Squid доступ в инет!

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
torki
сержант
Сообщения: 164
Зарегистрирован: 2006-08-19 13:54:29
Откуда: г. Одесса

Squid доступ в инет!

Непрочитанное сообщение torki » 2006-09-08 17:38:07

Всем привет!!!
Народ подскажите пожалуйста как мне сделать чтобы у пользователей из локальной сети был разный доступ к инету.

например:
ip1 разрешено только порт 80
все остальное ЗАПРЕЩЕНО!
ip2 разрешено только порт 21, 80
все остальное ЗАПРЕЩЕНО!
ip3 разрешено только порт 21, 80, 443
ну а всем остальным deny all

а-то получается или все :lol: или ничего :cry:

зараннее СПАСИБО!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2006-09-08 18:01:30

Конфиг покажи, телепаты вымерли.. :-)

Аватара пользователя
zorg
лейтенант
Сообщения: 665
Зарегистрирован: 2006-03-01 22:25:36
Откуда: Санкт-Петербург

Непрочитанное сообщение zorg » 2006-09-08 19:07:34

http://www.lissyara.su/?id=1127
самое то решение!!! читай!!! ;)
Всё дело в перце!! :)

Аватара пользователя
torki
сержант
Сообщения: 164
Зарегистрирован: 2006-08-19 13:54:29
Откуда: г. Одесса

Непрочитанное сообщение torki » 2006-09-09 14:11:21

Всем привет!!!
дело не в конфиге, интересует сама концепция и примеры, что-бы потом самому попробовать додуматся. а статья очень интересная, спасибо, такой штукой я уже пользуюсь, а как-же быть с squid-ом? Может ли squid делать такие вещи как разграничение прав доступа?

Аватара пользователя
zorg
лейтенант
Сообщения: 665
Зарегистрирован: 2006-03-01 22:25:36
Откуда: Санкт-Петербург

Непрочитанное сообщение zorg » 2006-09-09 18:07:38

я же тебе написал, кто может, сквид толькопо http разруливать будет, ты им не запретишь 25 порт и все остальные!!! ТО что я тебе дал ссылку на статью Лиса и есть самое оптимальное решение, разрулишь все ка кнужно.
З.Ы.: с помощь сквида ты можешь тока разрулить кому инет разрешён кому нет, какие сраницы мона посещать какие нет. Почитай что есть сквид, это эж прокси сервер.
Всё дело в перце!! :)

Аватара пользователя
torki
сержант
Сообщения: 164
Зарегистрирован: 2006-08-19 13:54:29
Откуда: г. Одесса

Непрочитанное сообщение torki » 2006-09-09 18:38:36

Всем привет!!!
Вроде понял, squid-ом предоставляем совместный доступ в инет - правильно?
А ipfw режим доступ по портам через локальную сетевуху - правильно?
Для dikens3, спасибо за конфиг в понедельник буду пробовать и отпишусь.

Аватара пользователя
northern
лейтенант
Сообщения: 778
Зарегистрирован: 2006-02-08 20:48:45
Откуда: Днепропетровск
Контактная информация:

Непрочитанное сообщение northern » 2006-09-09 19:54:25

torki писал(а):Всем привет!!!
Вроде понял, squid-ом предоставляем совместный доступ в инет - правильно?
А ipfw режим доступ по портам через локальную сетевуху - правильно?
Для dikens3, спасибо за конфиг в понедельник буду пробовать и отпишусь.
Рекомендую для начала более детально изучить следующие вопросы:
1. основы сети (сетевые протоколы, порты и т.д.)
2. файервол
3. прокси-сервера
тогда такого рода вопросы отпадут сами.
есть цель - действуй! инициатива друг мой!

Аватара пользователя
zorg
лейтенант
Сообщения: 665
Зарегистрирован: 2006-03-01 22:25:36
Откуда: Санкт-Петербург

Непрочитанное сообщение zorg » 2006-09-10 15:34:51

northern писал(а):
torki писал(а):Всем привет!!!
Вроде понял, squid-ом предоставляем совместный доступ в инет - правильно?
А ipfw режим доступ по портам через локальную сетевуху - правильно?
Для dikens3, спасибо за конфиг в понедельник буду пробовать и отпишусь.
Рекомендую для начала более детально изучить следующие вопросы:
1. основы сети (сетевые протоколы, порты и т.д.)
2. файервол
3. прокси-сервера
тогда такого рода вопросы отпадут сами.
Это точно!! НО я вот блин до сих пор до конца книжку по протоколам изучить не могу. всё времени не хватает. Вот часто и приходится тупить :( но ни чё мож ещё успею! :)
Всё дело в перце!! :)

Аватара пользователя
Urgor
лейтенант
Сообщения: 663
Зарегистрирован: 2006-03-14 16:30:18
Откуда: Гилея (СПб)
Контактная информация:

Непрочитанное сообщение Urgor » 2006-09-11 6:49:07

я же тебе написал, кто может, сквид толькопо http разруливать будет, ты им не запретишь 25 порт и все остальные!!!
Шо, таки правда? Фанблинтастика! :)
Acl Type: port

Description
Access can be controlled by destination (server) port addressUsage acl aclname port port-no

Example
This example allows http_access only to the destination 172.16.1.115:80 from network 172.16.1.0

acl acceleratedhost dst 172.16.1.115/255.255.255.255
acl acceleratedport port 80
acl mynet src 172.16.1.0/255.255.255.0
http_access allow acceleratedhost acceleratedport mynet
http_access deny all
http://www.visolve.com/squid/squid24s1/ ... ls.php#acl
Власть в руках у чужаков, и ты им платишь дань...

Аватара пользователя
zorg
лейтенант
Сообщения: 665
Зарегистрирован: 2006-03-01 22:25:36
Откуда: Санкт-Петербург

Непрочитанное сообщение zorg » 2006-09-11 9:12:55

Urgor писал(а):
я же тебе написал, кто может, сквид толькопо http разруливать будет, ты им не запретишь 25 порт и все остальные!!!
Шо, таки правда? Фанблинтастика! :)
Acl Type: port

Description
Access can be controlled by destination (server) port addressUsage acl aclname port port-no

Example
This example allows http_access only to the destination 172.16.1.115:80 from network 172.16.1.0

acl acceleratedhost dst 172.16.1.115/255.255.255.255
acl acceleratedport port 80
acl mynet src 172.16.1.0/255.255.255.0
http_access allow acceleratedhost acceleratedport mynet
http_access deny all
http://www.visolve.com/squid/squid24s1/ ... ls.php#acl
ни хрена не понял!!! Это ты к чему??? Я говорил о портах, а не о сетях! ;)
Всё дело в перце!! :)

Аватара пользователя
Urgor
лейтенант
Сообщения: 663
Зарегистрирован: 2006-03-14 16:30:18
Откуда: Гилея (СПб)
Контактная информация:

Непрочитанное сообщение Urgor » 2006-09-11 9:30:27

Я говорил о портах, а не о сетях!
А я об чем? Слово 'port' при создании ACLя говорит что этот ACL относится к типу портов. Прочти внимательно пример, если его немного изменить, то будет именно то что просили в первом вопросе.
Власть в руках у чужаков, и ты им платишь дань...

Аватара пользователя
zorg
лейтенант
Сообщения: 665
Зарегистрирован: 2006-03-01 22:25:36
Откуда: Санкт-Петербург

Непрочитанное сообщение zorg » 2006-09-11 10:57:30

Думаю это всё равно не то!!
Посмотри сам, какие запросы обслуживает скивид, он что обслуживает почту??
нет и думаю не будет,
Хотя может если заворачивать тем же фаером почтовый трафик на сквид и дальше рулить этими асээлами, но подумай как всё это будет тормозить, проще реализовать через фаер, да и надёжнее.
Всё дело в перце!! :)

Аватара пользователя
Urgor
лейтенант
Сообщения: 663
Зарегистрирован: 2006-03-14 16:30:18
Откуда: Гилея (СПб)
Контактная информация:

Непрочитанное сообщение Urgor » 2006-09-11 11:37:17

Мдя. Ну когда же отвечая на вопрос люди сначала будут читать этот самый вопрос????!
ip1 разрешено только порт 80
все остальное ЗАПРЕЩЕНО!
ip2 разрешено только порт 21, 80
все остальное ЗАПРЕЩЕНО!
ip3 разрешено только порт 21, 80, 443
ну а всем остальным deny all
Ткни пальцем где тут говорится про почту! А 21,80, 443 действительно идут через сквид. И если у тебя 80й открыт, то хоть ты обфаерволься, но поиметь все остальные сервисы сквида довольно просто (если в самом сквиде они не закрыты).
Власть в руках у чужаков, и ты им платишь дань...

Аватара пользователя
zorg
лейтенант
Сообщения: 665
Зарегистрирован: 2006-03-01 22:25:36
Откуда: Санкт-Петербург

Непрочитанное сообщение zorg » 2006-09-11 15:14:13

to Urgor:

ДА виноват, со слепу то 21 за 25 принял! :(
получается что под "все остальное" подразумевалось тока эти службы??? ТОгда да соглашусь с тобой
А вот интересно много ли даёт экономии и прироста в скорсоти работы использование кэширующего прокси??
Потому как смотрел я на Виндах такую статистику дык что-то около 4% от общего объёма это же фигня!!!
Всё дело в перце!! :)

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2006-09-11 15:28:41

zorg писал(а):to Urgor:
Потому как смотрел я на Виндах такую статистику дык что-то около 4% от общего объёма это же фигня!!!
Со скоростью не думаю что вообще что-то даёт. Разве что за счёт кэша, иногда. :-)
А траффик с 7Gb у меня к примеру около 700Мб. экономия - 10%, смотря куда у тебя пользователи ходят.

Аватара пользователя
zorg
лейтенант
Сообщения: 665
Зарегистрирован: 2006-03-01 22:25:36
Откуда: Санкт-Петербург

Непрочитанное сообщение zorg » 2006-09-11 16:48:44

ну у мен ятраф на одном 50 Гб, а на другом 5 Мб неграниченного, так что тут пофигу, тогда вопрос безопасности: по идее если лишнее звено то наоборот есть где накосячить, значит типа со сквидом тока хуже, или нет??? Какие мнения???
Всё дело в перце!! :)

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2006-09-11 17:10:26

zorg писал(а):ну у мен ятраф на одном 50 Гб, а на другом 5 Мб неграниченного, так что тут пофигу, тогда вопрос безопасности: по идее если лишнее звено то наоборот есть где накосячить, значит типа со сквидом тока хуже, или нет??? Какие мнения???
Да как тебе сказать, у меня прозрачно squid стоит, к примеру такая вот ссылка не работает:
http://r.mail.ru/n4911244
Это минус. Но достаточно гибкое управление контролем доступа squid прекрасно обеспечивает, баннеры вырезает и т.п. Плюс добавь удобочитаемые логи а не IP-Адреса и количество байт, пакетов.

Squid есть, был и будет, при нормальной настройке всё будет путём.

P.S. У меня пользователи могут посещать WEB-MAIL'ы, но войти не могут. method POST прибит по этим доменам. Попутно прикрыты многие Анонимные WEB-Сервера и закрыт 443 порт напрочь.

И вообще, как ты собираешься потом собирать статистику? Ведь не все IP-Адреса резолвятся назад?

Аватара пользователя
northern
лейтенант
Сообщения: 778
Зарегистрирован: 2006-02-08 20:48:45
Откуда: Днепропетровск
Контактная информация:

Непрочитанное сообщение northern » 2006-09-11 20:03:12

Urgor писал(а):Мдя. Ну когда же отвечая на вопрос люди сначала будут читать этот самый вопрос????!
ip1 разрешено только порт 80
все остальное ЗАПРЕЩЕНО!
ip2 разрешено только порт 21, 80
все остальное ЗАПРЕЩЕНО!
ip3 разрешено только порт 21, 80, 443
ну а всем остальным deny all
Ткни пальцем где тут говорится про почту! А 21,80, 443 действительно идут через сквид. И если у тебя 80й открыт, то хоть ты обфаерволься, но поиметь все остальные сервисы сквида довольно просто (если в самом сквиде они не закрыты).
ты хочешь сказать ftp будет через сквид работать?
есть цель - действуй! инициатива друг мой!

Аватара пользователя
Urgor
лейтенант
Сообщения: 663
Зарегистрирован: 2006-03-14 16:30:18
Откуда: Гилея (СПб)
Контактная информация:

Непрочитанное сообщение Urgor » 2006-09-12 6:21:27

IE -> Tools -> Internet Options -> Connections -> LAN Settings -> Advanced -> поставить галку на Use the same proxy server for all protocols
Власть в руках у чужаков, и ты им платишь дань...

Аватара пользователя
zorg
лейтенант
Сообщения: 665
Зарегистрирован: 2006-03-01 22:25:36
Откуда: Санкт-Петербург

Непрочитанное сообщение zorg » 2006-09-12 18:24:49

to dikens3

Да у меня он стоит тоже и тоже всё прикрыто, и статистика собирается ещё и сарж прикручен до кучи :)
Интересно просто, кто как думает - "а нафига он нужен! " :)
Чего и говорит вещь полезная! :D
Всё дело в перце!! :)

Аватара пользователя
torki
сержант
Сообщения: 164
Зарегистрирован: 2006-08-19 13:54:29
Откуда: г. Одесса

Непрочитанное сообщение torki » 2006-09-14 21:09:26

Всем привет!!!
Дааа ребята далеко зашли! Вобщем споры всегда интересны, как говорится в них рождается истина! Я в свою очередь увидел много интересного, за что огромное Вам Всем спасибо!!!!! А теперь вопрос такого рода !
канал 1 64к (неограниченый) наверное для почты
канал 2 до 2-х мегабит (трафик) для общего пользования интернет!
канал 3 512к (неограниченый) VPN входящее соединение
Это все на одной машине!
Ну и чем это все разруливать?
Есть идеи?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-09-14 21:38:40

man ipfw?
man route?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
torki
сержант
Сообщения: 164
Зарегистрирован: 2006-08-19 13:54:29
Откуда: г. Одесса

Непрочитанное сообщение torki » 2006-09-15 0:21:31

Я примерно так и думал.
А если один из каналов перестает работать по вине провайдера?
То наверное скрипт малевать прийдётся для переключения каналов?

Аватара пользователя
zorg
лейтенант
Сообщения: 665
Зарегистрирован: 2006-03-01 22:25:36
Откуда: Санкт-Петербург

Непрочитанное сообщение zorg » 2006-09-15 8:56:54

ДА так и есть! :)
Всё дело в перце!! :)

Аватара пользователя
torki
сержант
Сообщения: 164
Зарегистрирован: 2006-08-19 13:54:29
Откуда: г. Одесса

Непрочитанное сообщение torki » 2006-09-15 9:23:52

Всем привет!!!
Большущее ВСЕМ СПАСИБО!!!!!!!
Долее вероятно будет проблема с настройкой почтовика!!
Не удевляйтесь, ведь я Чайник во фрях самый настоящий, хоть и ржавый уже (мне 35)
Ну надоели мне эти уиндоусы аж не могу(Уиндоус не может быть сервером!). А принцип учиться некогда не поздно срабатывает как команда reboot! Зараннее извиняюсь за глупые вопросы. Еще раз Всем Огромное Спасибо!!!!
До встречи на форуме!