uForum.uz
Страница 1 из 4 1 234
Показывать 40 сообщений этой темы на одной странице

uForum.uz (https://uforum.uz/index.php)
-   Информационная безопасность (https://uforum.uz/forumdisplay.php?f=125)
-   -   [Проблема] Нужна помощь в настройке Squid3+squidGuard и iptables (https://uforum.uz/showthread.php?t=18960)

Aziz Madetov 20.12.2012 12:30
Нужна помощь в настройке Squid3+squidGuard и iptables
 
Имеются 2 условных сервера на Debian Squeeze, на обоих работает Squid3. Обозначим их "сервер А" и "сервер Б".

Сервер А выступает в роли интернет-шлюза, сервер Б виден только в ЛВС и выходит в инет через сервер А.

Есть две группы людей: первым необходимо дать доступ в инет (редирект через squidGuard), вторым — только Tas-IX. Для этого, первым в настройках сети прописан шлюз — ip сервера А, на котором через iptables выполняется редирект с порта 80 на порт Squid. Вторая группа "ходит" через Squid на сервере Б, который перенаправляет запросы на сервер А.

На сервере А в iptables прописано правило пускать сервер Б только на разрешенный диапазон ip серверов в Tas-IX, взятый отсюда:

Код:
...
iptables -A FORWARD -s 192.168.0.2/32 -d 31.135.208.0/21 -o eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2/32 -d 37.110.208.0/21 -o eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2/32 -d 46.227.120.0/21 -o eth1 -j ACCEPT
...
В принципе, такая схема работает исправно, но сейчас возникла необходимость задействовать сервер Б для других целей.

Вопрос: как организовать разделение на интернет/только Tas-IX средствами Squid3+sguidGuard на одном сервере?

Спасибо.

Janbolat 20.12.2012 13:40
SAMS не подойдет? Там есть разделение на группы, каждой группе можно разрешать/запретить какие либо сайты точно не помню, но вроде по IP адресам тоже. Список IP адресов TAS-IX (подсетки) можно найти на любом местном треккере (туда обычно ставять для айпифильтра)

Aziz Madetov 20.12.2012 13:43
Цитата:
Сообщение от Janbolat (Сообщение 838520)
SAMS не подойдет?
SAMS в связке с Rejik работает. Не вариант, так как диапазоны (маски) из приведенного выше куска скрипта не понимает. IP нужно вбивать поштучно.

Фёдор 20.12.2012 13:59
В через сквид разрешаешь ходить только тем кому можно в интернет
в айпитаблес пускаешь МИМО сквида весь трафик таш икс, остальное отправляешь на сквид.

Aziz Madetov 20.12.2012 14:04
Цитата:
Сообщение от Фёдор (Сообщение 838526)
В через сквид разрешаешь ходить только тем кому можно в интернет
в айпитаблес пускаешь МИМО сквида весь трафик таш икс, остальное отправляешь на сквид.
И что получится? То, что имеем в условии? Сейчас итак трафик делится на через сквид/мимо сквида, посредством двух серверов. Мне нужно, чтобы весь трафик, раделенный на мир и Tas-IX шел через сквид на одном сервере, так как и контент резать нужно, и статистику вести.

Фёдор 20.12.2012 14:09
контект резать и через айпитаблес нужно, у нас до динамикднс ещё не дожили.
первоначально можно было бы обойдись одной кастрюлей.
А получится то что и просил, боги в инет, смертные сюда на форум.

German Stimban 20.12.2012 14:14
Цитата:
Сообщение от Aziz Madetov (Сообщение 838473)
Вопрос: как организовать разделение на интернет/только Tas-IX средствами Squid3+sguidGuard на одном сервере?
Цитата:
Сообщение от Фёдор (Сообщение 838526)
В через сквид разрешаешь ходить только тем кому можно в интернет
Цитата:
Сообщение от Фёдор (Сообщение 838526)
в айпитаблес пускаешь МИМО сквида весь трафик таш икс, остальное отправляешь на сквид.
Лучше всё реализовать одним сквидом, а iptables развернуть всех на сквид. Конфиг сквида будет вида
Код:
...
acl net_access src ИП-адреса тех, кому полный доступ
acl tasix_access src ИП-адреса тех кому только TAS-IX
acl tasix_net dst ИП-адреса сеток TAS-Ix (можно сослаться на отдельный файл)

http_access allow tasix_access tasix_net
http_access deny tasix_access
http_access allow net_access
...

Aziz Madetov 20.12.2012 14:22
Цитата:
Сообщение от German Stimban (Сообщение 838534)
Лучше всё реализовать одним сквидом, а iptables развернуть всех на сквид. Конфиг сквида будет вида
Код:
...
acl net_access src ИП-адреса тех, кому полный доступ
acl tasix_access src ИП-адреса тех кому только TAS-IX
acl tasix_net dst ИП-адреса сеток TAS-Ix (можно сослаться на отдельный файл)

http_access allow tasix_access tasix_net
http_access deny tasix_access
http_access allow net_access
...
В конфиге squidGuard это уже прописано. Мне интересно, как вбить именно диапазон ip по маске типа 1.2.3.4/21, чтобы не вбивать все 2046 адресов. Если указать в domainlist — не прокатит, нужно по-другому. Но как?! :dash2:

German Stimban 20.12.2012 14:38
Цитата:
Сообщение от Aziz Madetov (Сообщение 838537)
Мне интересно, как вбить именно диапазон ip по маске типа 1.2.3.4/21, чтобы не вбивать все 2046 адресов.
1-й способ
Код:
acl tasix_net dst 1.2.3.4/21
2-й способ
Код:
acl tasix_net dst 1.2.3.4/255.255.248.0
3-й способ
Код:
acl tasix_net dst "путь_к_файлу_с_перечисленными_сетками"

Aziz Madetov 20.12.2012 16:45
Цитата:
Сообщение от German Stimban (Сообщение 838544)
Код:
acl tasix_net dst 1.2.3.4/21
Код:
acl tasix_net dst 1.2.3.4/255.255.248.0
Код:
acl tasix_net dst "путь_к_файлу_с_перечисленными_сетками"
Ни один из указанных способов не прокатил. Будем искать ©


Текущее время: 00:05. Часовой пояс GMT +5.
Страница 1 из 4 1 234
Показывать 40 сообщений этой темы на одной странице

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot
OOO «Единый интегратор UZINFOCOM»