Всем доброговремени суток! Нужна помощь! Есть ОС FreeBSD 6.x.x с установленым на нем squid+sarg+apache, прокси пускает пользователей в инет, sarg генирит отчеты, а apache дает возможность просмотра отчета. Так вот мне стало необходимо чтоб эти отчеты увидели мои пользователи. Они их видят, но они видят по всем пользователям отчеты, а очень сильно хочется чтоб каждый из моих пользователей видел только свой отчет. Добрые люди ткните куда надо смотреть, посоветуйте литературку, поделитесь ссылочкой если есть возможность!
Заранее спасибо!
>Всем доброговремени суток! Нужна помощь! Есть ОС FreeBSD 6.x.x с установленым на
>нем squid+sarg+apache, прокси пускает пользователей в инет, sarg генирит отчеты, а
>apache дает возможность просмотра отчета. Так вот мне стало необходимо чтоб
>эти отчеты увидели мои пользователи. Они их видят, но они видят
>по всем пользователям отчеты, а очень сильно хочется чтоб каждый из
>моих пользователей видел только свой отчет. Добрые люди ткните куда надо
>смотреть, посоветуйте литературку, поделитесь ссылочкой если есть возможность!
>Заранее спасибо!нельзя такое сделать, имхо
>>Всем доброговремени суток! Нужна помощь! Есть ОС FreeBSD 6.x.x с установленым на
>>нем squid+sarg+apache, прокси пускает пользователей в инет, sarg генирит отчеты, а
>>apache дает возможность просмотра отчета. Так вот мне стало необходимо чтоб
>>эти отчеты увидели мои пользователи. Они их видят, но они видят
>>по всем пользователям отчеты, а очень сильно хочется чтоб каждый из
>>моих пользователей видел только свой отчет. Добрые люди ткните куда надо
>>смотреть, посоветуйте литературку, поделитесь ссылочкой если есть возможность!
>>Заранее спасибо!
>
>нельзя такое сделать, имхоМожно !!!
Только придется поставить PHP и написать пару скриптов :)
Привет всем.ПОМОГИТЕ ПОЖАЛУЙСТА!
Значить так, настроил на Centos 5.5 Squid 2.6.
Вот мой конф файл:
-----------------------------------------------
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
visible_hostname MySquid
dns_nameservers 192.168.0.1 #это у меня ИП модема АДСЛ.http_port 192.168.0.5:3128 transparent
acl SSL_ports port 443
#cPanel and Plesk https ports
acl SSL_ports port 8443
acl SSL_ports port 2083acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT#Squid, cPanel, pleck ports
acl Safe_ports port 3128
acl Safe_ports port 8443
acl Safe_ports port 2083http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_portsacl my_network src 192.168.0.0/24
acl vip_users src 192.168.0.17-192.168.0.21/32
acl limited_users src 192.168.0.22-192.168.0.72/32acl blocked_urls dstdomain "/etc/squid/acl/blocked_urls.acl"
acl bad_urls dstdomain "/etc/squid/acl/bad_urls.acl"
acl video_audio urlpath_regex -i /.avi$ /.mpg$ /.flv$ /.mp3$ /.mp2$ /.mkv$ /.mka$ /.asf$ /.wma$ /.wmv$ /.mpeg$ /.wav$ /.vob$ /.flac$ /.dat$
acl progs urlpath_regex -i /.exe$ /.rar$ /.zip$ /.com$ /.bat$ /.msi$acl url_content url_regex -i youtube
acl url_content url_regex -i vkontakte
acl url_content url_regex -i rutube
acl url_content url_regex -i sex
acl url_content url_regex -i porn
acl url_content url_regex -i fuck
acl url_content url_regex -i facebook
acl url_content url_regex -i erotika
acl url_content url_regex -i erotica
acl url_content url_regex -i odnoklassnikiiptables -t nat -A PREROUTING -i eth0 -p tcp -dport 80 -j REDIRECT -to -port 3128
http_access deny limited_users blocked_urls
http_access deny limited_users url_content
http_access deny limited_users video_audio
http_access deny limited_users bad_urls
http_access deny limited_users progshttp_access deny my_network
http_access deny all-----------------------------------------------
вот.
Проблема:
Когда у клиента показываю прокси сервера (адрес: 192.168.0.5, порт: 3128) сквид работает. Смысле, блокирует что надо. А когда нет пропускает все!
Из за чего это?? Где моя ошибка?..Заранее спасибо большое!
покажите ifconfig, route -n с машины с squid, а так же таблицу маршрутизации с клиента
>покажите ifconfig, route -n с машины с squid, а так же таблицу
>маршрутизации с клиентаПривет. -)
Вот:
===========================================
[root@centos ~]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:08:A1:8C:59:AF
inet addr:192.168.0.5 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::208:a1ff:fe8c:59af/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:33 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:8130 (7.9 KiB)eth1 Link encap:Ethernet HWaddr 00:13:D4:74:05:D8
inet addr:192.168.0.4 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::213:d4ff:fe74:5d8/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4418 errors:0 dropped:0 overruns:0 frame:0
TX packets:590 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:756719 (738.9 KiB) TX bytes:185828 (181.4 KiB)
Interrupt:16 Base address:0xc000lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:2096 errors:0 dropped:0 overruns:0 frame:0
TX packets:2096 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:3868342 (3.6 MiB) TX bytes:3868342 (3.6 MiB)peth0 Link encap:Ethernet HWaddr FE:FF:FF:FF:FF:FF
inet6 addr: fe80::fcff:ffff:feff:ffff/64 Scope:Link
UP BROADCAST RUNNING NOARP MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:105 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:17046 (16.6 KiB)
Interrupt:20 Base address:0xa400vif0.0 Link encap:Ethernet HWaddr FE:FF:FF:FF:FF:FF
inet6 addr: fe80::fcff:ffff:feff:ffff/64 Scope:Link
UP BROADCAST RUNNING NOARP MTU:1500 Metric:1
RX packets:33 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:8130 (7.9 KiB) TX bytes:0 (0.0 b)virbr0 Link encap:Ethernet HWaddr 00:00:00:00:00:00
inet addr:192.168.122.1 Bcast:192.168.122.255 Mask:255.255.255.0
inet6 addr: fe80::200:ff:fe00:0/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:46 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:8371 (8.1 KiB)xenbr0 Link encap:Ethernet HWaddr FE:FF:FF:FF:FF:FF
UP BROADCAST RUNNING NOARP MTU:1500 Metric:1
RX packets:33 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:7668 (7.4 KiB) TX bytes:0 (0.0 b)=========================================
[root@centos ~]# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.122.0 0.0.0.0 255.255.255.0 U 0 0 0 virbr0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 eth1===========================================
>[оверквотинг удален]
>169.254.0.0 0.0.0.0
> 255.255.0.0 U
> 0 0
> 0 eth0
>0.0.0.0 192.168.0.1
> 0.0.0.0
>UG 0 0
> 0 eth1
>
>===========================================А таблицу маршрутизации с клиента?
одинаковые подсети на разных интерфейсах это плохо
>>===========================================
>
>А таблицу маршрутизации с клиента?
>
>одинаковые подсети на разных интерфейсах это плохоПривет -)
Извини, я не очень хорошо знаю Centos.. Как мне получить таблицу маршрутизации?Что предлагаешь, поменять ИП модема?..
>>>===========================================
>>
>>А таблицу маршрутизации с клиента?
>>
>>одинаковые подсети на разных интерфейсах это плохо
>
>Привет -)
>Извини, я не очень хорошо знаю Centos.. Как мне получить таблицу маршрутизации?с клиента, с клиента , какая ОС у клиента?
если win - route print,
если linux - route -n>
>
>Что предлагаешь, поменять ИП модема?..с какой стороны для тебя проще, с той и меняй
клиенты тоже к модему напрямую могут обращаться или физически отделены машиной с squid?
>>
>>Что предлагаешь, поменять ИП модема?..
>
>с какой стороны для тебя проще, с той и меняй
>
>клиенты тоже к модему напрямую могут обращаться или физически отделены машиной с
>squid?Клиенты у меня Windows и XP Windows 7.
Вот таблица маршрутизации с клиента (Windows 7):
--------------------------------------------------------------IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.65 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.0.0 255.255.255.0 On-link 192.168.0.65 276
192.168.0.65 255.255.255.255 On-link 192.168.0.65 276
192.168.0.255 255.255.255.255 On-link 192.168.0.65 276
192.168.81.0 255.255.255.0 On-link 192.168.81.1 276
192.168.81.1 255.255.255.255 On-link 192.168.81.1 276
192.168.81.255 255.255.255.255 On-link 192.168.81.1 276
192.168.222.0 255.255.255.0 On-link 192.168.222.1 276
192.168.222.1 255.255.255.255 On-link 192.168.222.1 276
192.168.222.255 255.255.255.255 On-link 192.168.222.1 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.0.65 276
224.0.0.0 240.0.0.0 On-link 192.168.222.1 276
224.0.0.0 240.0.0.0 On-link 192.168.81.1 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.0.65 276
255.255.255.255 255.255.255.255 On-link 192.168.222.1 276
255.255.255.255 255.255.255.255 On-link 192.168.81.1 276
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.0.1 По умолчанию
===========================================================================--------------------------------------------------------------
И еще вот мой нетворк:
http://s54.radikal.ru/i144/1007/a7/cd4dc941415d.jpg
у клиентов шлюзом указать 192.168.0.5, а не 192.168.0.1, или на машине с squid 192.168.0.5 изменить на 192.168.0.1 ( так наверно проще ).на модеме 192.168.0.1 изменить нп 192.168.1.1.
на машине с squid 192.168.0.4 изменить на 192.168.1.4.
так же возможно потребуется изменить DNS , правила iptables и что там еще запущенно .по поводу вопроса про squid, если модем воткнут в свичь, то без прописанного прокси пакеты шли на прямую к модему и далее..., с прописанным прокси - соответственно через прокси
если модем воткнут в сетевую карту машины с squid, то тогда на понятно как работал инет у клиента без прописанного прокси
>[оверквотинг удален]
>на машине с squid 192.168.0.4 изменить на 192.168.1.4.
>так же возможно потребуется изменить DNS , правила iptables и что там
>еще запущенно .
>
>по поводу вопроса про squid, если модем воткнут в свичь, то без
>прописанного прокси пакеты шли на прямую к модему и далее..., с
>прописанным прокси - соответственно через прокси
>
>если модем воткнут в сетевую карту машины с squid, то тогда на
>понятно как работал инет у клиента без прописанного проксиВсе понятно. Сделаю. Пасиба большое! =)..
Еще один вопрос: в моем случае как настроить модем - бридж или ПППоЕ?..
>[оверквотинг удален]
>>по поводу вопроса про squid, если модем воткнут в свичь, то без
>>прописанного прокси пакеты шли на прямую к модему и далее..., с
>>прописанным прокси - соответственно через прокси
>>
>>если модем воткнут в сетевую карту машины с squid, то тогда на
>>понятно как работал инет у клиента без прописанного прокси
>
>Все понятно. Сделаю. Пасиба большое! =)..
>Еще один вопрос: в моем случае как настроить модем - бридж или
>ПППоЕ?..я бы оставил роутером, если его не глючит, и включил бы отправку логов на удаленную машину (192.168.1.4) , и на Centos настроил бы логирование , а вы уж как хотите
>[оверквотинг удален]
>>>если модем воткнут в сетевую карту машины с squid, то тогда на
>>>понятно как работал инет у клиента без прописанного прокси
>>
>>Все понятно. Сделаю. Пасиба большое! =)..
>>Еще один вопрос: в моем случае как настроить модем - бридж или
>>ПППоЕ?..
>
>я бы оставил роутером, если его не глючит, и включил бы отправку
>логов на удаленную машину (192.168.1.4) , и на Centos настроил бы
>логирование , а вы уж как хотитеPrivet.
Ne poluchilos u mena.. -(
Voobshem, nastroil vse kak vi skazali. Teper blokiruet sayti iz blocked_sites.acl ili url_regex - srazu, a naschet drugix, dolgo dumaet... Do "Ne vozmojno otobrazit stranicu".. ((((
Sto mne delat?
Pomogite pojaluysta!
для начала закоментируйте все ограничения, добейтесь что бы с клиента все начало работать, а потом начинайте добавлять ограничения по одному, проверять и добавлять следующее
>для начала закоментируйте все ограничения, добейтесь что бы с клиента все начало
>работать, а потом начинайте добавлять ограничения по одному, проверять и добавлять
>следующееВсе сработало! -))) Пасссиибба Вам большое.
Теперь нужно настроить Сарг. -)
Надо читать статьи.. ;)
>для начала закоментируйте все ограничения, добейтесь что бы с клиента все начало
>работать, а потом начинайте добавлять ограничения по одному, проверять и добавлять
>следующееПривет. Возник такой вопрос - а как настроить Outlook 2003 ?.. :(
И еще не работает веб-чаты, типа http://ironkey.ucoz.com/load/raznoe/chat/7-1-0-146
Не открывается даже на vip_users.. -( Что мне делать?..
>>для начала закоментируйте все ограничения, добейтесь что бы с клиента все начало
>>работать, а потом начинайте добавлять ограничения по одному, проверять и добавлять
>>следующее
>
>Привет. Возник такой вопрос - а как настроить Outlook 2003 ?.. :(выпустить через snat
>
>И еще не работает веб-чаты, типа http://ironkey.ucoz.com/load/raznoe/chat/7-1-0-146
>Не открывается даже на vip_users.. -( Что мне делать?..как и раньше убрать блокировки и убедиться работает ли вообще через прокси, если нет, убедиться работает ли просто через nat без прокси
>[оверквотинг удален]
>>Привет. Возник такой вопрос - а как настроить Outlook 2003 ?.. :(
>
>выпустить через snat
>
>>
>>И еще не работает веб-чаты, типа http://ironkey.ucoz.com/load/raznoe/chat/7-1-0-146
>>Не открывается даже на vip_users.. -( Что мне делать?..
>
>как и раньше убрать блокировки и убедиться работает ли вообще через прокси,
>если нет, убедиться работает ли просто через nat без проксиПривет Игорь.
Надеюсь все у тебя хорошо.Игорь, я все еще не смог исправить проблему outlook.. Если поможешь, буду признателен.
Значить так - outlook и еще веб чаты, типа www.xat.com - не загружается. =(
Спасибо заранее! -)
>[оверквотинг удален]
>>>Не открывается даже на vip_users.. -( Что мне делать?..
>>
>>как и раньше убрать блокировки и убедиться работает ли вообще через прокси,
>>если нет, убедиться работает ли просто через nat без прокси
>
>Привет Игорь.
>Надеюсь все у тебя хорошо.
>
>Игорь, я все еще не смог исправить проблему outlook.. Если поможешь, буду
>признателен.и в чем она?
>Значить так - outlook и еще веб чаты, типа www.xat.com - не
>загружается. =(без прокси, через nat они работают?
>Спасибо заранее! -)
>[оверквотинг удален]
>>признателен.
>
>и в чем она?
>
>>Значить так - outlook и еще веб чаты, типа www.xat.com - не
>>загружается. =(
>
>без прокси, через nat они работают?
>
>>Спасибо заранее! -)Привет! =)
Да. Раньше работали. И еще забыл https. -( https тоже не работает..
>[оверквотинг удален]
>>
>>>Значить так - outlook и еще веб чаты, типа www.xat.com - не
>>>загружается. =(
>>
>>без прокси, через nat они работают?
>>
>>>Спасибо заранее! -)
>
>Привет! =)
>Да. Раньше работали. И еще забыл https. -( https тоже не работает..прокси прозрачный? если да , то в браузере пропиши прокси и проверь и проверь без прокси, через nat.
https - пускай мимо прокси , если он прозрачный, а если прокси прописан в браузере проверь разрешён ли порт
>
>[оверквотинг удален]
>>Привет! =)
>>Да. Раньше работали. И еще забыл https. -( https тоже не работает..
>
>прокси прозрачный? если да , то в браузере пропиши прокси и проверь
>и проверь без прокси, через nat.
>
>https - пускай мимо прокси , если он прозрачный, а если прокси
>прописан в браузере проверь разрешён ли порт
>
>>Нет, непрозрачный. Нттр порт разрешен.
Извиняюсь, я просто не знаю как пускать мимо прокси. =( Есть ли у вас статьи об этом?.. Или можете объяснить..
>[оверквотинг удален]
>>
>>прокси прозрачный? если да , то в браузере пропиши прокси и проверь
>>и проверь без прокси, через nat.
>>
>>https - пускай мимо прокси , если он прозрачный, а если прокси
>>прописан в браузере проверь разрешён ли порт
>>
>>>
>
>Нет, непрозрачный. Нттр порт разрешен.прокси прописан в браузере? выше у тебя настройки для прозрачного были
>Извиняюсь, я просто не знаю как пускать мимо прокси. =( Есть ли
>у вас статьи об этом?.. Или можете объяснить..iptables-save покажи и
конфиг squid без комментированных строк
Вот:squid.conf
======
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
visible_hostname MySquidacl QUERY urlpath_regex cgi-bin \?
cache deny QUERYcache_dir ufs /var/spool/squid 2048 16 256
maximum_object_size_in_memory 120 KB
cache_mem 128 MB
access_log /var/log/squid/access.log squidrefresh_pattern ^ftp: &n... 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320http_port 192.168.0.1:3128
cache_mgr ivugar@gmail.comacl SSL_ports port 443 465 563 587
acl Safe_ports port 110 #pop
acl Safe_ports port 25 #smtp
acl Safe_ports port 20000acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECThttp_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_portsacl my_network src 192.168.0.0/24
acl data_server src 192.168.0.3/32
acl vip_users src 192.168.0.16-192.168.0.21/32
acl limited_users src 192.168.0.22-192.168.0.72/32
acl limited_users src 192.168.0.2/32acl blocked_urls dstdomain "/etc/squid/acl/blocked_urls.acl"
acl some_sites dstdomain "/etc/squid/acl/some_sites.acl"
acl bad_urls dstdomain "/etc/squid/acl/bad_urls.acl"
acl banners dstdomain "/etc/squid/acl/banners.acl"
acl good_sites dstdomain "/etc/squid/acl/good_sites.acl"acl video_audio urlpath_regex -i /.avi$ /.mpg$ /.flv$ /.mp3$ /.mp2$ /.mkv$ /.mka$
acl video_audio urlpath_regex -i /.asf$ /.wma$ /.wmv$ /.mpeg$ /.wav$ /.vob$ /.flac$ /.dat$ /.cab$
acl programs urlpath_regex -i /.exe$ /.rar$ /.zip$ /.com$ /.bat$ /.msi$
acl WinExecs url_regex -i \.exe \.rar \.zip \.bat \.msi \.gz \.scr \.wmv \.cab \.mp3acl url_content url_regex -i youtube
acl url_content url_regex -i vkontakte
acl url_content url_regex -i rutube
acl url_content url_regex -i porn
acl url_content url_regex -i fuck
acl url_content1 url_regex -i facebook
acl url_content url_regex -i erotika
acl url_content url_regex -i erotica
acl url_content1 url_regex -i odnoklassniki
acl url_content url_regex -i game
acl url_content url_regex -i video
acl url_content url_regex -i radio
acl url_content url_regex -i download
acl url_content url_regex -i indir
acl url_content url_regex -i love
acl url_content url_regex -i movie
acl url_content url_regex -i mp3
acl url_content url_regex -i izvrashenka
acl url_content url_regex -i tele-dom
acl url_content url_regex -i tele-dom2deny_info http://.../1344277e768a.jpg blocked_urls bad_urls
deny_info http://.../9a3e90d5ad5c.jpg programs url_content url_content1 WinExecs
deny_info http://.../fffd0d8cf70c.jpg video_audio
deny_info http://.../fffd0d8cf70c.jpg some_sitesacl work_time time 09:00-13:00
acl dinner_time time 13:01-14:59
acl work_time time 15:00-19:00
http_access deny limited_users programs
http_access deny limited_users WinExecs
http_access deny limited_users url_content !good_sites
http_access deny limited_users some_sites !dinner_time
http_access deny limited_users url_content1 !dinner_time
http_access deny limited_users video_audio
http_access deny limited_users blocked_urls
http_access deny limited_users bad_urls
http_access deny limited_users banners
http_access deny vip_users banners
http_access deny vip_users bad_urls
http_access allow data_server
http_access allow vip_users !banners !bad_urls
http_access allow limited_usershttp_access deny all
=====================
iptables-save
=========
[root@centos ~]# iptables-save
# Generated by iptables-save v1.3.5 on Tue Jul 27 16:58:43 2010
*filter
:INPUT ACCEPT [1112424:768683009]
:FORWARD ACCEPT [48047:3087799]
:OUTPUT ACCEPT [1179983:822891898]
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A FORWARD -d 192.168.122.0/255.255.255.0 -o virbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.122.0/255.255.255.0 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 192.168.122.0/255.255.255.0 -o virbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.122.0/255.255.255.0 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Tue Jul 27 16:58:43 2010
# Generated by iptables-save v1.3.5 on Tue Jul 27 16:58:43 2010
*nat
:PREROUTING ACCEPT [38164:3911030]
:POSTROUTING ACCEPT [31398:1957571]
:OUTPUT ACCEPT [24017:1480501]
-A POSTROUTING -s 192.168.122.0/255.255.255.0 -d ! 192.168.122.0/255.255.255.0 -j MASQUERADE
-A POSTROUTING -s 192.168.122.0/255.255.255.0 -d ! 192.168.122.0/255.255.255.0 -j MASQUERADE
COMMIT
# Completed on Tue Jul 27 16:58:43 2010
# Generated by iptables-save v1.3.5 on Tue Jul 27 16:58:43 2010
*mangle
:PREROUTING ACCEPT [1177164:774554427]
:INPUT ACCEPT [1112447:768716845]
:FORWARD ACCEPT [48047:3087799]
:OUTPUT ACCEPT [1180006:822925734]
:POSTROUTING ACCEPT [1228428:826089170]
COMMIT
# Completed on Tue Jul 27 16:58:43 2010
[root@centos ~]#
----------------------------------------------------------------------------
>[оверквотинг удален]
>-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
>COMMIT
># Completed on Tue Jul 27 16:58:43 2010
># Generated by iptables-save v1.3.5 on Tue Jul 27 16:58:43 2010
>*nat
>:PREROUTING ACCEPT [38164:3911030]
>:POSTROUTING ACCEPT [31398:1957571]
>:OUTPUT ACCEPT [24017:1480501]
>-A POSTROUTING -s 192.168.122.0/255.255.255.0 -d ! 192.168.122.0/255.255.255.0 -j MASQUERADE
>-A POSTROUTING -s 192.168.122.0/255.255.255.0 -d ! 192.168.122.0/255.255.255.0 -j MASQUERADEу клиентов адрес подсети 192.168.0.0/24, а тут snat для 192.168.122.0/24, при этом два одинаковых правила в POSTROUTING, одно исправь и лучше интерфейсы указать
-A POSTROUTING -o eth1(который на модем смотрит) -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.0/255.255.255.0 -j MASQUERADE
это для почты, при этом у клиентов должен быть прописан dns и шлюздля для https - в браузере указано для этого протокола использовать прокси? если нет то пройдет через нат, как и почта
по поводу чата, после исправления в iptables в браузере убери указание ходить через прокси и проверить , пойдет через нат. если заработает то проверяй acl-ы в squid
>[оверквотинг удален]
>*mangle
>:PREROUTING ACCEPT [1177164:774554427]
>:INPUT ACCEPT [1112447:768716845]
>:FORWARD ACCEPT [48047:3087799]
>:OUTPUT ACCEPT [1180006:822925734]
>:POSTROUTING ACCEPT [1228428:826089170]
>COMMIT
># Completed on Tue Jul 27 16:58:43 2010
>[root@centos ~]#
>----------------------------------------------------------------------------
Привет Игорь.Я тут сделал как Вы сказали. Поменял в иптаблес 192.168.222.0 на 192.168.0.0.
Но когда даю iptables-save, там видно 2 строки -
-A POSTROUTING -s 192.168.222.0/255.255.255.0 -d ! 192.168.222.0/255.255.255.0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.0/255.255.255.0 -o eth1 -j MASQUERADEА в iptables.conf нету -(. Смысле, есть только один с 192.168.0.0 ..
Вот так выгладить мой iptables.conf:
==============================
# Generated by iptables-save v1.3.5 on Thu Jul 15 14:34:04 2010
*mangle
:PREROUTING ACCEPT [166:54062]
:INPUT ACCEPT [157:53258]
:FORWARD ACCEPT [3:179]
:OUTPUT ACCEPT [163:53125]
:POSTROUTING ACCEPT [166:53304]
COMMIT
# Completed on Thu Jul 15 14:34:04 2010
# Generated by iptables-save v1.3.5 on Thu Jul 15 14:34:04 2010
*nat
:PREROUTING ACCEPT [81715:8439881]
:POSTROUTING ACCEPT [58535:3676672]
:OUTPUT ACCEPT [39629:2476162]
-A POSTROUTING -o eth1 -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.0/255.255.255.0 -j MASQUERADE
COMMIT
# Completed on Thu Jul 15 14:34:04 2010
# Generated by iptables-save v1.3.5 on Thu Jul 15 14:34:04 2010
*filter
:INPUT ACCEPT [7575974:4054057868]
:FORWARD ACCEPT [124870:7937599]
:OUTPUT ACCEPT [7925545:8528057512]
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A FORWARD -d 192.168.122.0/255.255.255.0 -o virbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.122.0/255.255.255.0 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Thu Jul 15 14:34:04 2010
==============================
у RH подобных правила при service iptables start берутся из /etc/sysconfig/iptables
>у RH подобных правила при service iptables start берутся из /etc/sysconfig/iptablesДа, я знаю.
Опять не сработало.
Что мне делать ?.. =(
После редактирования iptables надо перезагрузить систему или service iptables restart достаточно?..
>>у RH подобных правила при service iptables start берутся из /etc/sysconfig/iptables
>
>Да, я знаю.
>Опять не сработало.
>Что мне делать ?.. =(
>После редактирования iptables надо перезагрузить систему или service iptables restart достаточно?..
>iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 80 -j
>REDIRECT -to -port 3128это на машине 192.168.0.5? Это правило первое?
>>iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 80 -j
>>REDIRECT -to -port 3128
>
>это на машине 192.168.0.5? Это правило первое?Да. На том же машине..
>>нельзя такое сделать, имхо
>
>Можно !!!
>Только придется поставить PHP и написать пару скриптов :)если исходить из такой постановки, то тогда все можно сделать :D
>Добрые люди ткните куда надо смотреть, посоветуйте литературку,
>поделитесь ссылочкой если есть возможность!Смотреть, как всегда, нужно в доки:
/usr/local/etc/sarg/sarg.conf
# TAG: user_authentication yes|no
# Allow user authentication in User Reports using .htaccess
# Parameters:
# AuthUserFile - where the user password file is
# AuthName - authentication realm. Eg "Members Only"
# AuthType - authenticaion type - basic
# Require - authorized users to see the report.
# %u - user report
#
# user_authentication no
# AuthUserFile /usr/local/sarg/passwd
# AuthName "SARG, Restricted Access"
# AuthType Basic
# Require user admin %uПри использовании этой директивы сарг добавляет в каталоги с юзерскими отчетами .хтаксесс, дозволяющий смотреть данный конкретный отчет админу и конкретному юзеру. Безо всяких дополнительных скриптов и прочих вычурных телодвижений...