Шлюз Интернета на базе Ubuntu-Server / Internet Connection Sharing + Squid

[TrEK]

// Для работы SSH наружу
$IPT -A INPUT -p tcp -i $INET_IFACE --dport 1975 -j ACCEPT
$IPT -A OUTPUT -p tcp -o $INET_IFACE --sport 1975 -j ACCEPT

не похоже на ссш!

[_pavlik_]

// Для работы SSH наружу
$IPT -A INPUT -p tcp -i $INET_IFACE --dport 1975 -j ACCEPT
$IPT -A OUTPUT -p tcp -o $INET_IFACE --sport 1975 -j ACCEPT

не похоже на ссш!

SSH перекинут на другой порт. Чтобы враг не догадался ))

[Bio]

#  DNS наружу =============== две  критические строки ============================
$IPT -A OUTPUT -p udp -o $INET_IFACE --dport 53 -j ACCEPT
$IPT -A INPUT -p udp -i $INET_IFACE --sport 53 -j ACCEPT

стали происходить странные вещи: стали наблюдаться тормоза при операциях на внутреннем интерфейсе eth0. Например: долго проверяется пароль при открытии SSH со шлюзом из внутренней сети (снаружи все открывается быстро !!), долго открывается sftp шлюза из внутренней сети, если на шлюзе запускаешь tcpdump –i eth0, то он порядка 40 секунд о чем-то думает потом только начинается печать пакетов. Долго соображал в чем причина, смотрел загрузку процессора (её нет практически), перегружал систему – не помогает. Потом выяснил, что если убрать 2 строчки из инициализации iptables интерфейс eth0 начинает работать нормально. Но тогда перестает работать DNS во внешнюю сеть.

Подскажите пожалуйста где я накосячил и что происходит.

Эти ваши критические строки и есть перенаправление запросов dns наружу, поэтому неудивительно, то, что у вас пропадает днс.
Суть проблемы не ясна, но есть мысль, что возможно тормозить может какой либо днс-кэш. Есть ли у вас какой либо днс-кеширование?

[TrEK]

#  DNS наружу =============== две  критические строки ============================
$IPT -A OUTPUT -p udp -o $INET_IFACE --dport 53 -j ACCEPT
$IPT -A INPUT -p udp -i $INET_IFACE --sport 53 -j ACCEPT

стали происходить странные вещи: стали наблюдаться тормоза при операциях на внутреннем интерфейсе eth0. Например: долго проверяется пароль при открытии SSH со шлюзом из внутренней сети (снаружи все открывается быстро !!), долго открывается sftp шлюза из внутренней сети, если на шлюзе запускаешь tcpdump –i eth0, то он порядка 40 секунд о чем-то думает потом только начинается печать пакетов. Долго соображал в чем причина, смотрел загрузку процессора (её нет практически), перегружал систему – не помогает. Потом выяснил, что если убрать 2 строчки из инициализации iptables интерфейс eth0 начинает работать нормально. Но тогда перестает работать DNS во внешнюю сеть.

Подскажите пожалуйста где я накосячил и что происходит.

Эти ваши критические строки и есть перенаправление запросов dns наружу, поэтому неудивительно, то, что у вас пропадает днс.
Суть проблемы не ясна, но есть мысль, что возможно тормозить может какой либо днс-кэш. Есть ли у вас какой либо днс-кеширование?

а при чем тут перенаправление?
Человек просто открыл себе порт, по которому работает днс.. открыл на и с сервака. Не вижу в этом ничего неработоспособного!

[Bio]

Правильно.
Но он пишет, что когда убирает эти строки из конфига iptables у него пропадает dns, что, в общем то неудивительно.
А когда днс порт открыт, начинаются непонятные глюки на интерфейсе.
Вывод?

[_pavlik_]

Эх, проблема самоустранилась. Что-то там прочухалось внутри.
Благодарю всех пытавшихся помочь.

[InkVisitor]

Вдогонку...
Случайно не пихали сетевые с разными подсетями в один свич? В этом случае сети работают, но тормоза жуткие.

[Stiff]

Вобщем у меня проблема со squid, пишу сюда.
Проблема следующая: на сервере ubuntu 7.10 стоит squid и выполняется nat. Через этот же сервер ползает торент-клиент (установлен на другом компьютере в сети). Когда начинаю качать какой-то файл с торента, весь канал забивается и сквид разучивается разрешать dns-имена. Выдаёт ошибку: Запрошенный URL не может быть доставлен. Данная ошибка остаётся даже если перезапустить squid. В то же время на сервере, раздающем инет, доменные имена в других приложениях разрешаются нормально, например ping и traceroute делают это успешно. Проблема как ни странно исчезает, если переподключить интернет, но адреса днс-серверов остаются прежними.
Лог, к сожалению пока не могу привести, надо включать опцию debug, а перезапускать в данное время не хочется.

[Stiff]

версия сквид 2.6.14-1ubuntu2.2 с репозитория, версия ядра 2.6.22-14-server

[IS]

Вобщем у меня проблема со squid, пишу сюда.
Проблема следующая: на сервере ubuntu 7.10 стоит squid и выполняется nat. Через этот же сервер ползает торент-клиент (установлен на другом компьютере в сети). Когда начинаю качать какой-то файл с торента, весь канал забивается и сквид разучивается разрешать dns-имена.

Ограничить кол-во соединений в торентовском клиенте. Однозначно.
То что обычно ставят порядка 200 и более соединений реально никому не нужно.
Ставьте из расчета порядка 2-3 соединений на отдачу на 1-го торента  и кол-во соединений порядка 8...16 на 1-го закачиваемого  торента.
Я пока так не ограничил тоже долго чесал репу чего у меня так 2-х мегабитный канал еле шевелится при ограниченной до уровня 15 кбайт/сек закачке всего одного торрента и отдаче штук трех торентов с общим ограничением на их отдачу до 12 кбайт/сек, пока не посмотрел tcpdump-ом что там в канале делается...
 
И желательно включить блокировку всяких нехороших айпишников, если клиент позволяет конечно.
Например deluge (кстати вышла версия 1.0.0) имеет такую возможность, да и виндовый utorrent тоже.

[Stiff]

Ограничить кол-во соединений в торентовском клиенте. Однозначно.
То что обычно ставят порядка 200 и более соединений реально никому не нужно.
Ставьте из расчета порядка 2-3 соединений на отдачу на 1-го торента  и кол-во соединений порядка 8...16 на 1-го закачиваемого  торента.
Я пока так не ограничил тоже долго чесал репу чего у меня так 2-х мегабитный канал еле шевелится при ограниченной до уровня 15 кбайт/сек закачке всего одного торрента и отдаче штук трех торентов с общим ограничением на их отдачу до 12 кбайт/сек, пока не посмотрел tcpdump-ом что там в канале делается...
 
И желательно включить блокировку всяких нехороших айпишников, если клиент позволяет конечно.
Например deluge (кстати вышла версия 1.0.0) имеет такую возможность, да и виндовый utorrent тоже.

Оно и так было ограничено 7 коннектами на торент. Но проблема явно в сквиде, так как после остановок всех торентов и перезапуска сквида проблема оставалась

[Route]

Нужно сделать Авторизацию в squid  на основе логина и пароля

Полазил в инете вот на что наткнулся:

для того чтобы пользователь авторизовался через файл
   /usr/local/squid/passwd формата Веб-авторизации (формат Apache), нужно
   скомпилировать squid вместе с этим модулем (--enable-auth="ncsa;
   подробнее см. документацию к SQUID). И в конфиг SQUID добавить ACL и
   разрешающее правило:

   Разрешает доступ пользователям dima petya vasya, пароли которых будут
   проверены через файл /usr/local/squid/passwd
   acl MYUSERS proxy_auth dima petya vasya
   http_access allow MYUSERS
   http_access deny all
   authenticate_program /usr/local/squid/bin/ncsa_auth
   /usr/local/squid/etc/passwd *)
   *) для версии 2.4

но у меня всеравно несколько вопросов пожалуйста подскажите на них ответы.
1. я ставил squid просто
apt-get install squid
как мне его поставить с этим модулем (--enable-auth="ncsa; ? или можно модуль этот отдельно достановить?

2. как мне создать этих пользователей (dima petya vasya) ? У меня и папки squid в /usr/local нету (/usr/local/squid/passwd)

прогнал поиском, файл passwd найден в следующих папках:
/etc/
/usr/bin/
/etc/pam.d/
/usr/shara/doc/
и еще там в 2 папках, но это точно не то

Подскажите эти моменты? как тут быть?

[Nesmit]

сквид по умолчанию ставится с этим модулем.
Для упрощения, посмотри на SAMS, там это в удобной форме.
http://sams.perm.ru/

[moroving]

Мне нужно было связать два прокси т.e. есть прокси с выходом в интернет squid_inet и в локалке стоито тот же squid (squid_local). Авторизация через ncsa,  а также стоит  sams. Cтояла задача приконектить squid_local к  squid_inet ето я сделал добавив строки в конфиг squid_local
cache_peer xxx.xxx.xxx.xxx parent 8080 3130 default no-query login=username:password
при етом када я прописал в сваем браузере squid_local он заходит на страницы при етом наблюдаються непонятные глюки: google.ru оно то заходит но при попытке что то поискть подвисает висит а потом выдает
ERROR
The requested URL could not be retrieved

While trying to retrieve the URL: http://www.google.ru/search?

The following error was encountered:
Connection to 74.125.95.147 Failed

The system returned:
    (113) No route to host

The remote host or network may be down. Please try the request again.

Your cache administrator is webmaster.
Generated Mon, 29 Sep 2008 01:45:43 GMT by inet.1m_LINE (squid/2.6.STABLE18)

как ето понять если другой способ приконектить squid_local к  squid_inet

да к тому же большая задержка.

[moroving]

непонял почему оно на первой странице
Да если каму нужно наладить авторизацию ncsa и sams то долбаните в асю раскажу ибо сам долго разбирался.