Шлюз Интернета на базе Ubuntu-Server / Internet Connection Sharing + Squid

[S.Tokarev]

Я чт-то не пойму. С указанным конфигом интернет в локалке вообще есть ?

[mihailo-83]

Да конечно есть все отлично работает
когда постфикс на др манише ставил челел проброс тоже все работало а тут не пойму как сделать ((

[vktRus]

Если не можешь разобраться с iptables или не хочешь, как я , то установи Firestarter. Это GUI для iptables.
Переходишь в 3-ю вкладку и в нижнем поле добавляешь правило "Протокол POP (SMTP) - порт (установится автоматически) - для какого клиента в сети (IP) или для всей сети (192.168.0.1/24)" Сохранить. Теперь почта от клиентов пойдёт сразу в/из интернет(а) без всяких прокси и squid.
Тут же обязательно нужно добавить правило для протокола DNS для всей подсети. А то сайты будут открываться, если только напишешь их адрес в виде IP.
То же самое можно сделать и для других протоколов или вообще по всем портам разрешить выход в интернет (опасно?). Это в верхнем поле добавляешь разрешающее правило для всей подсети.
Не забудь на клиентских машинах указать в свойсвах сетевого подключения шлюз и DNS провайдера.
Показал бы на скиншотах, но нет сейчас Ubuntu под рукой.

[mihailo-83]

Спасибо за помощь я воспользовался генератором скрипта для IPtables а на его базе уже дальше все довел до ума 
так что если кому надо вот ссылочка на сайтик 
http://easyfwgen.morizot.net/gen/

[altuhov]

Подсчёт трафика (SQUID + SAMS): http://phpal.sourceforge.net/alsamsbilling

Подсчёт "прямого" трафика (NAT + Netflow): http://phpal.sourceforge.net/allanbilling

на полноценные биллинговые системы не претендуют..
для малых офисов удобно..

[Bio]

А что заюзать для того, чтобы полностью считался трафик по НАТ ?
sams установил, но он глючный какойто. Тем более необходимо пропускать (и записывать соответственно) трафик по левым портам, которые идут НАТом, онлайн игры например.

[Nesmit]

Он Глючный, если от него ждать того чего он не делает )))

[Bio]

Он Глючный, если от него ждать того чего он не делает )))

Это бесспорно =)
Но ведь он должен считать трафик, проходящий через squid (прозрачный)? На сквид у меня завёрнуты 80, 21, 5120
Только вот у меня он то считает трафик, то нет.
При сбросе счётчика для пользователя не всегда даёт этому пользователю доступ... ну и всё в таком духе =)

Ну а все-таки, как более-менее по-человечески считать НАТ трафик?

[nitalaut]

Сорри если не по теме(хотя мне кажется, что весьма по теме ) - одно время(когда я только начинал администрировать серьёзные системы) я занимался написанием небольшого комплекса по учёту трафика(python+cgi(на питоне)+mysql). Система называется NiTraf, распространяется по GPL и вполне работоспособна. Тем не менее, ввиду общей своей неопытности в то время, я допустил довольно много некритичных ошибок на этапе проектирования БД и самой системы.
Сейчас (спустя 1,5 года) дошли руки до переписывания всей системы с нуля и даже есть работающая бета-версия.
Хотелось бы узнать мнение уважаемого коммьюнити о необходимости данного начинания и, в случае согласия на оное, о желаемых возможностях системы(напр. шейпинг, поддержка сквида итд). Не помешала бы помощь товарищей, находящихся на короткой ноге с пхп, для прояснения некоторых спорных вопросов.
В общем кратко говоря - цель всем собраться и общими усилиями допилить систему до качественного уровня(при этом основная работа конечно ляжет на меня), от экспертов желательно советы и, местами, небольшая помощь.

Чтобы избежать засорения данной темы, предлагаю обсуждение продолжить здесь http://nitalaut.sarkor.uz/2008/08/25/zajmyomsya-beta-versiej/

[Bio]

Подтверждаю преидущий пост. NiTraf - система, на которой я остановился после многочисленных тыканий.
Считает НАТ трафик, проходящий через ipmasq, установка и настройка легка и удобна.
Есть конечно отдельные недочёты, но я думаю мы вместе их выявим и поправим =)
Автору спасибо. Готов помогать.

[Денвер]

это писец... Имеется городская локальная сеть с инетом РРРоЕ (стоит статический сетевой ip 192.168.0.209 и выделенный интернет  ip). инет запущен через pppoeconf. Дабы одновременно работал инет и сетка - в nano //etc/network/interfaces дописал
up route add -net 192.168.0.0 netmask 255.255.0.0 gw 192.168.0.254 eth0
up route add -net 10.0.0.0 netmask 255.255.0.0 gw 192.168.0.254 eth0
и стало ходить по сетке с включенным инетом по РРРоЕ
   Но дома есть второй комп который нужно выпустить в сеть и инет через себя. Сделал как сказано в первом посте - поставил два пакета: dnsmasq и ipmasq на убунте 64-битной, на второй сетевухе что идёт ко второму домашнему компу выставил статический ип 99.99.99.2, маску 255.255.255.0, на втором компе (ХР) поставил 99.99.99.3, 255.255.255.0, шлюз 99.99.99.2 и днс провайдера. Гуд, на втором компе и на Убунте всё забегало. Но вот траблы - при перезагрузке теперь РРРоЕ автоматически сам не стартует, а когда из консоли всётаки стартану - РРРоЕ рвётся чаще чем каждую минуту 
  Что не так? что где показать, чтоб вы подсказали где проблема?

[Vadim Bilalov]

домашнему компу выставил статический ип 99.99.99.2

после этого можно смело застрелиться

[Bio]

домашнему компу выставил статический ип 99.99.99.2

после этого можно смело застрелиться

Объясните пожалуйста это? Насколько я понимаю так он настроил внутреннюю домашнюю сетку.

Но вот траблы - при перезагрузке теперь РРРоЕ автоматически сам не стартует, а когда из консоли всётаки стартану - РРРоЕ рвётся чаще чем каждую минуту 
  Что не так? что где показать, чтоб вы подсказали где проблема?

PPPoE это у вас usb-adsl модем?
Если так, то советую использовать ethernet модем - они надёжнее...

[macleon]

http://www.squid-cache.org/Versions/v2/2.6/cfgman/https_port.html

Не уверен, что прозрачный прокси будет работать с https трафиком.

Уверен, что обязан. Нужно настроить сетку именно через прозрачный прокси.

[TrEK]

Всем добрый день!
Вопрос прозаичный.. и всем надокучивший. Но его продолжают и продолжают задавать.
Прошу не критиковать, и не обвинять в дублеже постов.

Дело обстоит так, у нас шлюзом стояла Циска as5350, увеличение ADSL клиентов (а соответственно аксесс-листов и шейп-групп ан ней) привело к тому, что ее ЦПУ просто не выдерживает такой нагрузки и начал чуть ли не каждый день выявлять тем свое недовольство: задыхаясь,теряя пинг с локалки, увеличивая задержки пакетов из локалки, что сказалось на работе интернете почти всего когтингетна клиентов.
Поэтому я решил поставить шлюзом Ubuntu_сервер, а циску оставить на диалап.

Вся проблема в том, что на циске было P-T-P соединение с нашим провом, который маршрутизирует нам реальные айпишники по /28. У него на интерфейсе, который смотрит на нас 10.127..255.209 /30, соответственно у нас на внешнем интерфейсе было 10.127.255.210/30. НАТ был поднят на одну из айпишек, которую провайдер маршрутизирует к нам.

Как быть с настройкой Ubuntu в этом случае? Експерементировал с iptables, только с айпишки которую выделил сам из своей сети, а за серваком пару компов поставил, для теста. А как дело до финиша дошло, то ступор.

Вопрос :

eth1 (10.127.255.209/30) - смотрит на провайдера.
eth0 (192.168.180.5/30) - смотрит в локалку.
Айпишка, через которую должны ходить все клиенты НАТА = 91.xxx.yyy.zzz, как ее подвесить в айпитейблз? и вообще, возможно ее надо алиасом привязать к тому же внешнему интерфейсу?

Код: [Выделить]

iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/16 -j SNAT --to-source [color=blue]91.xxx.yyy.zzz[/color]

Код: [Выделить]

-A PREROUTING  -i eth1 -d ! 192.168.0.0/16  -p tcp -m multiport --dports 80,8080 -j DNAT --to 91.xxx.yyy.zzz:3128
- эта строка  будет правильной?, если айпишка на eth1 = 10.127.255.209


Каков ход моих мыслей?


Заранее Большая благодарность всем за внимание и терпение.