|
Need help - IPtables
Доброго времени суток знатоки )))
Существует некоторая проблемка, с настройкой IPtables Начну с того, что имеется сеть, в которую приходит интернет от 2 провайдеров. На две разные машины, будем называть их Sarkor и TPS. Sarkor является основным каналом, а TPS резервным. На Саркоре установлена система Ideco Internet Control Server, она настроена безупречно. На TPS уставновлена связка SQUID+MYSQL+APACHE+SAMS, и тоже работает отлично. Помимо них существует компьютер с Windows Server 2003, которые работает как DHCP, локальный DNS и Active Directory. Проблема заключается в том, что пользователи пользуются почтовыми клиентами, а как вы знаете почта не проксируется, и сквид здесь не помощник. С IPtables знаком только теоретически, все попытки добавлять правила были не удачными, надеюсь на помощь. Как сделать так, чтобы пользователи сидели в нете, через проксю TPS (squid), и одновременно пользовались почтовыми клиентами :dash2: Благодарю заранее. |
Цитата:
А вообще честно сказать я не понял зачем почту через прокси пускать? |
Я правильно понял, что надо через Iptables прозрачно пропускать весь трафик на 25 и 110 порту? Если да, то надо squid сделать прозрачным, разрешить на нем пропускать информацию по нужным портам (делается добавлением нужной acl в начале правил), а затем настроить iptables таким образом, чтобы все обращения на нужные порты перенаправлялись на порт сквида. Это в гугле, по запросу "прозрачный прокси-сервер squid".
Если неправильно понял, то просьба более детально все разъяснить |
Благодарю, за ответы, не было времени их обработать, Герман, вы правы, в принципе мне это и нужно. Как обработаю отпишусь обязательно
|
Доброй ночи, знатоки )) Хочу посоветоваться, делал ли кто-нибудь систему учета трафика на основе iptables, хотелось бы узнать, может у кого есть заготовки, или может кто посоветует какое-нибудь ПО. Ситуация такова:
Ubuntu 9.04-server (просто потому что репозитории бесплатные) - Стоит система учета трафика на основе SQUID, с авторизацией пользователей и паролей (обязательно), Также существует начальство, которое не желает пользоваться проксей, и писать имя пользователя и.т.д.... пара компов для которых открыто абсолютно все через iptables, 10 юзеров пользующиеся почтовыми клиентами в основном MS outlook, для них открыты порты 25 и 110, есть пользователи которые пользуются VPN соединениями до другого объекта и удаленным рабочим столом в качестве терминала, соответсвтенно порты 1723 и 3389 открыты для них.Вот для всей этой котовасии требуется учет. Жду советов ... Заранее благодарю. P.S. Не хочется изобретать велосипед |
Цитата:
Стоит прозрачный сквид. Трафик по всем портам, кроме хттп и фтп идет через роутер, весь проходящий трафик просматривается pmacctd, пишется в MySQL. Авторизация тупо по ип. Кроном запускается дикая конструкция из sh, php и сишного бинарника (собственно, идет постепенное мутирование в один бинарник), которая делает следующее: 1. Выцепляет необработанный кусок лога сквида, кладет в базу данных, попутно группируя запросы по домену. 2. Суммирует пакеты, записанные pmacctd, проверяет на предмет превышения квоты пользователем. 3. Просматривает таблицы разрешений пользователей, забаненых сайтов, исходя из них формирует конфиг сквида и изменения iptables, прогоняет их. Пользователи с оверквотой банятся iptables по всем портам, кроме 80, сквид этих пользователей редиректит на страничку с объяснениями. Забаненые сайты также редиректятся на отдельную страничку. 4. Ищет несовпадения ip и mac, дабы покарать особо умных. Пока не приходилось. Юзеры смотрят свою статистику браузером (скрипт на пхп), начальство и одмины имеют расширенный доступ к статистике по паролю. Напрягучесть в плане дискового пространства - около 1,5 гб логов в бд в месяц, с диска они чистятся. Напрягучесть в плане мозгов - машина с 2 гб и E4400 помимо роутинга двух внутренних сетей и трех внешних линков служит LDAP, файл-помойкой, астериском, сервером нескольких БД и обслуживает приблуды вроде CVS, чата и подобных мелочей без проблем. Небольшое подтормаживание мускуля наблюдается только в момент анализа выюзанного трафика. Могу объяснит поподробней и дать примеры скриптов. Не знаю, велосипед или нет. Есть аналогичная готовая система, но она ориентирована только на непрозрачный сквид. Забыл, как называется. |
Цитата:
2. После того, как трафик в мускуле можно делать всё что угодно(написав простую веб морду на том же пхп) - смотреть статистику, генерить отчёты итд 3. Весь софт есть в репозитариях убунту - атп-кэш сёрч улог |
Спасибо за подробное описание, Тимур, но Ваша система достаточно сложна в исполнении, и на ее создение особо нет времени, потому что это заставит в корне поменять конфиги моего роутера, для меня это никак не приемлимо, я не могу его останавливать, потому что он по совместительству еще и OPenVpn сервер, к нему филиалы соединяются...
Думаю здесь нет надобности написания дополнительный вебморды, больших скриптов, достаточно того, чтобы "что-то" сливало информацию об использованном трафике, в какой-нибудь файлик... Да и потом доступ к нету по паролю... это обязательное требование, потму что в нашей компании есть сотрудники которые не имеют стационарный комп, и садятся на чужие машины... но пользуют свой трафик. так что продолжаю поиск. Спасибо hrundel... буду пробовать |
Цитата:
|
Цитата:
Ну а прикрутить какой ни будь биллинг и веб-морду думаю проблем не составит. |
Цитата:
|
На понедельник, решил попробовать состряпать ulog+iptables, может что дельное и выйдет.
А на второе хочу посмотреть проект NiTraf... Продолжаются раскопки... |
Цитата:
Как совсем простой вариант,для любых извращений: на 2003-й сервак поставить Kerio и использовать оба канала,вплоть до разграничения по портам и ресурсам. Так же на нем ведется вся статистика. Второй вариант,посадить ISA Server,но на счет двух каналов незнаю. |
Цитата:
|
Прошу прощения, но первое сообщение этой темы уже исчерпало себя, та проблема была решена, на данный момент проблемой остается учет статичтики взятой из iptables.
Вчера пробовал поставить приблуду nitraf, пока застопорился на отображение cgi в браузере... как отобразятся они в браузере, так узнаем, считает он трафик или нет... Поиски продолжаются... |
Цитата:
Еще можно поискать связки счетчиков с MRTG. Sams довольно не плохо считает трафик,но насколько он вам подходит,хз. |
ну вот, вроде все, проблема решена... рассмотрел проект nitraf достаточно старая, но хорошая задумка, но немного не доделана, я думаю, что разобраться не составит труда, немного подковырять скриптики надо, под себя... а вообщем меня она устроила. Я думаю на сегодняшний момент тема исчерпана.... бедм тестить.. Ушел обкатывать nitraf )))
|
Решил не создавать отдельную тему....
Система Debian 4 IPTABLES(8) вот такой распрекрасной строчкой даю юзерам полный доступ в инет без прокси через шлюз: iptables -t nat -A POSTROUTING -o eth3 -s 192.168.1.20 -d ! 192.168.1.0/24 -j MASQUERADE где eth3 это интерфейс который ведёт в глобалку вопрос в следующем, как с помощью подобной строчки дать полный доступ юзеру, но только на один или два конкретных хоста? С уважением. |
Цитата:
|
Цитата:
Кстати в бета версии нитрафа я как раз использую связку улог+иптаблес - штука хорошая. |
Цитата:
|
eth0:0
Цитата:
|
метод шамана
Цитата:
Код:
iptables -t nat -A POSTROUTING -o eth3 -s 192.168.1.20 -d [целевой хост] -m comment --comment "domennoe_imya_hosta" -j MASQUERADE |
первый вариант (работает, но тут только ip)
iptables -t nat -A POSTROUTING -o eth3 -s 192.168.1.20 -d 213.180.204.8 -j MASQUERADE второй вариант (работает, но он полагаю не целесообразен, доступ возможен только к 213.180.204.8) iptables -t nat -A POSTROUTING -o eth3 -s 192.168.1.20 -d 213.180.204.8 -m comment --comment "ya.ru" -j MASQUERADE третий вариант (не работает) iptables -t nat -A POSTROUTING -o eth3 -s 192.168.1.20 -d -m comment --comment "ya.ru" -j MASQUERADE с одним доменом ассоциировано несколько ip адресов как например ya.ru, так как же разрешить доступ только по доменному имени |
Цитата:
|
Цитата:
|
Цитата:
Цитата:
|
Styler, ОК. Корпоративный DNS-сервер есть?
|
Цитата:
|
Цитата:
Простой пример: iptables -A INPUT -s mail.ru -j DROP результат DROP all -- 217.69.128.43 0.0.0.0/0 DROP all -- 217.69.128.44 0.0.0.0/0 DROP all -- 217.69.128.41 0.0.0.0/0 DROP all -- 217.69.128.42 0.0.0.0/0 |
Цитата:
Цитата:
Благодарю всех за внимание решение найдено |
новая проблема с iptables, не работают строки:
для проброски портов iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4899 -j DNAT --to-destination 192.168.0.6:4899 и интернет для юзверя без прокси iptables -t nat -A POSTROUTING -s 192.168.0.6 -d ! 192.168.0.0/24 -j MASQUERADE при этом строки добавляются без мата, как будто всё в порядке... Debian 4.0 iptables 1.3.6 |
спасение утопающих дело рук самих утопающих.
1. Надо включить форвардинг: #echo 1 > /proc/sys/net/ipv4/ip_forward 2. Что бы форвардинг работал после ребута: #vim /etc/sysctl.conf 3. Добавляем строку в конец файла: #net.ipv4.ip_forward = 1 |
|
Цитата:
|
| Текущее время: 19:49. Часовой пояс GMT +5. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод:
OOO «Единый интегратор UZINFOCOM»