Шлюз Интернета на базе Ubuntu-Server / Internet Connection Sharing + Squid

[Nesmit]

Читаешь тему https://forum.ubuntu.ru/index.php?topic=16352.0, далее устанавливаешь 1.03. Только не 1.04!!!
Все ответы как ставить и как настроить считалку. Находится там.

[dr_dxman]

Извините меня конечноза тупой вопрос. Но мучаюсь 2 сутки и никак немогу сделать кое что. есть сервер ubuntu 8.10 на нем подняты samba dhcp. надо чтобы сервер стал шлюзом инета для других компов. на серваке инет есть, берется из шлюза(роутер dlink 2500U), пока все компы в сети инет юзают с dlinka, а надо с сервера. сетевуха на сервере одна роутер и компы подключены в один хаб, и еще раз уточну соединение на ppp

[Nesmit]

Извините меня конечноза тупой вопрос. Но мучаюсь 2 сутки и никак немогу сделать кое что. есть сервер ubuntu 8.10 на нем подняты samba dhcp.
надо чтобы сервер стал шлюзом инета для других компов. на серваке инет есть, берется из шлюза(роутер dlink 2500U), пока все компы в сети инет юзают с dlinka, а надо с сервера. сетевуха на сервере одна роутер и компы подключены в один хаб, и еще раз уточну соединение на ppp

Работаем над ошибками:
Вопрос если правильно составить, ответ можно и так найти.
Сетевых должно быть две!
Если ppp в модеме, а модем тебе дает инет без всяких ppp?

Решение твоих проблем1:
модем ip 192.168.0.1
1я сетевая, сервер ip 192.168.0.2
2я сетевая, сервер ip 192.168.1.1
Ищем и читаем пост про нат в 2 строки.

Решение твоих проблем 2:
Если на сервере 1 сетевая, тогда зачем гнать через него трафик?
модем ip 192.168.1.1
1я сетевая, сервер ip 192.168.1.2 шлюз прописываешь 1.1
DHCP настраиваешь на шлюз 1.2(у пользователей)
Ищем и читаем пост про нат в 2 строки.

Усложняем:
Ставим прокси в прозрачном режиме, заварачиваем порты на него. (Можно использовать вместо ната, но работать будет только http протокол)
Получаем экономию в веб трафике.

[Денвер]

Код
echo 1 > /proc/sys/net/ipv4/ip_forward

Код
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to-source <ип который получил по пппое> -s <ип компа который хочешь выпустить в инет>

о чудо - после сноса Network Manager и прописки сетевіх ручками в /etc/network/interfaces, эти команды заработали инет на втором компе появился (ipmasq и dnsmasq снёс ибо на 8.10 ipmasq постоянно чуть что приходиться рестартить под рутом)... но. они работают только если я в Gufw выбираю выключить фаервол. А как правильно сделать чтобы и с включенным фаерволом шлюз также работал?

[dr_dxman]

Nesmit спасибо за разяс нение теперь почти все ясно будем пробывать

[kmfdm]

  А как сделать каскад прокси? В этом я полный нуб, помогите плиз.

[Nesmit]

опция parent

[kmfdm]

опция parent

где эта опция? как это сделать не лазив по разным iptables и т.д.

[Nesmit]

http://squid.opennet.ru/FAQ/squid-faq-rus.html#3.1

[noway]

Настроил squid+sarg все ок. Только как сделать так чтобы в sarg-e не IP пользователей писались а их DNS имена?

[6uest]

как сделать так чтобы в sarg-e не IP пользователей писались а их DNS имена?

Настроить авторизацию на Сквиде.

[makstor]

люди добрые! кто может подсказать по iptables? совсем запутался в правилах и цепочках 
задача: настроить шлюз на ubuntu server 8.10
условия: на сервере squid+traffpro, поэтому необходимо заворачивать весь трафик на сквид (порт 3128), желательно без указания прокси на клиентских машинах.
пишу вот такие правила:

Код: [Выделить]

#eth1 - внутренний интерфейс, eth0 - внешний со статическим ip
#по умолчанию:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

#подключения для управления сервером:
iptables -A INPUT -m tcp -p tcp -dport 22 -j ACCEPT
iptables -A OUTPUT -m tcp -p tcp -sport 22 -j ACCEPT
iptables -A INPUT -i eth1 -m tcp -p tcp -d 192.168.0.1 -dport 80 -j ACCEPT
iptables -A OUTPUT -o eth1 -m tcp -p tcp -s 192.168.0.1 -sport 80 -j ACCEPT
iptables -A INPUT -i eth1 -m tcp -p tcp -dport 10000 -j ACCEPT
iptables -A OUTPUT -o eth1 -m tcp -p tcp -sport 10000 -j ACCEPT
iptables -A INPUT -i eth1 -m tcp -p tcp -dport 3128 -j QUEUE
iptables -A OUTPUT -o eth1 -m tcp -p tcp -sport 3128 -j QUEUE

#lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#icmp:
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

#transparent proxy - настроено по рекомендациям с форумов и мануала к трафпро, ибо своим умом пока не получается(((
iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 213.xxx.xxx.xxx
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 15/minute -s 192.168.0.0/24 -d any/0 -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -p icmp -m limit --limit 250/sec --limit-burst 500 -j ACCEPT


вот такая каша. соответственно при таких правилах на шлюзе все пингуется только по ip, по имени пишет unknown host. на клиентских машинах такая же картина, разве что пинг идет в разы дольше. доступ к веб-мордам и ssh изнутри есть.
при смене политик по умолчанию на ACCEPT, на шлюзе пинг инета идет нормально, на клиентских машинах тоже идет но гораздо медленнее, доступ к веб-интерфейсам есть, инета нет ни при указании в браузере прокси ни при отсутствии оного.
плиз хелп, чую, что в iptables ошибка, но man'ы по ним прибавили путанницы больше, чем понимания.

[pehser]

люди добрые! кто может подсказать по iptables? совсем запутался в правилах и цепочках 
задача: настроить шлюз на ubuntu server 8.10
условия: на сервере squid+traffpro, поэтому необходимо заворачивать весь трафик на сквид (порт 3128), желательно без указания прокси на клиентских машинах.
пишу вот такие правила:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#eth1 - внутренний интерфейс, eth0 - внешний со статическим ip
#по умолчанию:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

#подключения для управления сервером:
iptables -A INPUT -m tcp -p tcp -dport 22 -j ACCEPT
iptables -A OUTPUT -m tcp -p tcp -sport 22 -j ACCEPT
iptables -A INPUT -i eth1 -m tcp -p tcp -d 192.168.0.1 -dport 80 -j ACCEPT
iptables -A OUTPUT -o eth1 -m tcp -p tcp -s 192.168.0.1 -sport 80 -j ACCEPT
iptables -A INPUT -i eth1 -m tcp -p tcp -dport 10000 -j ACCEPT
iptables -A OUTPUT -o eth1 -m tcp -p tcp -sport 10000 -j ACCEPT
iptables -A INPUT -i eth1 -m tcp -p tcp -dport 3128 -j QUEUE
iptables -A OUTPUT -o eth1 -m tcp -p tcp -sport 3128 -j QUEUE

#lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#icmp:
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

#transparent proxy - настроено по рекомендациям с форумов и мануала к трафпро, ибо своим умом пока не получается(((
iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 213.xxx.xxx.xxx
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 15/minute -s 192.168.0.0/24 -d any/0 -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -p icmp -m limit --limit 250/sec --limit-burst 500 -j ACCEPT



вот такая каша. соответственно при таких правилах на шлюзе все пингуется только по ip, по имени пишет unknown host. на клиентских машинах такая же картина, разве что пинг идет в разы дольше. доступ к веб-мордам и ssh изнутри есть.
при смене политик по умолчанию на ACCEPT, на шлюзе пинг инета идет нормально, на клиентских машинах тоже идет но гораздо медленнее, доступ к веб-интерфейсам есть, инета нет ни при указании в браузере прокси ни при отсутствии оного.
плиз хелп, чую, что в iptables ошибка, но man'ы по ним прибавили путанницы больше, чем понимания.

Копай в сторону UDP порт 53

p.s
1. У тебя в правилах вообше не нашол правила разрешающее тебе выходить на udp
2. Для того чтоб на клиенских тачкох нормально пинговалось поставь на шлюз днс сервер

[makstor]

2. Для того чтоб на клиенских тачкох нормально пинговалось поставь на шлюз днс сервер

bind9 установлен. в resolv.conf прописаны dns провайдера.

1. У тебя в правилах вообше не нашол правила разрешающее тебе выходить на udp

например? для внешнего/внутреннего интерфейса? я в iptables'ах пока плохо ориентируюсь((

Копай в сторону UDP порт 53

эх.....

[pehser]

iptables -A OUTPUT -o eth0 -p tcp -dport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -dport 53 -j ACCEPT