форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Настройка Squid и других прокси серверов (Squid)
Изначальное сообщение		[ Отслеживать ]

"Настройка squid на Ubuntu server 10.10"	+/–
Сообщение от petkas (ok) on 26-Апр-11, 12:13
Здравствуйте! Может здесь мне помогут. Сразу оговорюсь что делаю подобные настройки первый раз, поэтому учтите это при ответах-))) В общем картина: решил организовать сервер, для раздачи и ФИЛЬТРАЦИИ интернета. Погуглив наткнулся и довольно подробно познакомился с squid-решив его использовать в качестве прокси сервера и dansgurdian - в качестве фильтра. Спросил на другом форуме, получил кучу ответ, довольно полезных, но еще больше запутался. Мне писали и  про настройку NAT и много другое...На руках : комп выделенный под сервер, модем, свитч, и несколько машин в локалке. Начал я с настройки сетевых интерфейсов. eth0 смотрит на модем и имеет: auto eth0 iface eth0 inet static address 192.168.1.2 netmask 255.255.255.0 gateway 192.168.1.1 # адрес модема. eth1 смотрит в локалку и имеет адрес 192,168,0,1(какую поставить маску???). При такой настройке можно ставить squid, т.е. будут ли запросы из локалки переадресовываться на eth0(сетевые интерфейсы компов локалки настроены по типу IP адрес: 192.168.0.2 Маску подсети: 255.255.255.0 Шлюз: 192.168.0.1 DNS: 192.168.0.1) или нужно настраивать что то еще? помогите пожалуйста, при необходимости уточню любые моменты. Спасибо!
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Настройка squid на Ubuntu server 10.10"	+/–
Сообщение от reader (ok) on 26-Апр-11, 15:10
>[оверквотинг удален] > писали и  про настройку NAT и много другое...На руках : > комп выделенный под сервер, модем, свитч, и несколько машин в локалке. > Начал я с настройки сетевых интерфейсов. eth0 смотрит на модем и > имеет: > auto eth0 > iface eth0 inet static > address 192.168.1.2 > netmask 255.255.255.0 > gateway 192.168.1.1 # адрес модема. > eth1 смотрит в локалку и имеет адрес 192,168,0,1(какую поставить маску???). При такой маска 255.255.255.0 (/24) > настройке можно ставить squid, т.е. будут ли запросы из локалки переадресовываться укажите в браузерах адрес и порт прокси и будут обращаться. > на eth0(сетевые интерфейсы компов локалки настроены по типу IP адрес: 192.168.0.2 > Маску подсети: 255.255.255.0 Шлюз: 192.168.0.1 DNS: 192.168.0.1) или нужно настраивать > что то еще? помогите пожалуйста, при необходимости уточню любые моменты. Спасибо! если dns вы не поднимали, то и указывать  DNS: 192.168.0.1 не нужно, его вить нет. с прописанным прокси в браузере, непосредственно для браузера шлюз то же не нужен. маршрут к нему будет и так. другое дело программы у которых прокси не прописан.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от petkas (ok) on 26-Апр-11, 15:18
	>[оверквотинг удален] >> настройке можно ставить squid, т.е. будут ли запросы из локалки переадресовываться > укажите в браузерах адрес и порт прокси и будут обращаться. >> на eth0(сетевые интерфейсы компов локалки настроены по типу IP адрес: 192.168.0.2 >> Маску подсети: 255.255.255.0 Шлюз: 192.168.0.1 DNS: 192.168.0.1) или нужно настраивать >> что то еще? помогите пожалуйста, при необходимости уточню любые моменты. Спасибо! > если dns вы не поднимали, то и указывать  DNS: 192.168.0.1 не > нужно, его вить нет. > с прописанным прокси в браузере, непосредственно для браузера шлюз то же не > нужен. маршрут к нему будет и так. > другое дело программы у которых прокси не прописан. программы, например этот же синамптик? но как тогда поступить в этой ситуации? я нашел несколько еще несколько постов, хочу попробовать по шагам как там: http://forum.linux.lg.ua/index.php?showtopic=429,
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от petkas (ok) on 26-Апр-11, 15:19
	>[оверквотинг удален] >>> Маску подсети: 255.255.255.0 Шлюз: 192.168.0.1 DNS: 192.168.0.1) или нужно настраивать >>> что то еще? помогите пожалуйста, при необходимости уточню любые моменты. Спасибо! >> если dns вы не поднимали, то и указывать  DNS: 192.168.0.1 не >> нужно, его вить нет. >> с прописанным прокси в браузере, непосредственно для браузера шлюз то же не >> нужен. маршрут к нему будет и так. >> другое дело программы у которых прокси не прописан. > программы, например этот же синамптик? > но как тогда поступить в этой ситуации? я нашел несколько еще несколько > постов, хочу попробовать по шагам как там: http://forum.linux.lg.ua/index.php?showtopic=429, да и если настроить прозрачный прокси в squid ?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от reader (ok) on 26-Апр-11, 15:48
	>[оверквотинг удален] >>>> что то еще? помогите пожалуйста, при необходимости уточню любые моменты. Спасибо! >>> если dns вы не поднимали, то и указывать  DNS: 192.168.0.1 не >>> нужно, его вить нет. >>> с прописанным прокси в браузере, непосредственно для браузера шлюз то же не >>> нужен. маршрут к нему будет и так. >>> другое дело программы у которых прокси не прописан. >> программы, например этот же синамптик? >> но как тогда поступить в этой ситуации? я нашел несколько еще несколько >> постов, хочу попробовать по шагам как там: http://forum.linux.lg.ua/index.php?showtopic=429, > да и если настроить прозрачный прокси в squid ? если в программе прокси не прописан по каким либо причинам, тогде нужен адрес шлюза, и dns. dns можно указать провайдера, какой то публичный, или поднять свой кеширующий. по шагово: 1. добиваетесь работы инета на сервере. 2. echo 1 > /proc/sys/net/ipv4/ip_forward и https://www.opennet.ru/docs/RUS/iptables/#SNATTARGET 3. на тестовом клиенте прописываете шлюз 192.168.0.1 и DNS провайдера и заставляете работать программы. 4. настраиваете squid, на клиенте в браузере прописываете прокси и опять заставляете работать браузер. 5. squid делаете прозрачным и делаете https://www.opennet.ru/docs/RUS/iptables/#DNATTARGET , в iptables в FORWARD запрещаете исходящие на 80 порт из локалки, в браузере у клиента убираете прописанный прокси и опять заставляете работать браузер. 6. (необязательное) поднимаете свой кеширующий DNS и указываете его у клиентов. 7. думаете и пробуете чем что фильтровать.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от petkas (ok) on 27-Апр-11, 05:44
	>[оверквотинг удален] > 3. на тестовом клиенте прописываете шлюз 192.168.0.1 и DNS провайдера и заставляете > работать программы. > 4. настраиваете squid, на клиенте в браузере прописываете прокси и опять заставляете > работать браузер. > 5. squid делаете прозрачным и делаете https://www.opennet.ru/docs/RUS/iptables/#DNATTARGET > , в iptables в FORWARD запрещаете исходящие на 80 порт из > локалки, в браузере у клиента убираете прописанный прокси и опять заставляете > работать браузер. > 6. (необязательное) поднимаете свой кеширующий DNS и указываете его у клиентов. > 7. думаете и пробуете чем что фильтровать. Огромное спасибо!!! наконец то получил понятную, пошаговую инструкцию, как раз для новичка, буду пробовать, о результатах отпишусь!
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от petkas (ok) on 27-Апр-11, 10:13
	Хочу поделиться первыми итогами, и кое что прояснить: 1)настроил сетевые карты на сервер(eth0 - 192.168.1.33 смотрит в модем, eth1 - 192,168,0,1 смотрит в локалку) 2) включил форвардинг командой sudo su -c 'echo "1" > /proc/sys/net/ipv4/ip_forward' команда которую вы посоветовали и которую я везде встречал выдавала: echo 1 > /proc/sys/net/ipv4/ip_forward --permission deniad 3)включил трансляцию адресов локальных машин на адрес сервера iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to-source 192,168,1,33 4) настроил клиент и инет заработал, теперь пойдем дальше!
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от petkas (ok) on 27-Апр-11, 10:40
	и еще вопрос, в одной очень полезной статье нашел следующее: "Включается NAT в iptables так: 1)iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT (этой командой вы разрешили прохождение пакетов между сетевыми интерфейсами из локальной сети 192.168.0.0/24) 2)iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT (этой командой вы разрешили прохождение пакетов между сетевыми интерфейсами в локальную сеть 192.168.0.0/24) 3)iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to-source 111.111.111.111" у меня сделано только 3), и все работает, а для чего нужны первые 2 пункта? Спасибо!
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от reader (ok) on 27-Апр-11, 11:25
	>[оверквотинг удален] > (этой командой вы разрешили прохождение пакетов между сетевыми интерфейсами из локальной > сети 192.168.0.0/24) > 2)iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT > (этой командой вы разрешили прохождение пакетов между сетевыми интерфейсами в локальную > сеть 192.168.0.0/24) > 3)iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to-source > 111.111.111.111" > у меня сделано только 3), и все работает, а для чего нужны > первые 2 пункта? > Спасибо! это потому что в таблице фильтров у вас наверно все разрешено, чаще делают политику по умолчанию DROP, а потом нужное разрешают. точней можно сказать увидев iptables-save пока вы разбираетесь что да как оставте таблицу фильтров в ACCEPT, когда дойдете до шага 7, тогда и будите менять проверяя, что не поломали то что должно работать.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от petkas (ok) on 27-Апр-11, 11:38
	> пока вы разбираетесь что да как оставте таблицу фильтров в ACCEPT, когда дойдете до шага 7, тогда и будите менять проверяя, что не поломали то что должно работать. то есть оставить в режиме все разрешено всем? это не черевато? > пока вы разбираетесь что да как оставьте таблицу фильтров в ACCEPT, когда > дойдете до шага 7, тогда и будите менять проверяя, что не > поломали то что должно работать. а как сохранить изменения в iptables? нашел команду iptables-save, но как правильно выполнить? может iptables-save -c >  /etc/iptables-save?
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от reader (ok) on 27-Апр-11, 12:15
	>> пока вы разбираетесь что да как оставте таблицу фильтров в ACCEPT, когда дойдете до шага 7, тогда и будите менять проверяя, что не поломали то что должно работать. > то есть оставить в режиме все разрешено всем? это не черевато? зависит от многих факторов, в том числе и от того как осуществляется подключение к провайдеру. >> пока вы разбираетесь что да как оставьте таблицу фильтров в ACCEPT, когда >> дойдете до шага 7, тогда и будите менять проверяя, что не >> поломали то что должно работать. > а как сохранить изменения в iptables? нашел команду iptables-save, но как правильно > выполнить? может iptables-save -c >  /etc/iptables-save? в Ubuntu наверно как и в debian нет предопределенного места хранения правил iptables, поэтому как вам удобно так и делайте. https://www.opennet.ru/docs/RUS/iptables/#SAVEANDRESTORE https://www.opennet.ru/docs/RUS/iptables/#EXAMPLECODE
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от petkas (ok) on 27-Апр-11, 12:31
	reader, огромное вам, человеческое спасибо! это единственный форум где мне дали очень существенные, понятные и адекватные(моей линуксовой и сетевой безграмотности) советы! Спасибо! но все же забегу немного вперед, хочется все сразу правильно делать: > зависит от многих факторов, в том числе и от того как осуществляется > подключение к провайдеру. может все таки закрыть ВСЕ в iptables, и открыть только то что необходимо. Как я понимаю, для наших нужд это- все исходящее из локальной сети, а входящие 0 например почта, web ну и еще что либо, если так будет лучше и безопаснее, то как это сделать? или может не стоит так заморачиваться?
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от petkas (ok) on 27-Апр-11, 12:35
	нашел по этому поводу вот что: "Прописываем правила, закрывающие все порты за исключением 25 (smtp: принимаем почту) и 80 (http: показываем web страницы) # iptables -A INPUT -i eth1 -p tcp --dport 25 -j ACCEPT # iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT # iptables -A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable # iptables -A FORWARD -o eth1 -p tcp -j DROP" что типа такого должно быть?
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	14. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от reader (ok) on 27-Апр-11, 13:06
	> нашел по этому поводу вот что: > "Прописываем правила, закрывающие все порты за исключением 25 (smtp: принимаем почту) и > 80 (http: показываем web страницы) > # iptables -A INPUT -i eth1 -p tcp --dport 25 -j ACCEPT > # iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT > # iptables -A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN,SYN,ACK > SYN -j REJECT --reject-with icmp-port-unreachable у вас на Ubuntu есть web и smtp сервер к которым должен быть доступ из инета? :) > # iptables -A FORWARD -o eth1 -p tcp -j DROP" это убъет все что идет из инета в локалку по tcp. > что типа такого должно быть? по моему вы путаете входящие с ответами на отравленные запросы. читайте про статусы пакетов
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	16. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от petkas (ok) on 27-Апр-11, 13:15
	>[оверквотинг удален] >> # iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT >> # iptables -A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN,SYN,ACK >> SYN -j REJECT --reject-with icmp-port-unreachable > у вас на Ubuntu есть web и smtp сервер к которым должен > быть доступ из инета? :) >> # iptables -A FORWARD -o eth1 -p tcp -j DROP" > это убъет все что идет из инета в локалку по tcp. >> что типа такого должно быть? > по моему вы путаете входящие с ответами на отравленные запросы. > читайте про статусы пакетов да, вы правы, напутал, в голове уже куча всего!
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	13. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от reader (ok) on 27-Апр-11, 12:56
	> reader, огромное вам, человеческое спасибо! это единственный форум где мне дали очень > существенные, понятные и адекватные(моей линуксовой и сетевой безграмотности) советы! > Спасибо! > но все же забегу немного вперед, хочется все сразу правильно делать: что бы "все и сразу" нужно хорошо представлять что с чем как работает иначе можно пройтись по, не очевидным для вас, граблям. поэтому логичней было бы делать последовательно. если думаете что вас могут поломать пока вы разбираетесь, скажите как подключаетесь к провайдеру. вы показываете адрес 192.168.1.33 и что подключаетесь через модем, это adsl в режиме роутера? если да и 192.168.1.* у него внутренний адрес, а внешний белый и вы в нем не делали пробросов, то в нем уже есть nat и из вне к вам не подключатся. >> зависит от многих факторов, в том числе и от того как осуществляется >> подключение к провайдеру. > может все таки закрыть ВСЕ в iptables, и открыть только то что > необходимо. Как я понимаю, для наших нужд это- все исходящее из > локальной сети, а входящие 0 например почта, web ну и еще > что либо, если так будет лучше и безопаснее, то как это > сделать? > или может не стоит так заморачиваться?
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	15. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от petkas (ok) on 27-Апр-11, 13:13
	> если думаете что вас могут поломать пока вы разбираетесь, скажите как подключаетесь > к провайдеру. да в режиме роутера, в нем вбит ip, подключаемся по выделенному ip (как я понял), школьный инет, выделенная линия кажется. но скоро переподключаемся как самостоятельное юр. лицо, наверное по средствам логина и пароля будем выходить в инет, собственно из-за этого и пришлось настраивать сервер. и разбираться с возможностью фильтрации, т.е. теряем фильтр. не буду торопится тогда с доступом по iptables, а потом я какими средствами смогу защититься от внешнего мира? squid?
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	17. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от reader (ok) on 27-Апр-11, 13:28
	>> если думаете что вас могут поломать пока вы разбираетесь, скажите как подключаетесь >> к провайдеру. > да в режиме роутера, в нем вбит ip, подключаемся по выделенному ip > (как я понял), школьный инет, выделенная линия кажется. но скоро переподключаемся тогда есть nat и из вне к вам трудно подключиться. если конечно заводские пароли сменили :) > как самостоятельное юр. лицо, наверное по средствам логина и пароля будем > выходить в инет, собственно из-за этого и пришлось настраивать сервер. и > разбираться с возможностью фильтрации, т.е. теряем фильтр. если подключение останется так же через модем и логин с паролем будет прописан в модеме, то остальное останется как есть. > не буду торопится тогда с доступом по iptables, а потом я какими > средствами смогу защититься от внешнего мира? squid? iptables
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	18. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от petkas (ok) on 27-Апр-11, 13:40
	reader, в очередной раз говорю вам спасибо, вы даже не представляете какую помощь  оказываете мне! из за отсутствия свободного времени, я иду по самому неправильному пути изучения всех этих вопросов, по пути "среза верхушек", изучаю все кратко, только самое основное, а хочу во многом разобраться. но такие обстоятельства. и можно последний вопрос на сегодня?: еще немного погуглил по вопросу организации сервера на ubuntu. т.е. мое сервер это старый комп с ubuntu server 10.10, меня заинтересовал вопрос автоматического входа в систему на сервере, т.к. пока не произведен вход,  интернет соединение не идет. наткнулся на "А зачем тебе автологин на сервер ? Зачем туда вообще входить после настройки, к тому же есть же ssh" т.е. сервер настраивается, и про него можно забыть,так? т.е. входить на него с клиента? обрисуйте по возможности картинку.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	19. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от reader (ok) on 27-Апр-11, 14:58
	> reader, в очередной раз говорю вам спасибо, вы даже не представляете какую > помощь  оказываете мне! из за отсутствия свободного времени, я иду > по самому неправильному пути изучения всех этих вопросов, по пути "среза > верхушек", изучаю все кратко, только самое основное, а хочу во многом > разобраться. но такие обстоятельства. > и можно последний вопрос на сегодня?: > еще немного погуглил по вопросу организации сервера на ubuntu. т.е. мое сервер > это старый комп с ubuntu server 10.10, меня заинтересовал вопрос автоматического > входа в систему на сервере, т.к. пока не произведен вход,   > интернет соединение не идет. наткнулся на думаю это из-за того что вы настраивали сетевые интерфейсы через графические конфигурилки и эти настройки хранятся в недрах домашней директории. именно с ubuntu я не общался, но так как вырос он из debian, то там должен быть /etc/network/interfaces в котором и прописать настройки сети. и соответственно использовать /etc/init.d/networking. и автологин не делать. > "А зачем тебе автологин на сервер ? Зачем туда вообще входить после > настройки, к тому же есть же ssh" т.е. сервер настраивается, и > про него можно забыть,так? т.е. входить на него с клиента? обрисуйте > по возможности картинку. графическую систему на серверах редко ставят, в основном администрирование идет из командной строки кто-то еще и мс использует. так как серверов может быть много и они могут находится на значительных расстояниях от того кто ими управляет, используют удаленное администрирование, зачастую по ssh. часто для удаленного управления по ssh используют putty  , есть и под винду. если решите это делать через инет, то сразу читайте про доступ по ключам , а не по паролю. по поводу "забыть". обновлять ПО все равно нужно, но делать это нужно аккуратно и с головой, что бы потом не думать как восстанавливать сервер который находится за много км.
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	20. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от petkas (ok) on 28-Апр-11, 13:29
	> думаю это из-за того что вы настраивали сетевые интерфейсы через графические конфигурилки > и эти настройки хранятся в недрах домашней директории. именно с ubuntu > я не общался, но так как вырос он из debian, то > там должен быть /etc/network/interfaces в котором и прописать настройки сети. и > соответственно использовать /etc/init.d/networking. > и автологин не делать. я так и делал, на сервер все настраивал только в конфигах, а вообще соединение должно работать до входа в систему? я не могу это проверить так как еще не разобрался с охранением правил itables, поэтому приходится заходить в систему и поднимать правила. если все правила будут сохранены, то сеть будет подниматься без входа в систему?
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	21. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от reader (ok) on 28-Апр-11, 14:02
	>> думаю это из-за того что вы настраивали сетевые интерфейсы через графические конфигурилки >> и эти настройки хранятся в недрах домашней директории. именно с ubuntu >> я не общался, но так как вырос он из debian, то >> там должен быть /etc/network/interfaces в котором и прописать настройки сети. и >> соответственно использовать /etc/init.d/networking. >> и автологин не делать. > я так и делал, на сервер все настраивал только в конфигах, а > вообще соединение должно работать до входа в систему? я не могу конечно , сервер должен быть настроен так что бы он делал все что нужно после включения без вашего участия > это проверить так как еще не разобрался с охранением правил itables, > поэтому приходится заходить в систему и поднимать правила. если все правила > будут сохранены, то сеть будет подниматься без входа в систему? если все правила iptables вы загружаете руками, то до этого правила для snat нет, и локалка в инете работать не будет. можно конечно в модеме маршрут к локалке прописать, но по моему лучше заставить правила iptables грузится при старте или при поднятии интерфейса
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	22. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от petkas (ok) on 29-Апр-11, 09:10
	здравстуте! 5)squid делаете прозрачным и делаете https://www.opennet.ru/docs/RUS/iptables/#DNATTARGET  , в iptables в FORWARD запрещаете исходящие на 80 порт из локалки, в браузере у клиента убираете прописанный прокси и опять заставляете работать браузер. а можно этот шаг выполнить таким правилом? iptables -t nat -A PREROUTING -p tcp --dport 80 -i $LAN_IFACE -j REDIRECT --to-ports 3128?
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	23. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от petkas (ok) on 29-Апр-11, 09:22
	в iptables в FORWARD запрещаете исходящие на 80 порт > из локалки - а зачем запрещать? если через drop направляем пакеты на squid?
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	25. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от reader (ok) on 29-Апр-11, 11:01
	>  в iptables в FORWARD запрещаете исходящие на 80 порт >> из локалки - а зачем запрещать? если через drop направляем пакеты на squid? что бы сразу было видно, что с dnat все правильно
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	24. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от reader (ok) on 29-Апр-11, 10:56
	> здравстуте! > 5)squid делаете прозрачным и делаете https://www.opennet.ru/docs/RUS/iptables/#DNATTARGET >  , в iptables в FORWARD запрещаете исходящие на 80 порт > из локалки, в браузере у клиента убираете прописанный прокси и опять > заставляете работать браузер. > а можно этот шаг выполнить таким правилом? > iptables -t nat -A PREROUTING -p tcp --dport 80 -i $LAN_IFACE -j > REDIRECT --to-ports 3128? если работает, значит можно, если не срослось, то через dnat
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	26. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от petkas (ok) on 29-Апр-11, 11:19
	я установил squid, про правила я уже много читал, и в принципе механизм понял, он мне очень понравился. но не могу завести squid, мои действия: 1) sudo apt-get install squid3 2) http_port 192.168.1.27:3128 3) cache_dir ufs /var/spool/squid3 100 16 256# просто раскомментировал 4) cache_mem 64 5) решил прописать правила для своей локальной сети, знаю что нужно писать в блоке с alc но где точно, поэтому разместил правило тут: ***** ACL TYPES AVAILABLE***** acl loc src 192.168.0.0/24 6) разрешаю доступ для loc, хотя тоже не знаю где точно писать написал в TAG: http_access внизу после #Default http_access alloy loc , сохранил файл, но что делать дальше? выполняю sudo /etc/init.d/squid3 restart пишет строку Creating Squid HTTP Proxy 3.x cache structure cache.cf.cc(363) parseOneConfigFile: squid.conf:45 unrecognized: 'recognize'   [fail] подскажите как его завести-((( или  может укажите на сделанные мною ошибку
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	27. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от reader (ok) on 29-Апр-11, 11:56
	>[оверквотинг удален] > механизм понял, он мне очень понравился. но не могу завести squid, > мои действия: > 1) sudo apt-get install squid3 2) http_port 192.168.1.27:3128 > 3) cache_dir ufs /var/spool/squid3 100 16 256# просто раскомментировал > 4) cache_mem 64 > 5) решил прописать правила для своей локальной сети, знаю что нужно писать > в блоке с alc но где точно, поэтому разместил правило тут: > > ***** ACL TYPES AVAILABLE***** > acl loc src 192.168.0.0/24 acl должны быть определены до их использования > 6) разрешаю доступ для loc, хотя тоже не знаю где точно писать > написал в TAG: http_access внизу после > > #Default > http_access alloy loc последовательность http_access имеет значение > , сохранил файл, но что делать дальше? выполняю > sudo /etc/init.d/squid3 restart пишет строку > > Creating Squid HTTP Proxy 3.x cache structure > cache.cf.cc(363) parseOneConfigFile: squid.conf:45 unrecognized: 'recognize'   [fail] > подскажите как его завести-((( или  может укажите на сделанные мною ошибку squid3 -z делали?
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

	28. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от petkas (ok) on 29-Апр-11, 11:58
	> acl должны быть определены до их использования т.е. их нужно прописывать выше? > последовательность http_access имеет значение ну у меня пока только одно правило, но я путаюсь в каком именно месте конфига пишутся правила пользователя > squid3 -z делали? нашел ошибку, затер #
	Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

	29. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от reader (ok) on 29-Апр-11, 12:27
	>> acl должны быть определены до их использования > т.е. их нужно прописывать выше? выше места их использования >> последовательность http_access имеет значение > ну у меня пока только одно правило, но я путаюсь в каком > именно месте конфига пишутся правила пользователя в любом, лишь бы сами не запутались в последовательностях в конфиге squid нет предопределенных мест, параметры и правила могут записываться в любом месте, но нужно учитывать что порядок применение правил сверху вниз. >> squid3 -z делали? > нашел ошибку, затер #
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	30. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от petkas (ok) on 29-Апр-11, 12:39
	в очередной раз говорю Вам спасибо!!! и все же забегу немного вперед, в идеале мне необходим сервер с dansgurdian.  dansgurdian работает через squid, так? а возможно ли сделать так чтобы для определённых адресов трафик фильтровался по одному правилу(белые списки), а для других простой фильтр(эро, порно, наркотики и т.д.), т.е. ученикам зарезано все кроме разрешенного, а администрации можно все но с ограничениями. До тонкостей настройки доступа и фильтрации я еще не дошел(впереди только прозрачный прокси), но хочется знать. Спасибо!
	Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

	31. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от reader (ok) on 29-Апр-11, 13:08
	> в очередной раз говорю Вам спасибо!!! и все же забегу немного вперед, > в идеале мне необходим сервер с dansgurdian.  dansgurdian работает через > squid, так? а возможно ли сделать так чтобы для определённых адресов > трафик фильтровался по одному правилу(белые списки), а для других простой фильтр(эро, > порно, наркотики и т.д.), т.е. ученикам зарезано все кроме разрешенного, а > администрации можно все но с ограничениями. До тонкостей настройки доступа и > фильтрации я еще не дошел(впереди только прозрачный прокси), но хочется знать. > Спасибо! dansgurdian смотрел давно и совсем немного так что с ним вы уже без меня будите разбираться. но насколько помню к squid он не имеет ни какого отношения. если будите использовать и squid и dansgurdian , то они будут обрабатывать запрос последовательно , кто первый зависит от вашего желания. http://interface31.ru/tech_it/2010/03/ubuntu-server-nastraiv...
	Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

	32. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от petkas (ok) on 06-Май-11, 11:40
	Здравствуйте! я немного разобрался с разделением фильтрации в DG и решил его установить. Пока настройку произвел по минимуму: filterip=192.168.0.1 filterport=8080 proxyip=127.0.0.1 proxyport=3128 прописал в браузере прокси: 192,168,0,1:8080 но интернета нет...может что нибудь в iptables нужно указать, там у меня только трансляция исходящего адреса через SNAT и iptables -t nat -A PREROUTING -i eth1 -d ! 10.0.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192,168,0,1:3128. с этим squid работал. погуглив сделал еще: iptables -A INPUT -i lo -j ACCEPT ptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT, но инет через DG не идет.. Подскажите что сделать нужно. Спасибо!
	Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

	33. "Настройка squid на Ubuntu server 10.10"	+/–
	Сообщение от reader (ok) on 06-Май-11, 14:02
	>[оверквотинг удален] > proxyport=3128 > прописал в браузере прокси: 192,168,0,1:8080 но интернета нет...может что нибудь в iptables > нужно указать, там у меня только трансляция исходящего адреса через SNAT > и iptables -t nat -A PREROUTING -i eth1 -d ! 10.0.0.0/24 > -p tcp -m multiport --dport 80,8080 -j DNAT --to 192,168,0,1:3128. с > этим squid работал. погуглив сделал еще: > iptables -A INPUT -i lo -j ACCEPT > ptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT > iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT, но инет через DG не > идет.. Подскажите что сделать нужно. Спасибо! по поводу DG ничего не подскажу, а по поводу iptables - обращение локалки к прокси будет идти через INPUT, а не через FORWARD если в DG есть логи запросов, то смотрите дошли ли запросы до DG squid слушает ли 127.0.0.1 или только 192,168,0,1 в логах squid смотрите дошли ли запросы через DG.
	Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема