Debian+squid + SAMS - помогите установить и настроить!!!

[favorite]

Имеется:
Локальная сеть - 192.168.0.0 / 24
Шлюз на Debian 5.0.4 - 192.168.0.1
5 пользователей (назовем 1 группа) с ip адресами 192.168.0.5 – 192.168.0.9
10 пользователей (назовем 2 группа) с ip адресами 192.168.0.10 -192.168.0.19
В общем, задача такая:
Нужно сделать так, чтобы для 1 группы были доступны как зона kg так и внешка, но для 2-х пользователей (с этой группы) надо урезать скорость (допустим для ip 192.168.0.6 и 192.168.0.7) или этих 2-х пользователей вынести в отдельную группу? .
Для 2 группы должна быть доступна только зона KG + урезанная скорость 
+ нужно чтобы трафик kg и внешний считались отдельно (на случай если шеф в конце месяца спросит (а он спросит), а че так много за инет вышло, я ему открою SAMS и пусть посмотрит, почему так много).

и еще установил пока только squid, конфиг не правил

[Infernal Flame]

деление по зонам средствами сквида очень геморройное занятие и крайне редко результативное. придется или резать весь траф, или писать стописяттыщмильёнов строк с подсетями и правилами для них. В итоге вылезет еще больший геморр... когда конфиг сквида будет больше по объему чем его кэш.

[favorite]

деление по зонам средствами сквида очень геморройное занятие и крайне редко результативное. придется или резать весь траф, или писать стописяттыщмильёнов строк с подсетями и правилами для них. В итоге вылезет еще больший геморр... когда конфиг сквида будет больше по объему чем его кэш.

Хорошо, на зоны делить не будем! Остальное как реализовать?

[Raven]

Пример простого squid.conf

Код: Выделить всё

#описываем стандартные acl
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 192.168.0.0/24 

#Расписываем зоны .kg
acl kg dst "/usr/local/etc/squid/kg-nets.txt"

# А здесь уже наши acl для пользователей
acl  users1 src /usr/local/etc/squid/kg-users.txt
acl  users2 src /usr/local/etc/squid/ext-users.txt
acl  users3 src /usr/local/etc/squid/shape-users.txt

#Расписываем диапазон разрешенных портов
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 5190
acl Safe_ports port 5222-5223
acl Safe_ports port 1025-65535

#Подрезаем рекламу (хиленько но работает)
acl BANNER url_regex banner reklama linkexch banpics us\.yimg\.com[\./]ad[s]?[\./]

#А теперь самое интересное - разделяй и властвуй!
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny localnet
http_access allow localhost
http_access allow users1 kg
http_access allow users2
http_access allow users3
http_access deny BANNER
http_access deny all

#Определяем порты сквида на которых будет прослушиваться внутренний интерфейс
http_port 3128
http_port 3129 transparent

hierarchy_stoplist cgi-bin ?
#Папка и обьем  кэша (100мб)
cache_dir ufs /var/cache/squid 100 16 256
coredump_dir /var/cache/squid
cache_mem 10 Mb

ftp_user anonymous
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

#Путь к логу и его формат
logformat combined %>a [%tl] "%rm %ru HTTP/%rv" %Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh
access_log /home/squid/access.log squid

#Видимое имя хоста (сквиду почему-то очень не нравится когда оно не указано)
visible_hostname gate.sysadmins.el.kg
#Путь к папке с ошибками
error_directory /usr/local/etc/squid/errors/Russian-1251

Содержимое файлов shape-users.txt, ext-users.txt и kg-users.txt заполняешь айпишниками в формате

Код: Выделить всё

192.168.0.5
192.168.0.6

и т.д.

Файлик kg-nets.txt скачиваешь с эльката по ссылке http://www.elcat.kg/ip/kg-nets.txt (желательно обновлять его почаще, а то наши провы любят подсети менять)

Что касается задержки. Тебе для чего? ограничить скорость или сократить расход траффика? Просто delay pool-ы SQUID не ограничивают скорость с которой SQUID тянет данные с сервера. Они только замедляют выдачу данных пользователю. Советую покурить в сторону QoS. Ну в общем, подумаем еще, вот в таком виде squid работать будет, но не будет ограничивать.

UPD: Поменяй все пути на свои

[favorite]

Raven
спасибо, на днях поробую

PS. был на больничном, поэтому так долго отписывался)

[zaka]

Всем доброго дня!
Все настроил работает ОТЛ. тока вот не удобно бегать настраивать у каждого юзера (45 маши, 3- этажа) можно ли сделать прозрачным с помощью NAT (SNAT)+IPtables??? если да то дайте пищу для размышление))))

ОС: CentOS 6.2 minimal x32, squid-3.1.10, iptables v1.4.7.
Сеть: eth0 192.168.0.10 (mir), eth1 10.10.0.1 (lan)

включил форвардинг и пробовал добавить что типа этого в IPTables

Код: Выделить всё

-A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.10
-A PREROUTING -p tcp -m tcp -s .10.10.0.0/24 --dport 80 -j REDIRECT --to-port 3128
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3128 -j ACCEPT

[Raven]

В любом случае тебе придется настраивать по крайней мере шлюз на юзерских машинах.

Код: Выделить всё

iptables -t nat -A PREROUTING -i eth0 -d ! 10.10.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 127.0.0.1:3129

[zaka]

пробовал сделать так:

[root@pc ~]# cat firewall.sh

Код: Выделить всё

#!/bin/bash

iptables -F
iptables -F -t nat
iptables -F -t mangle

iptables -X
iptables -X -t nat
iptables -X -t mangle

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -i lo -p all -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o lo -p all -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT

iptables -A INPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i eth1 -o eth0 -s 192.168.50.0/24 -p tcp -m multiport --dports 22,21,25,110,443

iptables -A FORWARD -i eth1 -o eth0 -s 192.168.50.0/24 -p udp -m multiport --dports 53

iptables -A INPUT -i eth1 -p ICMP -j ACCEPT
iptables -A OUTPUT -o eth1 -p ICMP -j ACCEPT

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -s 192.168.50.2/255.255.255.0 -j SNAT --to-source 192.168.0.10

http://akehayc.yvision.kz/post/243237

eth0: 192.168.0.10/24 (mir)
eth1: 192.168.50.2/24 (loc)

в винде IP 192.168.50.3/24, Шлюз 192.168.50.2

squid.conf http_port 3128 transparent
что делаю не так?

[Raven]

Маскарад включи

[zaka]

делал так:

Код: Выделить всё

echo "1" > /proc/sys/net/ipv4/ip_forward 
net.ipv4.ip_forward = 1