Debian+squid + SAMS - помогите установить и настроить!!!

Операционки на базе Unix
favorite
Юзер
Юзер
Posts: 73
Joined: 12 Nov 2010, 13:56

Debian+squid + SAMS - помогите установить и настроить!!!

Post by favorite » 12 Nov 2010, 14:05

Имеется:
Локальная сеть - 192.168.0.0 / 24
Шлюз на Debian 5.0.4 - 192.168.0.1
5 пользователей (назовем 1 группа) с ip адресами 192.168.0.5 – 192.168.0.9
10 пользователей (назовем 2 группа) с ip адресами 192.168.0.10 -192.168.0.19
В общем, задача такая:
Нужно сделать так, чтобы для 1 группы были доступны как зона kg так и внешка, но для 2-х пользователей (с этой группы) надо урезать скорость (допустим для ip 192.168.0.6 и 192.168.0.7) или этих 2-х пользователей вынести в отдельную группу? .
Для 2 группы должна быть доступна только зона KG + урезанная скорость 
+ нужно чтобы трафик kg и внешний считались отдельно (на случай если шеф в конце месяца спросит (а он спросит), а че так много за инет вышло, я ему открою SAMS и пусть посмотрит, почему так много).

и еще установил пока только squid, конфиг не правил
User avatar
Infernal Flame
Злой Модер
Posts: 1796
Joined: 03 Mar 2010, 11:25
ОС: Centos 7
Contact:

Re: Debian+squid + SAMS - помогите установить и настроить!!!

Post by Infernal Flame » 12 Nov 2010, 17:25

деление по зонам средствами сквида очень геморройное занятие и крайне редко результативное. придется или резать весь траф, или писать стописяттыщмильёнов строк с подсетями и правилами для них. В итоге вылезет еще больший геморр... когда конфиг сквида будет больше по объему чем его кэш.
Image
Image
Work: Centos 7 х 'all Servers'
favorite
Юзер
Юзер
Posts: 73
Joined: 12 Nov 2010, 13:56

Re: Debian+squid + SAMS - помогите установить и настроить!!!

Post by favorite » 13 Nov 2010, 09:13

деление по зонам средствами сквида очень геморройное занятие и крайне редко результативное. придется или резать весь траф, или писать стописяттыщмильёнов строк с подсетями и правилами для них. В итоге вылезет еще больший геморр... когда конфиг сквида будет больше по объему чем его кэш.
Хорошо, на зоны делить не будем! Остальное как реализовать?
User avatar
Raven
Бородатый сис
Бородатый сис
Posts: 2794
Joined: 03 Mar 2010, 15:12
ОС: RHEL 8
Location: Из серверной

Re: Debian+squid + SAMS - помогите установить и настроить!!!

Post by Raven » 13 Nov 2010, 09:49

Пример простого squid.conf

Code: Select all

#описываем стандартные acl
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 192.168.0.0/24 

#Расписываем зоны .kg
acl kg dst "/usr/local/etc/squid/kg-nets.txt"

# А здесь уже наши acl для пользователей
acl  users1 src /usr/local/etc/squid/kg-users.txt
acl  users2 src /usr/local/etc/squid/ext-users.txt
acl  users3 src /usr/local/etc/squid/shape-users.txt

#Расписываем диапазон разрешенных портов
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 5190
acl Safe_ports port 5222-5223
acl Safe_ports port 1025-65535

#Подрезаем рекламу (хиленько но работает)
acl BANNER url_regex banner reklama linkexch banpics us\.yimg\.com[\./]ad[s]?[\./]

#А теперь самое интересное - разделяй и властвуй!
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny localnet
http_access allow localhost
http_access allow users1 kg
http_access allow users2
http_access allow users3
http_access deny BANNER
http_access deny all

#Определяем порты сквида на которых будет прослушиваться внутренний интерфейс
http_port 3128
http_port 3129 transparent

hierarchy_stoplist cgi-bin ?
#Папка и обьем  кэша (100мб)
cache_dir ufs /var/cache/squid 100 16 256
coredump_dir /var/cache/squid
cache_mem 10 Mb

ftp_user anonymous
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

#Путь к логу и его формат
logformat combined %>a [%tl] "%rm %ru HTTP/%rv" %Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh
access_log /home/squid/access.log squid

#Видимое имя хоста (сквиду почему-то очень не нравится когда оно не указано)
visible_hostname gate.sysadmins.el.kg
#Путь к папке с ошибками
error_directory /usr/local/etc/squid/errors/Russian-1251
Содержимое файлов shape-users.txt, ext-users.txt и kg-users.txt заполняешь айпишниками в формате

Code: Select all

192.168.0.5
192.168.0.6
и т.д.

Файлик kg-nets.txt скачиваешь с эльката по ссылке http://www.elcat.kg/ip/kg-nets.txt (желательно обновлять его почаще, а то наши провы любят подсети менять)

Что касается задержки. Тебе для чего? ограничить скорость или сократить расход траффика? Просто delay pool-ы SQUID не ограничивают скорость с которой SQUID тянет данные с сервера. Они только замедляют выдачу данных пользователю. Советую покурить в сторону QoS. Ну в общем, подумаем еще, вот в таком виде squid работать будет, но не будет ограничивать.

UPD: Поменяй все пути на свои
Я не злопамятный, я просто часто ковыряю логи
favorite
Юзер
Юзер
Posts: 73
Joined: 12 Nov 2010, 13:56

Re: Debian+squid + SAMS - помогите установить и настроить!!!

Post by favorite » 06 Dec 2010, 15:22

Raven
спасибо, на днях поробую

PS. был на больничном, поэтому так долго отписывался)
User avatar
zaka
Эникейщик
Эникейщик
Posts: 461
Joined: 19 May 2010, 08:52

Re: Debian+squid + SAMS - помогите установить и настроить!!!

Post by zaka » 16 May 2012, 11:34

Всем доброго дня!
Все настроил работает ОТЛ. тока вот не удобно бегать настраивать у каждого юзера (45 маши, 3- этажа) можно ли сделать прозрачным с помощью NAT (SNAT)+IPtables??? если да то дайте пищу для размышление))))

ОС: CentOS 6.2 minimal x32, squid-3.1.10, iptables v1.4.7.
Сеть: eth0 192.168.0.10 (mir), eth1 10.10.0.1 (lan)

включил форвардинг и пробовал добавить что типа этого в IPTables

Code: Select all

-A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.10
-A PREROUTING -p tcp -m tcp -s .10.10.0.0/24 --dport 80 -j REDIRECT --to-port 3128
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3128 -j ACCEPT
Помни прошлое, живи настоящим и думай о будущем.
Image
User avatar
Raven
Бородатый сис
Бородатый сис
Posts: 2794
Joined: 03 Mar 2010, 15:12
ОС: RHEL 8
Location: Из серверной

Re: Debian+squid + SAMS - помогите установить и настроить!!!

Post by Raven » 16 May 2012, 13:20

В любом случае тебе придется настраивать по крайней мере шлюз на юзерских машинах.

Code: Select all

iptables -t nat -A PREROUTING -i eth0 -d ! 10.10.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 127.0.0.1:3129
Я не злопамятный, я просто часто ковыряю логи
User avatar
zaka
Эникейщик
Эникейщик
Posts: 461
Joined: 19 May 2010, 08:52

Re: Debian+squid + SAMS - помогите установить и настроить!!!

Post by zaka » 17 May 2012, 19:10

пробовал сделать так:

[root@pc ~]# cat firewall.sh

Code: Select all

#!/bin/bash

iptables -F
iptables -F -t nat
iptables -F -t mangle

iptables -X
iptables -X -t nat
iptables -X -t mangle

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -i lo -p all -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o lo -p all -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT

iptables -A INPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i eth1 -o eth0 -s 192.168.50.0/24 -p tcp -m multiport --dports 22,21,25,110,443

iptables -A FORWARD -i eth1 -o eth0 -s 192.168.50.0/24 -p udp -m multiport --dports 53

iptables -A INPUT -i eth1 -p ICMP -j ACCEPT
iptables -A OUTPUT -o eth1 -p ICMP -j ACCEPT

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -s 192.168.50.2/255.255.255.0 -j SNAT --to-source 192.168.0.10
http://akehayc.yvision.kz/post/243237

eth0: 192.168.0.10/24 (mir)
eth1: 192.168.50.2/24 (loc)

в винде IP 192.168.50.3/24, Шлюз 192.168.50.2

squid.conf http_port 3128 transparent
что делаю не так?
Помни прошлое, живи настоящим и думай о будущем.
Image
User avatar
Raven
Бородатый сис
Бородатый сис
Posts: 2794
Joined: 03 Mar 2010, 15:12
ОС: RHEL 8
Location: Из серверной

Re: Debian+squid + SAMS - помогите установить и настроить!!!

Post by Raven » 18 May 2012, 08:40

Маскарад включи
Я не злопамятный, я просто часто ковыряю логи
User avatar
zaka
Эникейщик
Эникейщик
Posts: 461
Joined: 19 May 2010, 08:52

Re: Debian+squid + SAMS - помогите установить и настроить!!!

Post by zaka » 18 May 2012, 14:22

делал так:

Code: Select all

echo "1" > /proc/sys/net/ipv4/ip_forward 
net.ipv4.ip_forward = 1
Помни прошлое, живи настоящим и думай о будущем.
Image
Post Reply