https://ssl.opennet.dev/openforum/vsluhforumID12/6635.html Здравствуйте! Может здесь мне помогут. Сразу оговорюсь что делаю подобные настройки первый раз, поэтому учтите это при ответах-)))<br>В общем картина: решил организовать сервер, для раздачи и ФИЛЬТРАЦИИ интернета. Погуглив наткнулся и довольно подробно познакомился с squid-решив его использовать в качестве прокси сервера и dansgurdian - в качестве фильтра. Спросил на другом форуме, получил кучу ответ, довольно полезных, но еще больше запутался. Мне писали и про настройку NAT и много другое...На руках : комп выделенный под сервер, модем, свитч, и несколько машин в локалке. Начал я с настройки сетевых интерфейсов. eth0 смотрит на модем и имеет: <br>auto eth0<br>iface eth0 inet static<br>address 192.168.1.2<br>netmask 255.255.255.0<br>gateway 192.168.1.1 # адрес модема.<br><br>eth1 смотрит в локалку и имеет адрес 192,168,0,1(какую поставить маску???). При такой настройке можно ставить squid, т.е. будут ли запросы из локалки переадресовываться на eth0(сетевые интерфейсы компов локалки настроены по типу IP адрес: 192.168.0.2<br>Ма https://ssl.opennet.dev/openforum/vsluhforumID12/6635.html#33 Fri, 06 May 2011 10:02:22 GMT &gt;[оверквотинг удален]<br>&gt; proxyport=3128 <br>&gt; прописал в браузере прокси: 192,168,0,1:8080 но интернета нет...может что нибудь в iptables <br>&gt; нужно указать, там у меня только трансляция исходящего адреса через SNAT <br>&gt; и iptables -t nat -A PREROUTING -i eth1 -d ! 10.0.0.0/24 <br>&gt; -p tcp -m multiport --dport 80,8080 -j DNAT --to 192,168,0,1:3128. с <br>&gt; этим squid работал. погуглив сделал еще: <br>&gt; iptables -A INPUT -i lo -j ACCEPT <br>&gt; ptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT <br>&gt; iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT, но инет через DG не <br>&gt; идет.. Подскажите что сделать нужно. Спасибо!<br><br>по поводу DG ничего не подскажу, а по поводу iptables - обращение локалки к прокси будет идти через INPUT, а не через FORWARD<br><br>если в DG есть логи запросов, то смотрите дошли ли запросы до DG<br>squid слушает ли 127.0.0.1 или только 192,168,0,1<br>в логах squid смотрите дошли ли запросы через DG.<br><br> https://ssl.opennet.dev/openforum/vsluhforumID12/6635.html#32 Fri, 06 May 2011 07:40:38 GMT Здравствуйте! я немного разобрался с разделением фильтрации в DG и решил его установить. Пока настройку произвел по минимуму: <br>filterip=192.168.0.1<br>filterport=8080<br>proxyip=127.0.0.1<br>proxyport=3128<br><br>прописал в браузере прокси: 192,168,0,1:8080 но интернета нет...может что нибудь в iptables нужно указать, там у меня только трансляция исходящего адреса через SNAT и iptables -t nat -A PREROUTING -i eth1 -d ! 10.0.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192,168,0,1:3128. с этим squid работал. погуглив сделал еще:<br><br>iptables -A INPUT -i lo -j ACCEPT<br>ptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT<br>iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT, но инет через DG не идет.. Подскажите что сделать нужно. Спасибо!<br> https://ssl.opennet.dev/openforum/vsluhforumID12/6635.html#31 Fri, 29 Apr 2011 09:08:28 GMT &gt; в очередной раз говорю Вам спасибо!!! и все же забегу немного вперед, <br>&gt; в идеале мне необходим сервер с dansgurdian. dansgurdian работает через <br>&gt; squid, так? а возможно ли сделать так чтобы для определённых адресов <br>&gt; трафик фильтровался по одному правилу(белые списки), а для других простой фильтр(эро, <br>&gt; порно, наркотики и т.д.), т.е. ученикам зарезано все кроме разрешенного, а <br>&gt; администрации можно все но с ограничениями. До тонкостей настройки доступа и <br>&gt; фильтрации я еще не дошел(впереди только прозрачный прокси), но хочется знать. <br>&gt; Спасибо!<br><br>dansgurdian смотрел давно и совсем немного так что с ним вы уже без меня будите разбираться.<br>но насколько помню к squid он не имеет ни какого отношения. если будите использовать и squid и dansgurdian , то они будут обрабатывать запрос последовательно , кто первый зависит от вашего желания. <br><br>http://interface31.ru/tech_it/2010/03/ubuntu-server-nastraivaem-kontent-fil-tr-routera-dansguardian.html<br> https://ssl.opennet.dev/openforum/vsluhforumID12/6635.html#30 Fri, 29 Apr 2011 08:39:06 GMT в очередной раз говорю Вам спасибо!!! и все же забегу немного вперед, в идеале мне необходим сервер с dansgurdian. dansgurdian работает через squid, так? а возможно ли сделать так чтобы для определённых адресов трафик фильтровался по одному правилу(белые списки), а для других простой фильтр(эро, порно, наркотики и т.д.), т.е. ученикам зарезано все кроме разрешенного, а администрации можно все но с ограничениями. До тонкостей настройки доступа и фильтрации я еще не дошел(впереди только прозрачный прокси), но хочется знать. Спасибо!<br> https://ssl.opennet.dev/openforum/vsluhforumID12/6635.html#29 Fri, 29 Apr 2011 08:27:29 GMT &gt;&gt; acl должны быть определены до их использования <br>&gt; т.е. их нужно прописывать выше?<br><br>выше места их использования<br>&gt;&gt; последовательность http_access имеет значение <br>&gt; ну у меня пока только одно правило, но я путаюсь в каком <br>&gt; именно месте конфига пишутся правила пользователя <br><br>в любом, лишь бы сами не запутались в последовательностях<br><br>в конфиге squid нет предопределенных мест, параметры и правила могут записываться в любом месте, но нужно учитывать что порядок применение правил сверху вниз.<br>&gt;&gt; squid3 -z делали?<br>&gt; нашел ошибку, затер # https://ssl.opennet.dev/openforum/vsluhforumID12/6635.html#28 Fri, 29 Apr 2011 07:58:56 GMT <br>&gt; acl должны быть определены до их использования <br><br>т.е. их нужно прописывать выше?<br><br>&gt; последовательность http_access имеет значение <br><br>ну у меня пока только одно правило, но я путаюсь в каком именно месте конфига пишутся правила пользователя<br><br>&gt; squid3 -z делали?<br><br>нашел ошибку, затер #<br><br> https://ssl.opennet.dev/openforum/vsluhforumID12/6635.html#27 Fri, 29 Apr 2011 07:56:40 GMT &gt;[оверквотинг удален]<br>&gt; механизм понял, он мне очень понравился. но не могу завести squid, <br>&gt; мои действия: <br>&gt; 1) [code]sudo apt-get install squid3[/code]2) [code]http_port 192.168.1.27:3128[/code] <br>&gt; 3) [code]cache_dir ufs /var/spool/squid3 100 16 256# просто раскомментировал[/code] <br>&gt; 4) [code]cache_mem 64[/code] <br>&gt; 5) решил прописать правила для своей локальной сети, знаю что нужно писать <br>&gt; в блоке с alc но где точно, поэтому разместил правило тут: <br>&gt; [code] <br>&gt; ***** ACL TYPES AVAILABLE***** <br>&gt; acl loc src 192.168.0.0/24[/code] <br><br>acl должны быть определены до их использования<br><br>&gt; 6) разрешаю доступ для loc, хотя тоже не знаю где точно писать <br>&gt; написал в [code]TAG: http_access[/code] внизу после <br>&gt; [code] <br>&gt; #Default <br>&gt; http_access alloy loc[/code] <br><br>последовательность http_access имеет значение<br><br>&gt; , сохранил файл, но что делать дальше? выполняю <br>&gt; [code]sudo /etc/init.d/squid3 restart[/code] пишет строку <br>&gt; [code] <br>&gt; Creating Squid HTTP Proxy 3.x cache structure <br>&gt; cache.cf.cc(36 https://ssl.opennet.dev/openforum/vsluhforumID12/6635.html#26 Fri, 29 Apr 2011 07:19:55 GMT я установил squid, про правила я уже много читал, и в принципе механизм понял, он мне очень понравился. но не могу завести squid, мои действия:<br>1) [code]sudo apt-get install squid3[/code]2) [code]http_port 192.168.1.27:3128[/code]<br>3) [code]cache_dir ufs /var/spool/squid3 100 16 256# просто раскомментировал[/code]<br>4) [code]cache_mem 64[/code]<br>5) решил прописать правила для своей локальной сети, знаю что нужно писать в блоке с alc но где точно, поэтому разместил правило тут:<br>[code]<br>***** ACL TYPES AVAILABLE*****<br>acl loc src 192.168.0.0/24[/code]<br><br>6) разрешаю доступ для loc, хотя тоже не знаю где точно писать написал в [code]TAG: http_access[/code] внизу после <br>[code]<br>#Default<br>http_access alloy loc[/code]<br>, сохранил файл, но что делать дальше? выполняю <br>[code]sudo /etc/init.d/squid3 restart[/code] пишет строку<br>[code] <br>Creating Squid HTTP Proxy 3.x cache structure<br>cache.cf.cc(363) parseOneConfigFile: squid.conf:45 unrecognized: 'recognize' [fail][/code]<br>подскажите как его завести-((( или може https://ssl.opennet.dev/openforum/vsluhforumID12/6635.html#25 Fri, 29 Apr 2011 07:01:50 GMT &gt; в iptables в FORWARD запрещаете исходящие на 80 порт <br>&gt;&gt; из локалки - а зачем запрещать? если через drop направляем пакеты на squid?<br><br>что бы сразу было видно, что с dnat все правильно<br>