Моё меню Общее меню Пользователи Правила форума Все прочитано
Вернуться   uForum.uz > ИКТ и телеком > IT-индустрия > Софт > OpenSource
Знаете ли Вы, что ...
...до того как открыть новую тему, стоит использовать поиск: такая тема уже может существовать.
<< Предыдущий совет - Случайный совет - Следующий совет >>


Ответить

 
Опции темы Опции просмотра
Старый 10.06.2009 12:38   #1  
Аватар для Maxim_ka
Оффлайн
СП "Navruz"
Системный администратор
Сообщений: 15
+ 0  0/0
– 0  0/0

UzbekistanОтправить сообщение для Maxim_ka с помощью ICQ
Need help - IPtables

Доброго времени суток знатоки )))

Существует некоторая проблемка, с настройкой IPtables

Начну с того, что имеется сеть, в которую приходит интернет от 2 провайдеров. На две разные машины, будем называть их Sarkor и TPS.
Sarkor является основным каналом, а TPS резервным. На Саркоре установлена система Ideco Internet Control Server, она настроена безупречно.
На TPS уставновлена связка SQUID+MYSQL+APACHE+SAMS, и тоже работает отлично. Помимо них существует компьютер с Windows Server 2003, которые работает как DHCP, локальный DNS и Active Directory.
Проблема заключается в том, что пользователи пользуются почтовыми клиентами, а как вы знаете почта не проксируется, и сквид здесь не помощник.
С IPtables знаком только теоретически, все попытки добавлять правила были не удачными, надеюсь на помощь. Как сделать так, чтобы пользователи сидели в нете, через проксю TPS (squid), и одновременно пользовались почтовыми клиентами
Благодарю заранее.
__________________
I will destroy an any man, who desabuse my own trust!
Ответить 
Старый 10.06.2009 13:23   #2  
Read Only
Аватар для Gebo
Оффлайн
"СайТ За еду" Ltd
Сторож еды
Сообщений: 6,092
+ 5,084  5,502/2,454
– 113  149/96

Uzbekistan
Цитата:
Сообщение от Maxim_ka Посмотреть сообщение
а как вы знаете почта не проксируется, и сквид здесь не помощник.
Может это поможет?
А вообще честно сказать я не понял зачем почту через прокси пускать?
Ответить 
Старый 10.06.2009 17:10   #3  
Real ID Group Ultimate ex-wild_John
Супермодератор
Аватар для German Stimban
Оффлайн
Центр программистов Bepro
Начальник отдела
Сообщений: 8,039
+ 4,910  6,509/2,845
– 298  135/90

UzbekistanОтправить сообщение для German Stimban с помощью ICQОтправить сообщение для German Stimban с помощью Skype™LiveJournal
Я правильно понял, что надо через Iptables прозрачно пропускать весь трафик на 25 и 110 порту? Если да, то надо squid сделать прозрачным, разрешить на нем пропускать информацию по нужным портам (делается добавлением нужной acl в начале правил), а затем настроить iptables таким образом, чтобы все обращения на нужные порты перенаправлялись на порт сквида. Это в гугле, по запросу "прозрачный прокси-сервер squid".
Если неправильно понял, то просьба более детально все разъяснить
Ответить 
Старый 12.06.2009 16:35   #4  
Аватар для Maxim_ka
Оффлайн
СП "Navruz"
Системный администратор
Сообщений: 15
+ 0  0/0
– 0  0/0

UzbekistanОтправить сообщение для Maxim_ka с помощью ICQ
Благодарю, за ответы, не было времени их обработать, Герман, вы правы, в принципе мне это и нужно. Как обработаю отпишусь обязательно
__________________
I will destroy an any man, who desabuse my own trust!
Ответить 
Старый 26.09.2009 00:02   #5  
Аватар для Maxim_ka
Оффлайн
СП "Navruz"
Системный администратор
Сообщений: 15
+ 0  0/0
– 0  0/0

UzbekistanОтправить сообщение для Maxim_ka с помощью ICQ
Доброй ночи, знатоки )) Хочу посоветоваться, делал ли кто-нибудь систему учета трафика на основе iptables, хотелось бы узнать, может у кого есть заготовки, или может кто посоветует какое-нибудь ПО. Ситуация такова:
Ubuntu 9.04-server (просто потому что репозитории бесплатные) - Стоит система учета трафика на основе SQUID, с авторизацией пользователей и паролей (обязательно), Также существует начальство, которое не желает пользоваться проксей, и писать имя пользователя и.т.д.... пара компов для которых открыто абсолютно все через iptables, 10 юзеров пользующиеся почтовыми клиентами в основном MS outlook, для них открыты порты 25 и 110, есть пользователи которые пользуются VPN соединениями до другого объекта и удаленным рабочим столом в качестве терминала, соответсвтенно порты 1723 и 3389 открыты для них.Вот для всей этой котовасии требуется учет. Жду советов ... Заранее благодарю.
P.S. Не хочется изобретать велосипед
__________________
I will destroy an any man, who desabuse my own trust!
Ответить 
Старый 26.09.2009 01:14   #6  
Known ID Group uParty Member
Аватар для Dolphin
Оффлайн
Imperium of Man
Inquisitor
Сообщений: 5,990
+ 5,680  4,442/2,033
– 128  137/102

Russian FederationОтправить сообщение для Dolphin с помощью ICQОтправить сообщение для Dolphin с помощью Skype™Facebook
Цитата:
Сообщение от Maxim_ka Посмотреть сообщение
Доброй ночи, знатоки )) Хочу посоветоваться, делал ли кто-нибудь систему учета трафика на основе iptables, хотелось бы узнать, может у кого есть заготовки, или может кто посоветует какое-нибудь ПО. Ситуация такова: Ubuntu 9.04-server (просто потому что репозитории бесплатные) - Стоит система учета трафика на основе SQUID, с авторизацией пользователей и паролей (обязательно), Также существует начальство, которое не желает пользоваться проксей, и писать имя пользователя и.т.д.... пара компов для которых открыто абсолютно все через iptables, 10 юзеров пользующиеся почтовыми клиентами в основном MS outlook, для них открыты порты 25 и 110, есть пользователи которые пользуются VPN соединениями до другого объекта и удаленным рабочим столом в качестве терминала, соответсвтенно порты 1723 и 3389 открыты для них.Вот для всей этой котовасии требуется учет. Жду советов ... Заранее благодарю. P.S. Не хочется изобретать велосипед
Делал такое, пользуемся. Опишу вкратце.
Стоит прозрачный сквид.
Трафик по всем портам, кроме хттп и фтп идет через роутер, весь проходящий трафик просматривается pmacctd, пишется в MySQL.
Авторизация тупо по ип.

Кроном запускается дикая конструкция из sh, php и сишного бинарника (собственно, идет постепенное мутирование в один бинарник), которая делает следующее:
1. Выцепляет необработанный кусок лога сквида, кладет в базу данных, попутно группируя запросы по домену.
2. Суммирует пакеты, записанные pmacctd, проверяет на предмет превышения квоты пользователем.
3. Просматривает таблицы разрешений пользователей, забаненых сайтов, исходя из них формирует конфиг сквида и изменения iptables, прогоняет их. Пользователи с оверквотой банятся iptables по всем портам, кроме 80, сквид этих пользователей редиректит на страничку с объяснениями. Забаненые сайты также редиректятся на отдельную страничку.
4. Ищет несовпадения ip и mac, дабы покарать особо умных. Пока не приходилось.

Юзеры смотрят свою статистику браузером (скрипт на пхп), начальство и одмины имеют расширенный доступ к статистике по паролю.

Напрягучесть в плане дискового пространства - около 1,5 гб логов в бд в месяц, с диска они чистятся.
Напрягучесть в плане мозгов - машина с 2 гб и E4400 помимо роутинга двух внутренних сетей и трех внешних линков служит LDAP, файл-помойкой, астериском, сервером нескольких БД и обслуживает приблуды вроде CVS, чата и подобных мелочей без проблем. Небольшое подтормаживание мускуля наблюдается только в момент анализа выюзанного трафика.

Могу объяснит поподробней и дать примеры скриптов. Не знаю, велосипед или нет.
Есть аналогичная готовая система, но она ориентирована только на непрозрачный сквид. Забыл, как называется.
Ответить 
Старый 26.09.2009 01:53   #7  
Аватар для hrundel
Оффлайн
Сообщений: 163
+ 35  42/32
– 0  0/0

Uzbekistan
Цитата:
Сообщение от Maxim_ka Посмотреть сообщение
Доброй ночи, знатоки )) Хочу посоветоваться, делал ли кто-нибудь систему учета трафика на основе iptables, хотелось бы узнать, может у кого есть заготовки, или может кто посоветует какое-нибудь ПО.
1. iptables+ulog(есть вариант ulog'a умеющий писать сразу в мускул)
2. После того, как трафик в мускуле можно делать всё что угодно(написав простую веб морду на том же пхп) - смотреть статистику, генерить отчёты итд
3. Весь софт есть в репозитариях убунту - атп-кэш сёрч улог
__________________
Правдорез.
Ответить 
Реклама и уведомления
Старый 26.09.2009 13:37   #8  
Аватар для Maxim_ka
Оффлайн
СП "Navruz"
Системный администратор
Сообщений: 15
+ 0  0/0
– 0  0/0

UzbekistanОтправить сообщение для Maxim_ka с помощью ICQ
Спасибо за подробное описание, Тимур, но Ваша система достаточно сложна в исполнении, и на ее создение особо нет времени, потому что это заставит в корне поменять конфиги моего роутера, для меня это никак не приемлимо, я не могу его останавливать, потому что он по совместительству еще и OPenVpn сервер, к нему филиалы соединяются...
Думаю здесь нет надобности написания дополнительный вебморды, больших скриптов, достаточно того, чтобы "что-то" сливало информацию об использованном трафике, в какой-нибудь файлик... Да и потом доступ к нету по паролю... это обязательное требование, потму что в нашей компании есть сотрудники которые не имеют стационарный комп, и садятся на чужие машины... но пользуют свой трафик. так что продолжаю поиск.
Спасибо hrundel... буду пробовать
__________________
I will destroy an any man, who desabuse my own trust!
Ответить 
Старый 27.09.2009 11:27   #9  
Аватар для hrundel
Оффлайн
Сообщений: 163
+ 35  42/32
– 0  0/0

Uzbekistan
Цитата:
Сообщение от Maxim_ka Посмотреть сообщение
доступ к нету по паролю... это обязательное требование
Тогда либо squid для http трафика(и включить в нем авторизацию по логину/паролю), а остальное пустить через иптаблес(но конечно без пароля) либо писать свой софт(клиент-сервер) и ставить клиентскую часть(которая и будет заниматься авторизацией) на каждую раб.станцию.
__________________
Правдорез.
Ответить 
Старый 27.09.2009 11:49   #10  
Заблокирован(а)
Аватар для JackDaniels
Оффлайн
Сообщений: 18,519
+ 10,956  12,586/6,453
– 307  539/385

Vatican City State
Цитата:
Сообщение от Maxim_ka Посмотреть сообщение
Доброй ночи, знатоки )) Хочу посоветоваться, делал ли кто-нибудь систему учета трафика на основе iptables, хотелось бы узнать, может у кого есть заготовки, или может кто посоветует какое-нибудь ПО. Ситуация такова:
Ubuntu 9.04-server (просто потому что репозитории бесплатные) - Стоит система учета трафика на основе SQUID, с авторизацией пользователей и паролей (обязательно), Также существует начальство, которое не желает пользоваться проксей, и писать имя пользователя и.т.д.... пара компов для которых открыто абсолютно все через iptables, 10 юзеров пользующиеся почтовыми клиентами в основном MS outlook, для них открыты порты 25 и 110, есть пользователи которые пользуются VPN соединениями до другого объекта и удаленным рабочим столом в качестве терминала, соответсвтенно порты 1723 и 3389 открыты для них.Вот для всей этой котовасии требуется учет. Жду советов ... Заранее благодарю.
P.S. Не хочется изобретать велосипед
Если уж совсем ничего не прикручивать и не менять кардинально, то прописать правила на каждую группу пользователей (Группа «Юзер», «Босс», «Админ») и не авторизовать по логин-паролю, а например по МАК-адресу, ну или по айпи — И каждый получит то, что должен.

Ну а прикрутить какой ни будь биллинг и веб-морду думаю проблем не составит.
Ответить 
Ответить
Опции темы
Опции просмотра




Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot
Advertisement System V2.5 By Branden
OOO «Единый интегратор UZINFOCOM»


Новые 24 часа Кто на форуме Новички Поиск Кабинет Все прочитано Вверх