|
|
Знаете ли Вы, что ... | |
...инструкция по установке аватара описана в Правилах форума. | |
<< Предыдущий совет - Случайный совет - Следующий совет >> |
Ответить |
|
Опции темы | Опции просмотра |
10.06.2009 12:38 | #1 | ||
Доброго времени суток знатоки )))
Существует некоторая проблемка, с настройкой IPtables Начну с того, что имеется сеть, в которую приходит интернет от 2 провайдеров. На две разные машины, будем называть их Sarkor и TPS. Sarkor является основным каналом, а TPS резервным. На Саркоре установлена система Ideco Internet Control Server, она настроена безупречно. На TPS уставновлена связка SQUID+MYSQL+APACHE+SAMS, и тоже работает отлично. Помимо них существует компьютер с Windows Server 2003, которые работает как DHCP, локальный DNS и Active Directory. Проблема заключается в том, что пользователи пользуются почтовыми клиентами, а как вы знаете почта не проксируется, и сквид здесь не помощник. С IPtables знаком только теоретически, все попытки добавлять правила были не удачными, надеюсь на помощь. Как сделать так, чтобы пользователи сидели в нете, через проксю TPS (squid), и одновременно пользовались почтовыми клиентами Благодарю заранее.
__________________
I will destroy an any man, who desabuse my own trust! |
|||
|
Ответить |
10.06.2009 13:23 | #2 |
Read Only
"СайТ За еду" Ltd
Сторож еды
Сообщений: 6,092
+ 5,084
5,502/2,454
– 113
149/96
|
Может это поможет?
А вообще честно сказать я не понял зачем почту через прокси пускать? |
|
Ответить |
10.06.2009 17:10 | #3 |
ex-wild_John
Супермодератор |
Я правильно понял, что надо через Iptables прозрачно пропускать весь трафик на 25 и 110 порту? Если да, то надо squid сделать прозрачным, разрешить на нем пропускать информацию по нужным портам (делается добавлением нужной acl в начале правил), а затем настроить iptables таким образом, чтобы все обращения на нужные порты перенаправлялись на порт сквида. Это в гугле, по запросу "прозрачный прокси-сервер squid".
Если неправильно понял, то просьба более детально все разъяснить |
|
Ответить |
26.09.2009 00:02 | #5 |
Доброй ночи, знатоки )) Хочу посоветоваться, делал ли кто-нибудь систему учета трафика на основе iptables, хотелось бы узнать, может у кого есть заготовки, или может кто посоветует какое-нибудь ПО. Ситуация такова:
Ubuntu 9.04-server (просто потому что репозитории бесплатные) - Стоит система учета трафика на основе SQUID, с авторизацией пользователей и паролей (обязательно), Также существует начальство, которое не желает пользоваться проксей, и писать имя пользователя и.т.д.... пара компов для которых открыто абсолютно все через iptables, 10 юзеров пользующиеся почтовыми клиентами в основном MS outlook, для них открыты порты 25 и 110, есть пользователи которые пользуются VPN соединениями до другого объекта и удаленным рабочим столом в качестве терминала, соответсвтенно порты 1723 и 3389 открыты для них.Вот для всей этой котовасии требуется учет. Жду советов ... Заранее благодарю. P.S. Не хочется изобретать велосипед
__________________
I will destroy an any man, who desabuse my own trust! |
|
|
Ответить |
26.09.2009 01:14 | #6 | |
|
Цитата:
Стоит прозрачный сквид. Трафик по всем портам, кроме хттп и фтп идет через роутер, весь проходящий трафик просматривается pmacctd, пишется в MySQL. Авторизация тупо по ип. Кроном запускается дикая конструкция из sh, php и сишного бинарника (собственно, идет постепенное мутирование в один бинарник), которая делает следующее: 1. Выцепляет необработанный кусок лога сквида, кладет в базу данных, попутно группируя запросы по домену. 2. Суммирует пакеты, записанные pmacctd, проверяет на предмет превышения квоты пользователем. 3. Просматривает таблицы разрешений пользователей, забаненых сайтов, исходя из них формирует конфиг сквида и изменения iptables, прогоняет их. Пользователи с оверквотой банятся iptables по всем портам, кроме 80, сквид этих пользователей редиректит на страничку с объяснениями. Забаненые сайты также редиректятся на отдельную страничку. 4. Ищет несовпадения ip и mac, дабы покарать особо умных. Пока не приходилось. Юзеры смотрят свою статистику браузером (скрипт на пхп), начальство и одмины имеют расширенный доступ к статистике по паролю. Напрягучесть в плане дискового пространства - около 1,5 гб логов в бд в месяц, с диска они чистятся. Напрягучесть в плане мозгов - машина с 2 гб и E4400 помимо роутинга двух внутренних сетей и трех внешних линков служит LDAP, файл-помойкой, астериском, сервером нескольких БД и обслуживает приблуды вроде CVS, чата и подобных мелочей без проблем. Небольшое подтормаживание мускуля наблюдается только в момент анализа выюзанного трафика. Могу объяснит поподробней и дать примеры скриптов. Не знаю, велосипед или нет. Есть аналогичная готовая система, но она ориентирована только на непрозрачный сквид. Забыл, как называется. |
|
|
Ответить |
26.09.2009 01:53 | #7 | |
Сообщений: 163
+ 35
42/32
– 0
0/0
|
Цитата:
2. После того, как трафик в мускуле можно делать всё что угодно(написав простую веб морду на том же пхп) - смотреть статистику, генерить отчёты итд 3. Весь софт есть в репозитариях убунту - атп-кэш сёрч улог
__________________
Правдорез. |
|
|
Ответить |
Реклама и уведомления | |
26.09.2009 13:37 | #8 |
Спасибо за подробное описание, Тимур, но Ваша система достаточно сложна в исполнении, и на ее создение особо нет времени, потому что это заставит в корне поменять конфиги моего роутера, для меня это никак не приемлимо, я не могу его останавливать, потому что он по совместительству еще и OPenVpn сервер, к нему филиалы соединяются...
Думаю здесь нет надобности написания дополнительный вебморды, больших скриптов, достаточно того, чтобы "что-то" сливало информацию об использованном трафике, в какой-нибудь файлик... Да и потом доступ к нету по паролю... это обязательное требование, потму что в нашей компании есть сотрудники которые не имеют стационарный комп, и садятся на чужие машины... но пользуют свой трафик. так что продолжаю поиск. Спасибо hrundel... буду пробовать
__________________
I will destroy an any man, who desabuse my own trust! |
|
|
Ответить |
27.09.2009 11:27 | #9 |
Сообщений: 163
+ 35
42/32
– 0
0/0
|
Тогда либо squid для http трафика(и включить в нем авторизацию по логину/паролю), а остальное пустить через иптаблес(но конечно без пароля) либо писать свой софт(клиент-сервер) и ставить клиентскую часть(которая и будет заниматься авторизацией) на каждую раб.станцию.
__________________
Правдорез. |
|
Ответить |
27.09.2009 11:49 | #10 | |
Заблокирован(а)
Сообщений: 18,519
+ 10,956
12,586/6,453
– 307
539/385
|
Цитата:
Ну а прикрутить какой ни будь биллинг и веб-морду думаю проблем не составит. |
|
|
Ответить |
|