Моё меню Общее меню Пользователи Правила форума Все прочитано
Вернуться   uForum.uz > ИКТ и телеком > Информационная безопасность
Знаете ли Вы, что ...
...для каждой темы существует свой раздел. Изучите структуру форума. Если соответствующего раздела нет, то всегда есть раздел "Разное" :)
<< Предыдущий совет - Случайный совет - Следующий совет >>

Информационная безопасность Вопросы по защите информации и данных в сетях телекоммуникаций


Ответить

 
Опции темы Опции просмотра
Старый 20.12.2012 12:30   #1  
Real ID Group
Аватар для Aziz Madetov
Оффлайн
Сообщений: 1,504
+ 3,004  1,175/528
– 55  21/17

Uzbekistan
Configure Нужна помощь в настройке Squid3+squidGuard и iptables

Имеются 2 условных сервера на Debian Squeeze, на обоих работает Squid3. Обозначим их "сервер А" и "сервер Б".

Сервер А выступает в роли интернет-шлюза, сервер Б виден только в ЛВС и выходит в инет через сервер А.

Есть две группы людей: первым необходимо дать доступ в инет (редирект через squidGuard), вторым — только Tas-IX. Для этого, первым в настройках сети прописан шлюз — ip сервера А, на котором через iptables выполняется редирект с порта 80 на порт Squid. Вторая группа "ходит" через Squid на сервере Б, который перенаправляет запросы на сервер А.

На сервере А в iptables прописано правило пускать сервер Б только на разрешенный диапазон ip серверов в Tas-IX, взятый отсюда:

Код:
...
iptables -A FORWARD -s 192.168.0.2/32 -d 31.135.208.0/21 -o eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2/32 -d 37.110.208.0/21 -o eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2/32 -d 46.227.120.0/21 -o eth1 -j ACCEPT
...
В принципе, такая схема работает исправно, но сейчас возникла необходимость задействовать сервер Б для других целей.

Вопрос: как организовать разделение на интернет/только Tas-IX средствами Squid3+sguidGuard на одном сервере?

Спасибо.
Ответить 
Старый 20.12.2012 13:40   #2  
Known ID Group
Аватар для Janbolat
Оффлайн
Джентльмен удачи
Доцент
Сообщений: 2,579
+ 2,956  3,517/943
– 70  50/42

UzbekistanМой мирFacebook
SAMS не подойдет? Там есть разделение на группы, каждой группе можно разрешать/запретить какие либо сайты точно не помню, но вроде по IP адресам тоже. Список IP адресов TAS-IX (подсетки) можно найти на любом местном треккере (туда обычно ставять для айпифильтра)
Ответить 
Старый 20.12.2012 13:43   #3  
Real ID Group
Аватар для Aziz Madetov
Оффлайн
Сообщений: 1,504
+ 3,004  1,175/528
– 55  21/17

Uzbekistan
Цитата:
Сообщение от Janbolat Посмотреть сообщение
SAMS не подойдет?
SAMS в связке с Rejik работает. Не вариант, так как диапазоны (маски) из приведенного выше куска скрипта не понимает. IP нужно вбивать поштучно.
Ответить 
Старый 20.12.2012 13:59   #4  
Аватар для Фёдор
Оффлайн
Сообщений: 702
+ 99  466/226
– 17  93/54

Uzbekistan
В через сквид разрешаешь ходить только тем кому можно в интернет
в айпитаблес пускаешь МИМО сквида весь трафик таш икс, остальное отправляешь на сквид.
Ответить 
Старый 20.12.2012 14:04   #5  
Real ID Group
Аватар для Aziz Madetov
Оффлайн
Сообщений: 1,504
+ 3,004  1,175/528
– 55  21/17

Uzbekistan
Цитата:
Сообщение от Фёдор Посмотреть сообщение
В через сквид разрешаешь ходить только тем кому можно в интернет
в айпитаблес пускаешь МИМО сквида весь трафик таш икс, остальное отправляешь на сквид.
И что получится? То, что имеем в условии? Сейчас итак трафик делится на через сквид/мимо сквида, посредством двух серверов. Мне нужно, чтобы весь трафик, раделенный на мир и Tas-IX шел через сквид на одном сервере, так как и контент резать нужно, и статистику вести.
Ответить 
Старый 20.12.2012 14:09   #6  
Аватар для Фёдор
Оффлайн
Сообщений: 702
+ 99  466/226
– 17  93/54

Uzbekistan
контект резать и через айпитаблес нужно, у нас до динамикднс ещё не дожили.
первоначально можно было бы обойдись одной кастрюлей.
А получится то что и просил, боги в инет, смертные сюда на форум.
Ответить 
"–" от:
Старый 20.12.2012 14:14   #7  
Real ID Group Ultimate ex-wild_John
Супермодератор
Аватар для German Stimban
Оффлайн
Центр программистов Bepro
Начальник отдела
Сообщений: 8,039
+ 4,910  6,509/2,845
– 298  135/90

UzbekistanОтправить сообщение для German Stimban с помощью ICQОтправить сообщение для German Stimban с помощью Skype™LiveJournal
Цитата:
Сообщение от Aziz Madetov Посмотреть сообщение
Вопрос: как организовать разделение на интернет/только Tas-IX средствами Squid3+sguidGuard на одном сервере?
Цитата:
Сообщение от Фёдор Посмотреть сообщение
В через сквид разрешаешь ходить только тем кому можно в интернет
Цитата:
Сообщение от Фёдор Посмотреть сообщение
в айпитаблес пускаешь МИМО сквида весь трафик таш икс, остальное отправляешь на сквид.
Лучше всё реализовать одним сквидом, а iptables развернуть всех на сквид. Конфиг сквида будет вида
Код:
...
acl net_access src ИП-адреса тех, кому полный доступ
acl tasix_access src ИП-адреса тех кому только TAS-IX
acl tasix_net dst ИП-адреса сеток TAS-Ix (можно сослаться на отдельный файл)

http_access allow tasix_access tasix_net
http_access deny tasix_access
http_access allow net_access
...
__________________
Герман - это не имя, это особое состояние души (Джим Анджер)
Ответить 
"+" от:
Реклама и уведомления
Старый 20.12.2012 14:22   #8  
Real ID Group
Аватар для Aziz Madetov
Оффлайн
Сообщений: 1,504
+ 3,004  1,175/528
– 55  21/17

Uzbekistan
Цитата:
Сообщение от German Stimban Посмотреть сообщение
Лучше всё реализовать одним сквидом, а iptables развернуть всех на сквид. Конфиг сквида будет вида
Код:
...
acl net_access src ИП-адреса тех, кому полный доступ
acl tasix_access src ИП-адреса тех кому только TAS-IX
acl tasix_net dst ИП-адреса сеток TAS-Ix (можно сослаться на отдельный файл)

http_access allow tasix_access tasix_net
http_access deny tasix_access
http_access allow net_access
...
В конфиге squidGuard это уже прописано. Мне интересно, как вбить именно диапазон ip по маске типа 1.2.3.4/21, чтобы не вбивать все 2046 адресов. Если указать в domainlist — не прокатит, нужно по-другому. Но как?!
Ответить 
Старый 20.12.2012 14:38   #9  
Real ID Group Ultimate ex-wild_John
Супермодератор
Аватар для German Stimban
Оффлайн
Центр программистов Bepro
Начальник отдела
Сообщений: 8,039
+ 4,910  6,509/2,845
– 298  135/90

UzbekistanОтправить сообщение для German Stimban с помощью ICQОтправить сообщение для German Stimban с помощью Skype™LiveJournal
Цитата:
Сообщение от Aziz Madetov Посмотреть сообщение
Мне интересно, как вбить именно диапазон ip по маске типа 1.2.3.4/21, чтобы не вбивать все 2046 адресов.
1-й способ
Код:
acl tasix_net dst 1.2.3.4/21
2-й способ
Код:
acl tasix_net dst 1.2.3.4/255.255.248.0
3-й способ
Код:
acl tasix_net dst "путь_к_файлу_с_перечисленными_сетками"
__________________
Герман - это не имя, это особое состояние души (Джим Анджер)
Ответить 
Старый 20.12.2012 16:45   #10  
Real ID Group
Аватар для Aziz Madetov
Оффлайн
Сообщений: 1,504
+ 3,004  1,175/528
– 55  21/17

Uzbekistan
Цитата:
Сообщение от German Stimban Посмотреть сообщение
Код:
acl tasix_net dst 1.2.3.4/21
Код:
acl tasix_net dst 1.2.3.4/255.255.248.0
Код:
acl tasix_net dst "путь_к_файлу_с_перечисленными_сетками"
Ни один из указанных способов не прокатил. Будем искать ©

Последний раз редактировалось Aziz Madetov; 20.12.2012 в 16:51.
Ответить 
Ответить
Опции темы
Опции просмотра




Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot
Advertisement System V2.5 By Branden
OOO «Единый интегратор UZINFOCOM»


Новые 24 часа Кто на форуме Новички Поиск Кабинет Все прочитано Вверх