Шлюз Интернета на базе Ubuntu-Server / Internet Connection Sharing + Squid

[G-Dogg]

Совсем недавно юзаю Ubuntu, решил сделать следующее:
Есть сеть, управляется полностью виндовыми серверами. Есть шлюз - под вин2003. Хочу создать подобие демилитаризованной зоны, т.е. хочу поднять Ubuntu сервер (8.10) и воткнуть его в сет ьпериметра, т.е. перед шлюзом на винде, и по возможности считать на нем обший трафик. Подскажите, как мне лучше это организовать и какие приложения поставить?

http://habrahabr.ru/blogs/linux/43074/ - тут описывается, как сделать приметивный биллинг. Но в основе лежит пакет который весь проходящий трафик заносит в лог. Пишешь на перле читалку и пихалку в любую Б.Д. и вперед, если конечно настоящий админ .
Любой программист на перле/питоне и в чем хочешь за 20 минут напишет. Пример в статье есть.

Все чудно, спасибо за совет. Только вот был бы я программистом, я бы вопросы-то не задавал детские )) Мне билинг как таковой не нужен, просто подобие подсчета трафика. И не по юзерам, у меня на убунте получится только один потребитель трафика. Ладно...Сам разберусь, а то не буду "настоящим админом"

[Nesmit]

для домашних целей подсчет трафика не видел.
Обычно начинают спрашивать про минимум, а хотят самолет.

[G-Dogg]

Подскажите, пставил webmin - накрудылял с iptables, перезапустил, у меня получилось по 2 одиноковых пунка в выпадающем меню в МСЭ - filter, nat и mangle, причем в одноименных разные настройки - где убрать эту двойственность??

Разобрался. в файле /etc/iptables.up.rules было по 2 записи filter, nat и mangle - удалил повторные.

[G-Dogg]

Прошу слезно! Подскажите нубу, как мне через вэб мин настроить маршрутизацию:

inet-----|Ubuntu Srv шлюз| ------LAN
           eth0                 eth1
 
Для начала, чтобы я с компов по ветке LAN мог выйти в инет

Или может не через вэб мин, но firewall нужен
PS
я так понял есть iptables и есть у вэб мина своя /etc/iptables.up.rules

[pehser]

Прошу слезно! Подскажите нубу, как мне через вэб мин настроить маршрутизацию:

inet-----|Ubuntu Srv шлюз| ------LAN
           eth0                 eth1
 
Для начала, чтобы я с компов по ветке LAN мог выйти в инет

Или может не через вэб мин, но firewall нужен
PS
я так понял есть iptables и есть у вэб мина своя /etc/iptables.up.rules

а по форуму по лазить лень 

2 способа либо маршрутизатор просто преброс с одного интерфеса на другой или через прозрачнй прокси (описаны настроки в 1 посте это темы)

если преброс портов
то ставиш на версак днс сервере
я пользуюсь apt-get install bind9
тпереь в ключаеш форвард
echo "1" > /proc/sys/net/ipv4/ip_forward
и делаем преброс
iptables -A POSTROUTING -t nat -s 192.168.100.0/24 -o eth0 -j MASQUERADE
у мен инет DSL натроен через pppoe
по этому у меня последнее правило
iptables -A POSTROUTING -t nat -s 192.168.100.0/24 -o ppp0 -j MASQUERADE

и на клинетских тасках прописиуеш ip сервака как шлюз и как днс сервер

[warlomak]

Ну уже писал, по поводу экономии трафика... Все равно в шапку не добавили...
Все равно вот: http://easyfwgen.morizot.net/gen/ - это для тех, кто не знает, или  не хочет, заморачиваться настройкой iptables (для небольшой сети более чем достаточно).

p.s.
Думаю автору топика, надо немного откорректировать/пересмотретьь первый пост
Раз squid, то и sarg ИМХО и кеширование refresh_pattern для jpeg,swf,flv etc...

Ну 45-страниц это уже что-то ;-) Например у меня даже терпения прочитать не хватит... А по поводу подсчета трафика думаю, лучше просто отдельный топик создать...

[Stiff]

Есть сервер в локалке, на нём крутится сквид и через него ползают в интернет.
Подскажите, как промаркировать пакеты исходящих tcp-соединений, создаваемых squid-ом? какой критерий отбора в iptables лучше использовать или может быть, можно ещё как-то?

[kmfdm]

Установлен ubuntu 8.10
Есть две сетевые карты:
eth1 – интернет и внешняя сеть (Интернет через vpn 192.168.111.208);
eth0 – подключение ко второму компьютеру (192.168.0.1);

Как сделать из машины на которой ubuntu, proxy? Т.е. чтобы eth0 мог выходить в Интернет только через proxy соединение…

P.S. сильно не пинать, на убунте неделю только сиже…

[6uest]

Как сделать из машины на которой ubuntu, proxy? Т.е. чтобы eth0 мог выходить в Интернет только через proxy соединение…

P.S. сильно не пинать, на убунте неделю только сиже…

Очень просто: прочитать тему от начала и до твоего собственного поста. И всё!!!!

[kmfdm]

Всё сделано как в первом сообщении этой темы, после перезагрузки прокси:

Код: [Выделить]

root@kmfdm-desktop:/# /etc/init.d/squid restart
 * Restarting Squid HTTP proxy squid
2008/12/13 03:04:41| WARNING: '192.168.0.0/255.255.0.0' is a subnetwork of '192.168.0.0/255.255.255.0'
2008/12/13 03:04:41| WARNING: because of this '192.168.0.0/255.255.255.0' is ignored to keep splay tree searching predictable
2008/12/13 03:04:41| WARNING: You should probably remove '192.168.0.0/255.255.0.0' from the ACL named 'localnet'
[ OK ]
И интернета на втором компьютере нет.

[kmfdm]

После всех, проделанных вчерашних,  манипуляций: загружаю Ubuntu  и…
проходит подключения к сетям, но ни второй компьютер, ни сеть, не VPN сервер не пингуются. Следственная интернета и сети нет вообще 
что делать?

UPD: удалила ipmasq и dnsmasq все стало на свои места.

[Laplanya]

Здравствуйте дорогие убунтоводы! Возможно я написал не в тот топик (ногами не пинать..), но если есть возможность помогите советом!

Что сделано:
Имеется сервер Ubuntu (7.10) с 2-я сетевыми картами eth0 смотрит в инет, eth1 смотрит в сеть на 100 машин.
Для eth1 установлены настройки IP 192.168.1.1 MASK 255.255.255.0 и работает DHCP сервер (сейчас настроен на раздачу пула адресов 192.168.1.10-100 маска 255.255.255.0 шлюз 192.168.1.1).
Для eth0 установлены настройки по DHCP от ADSL2+ Ethernet modem а так же средствами iptables инет прозрачно (без прокси) поподает с eth0 на eth1 и раздается пользователям.

Что требуется:
Требуется настроить DHCP сервер не на использование пула адресов, а отдавать адреса только для сетевых устройств имеющих определенный MAC адрес (ВСЕМ ОСТАЛЬНЫМ ДАВАТЬ ОТБОЙ!), а также ОГРАНИЧИТЬ СКОРОСЬ доступа в инет (СРЕДСТВАМИ DHCP СЕРВЕРА!!!) для каждого устройства (пользователя) например общий канал на объекте 10 Mbit/s хочу раздавать инет на скоростях 128Kbit/s , 256Kbit/s , 512 Kbit/s , 1 Mbit/s.

КАК?!!!

P.S. Кстати вот мои текущие рабочие конфиги для DHCP если вдруг это поможет!!!

Файл dhcp

Код: [Выделить]

# Defaults for dhcp initscript
# sourced by /etc/init.d/dhcp
# installed at /etc/default/dhcp by the maintainer scripts

#
# This is a POSIX shell fragment
#

# On what interfaces should the DHCP server (dhcpd) serve DHCP requests?
#       Separate multiple interfaces with spaces, e.g. "eth0 eth1".
INTERFACES="eth1"
Файл dhcpd.conf

Код: [Выделить]

# (Sample /etc/dhcpd.conf)
default-lease-time 600;
max-lease-time 7200;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.1.255;
option routers 192.168.1.254;
#option domain-name-servers 192.168.1.1;
#option domain-name "ics.server.ru";

subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.10 192.168.1.100;
}
Перед запуском dhcp сервера выполняю команду, иначе не подымается!:

Код: [Выделить]

sudo ifconfig eth1 192.168.1.1

[Nesmit]

а также ОГРАНИЧИТЬ СКОРОСЬ доступа в инет (СРЕДСТВАМИ DHCP СЕРВЕРА!!!) для каждого устройства (пользователя) например общий канал на объекте 10 Mbit/s хочу раздавать инет на скоростях 128Kbit/s , 256Kbit/s , 512 Kbit/s , 1 Mbit/s. КАК?!!!

А ты уверен что это функция DHCP, чтобы так КРИЧАТЬ?

ntop, программа с веб интерфейсом, слушает с интерфейса, составляет статистику и строит графики.
Пригодна для контроля/учета трафика.

[InkVisitor]

Требуется настроить DHCP сервер не на использование пула адресов, а отдавать адреса только для сетевых устройств имеющих определенный MAC адрес (ВСЕМ ОСТАЛЬНЫМ ДАВАТЬ ОТБОЙ!), а также ОГРАНИЧИТЬ СКОРОСЬ доступа в инет (СРЕДСТВАМИ DHCP СЕРВЕРА!!!) для каждого устройства (пользователя) например общий канал на объекте 10 Mbit/s хочу раздавать инет на скоростях 128Kbit/s , 256Kbit/s , 512 Kbit/s , 1 Mbit/s.

КАК?!!!

А не проще было бы всем нарисовать статический ИП, и при необходимости, прицепить их к МАК-адресу?

[Денвер]

После всех, проделанных вчерашних,  манипуляций: загружаю Ubuntu  и…
проходит подключения к сетям, но ни второй компьютер, ни сеть, не VPN сервер не пингуются. Следственная интернета и сети нет вообще 
что делать?

UPD: удалила ipmasq и dnsmasq все стало на свои места.

Ubuntu 8.10? У меня в ней такая же фигня - при каждом включении/выключении сети приходиться ручками в консоли рестартить из   под рута ipmasq, только тогда работает.... выбило инет - рестартить.. достало команда из-под рута /etc/init.d/ipmasq restart