интернета на базе Ubuntu-Server / Internet Connection Sharing + Squid

[AnrDaemon]

Из PREROUTING по ACCEPT выпадает либо в INPUT либо в FORWARD.
Так что тут всё верно.

-A PREROUTING -s 192.168.90.0/24 -d 192.168.90.100/32 -p tcp -m tcp --dport 80 -j ACCEPT
Если запрос от нас к нам, то прекратить маяться дурью,
-A PREROUTING -s 192.168.90.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
иначе, если запрос всё-таки от нас, но не нам, а куда-то ещё, послать в пешее эротическое через прокси.

[Mam(O)n]

Упс, ступил, -d вообще не заметил.

На eth2 ip адрес один настроен?

[mtronin]

Как сделать такое ограничение скорости: все пользователи ограничены по своим максимумам, но если человек начинает качать что-нибудь с файлообменника в рабочее время, то на эту скачку его скорость устанавливается ниже? Пробовал такой вариант:
acl file_download -i req_mime_type -i application/octet-stream
acl download_time MTWHF 8:00-17:00
delay_class 1 1
delay_access 1 allow file_download
delay_access 1 allow download_time
delay_access 1 deny all
delay_parameters 1 512000/256000
Проблема в том, что при указании нескольких delay_access правило срабатывает при попадании хотя бы в один acl, что не подходит – нужно, чтобы этот delay_pool срабатывал при совпадении всех delay_access правил. Такое вообще возможно?

[Pro_ceed]

Упс, ступил, -d вообще не заметил.

На eth2 ip адрес один настроен?

Да на eth2 статический адресс 192.168.90.100


Попробовал изменить скрипт

Вариант 1:

INET_IFACE="eth1"
LAN_IP="192.168.90.100"
LAN_IP_RANGE="192.168.90.0/24"
LAN_IFACE="eth2"
LO_IFACE="lo"
LO_IP="127.0.0.1"
IPTABLES="/sbin/iptables"
/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
echo "1" > /proc/sys/net/ipv4/ip_forward
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -t nat -F
$IPTABLES -F
$IPTABLES -X

$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
$IPTABLES -A FORWARD -i $LAN_IFACE -o $INET_IFACE -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT --protocol tcp --dport 22 -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT --protocol tcp --dport 80 -s $LAN_IP_RANGE -j ACCEPT

Результат: Если задать явно прокси в браузере то интернет у клиента есть, а если  прописать шлюз то интернета нет

Вариант 2:

INET_IFACE="eth1"
LAN_IP="192.168.90.100"
LAN_IP_RANGE="192.168.90.0/24"
LAN_IFACE="eth2"
LO_IFACE="lo"
LO_IP="127.0.0.1"
IPTABLES="/sbin/iptables"
/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
echo "1" > /proc/sys/net/ipv4/ip_forward
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -t nat -F
$IPTABLES -F
$IPTABLES -X

$IPTABLES -t nat -A PREROUTING -i LAN_IFACE ! -d LAN_IP_RANGE -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.90.100:3128
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
$IPTABLES -A FORWARD -i $LAN_IFACE -o $INET_IFACE -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT --protocol tcp --dport 22 -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT --protocol tcp --dport 80 -s $LAN_IP_RANGE -j ACCEPT

Результат: Если задать явно прокси в браузере то интернет у клиента есть, а если  прописать шлюз то интернета нет

Вариант 3:

INET_IFACE="eth1"
LAN_IP="192.168.90.100"
LAN_IP_RANGE="192.168.90.0/24"
LAN_IFACE="eth2"
LO_IFACE="lo"
LO_IP="127.0.0.1"
IPTABLES="/sbin/iptables"
/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
echo "1" > /proc/sys/net/ipv4/ip_forward
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -t nat -F
$IPTABLES -F
$IPTABLES -X

$IPTABLES -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
$IPTABLES -A FORWARD -i $LAN_IFACE -o $INET_IFACE -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT --protocol tcp --dport 22 -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT --protocol tcp --dport 80 -s $LAN_IP_RANGE -j ACCEPT

Результат: Если задать явно прокси в браузере то интернет у клиента есть, а если  прописать шлюз то интернета нет

Получается что ни один из вариантов не срабатывает.........

[Mam(O)n]

В сторону DNS копал?

[Pro_ceed]

В сторону DNS копал?

В resolv.conf указал ДНС провайдера.
Но так как eth1 получает адресс от ADSL routera то resolv.conf постоянно меняется после перезагрузки.....
Пробовал ставить bind9 но результат такой же.....

И по идее если бы проблема была в ДНС то и через явное указание прокси интернета не было бы.

[Mam(O)n]

Но так как eth1 получает адресс от ADSL routera то resolv.conf постоянно меняется после перезагрузки.....
Пробовал ставить bind9 но результат такой же.....

И по идее если бы проблема была в ДНС то и через явное указание прокси интернета не было бы.

На сервере с DNS всё в порядке, иначе тогда бы не работало через прокси. Что у клиентов прописано?

И по идее если бы проблема была в ДНС то и через явное указание прокси интернета не было бы.

Через прокси идёт запрос с доменным именем, и резолвинг имени на клиенте не используется, в отличии от прямого сединения.

[Pro_ceed]

Но так как eth1 получает адресс от ADSL routera то resolv.conf постоянно меняется после перезагрузки.....
Пробовал ставить bind9 но результат такой же.....

И по идее если бы проблема была в ДНС то и через явное указание прокси интернета не было бы.

На сервере с DNS всё в порядке, иначе тогда бы не работало через прокси. Что у клиентов прописано?

И по идее если бы проблема была в ДНС то и через явное указание прокси интернета не было бы.

Через прокси идёт запрос с доменным именем, и резолвинг имени на клиенте не используется, в отличии от прямого сединения.

Если на прямую, то у клиентов прописан шлюз 192.168.90.100 и такой же ДНС
И по идее  при прямом указании IP сайта в браузере, он должен нормально загрузиться???

[Mam(O)n]

И по идее  при прямом указании IP сайта в браузере, он должен нормально загрузиться???

Не всяк так сайты грузиться будут. Если веб-сервер работает по технология виртуалхостов, то не будет работать. Но вот например гугл нормально должен грузится так http://74.125.87.147/
Пользователь решил продолжить мысль 25 Мая 2010, 15:48:51:

Если на прямую, то у клиентов прописан шлюз 192.168.90.100 и такой же ДНС

Тогда там должен работать DNS-сервер / DNS-прокси (например как раз для шлюза подойдёт днс-прокси dnsmasq)  или должны с помощью iptables транслироваться запросы на вышестоящий сервер. Можно также на клиентах прописать адрес вышестоящего DNS сервера.

[Pro_ceed]

Mam(O)n, спасибо огромное.!
Действительно проблема была с ДНС.

Когда я у клинета прописал адресса ДНС провайдера все заработало. Теперь булду разбираться с dnsmasq

Еще раз спасибо.......

[winhex]

помогите разобраться. Есть домашний шлюз. в нем 1 физическая сетевая + сетевая wifi (работала как точка доступа через hostapd).
Добавил интерфейс eth0:0 для внутренней сети. С eth0 поднимается pppoe. Настроил роутинг. Все работало примерно неделю. После одной из перезагрузок интерфейс   eth0:0 не поднялся, на команду

Код: [Выделить]

sudo ifconfig eth0:0 upполучаем

Код: [Выделить]

SIOCSIFFLAGS: Cannot assign requested address
interaces:

(Нажмите, чтобы показать/скрыть)

auto lo
iface lo inet loopback


auto eth0
iface eth0 inet static
     address 192.168.1.2
     network 192.168.1.0
     netmask 255.255.255.0
     broadcast 192.168.2.255
     gateway 192.168.1.1

auto eth0:0
iface eth0:0 inet static
     address 192.168.2.20
     network 192.168.2.0
     netmask 255.255.255.0
     broadcast 192.168.2.255
     gateway 192.168.1.1



auto dsl-provider
iface dsl-provider inet ppp
pre-up /sbin/ifconfig eth0 up # line maintained by pppoeconf
provider dsl-provider

ifconfig

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:27:0e:03:cc:66  
          inet addr:192.168.1.2  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: fe80::227:eff:fe03:cc66/64 Диапазон:Ссылка
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:877825 errors:0 dropped:0 overruns:0 frame:0
          TX packets:416790 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:87733577 (87.7 MB)  TX bytes:164823096 (164.8 MB)
          Прервано:29

lo        Link encap:Локальная петля (Loopback)  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Диапазон:Узел
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:5832 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5832 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:0
          RX bytes:332261 (332.2 KB)  TX bytes:332261 (332.2 KB)

mon.wlan0 Link encap:UNSPEC  HWaddr 00-24-01-9E-A6-FD-30-30-00-00-00-00-00-00-00-00  
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:23 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:1451 (1.4 KB)  TX bytes:0 (0.0 B)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol)  
          inet addr:82.209.251.20  P-t-P:82.209.255.243  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:196928 errors:0 dropped:0 overruns:0 frame:0
          TX packets:105865 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:3
          RX bytes:17000205 (17.0 MB)  TX bytes:48694915 (48.6 MB)

wlan0     Link encap:Ethernet  HWaddr 00:24:01:9e:a6:fd  
          inet6 addr: fe80::224:1ff:fe9e:a6fd/64 Диапазон:Ссылка
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:576 (576.0 B)

В итоге на самом шлюзе есть инет, в локалке соответственно нет. Шлюз так же является DHCP-сервером.
Помогите разобраться...

Проблему решил, указав другой IP

[Maulder]

у меня такая проблема вот по времени не срабатывает..

acl time_obed time 12-14

http_access deny username url_deny
http_access allow username time_obed games DIP
http_access deny username DIP
http_access deny username games
http_access deny username deny_files
http_access allow username
http_access deny all

Подскажите что не так....

[ExcaliburNEXT]

если у меня интернет будет настроен  с помощью мастера pppoeconf, интернет будет автоматически востонавливатся после обрыва связи, у меня провайдер меняет IP адрес каждые сутки (при этом идет обрыв)?

[perlik0]

Скажите пожалуйста, как указать две директории для кеша?
Спасибо  

 add:

Хоть убей, не могу понять юниксовую документацию. Оказывается нужно просто две строки cache_dir указать.

[Legionivo]

Мои конфиги для шлюза на базе Ubuntu-Server.
Имеем: офис на 20 машин, ADSL модем в режиме роутера. К модему подключен шлюзец: duron 700 Mhz, 512 Ram, 120 Гб винт, Ubuntu-Server 9.10.
Задача была сделать шлюз для офиса + учёт трафика+ кто куда ходил + чтобы не менять у юзеров каких-либо настроек.

Interfaces:

(Нажмите, чтобы показать/скрыть)

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0  --- интерфейс смотрящий в инет
iface eth0 inet static
address 192.168.1.111
netmask 255.255.255.0
gateway 192.168.1.10  ---adsl мопед

auto eth1   -----интерфейс смотрящий в локалку
iface eth1 inet static
address 192.168.0.10
netmask 255.255.255.0
pre-up /root/iptables-rules

resolv.conf

(Нажмите, чтобы показать/скрыть)

nameserver 192.168.1.10

iptables-rules

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
#Путь к iptables
IPTABLES="/sbin/iptables"

#Очистка таблиц
$IPTABLES --flush
$IPTABLES --table nat --flush
$IPTABLES --delete-chain
$IPTABLES --table nat --delete-chain
$IPTABLES -X

#Установка стандартных политик в таблице filter.
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT

#Установка стандартных политик в таблице nat.
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT


#Конфиг интернетовского порта.
INET_IP="192.168.1.111"
INET_IFACE="eth0"

#Конфиг локалки
LAN_IP="192.168.0.10"
LAN_IP_RANGE="192.168.0.0/24"
LAN_IFACE="eth1"


#Конфиг Loopback
LO_IFACE="lo"
LO_IP="127.0.0.1"
LO_IP_RANGE="127.0.0.1/8"

#Главное правило таблицы nat
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_IP_RANGE -j SNAT --to-source $INET_IP

#Форвард на сквид
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128


$IPTABLES -A FORWARD -i $LAN_IFACE -o $INET_IFACE -m state --state NEW,ESTABLISHED -j ACCEPT

#Проброс ДНС
$IPTABLES -t nat -A PREROUTING -p udp -d 192.168.0.10 --dport 53 -j DNAT --to-destination 192.168.1.10:53
$IPTABLES -t nat -A POSTROUTING -p udp -d 192.168.1.10 --dport 53 -j SNAT --to-source 192.168.1.111

Squid.conf

(Нажмите, чтобы показать/скрыть)

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 192.168.0.0/24
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access deny all
icp_access allow localnet
icp_access deny all
http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
cache_dir ufs /var/spool/squid 30000 16 256   -- я выделил 30 Гб под кеш.
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Package(.gz)*)$        0       20%     2880
refresh_pattern .               0       20%     4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
cache_mgr admin
visible_hostname имя_хоста
delay_pools 1
delay_class 1 2
delay_access 1 deny all
delay_parameters 1 524288/524288 524288/524288
error_directory /usr/share/squid/errors/ru
hosts_file /etc/hosts
memory_pools on
memory_pools_limit 64 MB  #у меня всего 512 мб памяти.

Установлен сквид. +Sams. + ещё Sarg. Всё раздается, считается.
Только с самсом траблы. Демон запущен, но в реальном времени не считает трафик. Только если из консоли или через крон sams -d запустить, тогда трафик пересчитывается. Ограничений по трафику и резалок каких-либо не делал.


Может этот пост кому поможет.