Доброго времени суток. Итак ситуация такая. из локальной сети трафик проходит в инет через гейт на Red Hat -е ...
HTTP и FTP идет через squid с авторизацией. Остальное просто закрыто на доступ. Что нужно:
1. Чтобы ходила почта, на прием и отправку. В основном все pop3 серваки внешние...
2. Подсчет трафика по пользователям. Squid считает, а как считать почту.
3. Помимо почты надо еще открыть несколько портов. Как?
Сеть 192.168.1.0/255.255.255.0
Заранее спасибо за советы.
ЗЫ. Плз поподробнее, я не мастер, поэтому буду делать по написанному.
>Доброго времени суток. Итак ситуация такая. из локальной сети трафик проходит в
>инет через гейт на Red Hat -е ...
>HTTP и FTP идет через squid с авторизацией. Остальное просто закрыто на
>доступ. Что нужно:
>1. Чтобы ходила почта, на прием и отправку. В основном все pop3
>серваки внешние...
>2. Подсчет трафика по пользователям. Squid считает, а как считать почту.
>3. Помимо почты надо еще открыть несколько портов. Как?
>Сеть 192.168.1.0/255.255.255.0
>Заранее спасибо за советы.
>ЗЫ. Плз поподробнее, я не мастер, поэтому буду делать по написанному.
для pop открывай порты правилами firewall (ipchains/iptables)
трафик почты тоже будешь считать правилами ipchains/iptables
сквид здесь тебе не помошник
другие порты - тоже самое
например для работы с ньюсами 119 порт
ipchains -A forward -j MASQ -s 10.131.2.0/255.255.255.0 -p tcp -d 0.0.0.0/0 119
Проблема в том, что когда выполняешь что то вроде ipchains -A forward -j MASQ -s 10.131.2.0/255.255.255.0 -p tcp -d 0.0.0.0/0 119, он говорит что необходимо включить форвардинг пакетов для форвардинга всего.
соотведственно не приминяя вешеуказанной команды..
а включая форвардинг, соотведственно разрешается все. тогда придется настраивать squid как транспарент прокси, дабы оставить авторизацию, потому как юзвери наверняка просекут что можно работать без прокси... транспарен делать не хочется, что посоветуете по поводу ipchains...???
>Проблема в том, что когда выполняешь что то вроде ipchains -A forward
>-j MASQ -s 10.131.2.0/255.255.255.0 -p tcp -d 0.0.0.0/0 119, он говорит
>что необходимо включить форвардинг пакетов для форвардинга всего.
>соотведственно не приминяя вешеуказанной команды..
>а включая форвардинг, соотведственно разрешается все. тогда придется настраивать squid как транспарент
>прокси, дабы оставить авторизацию, потому как юзвери наверняка просекут что можно
>работать без прокси... транспарен делать не хочется, что посоветуете по поводу
>ipchains...???что то ты не то говоришь! включить форвардинг наверно имелось ввиду включить эту опцию в ядре или ручками
выполнить команду echo "1" > /proc/sys/net/ipv4/ip_forward
то бишь занести 1 в этот файл ! вот и всё!
это не означает форвардить ВСЁ как ты имеешь ввиду . имеется ввиду разрешить перенаправлять пакеты . без этой опции маскарад не будет работать.
Хм. В моем случае получается что когда я ставлю там еденицу, у меня начинает форвардится все. Что же делать? Запретить сначала все, а потом разрешить только определенные порты? Если да, то как запретить все кроме нужного, например 3128, 110, 25, 21, 27015 ну и все наверно...????
>Хм. В моем случае получается что когда я ставлю там еденицу, у
>меня начинает форвардится все. Что же делать? Запретить сначала все, а
>потом разрешить только определенные порты? Если да, то как запретить все
>кроме нужного, например 3128, 110, 25, 21, 27015 ну и все
>наверно...????в правильную сторону мыслишь! сначала все запрети , а потом что нужно открывай.
вот такой цепочки у тебя НЕ должно быть
ipchains -A forward -s 10.131.2.0/255.255.255.0 -j MASQ
что означает всю сеть выпускать маскарадом наружу напрямую.
ты это наверно имел ввиду всё форвардится ?равзе что себя любимого пущать :)
ipchains -A forward -s 10.131.2.16/255.255.255.255 -j MASQ
как полностью настроить firewall - читать доки и глядеть примеры