URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 47253
[ Назад ]
Исходное сообщение
"IPTables+Squid"
Отправлено Qtronix , 16-Авг-04 18:32 
Доброго времени суток господа!!!
Появилась тут у меня проблемка одна расхождения с трафиком провайдера большие очень. Грешу на ICQ.
Так вот вопрос как можно завернуть запросы ICQ с помощью IPTables на SQUID так чтобы трафик от ICQ походящей через сквид считался не локальным трафиком прокси а трафиком того клиента от которого пришел запрос ? и ваабще возможно ли такое?
Спасибо всем заранее за ответы!
Содержание
Сообщения в этом обсуждении
"IPTables+Squid"
Отправлено ipmanyak , 17-Авг-04 07:24 
>Доброго времени суток господа!!!
>Появилась тут у меня проблемка одна расхождения с трафиком провайдера большие очень.
>Грешу на ICQ.
>Так вот вопрос как можно завернуть запросы ICQ с помощью IPTables на
>SQUID так чтобы трафик от ICQ походящей через сквид считался не
>локальным трафиком прокси а трафиком того клиента от которого пришел запрос
>? и ваабще возможно ли такое?
>Спасибо всем заранее за ответы!
сквид тебе никогда не покажет трафик, который считает iptables, у сквида всегда будет меньше, поскольку это чистый http прокси и кроме протокола http он тебе ничего считать не будет (даже ftp у него over http) так что другие протоколы через сквида не ходят ! то бишь pop/smtp, icmp пакеты и др!  а аську заведи через сквид: укажи в аське тип прокси https порт для login.icq.com 443 ну и прокси укажи айпи сквида и его порт, на айпитаблесе запрети выход локальной сетки в обход сквида, то бишь убери правила forwarda nata  или маскарада для локальной сети

"IPTables+Squid"
Отправлено shaman , 17-Авг-04 10:00 
>сквид тебе никогда не покажет трафик, который считает iptables, у сквида всегда
>будет меньше, поскольку это чистый http прокси и кроме протокола http
>он тебе ничего считать не будет (даже ftp у него over
>http) так что другие протоколы через сквида не ходят ! то
>бишь pop/smtp, icmp пакеты и др!  а аську заведи через
>сквид: укажи в аське тип прокси https порт для login.icq.com 443
>ну и прокси укажи айпи сквида и его порт, на айпитаблесе
>запрети выход локальной сетки в обход сквида, то бишь убери правила
>forwarda nata  или маскарада для локальной сети
И останешься только с http/ftp протоколами.
Лучше запретить в iptables прямой коннект в аськины подсети:

$IPTABLES -A FORWARD -p tcp -s $LAN_1  -d 205.188.0.0/255.255.0.0 -j DROP
$IPTABLES -A FORWARD -p tcp -s $LAN_1  -d 205.150.0.0/255.255.0.0 -j DROP
$IPTABLES -A FORWARD -p tcp -s $LAN_1  -d 64.12.0.0/255.255.0.0 -j DROP
$IPTABLES -A FORWARD -p tcp -s $LAN_1  -d 216.33.42.0/255.255.255.0 -j DROP
$IPTABLES -A FORWARD -p tcp -s $LAN_1  -d 145.249.13.0/255.255.255.0 -j DROP

LAN1=192.168.99.0/24 - твоя локальная сеть.

Эти правила запрещают коннект в подсети аськи, одиго, джаббера и вроде еще чьи-то, уже не помню.

---
wbr, shaman
http://www.akeeper.ru

"IPTables+Squid"
Отправлено Qtronix , 17-Авг-04 10:48 
Спасибо огромное буду пробовать!!!!
"IPTables+Squid"
Отправлено jamper , 17-Авг-04 10:53 
>Спасибо огромное буду пробовать!!!!
А еще поставь себе нормлаьную подсчитывалку трафика
поищи по форуму, да и в новостях была тема пару месяцев назад про биллинги

можешь глянуть ipcat netams, etc...

"IPTables+Squid"
Отправлено Qtronix , 17-Авг-04 10:59 
>>Спасибо огромное буду пробовать!!!!
>А еще поставь себе нормлаьную подсчитывалку трафика
>поищи по форуму, да и в новостях была тема пару месяцев назад
>про биллинги
>
>можешь глянуть ipcat netams, etc...


Да я тут присмотрел себе trafd щас буду пробовать ставить
Я просто раньше боялся всяких там MySQL и тп а щас вот приперло
буду настраивать
Авот кстати еще вопросик зозрел
я так понял что асю надо пускать через https а на какой порт в сквиде посадить https ??? а то по дефолту в настройках сквида вабще нету его

"IPTables+Squid"
Отправлено jamper , 17-Авг-04 11:07 
ася пропускается по обычному 3128 прокси серверу с настройками (хттпс 443)
"IPTables+Squid"
Отправлено Qtronix , 17-Авг-04 13:43 

>$IPTABLES -A FORWARD -p tcp -s $LAN_1  -d 205.188.0.0/255.255.0.0 -j DROP
>
>$IPTABLES -A FORWARD -p tcp -s $LAN_1  -d 205.150.0.0/255.255.0.0 -j DROP
>
>$IPTABLES -A FORWARD -p tcp -s $LAN_1  -d 64.12.0.0/255.255.0.0 -j DROP
>
>$IPTABLES -A FORWARD -p tcp -s $LAN_1  -d 216.33.42.0/255.255.255.0 -j DROP
>
>$IPTABLES -A FORWARD -p tcp -s $LAN_1  -d 145.249.13.0/255.255.255.0 -j DROP
>
>
>LAN1=192.168.99.0/24 - твоя локальная сеть.
>
>Эти правила запрещают коннект в подсети аськи, одиго, джаббера и вроде еще
>чьи-то, уже не помню.

Ну прописал я в IPTables эти правила но клиенты аськины по прежнему могут логинится на прямую :о(

по крайней мере миранда логинится точно
да и ICQ 2003a тоже логинится :о(

"IPTables+Squid"
Отправлено shaman , 17-Авг-04 13:44 
А ты их в начало приписал, или в конец? Смотри, чтобы эти правила шли первыми пере остальными в цепочке forward.
"IPTables+Squid"
Отправлено Александр , 17-Авг-04 13:48 
А вы случаем не знаете как через squid порты тунелировать?

"IPTables+Squid"
Отправлено akeeper , 17-Авг-04 14:18 
Вот только icq не способна делать хоть сколько-нибудь большой трафик...

wbr, akeeper.ru
http://www.akeeper.ru

"IPTables+Squid"
Отправлено Qtronix , 17-Авг-04 14:36 
>Вот только icq не способна делать хоть сколько-нибудь большой трафик...
>
>wbr, akeeper.ru
>http://www.akeeper.ru


все равно пусть считается

"IPTables+Squid"
Отправлено akeeper , 17-Авг-04 14:52 
>>Вот только icq не способна делать хоть сколько-нибудь большой трафик...
>>
>
>
>все равно пусть считается

Да считаться-то, то она может считаться, только смысла в этом не вижу. Ну делает она на всех моих юзеров около 100 мегабайт в месяц... и? Если вспомнить гигабайты почты и несколько меньший трафик на сами веб-сайты, то эти 100 мегабайт вобщем-то капля в море.

P.S. Понятное дело, что есть маньяки даже udp считать. Только зачем?

wbr, akeeper.
http://www.akeeper.ru

"IPTables+Squid"
Отправлено shaman , 17-Авг-04 14:55 
>P.S. Понятное дело, что есть маньяки даже udp считать. Только зачем?
>
>wbr, akeeper.
>http://www.akeeper.ru
Социализм - это учет!