uForum.uz

uForum.uz (https://uforum.uz/index.php)
-   OpenSource (https://uforum.uz/forumdisplay.php?f=158)
-   -   Need help - IPtables (https://uforum.uz/showthread.php?t=9433)

Maxim_ka 10.06.2009 12:38

Need help - IPtables
 
Доброго времени суток знатоки )))

Существует некоторая проблемка, с настройкой IPtables

Начну с того, что имеется сеть, в которую приходит интернет от 2 провайдеров. На две разные машины, будем называть их Sarkor и TPS.
Sarkor является основным каналом, а TPS резервным. На Саркоре установлена система Ideco Internet Control Server, она настроена безупречно.
На TPS уставновлена связка SQUID+MYSQL+APACHE+SAMS, и тоже работает отлично. Помимо них существует компьютер с Windows Server 2003, которые работает как DHCP, локальный DNS и Active Directory.
Проблема заключается в том, что пользователи пользуются почтовыми клиентами, а как вы знаете почта не проксируется, и сквид здесь не помощник.
С IPtables знаком только теоретически, все попытки добавлять правила были не удачными, надеюсь на помощь. Как сделать так, чтобы пользователи сидели в нете, через проксю TPS (squid), и одновременно пользовались почтовыми клиентами :dash2:
Благодарю заранее.

Gebo 10.06.2009 13:23

Цитата:

Сообщение от Maxim_ka (Сообщение 228343)
а как вы знаете почта не проксируется, и сквид здесь не помощник.

Может это поможет?
А вообще честно сказать я не понял зачем почту через прокси пускать?

German Stimban 10.06.2009 17:10

Я правильно понял, что надо через Iptables прозрачно пропускать весь трафик на 25 и 110 порту? Если да, то надо squid сделать прозрачным, разрешить на нем пропускать информацию по нужным портам (делается добавлением нужной acl в начале правил), а затем настроить iptables таким образом, чтобы все обращения на нужные порты перенаправлялись на порт сквида. Это в гугле, по запросу "прозрачный прокси-сервер squid".
Если неправильно понял, то просьба более детально все разъяснить

Maxim_ka 12.06.2009 16:35

Благодарю, за ответы, не было времени их обработать, Герман, вы правы, в принципе мне это и нужно. Как обработаю отпишусь обязательно

Maxim_ka 26.09.2009 00:02

Доброй ночи, знатоки )) Хочу посоветоваться, делал ли кто-нибудь систему учета трафика на основе iptables, хотелось бы узнать, может у кого есть заготовки, или может кто посоветует какое-нибудь ПО. Ситуация такова:
Ubuntu 9.04-server (просто потому что репозитории бесплатные) - Стоит система учета трафика на основе SQUID, с авторизацией пользователей и паролей (обязательно), Также существует начальство, которое не желает пользоваться проксей, и писать имя пользователя и.т.д.... пара компов для которых открыто абсолютно все через iptables, 10 юзеров пользующиеся почтовыми клиентами в основном MS outlook, для них открыты порты 25 и 110, есть пользователи которые пользуются VPN соединениями до другого объекта и удаленным рабочим столом в качестве терминала, соответсвтенно порты 1723 и 3389 открыты для них.Вот для всей этой котовасии требуется учет. Жду советов ... Заранее благодарю.
P.S. Не хочется изобретать велосипед

Dolphin 26.09.2009 01:14

Цитата:

Сообщение от Maxim_ka (Сообщение 276074)
Доброй ночи, знатоки )) Хочу посоветоваться, делал ли кто-нибудь систему учета трафика на основе iptables, хотелось бы узнать, может у кого есть заготовки, или может кто посоветует какое-нибудь ПО. Ситуация такова: Ubuntu 9.04-server (просто потому что репозитории бесплатные) - Стоит система учета трафика на основе SQUID, с авторизацией пользователей и паролей (обязательно), Также существует начальство, которое не желает пользоваться проксей, и писать имя пользователя и.т.д.... пара компов для которых открыто абсолютно все через iptables, 10 юзеров пользующиеся почтовыми клиентами в основном MS outlook, для них открыты порты 25 и 110, есть пользователи которые пользуются VPN соединениями до другого объекта и удаленным рабочим столом в качестве терминала, соответсвтенно порты 1723 и 3389 открыты для них.Вот для всей этой котовасии требуется учет. Жду советов ... Заранее благодарю. P.S. Не хочется изобретать велосипед

Делал такое, пользуемся. Опишу вкратце.
Стоит прозрачный сквид.
Трафик по всем портам, кроме хттп и фтп идет через роутер, весь проходящий трафик просматривается pmacctd, пишется в MySQL.
Авторизация тупо по ип.

Кроном запускается дикая конструкция из sh, php и сишного бинарника (собственно, идет постепенное мутирование в один бинарник), которая делает следующее:
1. Выцепляет необработанный кусок лога сквида, кладет в базу данных, попутно группируя запросы по домену.
2. Суммирует пакеты, записанные pmacctd, проверяет на предмет превышения квоты пользователем.
3. Просматривает таблицы разрешений пользователей, забаненых сайтов, исходя из них формирует конфиг сквида и изменения iptables, прогоняет их. Пользователи с оверквотой банятся iptables по всем портам, кроме 80, сквид этих пользователей редиректит на страничку с объяснениями. Забаненые сайты также редиректятся на отдельную страничку.
4. Ищет несовпадения ip и mac, дабы покарать особо умных. Пока не приходилось.

Юзеры смотрят свою статистику браузером (скрипт на пхп), начальство и одмины имеют расширенный доступ к статистике по паролю.

Напрягучесть в плане дискового пространства - около 1,5 гб логов в бд в месяц, с диска они чистятся.
Напрягучесть в плане мозгов - машина с 2 гб и E4400 помимо роутинга двух внутренних сетей и трех внешних линков служит LDAP, файл-помойкой, астериском, сервером нескольких БД и обслуживает приблуды вроде CVS, чата и подобных мелочей без проблем. Небольшое подтормаживание мускуля наблюдается только в момент анализа выюзанного трафика.

Могу объяснит поподробней и дать примеры скриптов. Не знаю, велосипед или нет.
Есть аналогичная готовая система, но она ориентирована только на непрозрачный сквид. Забыл, как называется.

hrundel 26.09.2009 01:53

Цитата:

Сообщение от Maxim_ka (Сообщение 276074)
Доброй ночи, знатоки )) Хочу посоветоваться, делал ли кто-нибудь систему учета трафика на основе iptables, хотелось бы узнать, может у кого есть заготовки, или может кто посоветует какое-нибудь ПО.

1. iptables+ulog(есть вариант ulog'a умеющий писать сразу в мускул)
2. После того, как трафик в мускуле можно делать всё что угодно(написав простую веб морду на том же пхп) - смотреть статистику, генерить отчёты итд
3. Весь софт есть в репозитариях убунту - атп-кэш сёрч улог

Maxim_ka 26.09.2009 13:37

Спасибо за подробное описание, Тимур, но Ваша система достаточно сложна в исполнении, и на ее создение особо нет времени, потому что это заставит в корне поменять конфиги моего роутера, для меня это никак не приемлимо, я не могу его останавливать, потому что он по совместительству еще и OPenVpn сервер, к нему филиалы соединяются...
Думаю здесь нет надобности написания дополнительный вебморды, больших скриптов, достаточно того, чтобы "что-то" сливало информацию об использованном трафике, в какой-нибудь файлик... Да и потом доступ к нету по паролю... это обязательное требование, потму что в нашей компании есть сотрудники которые не имеют стационарный комп, и садятся на чужие машины... но пользуют свой трафик. так что продолжаю поиск.
Спасибо hrundel... буду пробовать

hrundel 27.09.2009 11:27

Цитата:

Сообщение от Maxim_ka (Сообщение 276225)
доступ к нету по паролю... это обязательное требование

Тогда либо squid для http трафика(и включить в нем авторизацию по логину/паролю), а остальное пустить через иптаблес(но конечно без пароля) либо писать свой софт(клиент-сервер) и ставить клиентскую часть(которая и будет заниматься авторизацией) на каждую раб.станцию.

JackDaniels 27.09.2009 11:49

Цитата:

Сообщение от Maxim_ka (Сообщение 276074)
Доброй ночи, знатоки )) Хочу посоветоваться, делал ли кто-нибудь систему учета трафика на основе iptables, хотелось бы узнать, может у кого есть заготовки, или может кто посоветует какое-нибудь ПО. Ситуация такова:
Ubuntu 9.04-server (просто потому что репозитории бесплатные) - Стоит система учета трафика на основе SQUID, с авторизацией пользователей и паролей (обязательно), Также существует начальство, которое не желает пользоваться проксей, и писать имя пользователя и.т.д.... пара компов для которых открыто абсолютно все через iptables, 10 юзеров пользующиеся почтовыми клиентами в основном MS outlook, для них открыты порты 25 и 110, есть пользователи которые пользуются VPN соединениями до другого объекта и удаленным рабочим столом в качестве терминала, соответсвтенно порты 1723 и 3389 открыты для них.Вот для всей этой котовасии требуется учет. Жду советов ... Заранее благодарю.
P.S. Не хочется изобретать велосипед

Если уж совсем ничего не прикручивать и не менять кардинально, то прописать правила на каждую группу пользователей (Группа «Юзер», «Босс», «Админ») и не авторизовать по логин-паролю, а например по МАК-адресу, ну или по айпи — И каждый получит то, что должен.

Ну а прикрутить какой ни будь биллинг и веб-морду думаю проблем не составит.


Текущее время: 23:44. Часовой пояс GMT +5.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot
OOO «Единый интегратор UZINFOCOM»