Шлюз Интернета на базе Ubuntu-Server / Internet Connection Sharing + Squid

[androidoff]

Читай что я писал выше про настройку сетевушек в Ubuntu 8.10!!! (страничка или две назад) Сбрасываются подключения в менеджере! Нада ручками конфиги править. Потом firestarter тебе в руки, или Iptables конфиг править. В этой теме все есть!

[LDE2007]

И все таки, как написать правильно заворачивание всего через прокси в iptables?!

[dementiy]

Есть сервер с eth0 (192.168.2.1) внешним и eth1 (192.168.1.111) внутренними.
Завернул и IPtables
iptables -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP
и
iptables -t nat -A PREROUTING -p tcp --dport 80 -i $LAN_IFACE -j REDIRECT --to-ports 3128
 После этого естественно перестал отвечать на запросы из локалки Apache.
Какое правило прописать в IPtables чтобы заставить Apache на 192.168.1.111 отзывался на 80 порту, но при этом сохранить работоспособность прокси???.

[Nesmit]

Документация говорит:

3.9 Мы бы хотели использовать Squid, но нам нужно использовать socks для подключения к внешнему миру. Поддерживает ли Squid Socks?
From: carson@lehman.com
Date: Sat, 25 Jan 1997 11:50:59 -0500
Subject: Re: SOCKS

Чтобы пользоваться socks5, не требуется никак изменений кода Squid. Все что надо, это добавить строку -Dbind=SOCKSbind etc в строку компиляции и -lsocks в строку линков.

А как в реальности в сборках пакетов Ubuntu?

[M1chA]

Народ!
Посмотрите пожалуйста,нормально ли настроен шлюз.
Если есть рекомендации по улучшению конфига-буду благодарен.
Задача: Раздача Интернета в локалке.20 машин.Регулирование скорсоти Интернета для отдельных групп.

Добавлено

Вот,что получилось.Есть рекомендации по улучшению конфига?

Код: [Выделить]

#Обязательные атрибуты
acl all src 0.0.0.0/0.0.0.0
acl localnet src 192.168.0.0/24
acl localhost src 127.0.0.1/32

#Указываем необходимые порты
acl Safe_ports port 21               # ftp
acl Safe_ports port 22               # ssh
acl Safe_ports port 80               # http

#Указываем порт на который будут коннектиться клиенты
http_port 3128

#Указываем способ(метод)соединения
acl CONNECT method CONNECT

#Указываем правав доступа
http_access allow localnet
http_access allow localhost
http_access deny !Safe_ports
http_access deny all

#Указываем группы пользователей
acl Rukovodsto src 192.168.0.16-192.168.0.25
acl Buh src 192.168.0.26-192.168.0.30
acl Managers src 192.168.0.31-192.168.0.40
acl Sekretar src 192.168.0.41-192.168.0.45
#acl Sklad src 192.168.0.46-192.168.0.50

http_access allow Rukovodsto
http_access allow Buh
http_access allow Managers
http_access allow Sekretar
#http_access allow Sklad
http_access deny all

#Ограничиваем время нахождения в Интернете
acl TimeRukovodstvo time 00:01-23:59
acl TimeBuh time 09:00-21:00
acl TimeMangers time 08:00-21:00
acl TimeSekretar time 09:00-21:00
#acl TimeSklad time 08:00-22:00

#Скорость канала получаеммая от прова 2мб/с
#Ограничиваем пропускную скорость канала для клиентов

delay_pools 4

#Ограничиваем группу "Руководство" (5 компьютеров)
#Даем канал на группу 1098кб/с
#Даем каждому канал в 218кб/с
delay_class 1 1
delay_parameters 1 1000000/1000000  218000/218000
delay_access 1 allow Rukovodsto
delay_access 1 deny all

#Ограничиваем группу "Бухгалтерия" (2 компьютера)
#Даем канал на группу 200кб/с
#Даем каждому канал в 100кб/с
delay_class 2 1
delay_parameters 2 200000/200000  100000/100000
delay_access 2 allow Buh
delay_access 2 deny all

#Ограничиваем группу "Менеджеры" (6 компьютеров)
#Даем канал на группу 600кб/с
#Даем каждому канал в 100кб/с
delay_class 3 2
delay_parameters 3 600000/600000 100000/100000
delay_access 3 allow Managers
delay_access 3 deny all

#Ограничиваем группу "Секретари" (2 компьютера)
#Даем канал на группу 140кб/с
#Даем каждому канал в 70кб/с
delay_class 4 1
delay_parameters 4 140000/140000  70000/70000
delay_access 4 allow Sekretar
delay_access 4 deny all

#Ограничиваем группу "Склад" (1 компьютер)
#Даем один канал в 10кб/с
#delay_class 4 2
#delay_parameters 4 10000/10000
#delay_access 4 allow Sklad
#delay_access 4 deny all

#Указываем куда складывать логи
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

#Указываем где будет размещаться кеш и его размер
cache_dir ufs /var/spool/squid 10000 16 256

#Максимальный размер файла помещаемый в кеш
maximum_object_size 16384.000000 bytes


[dmytric]

Люди добрые, помогите.
Настроил сервер для небольшого офиса, основная задача - раздача интернета через прокси.
Использую SAMS в связке с shorewall. Работает все хорошо, шеф доволен: статистика траффика, бликрование пользователей, лимиты...
Но есть одна проблема: ежедневно в логах появляется такое сообщение:

Nov 27 09:17:06 ubuntu samsf: MySQL query error: MySQL server has gone away
Nov 27 09:40:02 ubuntu -- MARK --
Nov 27 09:42:20 ubuntu samsdaemon[8823]: MySQL query error: MySQL server has gone away

После чего sams перестает раздавать трафик (shorewall работает).
Что это может быть? В каких местах искать решение?
Заранее всем большое спасибо!

[Nesmit]

Сложно пользоваться гуглом?

A.2.2 Ошибка MySQL server has gone away
Все изложенное в данном разделе относится также и к родственной ошибке Lost connection to server during query.
Наиболее часто ошибка MySQL server has gone away возникает в результате тайм-аута соединения и его закрытия сервером. По умолчанию сервер закрывает Соединение по прошествии 8 часов бездействия. Можно изменить лимит времени, установив при запуске mysqld переменную wait_timeout.
Другой распространенной причиной получения ошибки MySQL server has gone away является выдача команды "закрытия" на соединении MySQL с последующей попыткой выполнить запрос на закрытом соединении.
Если это получено в скрипте, то достаточно просто повторить запрос от клиента, чтобы соединение автоматически восстановилось.

http://www.mysql.ru/docs/man/Gone_away.html

[axe]

2 компа в локалке, на одном PPPoE, нужно раздать Инет 2-му.
Ubuntu 8.04.1

вопросы:
1) как (когда, каким способом) поднимается pppoe?
2) какой IP и маска подсети у интерфейса, который смотрит в локальную сеть?
3) какой IP у компа, на который нужно шарить?

[M1chA]

Неужели никто не проконсультирует,правильно ли составлен конфиг или нужно что-то добавить-удалить-изменить?

[lost_orange]

Доброго вечера всем участникам форума. Есть следующая задача:
нужно пробросить трафик до определённого сайта  (ну,для примера, google.ru) и с определённых ИПов на удалённый прокси. Сеть следующая
Серв(шлюз делал по этому howto) на ubuntu server 8.04.1, прозрачный сквид, в общем, всё как в хаутушке.
Сам думаю, что сделать это можно ч/з iptables нашёл пример, который заворачивает порт на удалённый прокси

Код: [Выделить]

iptables -t nat -A OUTPUT -p tcp --dport 3724 -j DNAT --to-destination <IP>:<порт>А как тут добавить адрес назначения и ИП, с которого подключаются?

[G-Dogg]

Совсем недавно юзаю Ubuntu, решил сделать следующее:
Есть сеть, управляется полностью виндовыми серверами. Есть шлюз - под вин2003. Хочу создать подобие демилитаризованной зоны, т.е. хочу поднять Ubuntu сервер (8.10) и воткнуть его в сет ьпериметра, т.е. перед шлюзом на винде, и по возможности считать на нем обший трафик. Подскажите, как мне лучше это организовать и какие приложения поставить?

[Денвер]

фуух. после месяца обновлений опять стал работать домашний шлюз на двух пакетах - dnsmasq и ipmasq... но! на 8.4.1 поставил пакеты и забыл . а тут на убунте 8.10 каждый раз нужно вручную запускать в консоле из под рута ipmasq. Как сделать чтоб было как раньше - автоматически при старте всё само включалось?

[Nesmit]

Совсем недавно юзаю Ubuntu, решил сделать следующее:
Есть сеть, управляется полностью виндовыми серверами. Есть шлюз - под вин2003. Хочу создать подобие демилитаризованной зоны, т.е. хочу поднять Ubuntu сервер (8.10) и воткнуть его в сет ьпериметра, т.е. перед шлюзом на винде, и по возможности считать на нем обший трафик. Подскажите, как мне лучше это организовать и какие приложения поставить?

http://habrahabr.ru/blogs/linux/43074/ - тут описывается, как сделать приметивный биллинг. Но в основе лежит пакет который весь проходящий трафик заносит в лог. Пишешь на перле читалку и пихалку в любую Б.Д. и вперед, если конечно настоящий админ .
Любой программист на перле/питоне и в чем хочешь за 20 минут напишет. Пример в статье есть.

фуух. после месяца обновлений опять стал работать домашний шлюз на двух пакетах - dnsmasq и ipmasq... но! на 8.4.1 поставил пакеты и забыл . а тут на убунте 8.10 каждый раз нужно вручную запускать в консоле из под рута ipmasq. Как сделать чтоб было как раньше - автоматически при старте всё само включалось?

откатись на 8.4.1 lts стабильнее и надежней работает. 
8.10 вообще чудо природы, имхо.

[Извращенец]

Скажите, а "прозрачная работа прокси" подразумевает под собой отсутствие настройки прокси в программах для выхода в интернет?
А то сейчас весь выход в инет идет без всяких настроек прокси в программах...
Интересно, это полная прозрачность (для всех и вся), или только для пользователей моей внутренней сети?

[Nesmit]

Скажите, а "прозрачная работа прокси" подразумевает под собой отсутствие настройки прокси в программах для выхода в интернет?
А то сейчас весь выход в инет идет без всяких настроек прокси в программах...
Интересно, это полная прозрачность (для всех и вся), или только для пользователей моей внутренней сети?

да
да
да
для всех прозрачно, практически невозможно определить сколько компов за прокси.