Обсуждение статьи тематического каталога: Настройка шлюза на FreeBSD 5.4 (freebsd install squid gateway)Ссылка на текст статьи: http://www.opennet.me/base/net/freebsd_gateway_setup.txt.html
ПОйдет. Все по делу. Однако, подобных статей - уже больше тонны.
Ну тренируется человек в написании статей, может скоро выдаст нагора все то что общественность ждет-недождется, но попозже :)
Автора поздравляю с пробой пера.Хочется уточнения - это - попытка организации прозрачного прокси?
сначала ставим сквид... из порта...
запускаем его...
а потом пишем резолв:)представляю какой дикий визг подимет сквид :)
Присоединяюсь к поздравлениям.Автору читать manЫ - источник знаний.
Рекомендуемые особенно:
rc.sendmail(8)
Squid configuration manual
Че накинулись на человека?
былаб такая статейка лет эдак 5 назад-могу поспорить многие бы набили шишек гораздо меньше%)
а автору очень советую дописать статейку с включением в нее таких вещей как подсчет трафика файрволом и настройки релея в почтовике тока из локалки%)(можно еще добавить конечно наложение патча на сквида для отрубания перебравших трафик,и прикрутку антивирей к сквиду и МТА)
Нормальная статья.
Несколькко замечаний (только основные):Если мыы говорим о руковыкручивании и загоне всех через СКВИД - зачем ставить НАТ ?
Чем плох порт 3128 ?
Чем плох набор правил rc.firewall ? + дополнения к стандартному набору
Мы что делаем "открытый сквид" - почему рисуя IPFW правила мы не закрываем Сквидовский порт ? Это не касается списка пользователей. Порт надо закрывать.
Какой вид файла internet-users ? Практически. Ну ламер я. Ну не знаю. Ну никакого шанса у меня нет разрыть в Инете именно тот вариант использования конфигурации, который принят автором. Ну не настроен у меня сервер - соответственно НЕТ НИЧЕГО !!! Доступа к инету нет. Все с нуля. Есть в руках только эта статья.
Статья написана для НЕПРОФЕССИОНАЛА, правильно. Есть такая категория статей. Они нужны. Слов нет. Но для такой категории ДОЛЖНО быть описано ВСЕ и ДО КОНЦА. С полными примерами.
Q:Если мыы говорим о руковыкручивании и загоне всех через СКВИД - зачем ставить НАТ ?A:Почта,клиент-банк
Q:Чем плох порт 3128 ?
A:Ничем можно и 3128.Q:Какой вид файла internet-users ?
A:192.168.0.1
192.168.0.4
и т.д.
или 192.168.0.0/24
Все зависит от политики которой вы придерживаетесь
A:Автор просто вынес acl из squid в отдельный файл
//Access control
acl InternetUsers src /usr/local/etc/squid/InternetUsers
//http access
http_access allow InternetUsers
http_access deny all
//And finally deny all other acces to this proxy
http_access allow InternetUsers
http_access deny all
ЗЫ:забыл написать что прозрачная прокся не есть гуд%)
есть гуд прокся с тотальной авторизацией%)
Учту ваши пожелания.
на такое значение параметра
visible_hostname Intrenet_Security_and_Acceleration_Serverсквид во FreeBSD 5.4 отвечает примерно следующее:
mimeLoadIcon: cannot parse internal URLСоветую изменить параметр, например так:
visible_hostname InetServer
Q: на такое значение параметра
visible_hostname Intrenet_Security_and_Acceleration_Serverсквид во FreeBSD 5.4 отвечает примерно следующее:
mimeLoadIcon: cannot parse internal URL
A: В имене не должно быть пробелов.
и эти строки для ламера вроде меня непонятны
#crontab -e
0 8,12,16,20 * * 1-7 /usr/local/bin/trafsave rl0 rl1
10 9,17 * * 1-7 /usr/local/bin/sarg
Включаем ротацию логов squid первого числа каждого месяца
# crontab -u squid -e
0 0 1 * * /usr/local/sbin/squid -k rotate
Специально для вас я добавил в статью более подробное опиание интересующих вас моментов.
и еще
Запустим squid
# /usr/local/etc/rc.d/squid.sh start
после установки сквида скрипт в каталоге не появился. Мне как ламеру хотелось бы знать его содержание...
Вообще скрипт создаёться при установки squid`a из портов.
Если ты ставил squid из исходников то сделать так.
так /usr/local/sbin/squid -D чтобы запустить squid
Автор, спасибо, со статьей разобрался.
а можно еще чайнику объяснить, как через получившийся шлюз пропустить почтовик или он уже будет ходить?
Q:Автор, спасибо, со статьей разобрался.
а можно еще чайнику объяснить, как через получившийся шлюз пропустить почтовик или он уже будет ходить?
A:Почтовик(почтовый клиент) или MTA?
Если почтовый клиен( например TheBat! или Outlook , то в настройках соединения на пользовательских машинах нужно чтобы был прописан шлюз.
Если MTA и нужно чтобы он был видел их интернета то можно NAT`ом сделать редирект портов(если это необходимо, и если почтовый сервер стоит на другом компьютере имеющий серый адрес).Для этого нужно запустить NAT так:
в /etc/rc.conf прописать natd_flags="-f /etc/natd.conf"
в /etc/natd.conf прописать например redirect_port tcp 192.168.0.187:25 25
redirect_port tcp 192.168.0.187:110 110
Очень даже неплохая статья для новичков во фре. Автору благодарен!
Если интересно могу дописать статью с учётом всех пожеланий, но на FreeBSD 6.O + средства графического управления (webmin) + генерация отчётов trad.
Это надо?
Или подобных статей - уже больше тонны.?
Очень бы хотелось услышать по подробние про сбор статистики и отображение этого дела в графиках по каждому юзеру... Пока моих знаний не хватает :-(
Ну графическое управление - явно лишне =)) А вот фсё остальное можно!
С удовольствием голосую за продолжение статьи! Автору спасибо - от начинающих.
Только прошу не "средства графического управления (webmin)". Про то как вёб мин поставить написано много. Прошу прикрутить отчёты для юзеров в HTML чтоб могли себя мониторить, кто сколько и куда, сами по мере надобности.
А каков формат файла SARG - "usertab"?
Q:А каков формат файла SARG - "usertab"?
A:ip имя которое вы хитите увидеть в отчёте
Пример 192.168.0.187 IT
192.168.0.5 Director
и т.д.
Интересная статья. (Особенно для меня ламера)Разбираюсь по техоньку... Было бы интересно послушать автора по поводу возможности прикрутить dhcp-сервер к выше изложеному...Чтобы раздовал адреса по мак адресу.
И еще ...SARG: (language) Cannot open language file: /usr/local/etc/sarg/languages/ language English шо воно таке?
А дополнить стать думаю нужно...
Хорошая статья. Вот бы в эту задачу включить настройка и защита DNS , SendMail , с AntiVir + AntiSpam и Apache c PHP , может уже есть такие статьи ?
>>Хорошая статья. Вот бы в эту задачу включить настройка и защита DNS , >>SendMail , с AntiVir + AntiSpam и Apache c PHP , может уже есть такие >>статьи ?
dns я уже настраивал через webmin, поэтому писать не о чем, antivir+antispam(antivir и AntiSpam)заслуживаю как минимум каждый по отдельной статье, так же и Apache + php.Да такие статьи есть! Причём по поводу выбора антивируса могу от себя сказать, что clamav нужно дополнять антивирусом на клиентских местах или на сервер поставить что-то другое symantec, panda , kav.(Лично у меня стоит symantec, и он частенько ловит вирусы, которые пропускает clamav)
ссылки на статьи которые писал не я но относяться к вопросу
Тема ссылки на информацию: Почтовый сервер на линукс
Журнал системный администратор сентябрь 2005
Название статьи Настраиваем основные компоненты почтового сервера.
Тема Почтовый сервер на FreeBSD
opennet.ru раздел почта .
Тема антивирусник на веб трафик , спам и другое
Системный администратор июль 2005 .Вообще полезную информацию можно получить на сайте
1)samag.ru в виде pdf.
http://samag.ru
2)opennet.ru
http://opennet.ru
3)freebsd handbook желательно на руском
http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/index...
подскажите плз если к SendMail , web interface для почтовых клиентов ?clamav это то чем вы пользуетесь ?
И почему в статье вы отключаете Sendmail ?
Каким почтовиком пользуетесь вы ?
Q: подскажите плз если к SendMail , web interface для почтовых клиентов ?
A: да есть squirrelmail /usr/ports/mail/squirremail
Q:clamav это то чем вы пользуетесь ?
A: clamav на сервере + symantec ce на втором сервере.
Q: И почему в статье вы отключаете SendMail ?
A: можно не отключать, можно запустить его как локальный.
Q: Каким почтовиком пользуетесь вы ?
A: MTA postfix /usr/ports/mail/postfix
MUA the bat! + web интерфейс к почтовику.
После
# cd /usr/ports/www/sarg
# make===> sarg-2.1 depends on shared library : gd.4 - not found
Verifying install for gd.4 in /usr/ports/grafics/gd
===> gd-2.0.33_4,1 depends on shared library: jpeg.9 - not found
===> Verifying install for jpeg.9 in /usr/ports/grafics/jpeg
===> Building for jpeg-6b-3
make cannot open Makefile.
error code 2Подскажите плз в чем может быть проблема ?
перед установкой делал /usr/local/bin/cvsup -g -L 2 /etc/cvsupfile
с ports-all
Makefile тут естьv 1.42 2005/11/15 06:49:31
До новой версии статьи осталось 20 дней.
гы, прикольновая статья :-)
но
отключим sendmail
# chmod -x /etc/rc.d/sendmail
это жесть %-)
навернавае правильнее нужно было написать
sendmail_enable="NO"
sendmail_submit_enable="NO"
настроил все до этого момента
"... После перезагрузки прокси сервер и шлюз должны работать. ..."
тип файервола - OPEN
в итоге, не работают e-mail клиенты и Миранда ICQ
(что интересно, родной коиент ICQ 5 работает...)При установке аппаратного маршрутизатора было тоже самое. Может в нем дело (адсл-маршрутизатор - стоит на внешнем интерфейсе шлюза BSD)? Как проверить, идет ли e-mail траффик от шлюза к маршрутизатору адсл?
Подробнее про адсл-маршрутизатор тут http://www.megaufa.ru/modules.php?name=Forums&file=viewtopic...
Не работало из-за того что не прописал IP DNS на клиентах Win...
А как насчет принудительно пустить весь трафик 80 порта на прокси?
ipfw add 100 fwd $squid,3128 tcp from $myhost to 0.0.0.0/0 80
и кой чего в сквиде поправить...
подробности тут:
http://www.opennet.me/base/net/hardprox.txt.html
Сегодня первый раз ставил FreeBSD (правда версия 6.2 а не 5.4) до этого с opensource вообще не сталкивался (то есть даже не чайник и даже не ламер :)) Трабла следующая:
при # config GATEWAY ругается на options IPFIREWALL_DEFAULT_TO_ACCEPT , говорит, не знаю, что это такое :(
Подскажите, что может быть, или пошлите меня... (не, не туда :))), на раздел манов об этом или какую-то конкретную статью об этом моменте.
Сорри за безграмотность и тупой вопрос.
прочитайте плз ещё раз Часть 2. Сборка ядра...в FreeBSD по дефолту почему-то файрвол выключен в ядре. так что ядро придётся пересобрать
Потому и выключен, что в 6.2 сделан отдельным модулем. Не надо ядро пересобирать, достаточно прописать в /etc/rc.conf:
ipfw_enable=yes
и ядро его само замечательно подцепит.
Запуск файрволла:
/etc/rc.d/ipfw start
Ручная загрузка модуля - без запуска.
kldload ipfw
Просто нет слов одни эмоции, что надо хавать что бы все это понимать ..... ничего не понял
Вот только такое правило работать не будет если запускать ipfw модулем:
ipfw add 100 fwd $squid,3128 tcp from $myhost to 0.0.0.0/0 80
у меня дома свой сервак...
nfe0 - сетевой интерфейс смотрит на провайдера и по DHCP получает адресс.
далее поднимаю PPPoE (tun0)
а со второго интерфейса rl0 раздаю интернет пользователям в локальной сети 192.168.0.2 и так далее...
установил squid...
кодгда в браузере прописываешь работать через проксю 192.168.0.1 порт 3128 все работает отлично и кешируется и так далее... а вот без жесткой привязки браузера... инет есть, но без прокси....
при этом!!! /etc/rc.conf
firewall_enable="YES"
firewall_type="OPEN"
к сожалению еще не доразобрался с фаерволом... кто то может подсказать, что нужно сделать, что бы завернуть пакеты из локальной сети на сквид и как???
по примеру, приведенного тут фаервола - не получается что то... и еще... моя сетевая, смотрящая на провайдер получает адресс по DHCP, что же тогда должно быть в строке
/sbin/ipfw add 5100 divert natd ip from any to 192.168.5.15
???? объясните пожалуйста...
вот правило, которое посылает всех юзверей на squid
add 5500 deny all from 192.168.0.0/24 to not 192.168.0.0/24 80,21,443
я эту строку прописал в
# vi /usr/local/etc/firewall.conf
и всех начало гонять на squid
В статье зачем то это в скрипт загоняют, думаю, потому что старый freebsd рассматривается, у меня 8 версия.
В принципе только ради этой строки большое спасибо автору.
А что и где нужно поменять, если у меня соединение с интернет происходит по через протокол PPPoE ? Обычный шлюз я установил (достаточно было указать в rc.conf строчку gateway_enable=\"YES\", и прописать DNS провайдера). У всех интернет есть, но я хочу поставить прокси как тут описано. Фаервол встал отлично, все правила прописал. Сквид настроил как тут описано. Но инета теперь ни у кого нет. Видимо надо еще дополнительно писать про интерфейс tun0 (через которое и идет соединение с интернет) но как не знаю... Подскажите, пожалуйста!