Шлюз Интернета на базе Ubuntu-Server / Internet Connection Sharing + Squid

[kaban73rus]

Доброго времени суток!
Решил перетащить сервак с винды на ubuntu server. Подскажите, пожалуйста, с чего начать(до этого с убунтой работал только в рамках домашнего компьютера).

Имеется комп с двумя сетевухами: eth0 смотрит в инет(adsl модем), eth1 смотри в локал с 10-15 машинами.

Требуется раздавать инет в локал с диапазоном 192.168.150.* , причем на большинстве локальных машин инет должен быть урезан(нужно открыть только определенные сайты). Желательно без использования прокси(терминал оплаты не дружит с ней). На всех локальных тачках стоит Ubuntu.

Сильно не пинайте, подскажите как мне все это устроить. Тему читал, поиском пользовался- от обилия информации глаза лопаются.

Заранее спасибо!

[AnrDaemon]

http://www.rrcomputerconsulting.com/view.php?article_id=3
Это даст тебе рабочий сервер с контроллером домена.
Тут на форуме ещё пара тем вокруг этого мануала, с комментариями.

Терминал можно запустить через НАТ отдельно от остальных.
Прокси - сквид+dansguardian устанавливается отдельно, мануалов море.

[scanner]

добрый день!
подскажите пожалуйста.

есть локальная сеть. она выходит в инет через машину с ubuntu. на ней 2 статических интерфейса 192.168.0.1 (внутренний) и 92.0.0.1 (внешний). чистый роутер, никаких VPN-ов, установлен сквид.

возникла необходимость по терминалке посредством VPN сквозняком через этот ubuntu-сервер коннектиться к серверу в интернете на адрес 195.88.99.111 порт 1888.
в ходе настройки VPN на одной из машин в локалке вылезла прблема:
-с ubuntu-машины идет telnet 195.88.99.111 1888, а с машин в локальной сети - нет. то есть по ходу дела не работает  проброс портов через ubuntu-шлюз

как быть? настраивать iptables?

[ShadowUser15]

Это бы добавить как альтернативу в хаутушку...

[RavAngell]

Есть домашняя сеть. Есть сервак с Ubuntu 10.04 на борту. До того была 9 версия и шейпер отлично работал. Я поставил новую версию системы и спустя несколько недель случайно заметил, что шейпер перестал работать: на локальной машине можно забить весь канал. Интернет раздаю через iptables: iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.ххх -j MASQUERADE
eth0-инет, eth1-локалка.
В папка /etc/sysconfig/htb есть правила для htb скрипта:
eth0

Код: [Выделить]

R2Q=20
DEFAULT=0***
eth0-2.root с содержанием

Код: [Выделить]

RATE=5080Kbit***
И несколько файликов eth0-2:2001 - eth0-2:2010 для локальных машин с содержанием

Код: [Выделить]

RATE=255Kbit
CEIL=1500Kbit
LEAF=sfq
RULE=192.168.0.ххх
CEIL=1500, а локальная машина все равно канал имеет по полной. В чем заминка?

[CHIM.86]

Доброго всем времени суток!
Обращаюсь за помощью к знающим людям.
Проблема такая. Есть машина(будущий шлюз) на нём установлен ubuntu server (без оболочки)+ squid+Webmin. Проксю настроил через веб-морду. В интернет ходить можно, но суть заключается что как бы я не старался, Basic аутентефикация через /usr/lib/squid/ncsa_auth /etc/squid/passwd не приводит к желаемому результату. В файл учётные записи заносятся но при доступе к проксе не работают, работает только если ввести в поля учётную запись root. Такое ощущение как будто squid вообще не смотрит в этот файл, а сразу проверят пользователей машины.

вот конфиг:
#Recommended minimum configuration per scheme:
#auth_param negotiate program <uncomment and complete this line to activate>
#auth_param negotiate children 5
#auth_param negotiate keep_alive on
#auth_param ntlm program <uncomment and complete this line to activate>
#auth_param ntlm children 5
#auth_param ntlm keep_alive on
#auth_param digest program <uncomment and complete this line>
#auth_param digest children 5
#auth_param digest realm Squid proxy-caching web server
#auth_param digest nonce_garbage_interval 5 minutes
#auth_param digest nonce_max_duration 30 minutes
#auth_param digest nonce_max_count 50
#auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
#auth_param basic children 5
#auth_param basic realm Squid proxy-caching web server
#auth_param basic credentialsttl 2 hours
#auth_param basic casesensitive off
#auth_param basic children 5
#auth_param basic credentialsttl 2 hour
#auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hour
auth_param basic children 5
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
.......
#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
#
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
#acl localnet src 10.0.0.0/8   # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12   # RFC1918 possible internal network
acl localnet src 192.168.1.0/24 # RFC1918 possible internal network
#
......
# Squid normally listens to port 3128
http_port 192.168.1.6:3128
......
#Default:
# cache_dir ufs /var/spool/squid 100 16 256
cache_dir ufs /usr/local/squid/cache 8192 16 256


Вообще в идеале хотелось бы иметь возможность производить "тихую авторизацию" по имени компа например, чтоб пользователи не вводили для каждой вкладки пользователь и пароль или накрайняк по ip+mac. ip у меня статические и отслеживается всё легко так что подмены не будет.

[ShadowUser15]

(Нажмите, чтобы показать/скрыть)

Доброго всем времени суток!
Обращаюсь за помощью к знающим людям.
Проблема такая. Есть машина(будущий шлюз) на нём установлен ubuntu server (без оболочки)+ squid+Webmin. Проксю настроил через веб-морду. В интернет ходить можно, но суть заключается что как бы я не старался, Basic аутентефикация через /usr/lib/squid/ncsa_auth /etc/squid/passwd не приводит к желаемому результату. В файл учётные записи заносятся но при доступе к проксе не работают, работает только если ввести в поля учётную запись root. Такое ощущение как будто squid вообще не смотрит в этот файл, а сразу проверят пользователей машины.

вот конфиг:
#Recommended minimum configuration per scheme:
#auth_param negotiate program <uncomment and complete this line to activate>
#auth_param negotiate children 5
#auth_param negotiate keep_alive on
#auth_param ntlm program <uncomment and complete this line to activate>
#auth_param ntlm children 5
#auth_param ntlm keep_alive on
#auth_param digest program <uncomment and complete this line>
#auth_param digest children 5
#auth_param digest realm Squid proxy-caching web server
#auth_param digest nonce_garbage_interval 5 minutes
#auth_param digest nonce_max_duration 30 minutes
#auth_param digest nonce_max_count 50
#auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
#auth_param basic children 5
#auth_param basic realm Squid proxy-caching web server
#auth_param basic credentialsttl 2 hours
#auth_param basic casesensitive off
#auth_param basic children 5
#auth_param basic credentialsttl 2 hour
#auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hour
auth_param basic children 5
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
.......
#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
#
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
#acl localnet src 10.0.0.0/8   # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12   # RFC1918 possible internal network
acl localnet src 192.168.1.0/24 # RFC1918 possible internal network
#
......
# Squid normally listens to port 3128
http_port 192.168.1.6:3128
......
#Default:
# cache_dir ufs /var/spool/squid 100 16 256
cache_dir ufs /usr/local/squid/cache 8192 16 256


Вообще в идеале хотелось бы иметь возможность производить "тихую авторизацию" по имени компа например, чтоб пользователи не вводили для каждой вкладки пользователь и пароль или

накрайняк по ip+mac. ip у меня статические и отслеживается всё легко так что подмены не будет.

Тогда Вам лучше не сквидом, а файрволлом.

[fisher74]

А чего бы не

Код: [Выделить]

acl clients src 192.168.1.15/32
acl clients src 192.168.1.13/32
acl clients src 192.168.1.253/32или

Код: [Выделить]

acl clients arp 01:02:03:04:05:06
acl clients arp 02:03:04:05:06:06


[CHIM.86]

Спасибо большое за заданное направление. Будем теперь копать в сторону ограничения канала по IP адресам(видимо с помощью пулов).

И ещё такой вопрос. Задумка в том чтобы на шлюзе было 3 сетевых карты + встроенная, чтоб раздавать 3-ём подсетям(например 10.10.1.0 , 10.10.2.0  и 10.10.3.0). Я видел параметр ACL адрес и порт прокси. Достаточно ли будет разрешить эти параметры в списке доступа чтоб раздавать нэт во все подсети?

P.S. В дальнейшем буду прикручивать ещё антивирь.

[AnrDaemon]

Есть какая-то серьёзная необходимость иметь именно три физических сетевых карты?

[CHIM.86]

Да. Так как сети разделены физически и в каждую на несколько компов нужно будет подать нэт.

[fisher74]

Тут в соседней теме мне глаза открыли на мост (brX). Я и раньше про него знал, но как-то не воспринимал, как очень удачное решение некоторых вопросов... Короче не разбирался для чего он и как, а тут ....
Может это и правда лучшее решение в твоём случае с кучей подсетей?

[AnrDaemon]

Да. Так как сети разделены физически и в каждую на несколько компов нужно будет подать нэт.

Что-то твой ответ не относится к вопросу.
Фильтруешь ты по IP, смысл в отдельных сетевых?

[MAKAPOH]

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.1:3128
а если таких сетей в которые не надо ходить через прокси несколько?

[fisher74]

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/24,192.168.15.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.1:3128или, если адресация позволяет, расширяем маску

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/23 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.1:3128