[Comm] iptables: покритикуйте правила
Alexey Morsov
=?iso-8859-1?q?samurai_=CE=C1_ricom=2Eru?=
Пт Май 14 09:53:41 MSD 2004
Eugene Prokopiev wrote:
> Alexey Morsov пишет:
>
>>
>> Eugene Prokopiev wrote:
>>
>>> # Перенаправляем всех, кого надо, на squid
>>> for i in `/opt/scripts/make_ldap_filter.pl forceProxy`
>>> do
>>> $IPTABLES -t nat -A PREROUTING -s $i -p TCP --dport 80 -j
>>> REDIRECT --to-port 3128
>>> done
>>
>>
>> http only, т.е. все ftp, https, icq, irc_шки и потоковое мультимедиа
>> идут мимо прокси...
>> Если устраивает - тады ой...
>
>
> буду добавлять
Чего? transparent proxy у squid-а только для http протокола... но
может icq и загонишь, а вот ftp однозначно нет...
А что - так много машинок в офисе?
>
>>>
>>> Нет ли каких-нибудь глупых ошибок?
>>>
>>
>> Глупых не вижу --- но от LOG в глазах темнеет... чем будете рулить
>> статистику?
>
>
> для ULOG собрал ulog-acctd - аналог сизифовского ulogd, который умеет
> делать только одно дело, но лучше чем ulogd
>
> LOG - скорее всего обрежу потом еще сильнее, может когда загляну в
> /var/log/messages да почитаю.
>
ИМХО все эти LOG нужны (хороши и обязательны) в целях отладки - а
в эксплуатации они ИМХО не оч. удобны... я лично просто сделал
набор цепочек типа TCP_IN, TCP_OUT и загоняю соответствующие
пакеты туда... а с них данных потом закидываю в mysql
(ежеминутно)... очень симпатишно получаеться и точно... а
прогулки юзеров по логам прокси наблюдаем...
--
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
http://www.ricom.ru
http://www.fondmarket.ru
Подробная информация о списке рассылки community