Need help - IPtables
Доброго времени суток знатоки )))
Существует некоторая проблемка, с настройкой IPtables Начну с того, что имеется сеть, в которую приходит интернет от 2 провайдеров. На две разные машины, будем называть их Sarkor и TPS. Sarkor является основным каналом, а TPS резервным. На Саркоре установлена система Ideco Internet Control Server, она настроена безупречно. На TPS уставновлена связка SQUID+MYSQL+APACHE+SAMS, и тоже работает отлично. Помимо них существует компьютер с Windows Server 2003, которые работает как DHCP, локальный DNS и Active Directory. Проблема заключается в том, что пользователи пользуются почтовыми клиентами, а как вы знаете почта не проксируется, и сквид здесь не помощник. С IPtables знаком только теоретически, все попытки добавлять правила были не удачными, надеюсь на помощь. Как сделать так, чтобы пользователи сидели в нете, через проксю TPS (squid), и одновременно пользовались почтовыми клиентами :dash2: Благодарю заранее. |
Цитата:
А вообще честно сказать я не понял зачем почту через прокси пускать? |
Я правильно понял, что надо через Iptables прозрачно пропускать весь трафик на 25 и 110 порту? Если да, то надо squid сделать прозрачным, разрешить на нем пропускать информацию по нужным портам (делается добавлением нужной acl в начале правил), а затем настроить iptables таким образом, чтобы все обращения на нужные порты перенаправлялись на порт сквида. Это в гугле, по запросу "прозрачный прокси-сервер squid".
Если неправильно понял, то просьба более детально все разъяснить |
Благодарю, за ответы, не было времени их обработать, Герман, вы правы, в принципе мне это и нужно. Как обработаю отпишусь обязательно
|
Доброй ночи, знатоки )) Хочу посоветоваться, делал ли кто-нибудь систему учета трафика на основе iptables, хотелось бы узнать, может у кого есть заготовки, или может кто посоветует какое-нибудь ПО. Ситуация такова:
Ubuntu 9.04-server (просто потому что репозитории бесплатные) - Стоит система учета трафика на основе SQUID, с авторизацией пользователей и паролей (обязательно), Также существует начальство, которое не желает пользоваться проксей, и писать имя пользователя и.т.д.... пара компов для которых открыто абсолютно все через iptables, 10 юзеров пользующиеся почтовыми клиентами в основном MS outlook, для них открыты порты 25 и 110, есть пользователи которые пользуются VPN соединениями до другого объекта и удаленным рабочим столом в качестве терминала, соответсвтенно порты 1723 и 3389 открыты для них.Вот для всей этой котовасии требуется учет. Жду советов ... Заранее благодарю. P.S. Не хочется изобретать велосипед |
Цитата:
Стоит прозрачный сквид. Трафик по всем портам, кроме хттп и фтп идет через роутер, весь проходящий трафик просматривается pmacctd, пишется в MySQL. Авторизация тупо по ип. Кроном запускается дикая конструкция из sh, php и сишного бинарника (собственно, идет постепенное мутирование в один бинарник), которая делает следующее: 1. Выцепляет необработанный кусок лога сквида, кладет в базу данных, попутно группируя запросы по домену. 2. Суммирует пакеты, записанные pmacctd, проверяет на предмет превышения квоты пользователем. 3. Просматривает таблицы разрешений пользователей, забаненых сайтов, исходя из них формирует конфиг сквида и изменения iptables, прогоняет их. Пользователи с оверквотой банятся iptables по всем портам, кроме 80, сквид этих пользователей редиректит на страничку с объяснениями. Забаненые сайты также редиректятся на отдельную страничку. 4. Ищет несовпадения ip и mac, дабы покарать особо умных. Пока не приходилось. Юзеры смотрят свою статистику браузером (скрипт на пхп), начальство и одмины имеют расширенный доступ к статистике по паролю. Напрягучесть в плане дискового пространства - около 1,5 гб логов в бд в месяц, с диска они чистятся. Напрягучесть в плане мозгов - машина с 2 гб и E4400 помимо роутинга двух внутренних сетей и трех внешних линков служит LDAP, файл-помойкой, астериском, сервером нескольких БД и обслуживает приблуды вроде CVS, чата и подобных мелочей без проблем. Небольшое подтормаживание мускуля наблюдается только в момент анализа выюзанного трафика. Могу объяснит поподробней и дать примеры скриптов. Не знаю, велосипед или нет. Есть аналогичная готовая система, но она ориентирована только на непрозрачный сквид. Забыл, как называется. |
Цитата:
2. После того, как трафик в мускуле можно делать всё что угодно(написав простую веб морду на том же пхп) - смотреть статистику, генерить отчёты итд 3. Весь софт есть в репозитариях убунту - атп-кэш сёрч улог |
Спасибо за подробное описание, Тимур, но Ваша система достаточно сложна в исполнении, и на ее создение особо нет времени, потому что это заставит в корне поменять конфиги моего роутера, для меня это никак не приемлимо, я не могу его останавливать, потому что он по совместительству еще и OPenVpn сервер, к нему филиалы соединяются...
Думаю здесь нет надобности написания дополнительный вебморды, больших скриптов, достаточно того, чтобы "что-то" сливало информацию об использованном трафике, в какой-нибудь файлик... Да и потом доступ к нету по паролю... это обязательное требование, потму что в нашей компании есть сотрудники которые не имеют стационарный комп, и садятся на чужие машины... но пользуют свой трафик. так что продолжаю поиск. Спасибо hrundel... буду пробовать |
Цитата:
|
Цитата:
Ну а прикрутить какой ни будь биллинг и веб-морду думаю проблем не составит. |
Текущее время: 22:38. Часовой пояс GMT +5. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод:
OOO «Единый интегратор UZINFOCOM»