Добро пожаловать на форум, Гость!
Войдите или зарегистрируйтесь!
Имя пользователя:   Пароль:  
Запомнить меня 




Начать новую тему Ответить на тему   [ Сообщений: 35 ]  На страницу  След.
Автор Сообщение
СообщениеДобавлено: 12 ноя 2010, 14:05 
Юзер
Аватар пользователя
Статус: Не в сети

GeoIP: Kyrgyzstan

Сообщений: 73

Зарегистрирован: 12 ноя 2010, 13:56
Благодарил (а): 3 раз.
Поблагодарили: 0 раз.
Имеется:
Локальная сеть - 192.168.0.0 / 24
Шлюз на Debian 5.0.4 - 192.168.0.1
5 пользователей (назовем 1 группа) с ip адресами 192.168.0.5 – 192.168.0.9
10 пользователей (назовем 2 группа) с ip адресами 192.168.0.10 -192.168.0.19
В общем, задача такая:
Нужно сделать так, чтобы для 1 группы были доступны как зона kg так и внешка, но для 2-х пользователей (с этой группы) надо урезать скорость (допустим для ip 192.168.0.6 и 192.168.0.7) или этих 2-х пользователей вынести в отдельную группу? .
Для 2 группы должна быть доступна только зона KG + урезанная скорость 
+ нужно чтобы трафик kg и внешний считались отдельно (на случай если шеф в конце месяца спросит (а он спросит), а че так много за инет вышло, я ему открою SAMS и пусть посмотрит, почему так много).

и еще установил пока только squid, конфиг не правил


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: 12 ноя 2010, 17:25 
Аватар пользователя
Статус: Не в сети

GeoIP: Kyrgyzstan

Сообщений: 1887

Зарегистрирован: 03 мар 2010, 11:25
Благодарил (а): 4 раз.
Поблагодарили: 39 раз.
ОС: Slackware-current
деление по зонам средствами сквида очень геморройное занятие и крайне редко результативное. придется или резать весь траф, или писать стописяттыщмильёнов строк с подсетями и правилами для них. В итоге вылезет еще больший геморр... когда конфиг сквида будет больше по объему чем его кэш.


Изображение

Изображение

Work: Slackware Linux 14.0 х 'all Servers'
Laptop: Slackware64-current / Xfce 4.10 / Linux 3.10.5


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: 13 ноя 2010, 09:13 
Юзер
Аватар пользователя
Статус: Не в сети

GeoIP: Kyrgyzstan

Сообщений: 73

Зарегистрирован: 12 ноя 2010, 13:56
Благодарил (а): 3 раз.
Поблагодарили: 0 раз.
Цитата:
деление по зонам средствами сквида очень геморройное занятие и крайне редко результативное. придется или резать весь траф, или писать стописяттыщмильёнов строк с подсетями и правилами для них. В итоге вылезет еще больший геморр... когда конфиг сквида будет больше по объему чем его кэш.

Хорошо, на зоны делить не будем! Остальное как реализовать?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: 13 ноя 2010, 09:49 
Бородатый сис
Аватар пользователя
Статус: Не в сети

GeoIP: Kyrgyzstan

Сообщений: 2902
Откуда: Из серверной
Зарегистрирован: 03 мар 2010, 15:12
Благодарил (а): 19 раз.
Поблагодарили: 122 раз.
ОС: RHEL 6.7
Пример простого squid.conf
Код:
#описываем стандартные acl
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 192.168.0.0/24

#Расписываем зоны .kg
acl kg dst "/usr/local/etc/squid/kg-nets.txt"

# А здесь уже наши acl для пользователей
acl  users1 src /usr/local/etc/squid/kg-users.txt
acl  users2 src /usr/local/etc/squid/ext-users.txt
acl  users3 src /usr/local/etc/squid/shape-users.txt

#Расписываем диапазон разрешенных портов
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 5190
acl Safe_ports port 5222-5223
acl Safe_ports port 1025-65535

#Подрезаем рекламу (хиленько но работает)
acl BANNER url_regex banner reklama linkexch banpics us\.yimg\.com[\./]ad[s]?[\./]

#А теперь самое интересное - разделяй и властвуй!
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny localnet
http_access allow localhost
http_access allow users1 kg
http_access allow users2
http_access allow users3
http_access deny BANNER
http_access deny all

#Определяем порты сквида на которых будет прослушиваться внутренний интерфейс
http_port 3128
http_port 3129 transparent

hierarchy_stoplist cgi-bin ?
#Папка и обьем  кэша (100мб)
cache_dir ufs /var/cache/squid 100 16 256
coredump_dir /var/cache/squid
cache_mem 10 Mb

ftp_user anonymous
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

#Путь к логу и его формат
logformat combined %>a [%tl] "%rm %ru HTTP/%rv" %Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh
access_log /home/squid/access.log squid

#Видимое имя хоста (сквиду почему-то очень не нравится когда оно не указано)
visible_hostname gate.sysadmins.el.kg
#Путь к папке с ошибками
error_directory /usr/local/etc/squid/errors/Russian-1251


Содержимое файлов shape-users.txt, ext-users.txt и kg-users.txt заполняешь айпишниками в формате
Код:
192.168.0.5
192.168.0.6

и т.д.

Файлик kg-nets.txt скачиваешь с эльката по ссылке http://www.elcat.kg/ip/kg-nets.txt (желательно обновлять его почаще, а то наши провы любят подсети менять)

Что касается задержки. Тебе для чего? ограничить скорость или сократить расход траффика? Просто delay pool-ы SQUID не ограничивают скорость с которой SQUID тянет данные с сервера. Они только замедляют выдачу данных пользователю. Советую покурить в сторону QoS. Ну в общем, подумаем еще, вот в таком виде squid работать будет, но не будет ограничивать.

UPD: Поменяй все пути на свои


Я не злопамятный, я просто часто ковыряю логи
Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: 06 дек 2010, 15:22 
Юзер
Аватар пользователя
Статус: Не в сети

GeoIP: Kyrgyzstan

Сообщений: 73

Зарегистрирован: 12 ноя 2010, 13:56
Благодарил (а): 3 раз.
Поблагодарили: 0 раз.
Raven
спасибо, на днях поробую

PS. был на больничном, поэтому так долго отписывался)


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: 16 май 2012, 11:34 
Эникейщик
Аватар пользователя
Статус: Не в сети

GeoIP: Kyrgyzstan

Сообщений: 493

Зарегистрирован: 19 май 2010, 08:52
Благодарил (а): 5 раз.
Поблагодарили: 17 раз.
Всем доброго дня!
Все настроил работает ОТЛ. тока вот не удобно бегать настраивать у каждого юзера (45 маши, 3- этажа) можно ли сделать прозрачным с помощью NAT (SNAT)+IPtables??? если да то дайте пищу для размышление))))

ОС: CentOS 6.2 minimal x32, squid-3.1.10, iptables v1.4.7.
Сеть: eth0 192.168.0.10 (mir), eth1 10.10.0.1 (lan)

включил форвардинг и пробовал добавить что типа этого в IPTables
Код:
-A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.10
-A PREROUTING -p tcp -m tcp -s .10.10.0.0/24 --dport 80 -j REDIRECT --to-port 3128
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3128 -j ACCEPT


Помни прошлое, живи настоящим и думай о будущем.
Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: 16 май 2012, 13:20 
Бородатый сис
Аватар пользователя
Статус: Не в сети

GeoIP: Kyrgyzstan

Сообщений: 2902
Откуда: Из серверной
Зарегистрирован: 03 мар 2010, 15:12
Благодарил (а): 19 раз.
Поблагодарили: 122 раз.
ОС: RHEL 6.7
В любом случае тебе придется настраивать по крайней мере шлюз на юзерских машинах.

Код:
iptables -t nat -A PREROUTING -i eth0 -d ! 10.10.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 127.0.0.1:3129


Я не злопамятный, я просто часто ковыряю логи
Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: 17 май 2012, 19:10 
Эникейщик
Аватар пользователя
Статус: Не в сети

GeoIP: Kyrgyzstan

Сообщений: 493

Зарегистрирован: 19 май 2010, 08:52
Благодарил (а): 5 раз.
Поблагодарили: 17 раз.
пробовал сделать так:

[root@pc ~]# cat firewall.sh

Код:
#!/bin/bash

iptables -F
iptables -F -t nat
iptables -F -t mangle

iptables -X
iptables -X -t nat
iptables -X -t mangle

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -i lo -p all -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o lo -p all -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT

iptables -A INPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i eth1 -o eth0 -s 192.168.50.0/24 -p tcp -m multiport --dports 22,21,25,110,443

iptables -A FORWARD -i eth1 -o eth0 -s 192.168.50.0/24 -p udp -m multiport --dports 53

iptables -A INPUT -i eth1 -p ICMP -j ACCEPT
iptables -A OUTPUT -o eth1 -p ICMP -j ACCEPT

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -s 192.168.50.2/255.255.255.0 -j SNAT --to-source 192.168.0.10


http://akehayc.yvision.kz/post/243237

eth0: 192.168.0.10/24 (mir)
eth1: 192.168.50.2/24 (loc)

в винде IP 192.168.50.3/24, Шлюз 192.168.50.2

squid.conf http_port 3128 transparent
что делаю не так?


Помни прошлое, живи настоящим и думай о будущем.
Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: 18 май 2012, 08:40 
Бородатый сис
Аватар пользователя
Статус: Не в сети

GeoIP: Kyrgyzstan

Сообщений: 2902
Откуда: Из серверной
Зарегистрирован: 03 мар 2010, 15:12
Благодарил (а): 19 раз.
Поблагодарили: 122 раз.
ОС: RHEL 6.7
Маскарад включи


Я не злопамятный, я просто часто ковыряю логи
Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: 18 май 2012, 14:22 
Эникейщик
Аватар пользователя
Статус: Не в сети

GeoIP: Kyrgyzstan

Сообщений: 493

Зарегистрирован: 19 май 2010, 08:52
Благодарил (а): 5 раз.
Поблагодарили: 17 раз.
делал так:
Код:
echo "1" > /proc/sys/net/ipv4/ip_forward
net.ipv4.ip_forward = 1


Помни прошлое, живи настоящим и думай о будущем.
Изображение


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 35 ]  На страницу  След.
   Похожие темы   Автор   Ответов   Просмотров   Последнее сообщение 
Перенесенная ^_^

в форуме Linux

root

3

38

02 мар 2010, 16:15

Gen1us2k Перейти к последнему сообщению

Нет новых непрочитанных сообщений в этой теме [Книга:] Лукас Майкл "FreeBSD. Подробное руководство"

в форуме Документация *nix

Raven

2

3393

06 фев 2012, 11:56

Raven Перейти к последнему сообщению

Нет новых непрочитанных сообщений в этой теме Доступен клиент мгновенного обмена сообщениями Tkabber 1.0

в форуме Новости *nix

[Ботя]

0

493

25 янв 2014, 00:00

Гость Перейти к последнему сообщению



Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Собрано Raven. Русская поддержка phpBB
phpBB SEO