[Sysadmins] DSL + IpTables + Squid

MisHel64 =?iso-8859-1?q?MisHel64_=CE=C1_Bk=2ERu?=
Ср Янв 28 12:47:49 UTC 2009 

Здравствуйте, Garafiev.

Вы писали 28 января 2009 г., 8:03:14:

> Меня интересует немного другое - технические тонкости настройки данной
> системы, поскольку опыта в настройке Iptables и Squid'а практически 
> никакого.

Судя по твоему письму у тебя вообще опыта в администрировании серверов
никакого, что еще хуже нет еще и теоретической базы. И что бы ответить
на твои вопросы придется читать тебе много часовую лекцию.

> 1. Модем настроен роутером и адрес Ethernet интерфейса "серый" -
> 192.168.101.254.
> 2. На сервере, который является шлюзом и будет резать всякую гадость,
> две сетевые карты (посредством одной он соединяется с модемом: адрес 
> интерфейса 192.168.101.253, а посресдством второй: адрес интефейса 
> 192.168.1.1 - соединяется с локальной сетью, интернет контент для 
> которой будет фильтроваться)

Для  начала,  я  бы  тебе  посоветовал не использовать для своих сетей
адреса  из  192.168.0.0/24  и  192.168.1.0/24.  Долгое сидение на ADSL
своего провайдера четко навели меня на эту мысль.

Если  у тебя правильный провайдер, и PPPoE, то адреса DNS модем должен
получать   автоматом.   Нормальный   модем  умеет  их  использовать  и
становится  DNS  сервером.  Имеено модем будет DNS сервером для твоего
сервера.  То  есть,  адреса  DNS  серверов  провайдера прописываются в
модеме автоматом. Если этого не происходит, то только тогда в вручную.

Теперь  ты  должен  поднять  DNS  сервер у себя на сервере. Для начала
простой  кэширующий.  Очень  желательное,  но  не  очень  обязательное
условие. Из-за криворуких админов моего провайдера, лично мне пришлось
настраивать  полноценный DNS сервер, что бы не использовать DNS адреса
провайдера.  Для  поднятия  собственного  полноценного  DNS есть масса
других  причин.  При наличие локальной сети очень желательно поднять у
себя  DHCP сервер. Если в локальной сети используется ОС Windows и нет
сервера на базе Windows, то очень желательно поднять у себя еще и WINS
сервер (Читай про самбу), в DNS прописать прямые и обратные зоны (т.е.
простым  кэширующим сервером DNS уже не отделаешься), и заставить DHCP
сервер  обновлять  эти  зоны  в  DNS.  Это  все  очень желательные, но
необязательные условия.

> Указывал через route маршруты до ДНС провайдера через модем - не
> помогло, работают только ДНС запросы :(((

Что бы что-то трафик из локальной сети с серыми ИП мог уйти за пределы
этой   локальной  сети,  на  сервере  который  является  шлюзом  нужно
настроить NAT. Читаем про iptables до просветления. Если маршрутизация
настроена  правильно,  но ничего добавлять в таблицы роутинга ненужно.
Настраиваем,  пробуем пинговать внешние ресурсы, пингуется, значит все
здорово.

Теперь  нужно  запретить весь трафик из локальной сети наружу. Этим ты
запретишь  и  доступ  к  внешним  WEB  серверам.  Настраиваем, пробуем
пинговать внешние ресурсы, НЕ пингуется, значит все здорово.

Теперь  думаем, что можно пускать наружу. Переписываем все программное
обеспечение  используемое  в  локальной  сети которое не умеет, или не
должно   ходить  через  прокси,  но  должно  ходить  наружу.  К  таким
программам  относятся почтовые клиенты, аска (по желанию), клиенты DNS
(по  настройкам  сервера).  Смотрим  какие  протоколы  и  какие  порты
используют  серверы  этих  программ, и открываем их. За одно открываем
ICMP протокол. Теперь пробуем пинговать внешние ресурсы, и открыть WEB
страничку.  Пинги  опять  идут,  но  странички открываются. Значит все
здорово.

Только теперь переходим к настройкам сквида. Сначала настраиваем его,
потом прикручиваем авторизацию, что бы знать кто и куда ходит. Потом
прикручиваем стоп лист.

Статистика  посещений  пишется  в лог, но читать ее там, это мазохизм.
Прикручиваем анализатор трафика. Тебе уже советовали ЛичСквид. Я лично
его использую, ставится из бранча и работает при минимальной доводке.

Что  бы  увидеть  эту  статистику,  тебе придется поднимать у себя веб
сервер.  Это  уже  отдельная  песня.  И  в  первый раз аппач ты будишь
настраивать очень долго. Но дело полезное.

> Заранее благодарен за помощь!!!

И  прежде  чем  делать  все  это, я очень рекомендую почитать об общих
принципах  организации  сетей, маршрутизации и прочем. Если тебе нужно
все  это  сделать  быстро, то лучше найми кого-нибудь. С твоим уровнем
знаний за пару недель не уложишься.


> _______________________________________________
> Sysadmins mailing list
> Sysadmins на lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins



-- 
С уважением,
 MisHel64                          mailto:MisHel64 на Bk.Ru

Подробная информация о списке рассылки Sysadmins