Шлюз Интернета на базе Ubuntu-Server / Internet Connection Sharing + Squid

[Игорь-]

Добрый день, подскажите где и как копать или ткните в ссылку какую нить:
В наличии дома имеется 3 машины соединенные в 1 свич (к которому и подан и инет, естественно у всех по 1 сетевой карте) и хочется чтоб все они были в инете (2-ХР, 1 Ubuntu). Поставил Ubuntu 9.10 (которая работает 24/7, не сервер) поднял на ней ВПН прописал прова сервак и инет зажужжал, а как остальным компам получить инет через шлюз этой убунты, роутер покупать не охота, да и думаю смысла нет раз машина на лине круглосуточно работает?
Ну в общем на убунте что угодно можно ставить, только чтоб на машинах ХР ничего ставить (никаких доп.программ), кроме шлюза,(все компы IP получают автоматом от провайдера) подскажите плиз?

[Alwar]

Привет, могу предложить 2 варианта:

1)  создай правило в iptables (можешь в отдельном файле можешь в /etc/rc.local) с Нат'ом например такое:
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.255.0/29 -j MASQUERADE
Где ppp0 - Интерфейс который смотрит в интернет.
Маску /29 можешь ограничить  смотря сколько машин надо, мне хватает 6 адресов!
Клиентам в pptpd назначай адреса 192.168.255.1 - 192.168.255.6
2) создай правило
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.2 -j MASQUERADE
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.3 -j MASQUERADE
где 192.168.1.2 и 192.168.1.3 адреса твоих двух компьютеров.
или iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADE
на 254 компьютера!
Тоесть можно без всякого VPN (pptpd) сервера обойтись
IP-адрес сетевой карты, которая соединена со свитчем прописывай как шлюз на других компьютерах.
================================================================
все соединения можно ещё сделать через dhcp, где на остальных компьютерах вообще ничего прописывать не надо))
только правило в iptables и dhcp
============================
============================
Так же можешь связывать интерфейсы клиентов кто с интернета хочет попасть во внутреннюю сеть, только меняй интерфейсы.
============================

Пользователь решил продолжить мысль 20 Января 2010, 15:48:51:
Пользователь решил продолжить мысль 20 Января 2010, 11:20:01:

iptables -t nat -A POSTROUTING -o eth1 -m state --state NEW -j SNAT --to-source <IP eth1>

у меня такая ситуация :
Роутер (ADSL модем на нём DHCP) > Wi Fi (точка доступа)> к wifi подключён комп . > и есть ноутбук на котором полетел wifi модуль. (Win и Ubuntu)
Ноут я хочу подключать когда необходимо к компу.(Проверяю на нём как смотрятся сайты с вендозных браузеров и с маленького расширения экрана)
Подскажите правило пожалуйсто, если кого не затруднит,зарыт в работе и не успеваю или не могу разобраться в man iptables  :-
wifi в /etc/network/interfaces обозначен как wlan0
У роутера IP : 192.168.1.1
У компа IP : 192.168.1.14
У ноута (прописано в админке ADSL модема по мак адресу) IP: 192.168.1.11
На компе и ноуте dhcp сервера нет (подскажите надо ли поставить?)
--
я правильно понял, что можно просто прописать :
iptables -t nat -A POSTROUTING -o wlan0 -m state --state NEW -j SNAT --to-source 192.168.1.1 ?
Пользователь решил продолжить мысль [time]Fri Dec  4 20:14:41 2009[/time]:в wiki нашел :
 сделать NAT

/etc/sysctl.conf:

net.ipv4.ip_forward = 1

/etc/rc.local:

/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

обьясните плиз что это означает
192.168.0.0/24  ? пул ip ?
и какой шлюз прописать на стороне клиента ?

шлюз - адрес машины на которой пишешь правила которая пропускает тебя в другую сеть!
192.168.0.0/24
это означает сеть
/24 - это маска сети которая расчитана на 254 хоста(компьютеров и т.д.), т.е. 255.255.255.0  --> 255 это( 11111111) их всего 24 по 8 бит в каждом октете, поэтому маска сети пишется так просто /24
Диапазон 192.168.0.1 - 192.168.0.254

[AnrDaemon]

"т.е. 255.255.255.0  --> 255 это( 11111111)"
256...
0 адрес сети
1-254 адреса машин
255 "все компы".

[Alwar]

"т.е. 255.255.255.0  --> 255 это( 11111111)"
256...
0 адрес сети
1-254 адреса машин
255 "все компы".

1 октет = 8 бит
в двоичном по-битово выглядит так 11111111.11111111.11111111.0
                                                       255      .      255   .   255     .0  
количество единиц в 4 октетах равно 24 по (8 бит в каждом октете) тоесть 8+8+8=24  
поэтому количество единичных битов 24 тоесть и сеть записывается именно так, сеть указывает количество машин в сети, так же сети бывают с плавающей маской и без. для увеличения адресного простанства в подсетях!
адрес состоит из 4 октетов первые 2 октета означают класс сети A B C D или E, в основном используют A B C классы, С -для внутренних сетей например 192.168.1.1 -192.168.1.254, B 172.16.0.0 - 172.31.255.254 и A интернет адреса 212.44.0.0 для примера,
3-й октет означает подсеть, и последний октет адрес машины в какой сети какой то подсети.

[sapiens]

Доброго времени суток, товарищи.
Время 3 ночи - запутался окончательно =( Суть проблемы такова - устанавливаю ubuntu server 9.10, настройил raid, поставил ось, поднял dhcp, со squid-ом бьюсь уже часа 3 и не продвинулся ни на шаг. Настраивал его не совсем как в начале темы (без ipmasq) а по этой схеме http://leolik.blogspot.com/2008/04/dhcp-squid_19.html
Теперь вопросы:
1. http_port 3128 transparent  - как я понял в последней версии squid надо писать ip:3128? ip брать от сетевухи которая смотрит в интернет или в локалку?
2.

sudo iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.8.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.8.1:3128

(у меня eth1 192.168.1.10 -  интернет, eth0 192.168.8.1 - локалка) - на эту штуку ubuntu ругается и говорит Using intrapositioned negation (`--option ! this`) is deprecated in favor of extrapositioned (`! --option this`), естественно не срабатывает - вот лог:

spd@manul:~$ sudo iptables -LChain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  192.168.8.0/24       anywhere            state NEW
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Наверно Вы скажете попробовать все поставить как топикстартер) Отвечу - пробовал. ipmsaq в 9.10, как я понял нету, форвардинг разрешил. Да и в принципе эти два способа и не отличаются особо.

Расскажите куда копать, пожалуйста.
Заранее благодарен.

PS squidconf прилогаю.


Пользователь решил продолжить мысль 10 Февраля 2010, 08:07:10:с одним разобрался - squiq вешать надо на локальный IP
Пользователь решил продолжить мысль 10 Февраля 2010, 11:10:11:со squid разобрался.
остался вопрос с пробросом портов, который чтойто не дается пока(

[Nesmit]

Накопал тут в инете

Существует путаница в понятиях, из-за того что под transparent proxy ранее понимали прозрачное для пользователя проксирование, когда за счёт принудительного заворачивания http-трафика на прокси-сервер пользователь мог не вводить у себя никаких настроек. На самом деле это intercept proxy (собственно, в Squid 3.1 соответствующая опция также поменяла название), а вот (full) transparent proxy это когда прокси идёт в интернет не от своего ip, а от spoofed ip пользователя, оставляя тем самым полностью прозрачным соединение для конечных серверов.

Интересно, бы почитать нововведения на русском.

[Dark_Stranger]

Уважаемые гуру! Необходима Ваша помощь!

Сервер ubuntu 9.10
Squid
две сетевухи
eth0
address 192.168.254.30
netmask 255.255.255.0
gateway 192.168.254.1
в этой сетке есть прокся 192.168.1.10:8080 (маленькая скорость но безлимит, PS кабель я пробросил до другой организации )

eth1
address 192.168.161.16
netmask 255.255.255.0
gateway 192.168.161.1

в этой сетке тоже есть прокся 192.168.161.10:8080 (большая скорость но лимитирован определенным объемом трафика)

а также прокся в вышестоящем структурном подразделении 192.168.1.70:8080 (очень большая скорость но доступ только к определенным сайтам (к примеру r1.org, r2.org, r1.com, r1.ru), определенной тематики, к остальному доступ запрещен)

Задача
Есть 3 категории пользователей:
1 категория
2 категория
3 категория
Необходимо чтобы доступ для всех категорий к разрешенным сайтам происходил через проксю 192.168.1.70
А к остальным сайтам
для первой категории доступ был организован через проксю на eth0 192.168.1.10
для второй категории доступ был организован через проксю на eth1 192.168.161.10
Подскажите где можно капнуть поглубже по этому поводу!
Заранее спасибо.
ЗЫ: только не нужно меня спрашивать для чего мне это нужно и что энта за организация такой.

[Nesmit]

Тут отвечают на вопросы, а я вижу ТЗ.
http://squid.opennet.ru/ - достаточно чтобы выполнить то что задумал.

[Dark_Stranger]

Тут отвечают на вопросы, а я вижу ТЗ.
http://squid.opennet.ru/ - достаточно чтобы выполнить то что задумал.

Подскажите где можно капнуть поглубже по этому поводу!

Думаю что этим все сказано
Пользователь решил продолжить мысль 01 Марта 2010, 17:06:48:Выход через проксю 192.168.1.10 я уже организовал

[Nesmit]

acl списки, кому чего куда. Очень гибко.
просто так не объяснишь

[Dark_Stranger]

acl списки, кому чего куда. Очень гибко.
просто так не объяснишь

Спасибо!

 Пойду закапываться в списках.
Пользователь решил продолжить мысль 03 Марта 2010, 17:02:37:Такс с распределением на различные прокси я разобрался (ЗЫ ACL рулит )
Возникает такой вопрос, как или чем можно посмотреть по какому маршруту ходят пакеты от пользователей, так сказать к какой родительской проксе они цепляються?

[Dark_Stranger]

Чем можно посмотреть объем трафика полученнго с PPPoE&

[AnrDaemon]

ifconfig'ом.

[Dark_Stranger]

ifconfig'ом.

Да мне бы что нибудь такое чтобы в конце месяца проверить объем трафика полученного с pppoe соединения и сравнить с объемом трафика полученного пользователями в сквиде, так как в сквиде настроены еще 2 родительских прокси

[Unreg]

vnstat