Страница 1 из 4
Debian+squid + SAMS - помогите установить и настроить!!!
Добавлено: 12 ноя 2010, 14:05
favorite
Имеется:
Локальная сеть - 192.168.0.0 / 24
Шлюз на Debian 5.0.4 - 192.168.0.1
5 пользователей (назовем 1 группа) с ip адресами 192.168.0.5 – 192.168.0.9
10 пользователей (назовем 2 группа) с ip адресами 192.168.0.10 -192.168.0.19
В общем, задача такая:
Нужно сделать так, чтобы для 1 группы были доступны как зона kg так и внешка, но для 2-х пользователей (с этой группы) надо урезать скорость (допустим для ip 192.168.0.6 и 192.168.0.7) или этих 2-х пользователей вынести в отдельную группу? .
Для 2 группы должна быть доступна только зона KG + урезанная скорость
+ нужно чтобы трафик kg и внешний считались отдельно (на случай если шеф в конце месяца спросит (а он спросит), а че так много за инет вышло, я ему открою SAMS и пусть посмотрит, почему так много).
и еще установил пока только squid, конфиг не правил
Re: Debian+squid + SAMS - помогите установить и настроить!!!
Добавлено: 12 ноя 2010, 17:25
Infernal Flame
деление по зонам средствами сквида очень геморройное занятие и крайне редко результативное. придется или резать весь траф, или писать стописяттыщмильёнов строк с подсетями и правилами для них. В итоге вылезет еще больший геморр... когда конфиг сквида будет больше по объему чем его кэш.
Re: Debian+squid + SAMS - помогите установить и настроить!!!
Добавлено: 13 ноя 2010, 09:13
favorite
деление по зонам средствами сквида очень геморройное занятие и крайне редко результативное. придется или резать весь траф, или писать стописяттыщмильёнов строк с подсетями и правилами для них. В итоге вылезет еще больший геморр... когда конфиг сквида будет больше по объему чем его кэш.
Хорошо, на зоны делить не будем! Остальное как реализовать?
Re: Debian+squid + SAMS - помогите установить и настроить!!!
Добавлено: 13 ноя 2010, 09:49
Raven
Пример простого squid.conf
Код: Выделить всё
#описываем стандартные acl
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 192.168.0.0/24
#Расписываем зоны .kg
acl kg dst "/usr/local/etc/squid/kg-nets.txt"
# А здесь уже наши acl для пользователей
acl users1 src /usr/local/etc/squid/kg-users.txt
acl users2 src /usr/local/etc/squid/ext-users.txt
acl users3 src /usr/local/etc/squid/shape-users.txt
#Расписываем диапазон разрешенных портов
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 5190
acl Safe_ports port 5222-5223
acl Safe_ports port 1025-65535
#Подрезаем рекламу (хиленько но работает)
acl BANNER url_regex banner reklama linkexch banpics us\.yimg\.com[\./]ad[s]?[\./]
#А теперь самое интересное - разделяй и властвуй!
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny localnet
http_access allow localhost
http_access allow users1 kg
http_access allow users2
http_access allow users3
http_access deny BANNER
http_access deny all
#Определяем порты сквида на которых будет прослушиваться внутренний интерфейс
http_port 3128
http_port 3129 transparent
hierarchy_stoplist cgi-bin ?
#Папка и обьем кэша (100мб)
cache_dir ufs /var/cache/squid 100 16 256
coredump_dir /var/cache/squid
cache_mem 10 Mb
ftp_user anonymous
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
#Путь к логу и его формат
logformat combined %>a [%tl] "%rm %ru HTTP/%rv" %Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh
access_log /home/squid/access.log squid
#Видимое имя хоста (сквиду почему-то очень не нравится когда оно не указано)
visible_hostname gate.sysadmins.el.kg
#Путь к папке с ошибками
error_directory /usr/local/etc/squid/errors/Russian-1251
Содержимое файлов shape-users.txt, ext-users.txt и kg-users.txt заполняешь айпишниками в формате
и т.д.
Файлик kg-nets.txt скачиваешь с эльката по ссылке
http://www.elcat.kg/ip/kg-nets.txt (желательно обновлять его почаще, а то наши провы любят подсети менять)
Что касается задержки. Тебе для чего? ограничить скорость или сократить расход траффика? Просто delay pool-ы SQUID не ограничивают скорость с которой SQUID тянет данные с сервера. Они только замедляют выдачу данных пользователю. Советую покурить в сторону QoS. Ну в общем, подумаем еще, вот в таком виде squid работать будет, но не будет ограничивать.
UPD: Поменяй все пути на свои
Re: Debian+squid + SAMS - помогите установить и настроить!!!
Добавлено: 06 дек 2010, 15:22
favorite
Raven
спасибо, на днях поробую
PS. был на больничном, поэтому так долго отписывался)
Re: Debian+squid + SAMS - помогите установить и настроить!!!
Добавлено: 16 май 2012, 11:34
zaka
Всем доброго дня!
Все настроил работает ОТЛ. тока вот не удобно бегать настраивать у каждого юзера (45 маши, 3- этажа) можно ли сделать прозрачным с помощью NAT (SNAT)+IPtables??? если да то дайте пищу для размышление))))
ОС: CentOS 6.2 minimal x32, squid-3.1.10, iptables v1.4.7.
Сеть: eth0 192.168.0.10 (mir), eth1 10.10.0.1 (lan)
включил форвардинг и пробовал добавить что типа этого в IPTables
Код: Выделить всё
-A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.10
-A PREROUTING -p tcp -m tcp -s .10.10.0.0/24 --dport 80 -j REDIRECT --to-port 3128
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3128 -j ACCEPT
Re: Debian+squid + SAMS - помогите установить и настроить!!!
Добавлено: 16 май 2012, 13:20
Raven
В любом случае тебе придется настраивать по крайней мере шлюз на юзерских машинах.
Код: Выделить всё
iptables -t nat -A PREROUTING -i eth0 -d ! 10.10.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 127.0.0.1:3129
Re: Debian+squid + SAMS - помогите установить и настроить!!!
Добавлено: 17 май 2012, 19:10
zaka
пробовал сделать так:
[root@pc ~]# cat firewall.sh
Код: Выделить всё
#!/bin/bash
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -X -t nat
iptables -X -t mangle
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -p all -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o lo -p all -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
iptables -A INPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -s 192.168.50.0/24 -p tcp -m multiport --dports 22,21,25,110,443
iptables -A FORWARD -i eth1 -o eth0 -s 192.168.50.0/24 -p udp -m multiport --dports 53
iptables -A INPUT -i eth1 -p ICMP -j ACCEPT
iptables -A OUTPUT -o eth1 -p ICMP -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -s 192.168.50.2/255.255.255.0 -j SNAT --to-source 192.168.0.10
http://akehayc.yvision.kz/post/243237
eth0: 192.168.0.10/24 (mir)
eth1: 192.168.50.2/24 (loc)
в винде IP 192.168.50.3/24, Шлюз 192.168.50.2
squid.conf http_port 3128 transparent
что делаю не так?
Re: Debian+squid + SAMS - помогите установить и настроить!!!
Добавлено: 18 май 2012, 08:40
Raven
Маскарад включи
Re: Debian+squid + SAMS - помогите установить и настроить!!!
Добавлено: 18 май 2012, 14:22
zaka
делал так:
Код: Выделить всё
echo "1" > /proc/sys/net/ipv4/ip_forward
net.ipv4.ip_forward = 1