как мини сревер (Samba+SQUID+Firewall+ClamAV

Есть и такой ОС.

Модератор: weec

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
abix
рядовой
Сообщения: 13
Зарегистрирован: 2008-12-04 16:41:09

Re: как мини сревер (Samba+SQUID+Firewall+ClamAV

Непрочитанное сообщение abix » 2008-12-05 8:29:46

Пробовал, выдает различные ошибки, при исправлении всех SQUID перестает запускатся

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Andy
ст. лейтенант
Сообщения: 1117
Зарегистрирован: 2007-03-04 7:48:58
Откуда: Mytischi

Re: как мини сревер (Samba+SQUID+Firewall+ClamAV

Непрочитанное сообщение Andy » 2008-12-05 10:31:31

squid -k parse /путь к конфигу. Вывод сюда.
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104

abix
рядовой
Сообщения: 13
Зарегистрирован: 2008-12-04 16:41:09

Re: как мини сревер (Samba+SQUID+Firewall+ClamAV

Непрочитанное сообщение abix » 2008-12-05 10:52:49

squid я уже с конфигил, теперь проблема завернуть с firewall трафик, eth0-интернет, eth1-локалка,

Код: Выделить всё


lugapost:/etc/squid # iptables -t nat -A PREROUTING -i  eth0  -d!   eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
iptables v1.2.9: host/network `eth1' not found
Try `iptables -h' or 'iptables --help' for more information.
lugapost:/etc/squid #
помогите написать правила для iptables :cz2:

Andy
ст. лейтенант
Сообщения: 1117
Зарегистрирован: 2007-03-04 7:48:58
Откуда: Mytischi

Re: как мини сревер (Samba+SQUID+Firewall+ClamAV

Непрочитанное сообщение Andy » 2008-12-08 1:29:14

abix писал(а):squid я уже с конфигил, теперь проблема завернуть с firewall трафик, eth0-интернет, eth1-локалка,

Код: Выделить всё

lugapost:/etc/squid # iptables -t nat -A PREROUTING -i  eth0  -d!   eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
iptables v1.2.9: host/network `eth1' not found
Try `iptables -h' or 'iptables --help' for more information.
lugapost:/etc/squid #
помогите написать правила для iptables :cz2:
Если тебе надо повернуть пакеты на сквид из сети, тогда попробуй так (адрес только заменить не забудь):

Код: Выделить всё

iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
6.5.9. Действие REDIRECT

Выполняет перенаправление пакетов и потоков на другой порт той же самой машины. К примеру, можно пакеты, поступающие на HTTP порт перенаправить на порт HTTP proxy. Действие REDIRECT очень удобно для выполнения "прозрачного" проксирования (transparent proxying), когда машины в локальной сети даже не подозревают о существовании прокси.

REDIRECT может использоваться только в цепочках PREROUTING и OUTPUT таблицы nat. И конечно же это действие можно выполнять в подцепочках, вызываемых и вышеуказанных. Для действия REDIRECT предусмотрен только один ключ.

Таблица 6-20. Действие REDIRECT
Ключ --to-ports
Пример iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
Описание Ключ --to-ports определяет порт или диапазон портов назначения. Без указания ключа --to-ports, перенаправления не происходит, т.е. пакет идет на тот порт, куда и был назначен. В примере, приведенном выше, --to-ports 8080 указан один порт назначения. Если нужно указать диапазон портов, то мы должны написать нечто подобное --to-ports 8080-8090. Этот ключ можно использовать только в правилах, где критерий содержит явное указание на протокол TCP или UDP с помощью ключа --protocol.
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104

abix
рядовой
Сообщения: 13
Зарегистрирован: 2008-12-04 16:41:09

Re: как мини сревер (Samba+SQUID+Firewall+ClamAV

Непрочитанное сообщение abix » 2008-12-08 11:28:19

Теперь он отрубил вообще все

Andy
ст. лейтенант
Сообщения: 1117
Зарегистрирован: 2007-03-04 7:48:58
Откуда: Mytischi

Re: как мини сревер (Samba+SQUID+Firewall+ClamAV

Непрочитанное сообщение Andy » 2008-12-08 12:55:31

abix писал(а):Теперь он отрубил вообще все
Список правил файра давай.
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104

abix
рядовой
Сообщения: 13
Зарегистрирован: 2008-12-04 16:41:09

Re: как мини сревер (Samba+SQUID+Firewall+ClamAV

Непрочитанное сообщение abix » 2008-12-08 13:32:01

Код: Выделить всё

#!/usr/bin/perl

`/home/bars/stat/control.pl newtr`;

`echo 1 > /proc/sys/net/ipv4/conf/eth0/rp_filter`;
`echo 1 > /proc/sys/net/ipv4/ip_forward`;

require "/home/bars/stat/conf.pl";

`/sbin/depmod -a`;

#`/sbin/modprobe ip_tables`;
#`/sbin/modprobe ip_conntrack`;
#`/sbin/modprobe iptable_filter`;
#`/sbin/modprobe iptable_mangle`;
#`/sbin/modprobe iptable_nat`;
#`/sbin/modprobe ipt_LOG`;
#`/sbin/modprobe ipt_limit`;
#`/sbin/modprobe ipt_state`;

`/sbin/modprobe ip_conntrack_ftp`;
`/sbin/modprobe ip_nat_ftp`;
#`/sbin/modprobe ipt_owner`;
#`/sbin/modprobe ipt_REJECT`;
`/sbin/modprobe ipt_MASQUERADE`;
 

#`$iptables -P INPUT DROP`;
#`$iptables -P OUTPUT DROP`;
#`$iptables -P FORWARD DROP`;

####################################################
sub start {

# Anti-spoofing rule
`$iptables -A INPUT -i eth0 -s 200.200.200.200 -j DROP`;
`$iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j DROP`;
`$iptables -A INPUT -i eth0 -s 127.0.0.0/8 -j DROP`;
`$iptables -A INPUT -i eth0 -d 224.0.0.0/8 -j DROP`;
`$iptables -A INPUT -i eth0 -d 239.255.255.0/24 -j DROP`;
`$iptables -A INPUT -i eth0 -d 172.16.0.0/24 -j DROP`;

#

`$iptables -A INPUT -j DROP -m state --state NEW,INVALID -i eth0`;
`$iptables -A FORWARD -j DROP -m state --state NEW,INVALID -i eth0`;
`$iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST,ACK SYN -j DROP`;

`$iptables -A INPUT -i eth0 -j DROP -s 10.1.1.255`;
`$iptables -A INPUT -i eth0 -j DROP -d 10.1.1.255`;
`$iptables -A OUTPUT -o eth0 -j DROP -s 10.1.1.255`;
`$iptables -A OUTPUT -o eth0 -j DROP -d 10.1.1.255`;
`$iptables -A INPUT -i eth0 -j DROP -s 0.0.0.0`;
`$iptables -A INPUT -i eth0 -j DROP -d 0.0.0.0`;
`$iptables -A OUTPUT -o eth0 -j DROP -s 0.0.0.0`;
`$iptables -A OUTPUT -o eth0 -j DROP -d 0.0.0.0`;
`$iptables -A INPUT -i eth0 -j DROP -s 255.255.255.255`;
`$iptables -A INPUT -i eth0 -j DROP -d 255.255.255.255`;
`$iptables -A OUTPUT -o eth0 -j DROP -s 255.255.255.255`;
`$iptables -A OUTPUT -o eth0 -j DROP -d 255.255.255.255`;
#

`$iptables -A INPUT -i eth1 -j DROP -s 207.46.166.0/24`;#msn.com
`$iptables -A INPUT -i eth1 -j DROP -d 207.46.166.0/24`;
`$iptables -A OUTPUT -o eth1 -j DROP -s 207.46.166.0/24`;
`$iptables -A OUTPUT -o eth1 -j DROP -d 207.46.166.0/24`;
`$iptables -A INPUT -i eth1 -j DROP -s 93.186.224.0/24`;#vkontakte
`$iptables -A INPUT -i eth1 -j DROP -d 93.186.224.0/24`;
`$iptables -A OUTPUT -o eth1 -j DROP -s 93.186.224.0/24`;
`$iptables -A OUTPUT -o eth1 -j DROP -d 93.186.224.0/24`;
`$iptables -A INPUT -i eth1 -j DROP -s 93.186.225.0/24`;
`$iptables -A INPUT -i eth1 -j DROP -d 93.186.225.0/24`;
`$iptables -A OUTPUT -o eth1 -j DROP -s 93.186.225.0/24`;
`$iptables -A OUTPUT -o eth1 -j DROP -d 93.186.225.0/24`;
`$iptables -A INPUT -i eth1 -j DROP -s 93.186.226.0/24`;
`$iptables -A INPUT -i eth1 -j DROP -d 93.186.226.0/24`;
`$iptables -A OUTPUT -o eth1 -j DROP -s 93.186.226.0/24`;
`$iptables -A OUTPUT -o eth1 -j DROP -d 93.186.226.0/24`;
`$iptables -A INPUT -i eth1 -j DROP -s 93.186.226.0/24`;
`$iptables -A INPUT -i eth1 -j DROP -d 93.186.226.0/24`;
`$iptables -A OUTPUT -o eth1 -j DROP -s 93.186.226.0/24`;
`$iptables -A OUTPUT -o eth1 -j DROP -d 93.186.226.0/24`;
`$iptables -A INPUT -j ACCEPT -p ALL -i lo`;
`$iptables -A OUTPUT -j ACCEPT -p ALL -o lo`;


#against DOS attack
`$iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT`;
`$iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT`;
`$iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT`;

#passiv FTP
#`$iptables -A INPUT -i eth0 -p tcp -m state --state RELATED -j ACCEPT`;
#rules for INET
for ($i = 0; $i < @inet; $i++) {
$host = "$net.$inet[$i]";
`$iptables -A POSTROUTING -t nat -j MASQUERADE -s $host`;
`$iptables -N FWD_IN_$inet[$i]`;
`$iptables -N FWD_OUT_$inet[$i]`;
`$iptables -A FORWARD -j FWD_IN_$inet[$i]`;
`$iptables -A FORWARD -j FWD_OUT_$inet[$i]`;
`$iptables -A FWD_IN_$inet[$i] -d $host`;
`$iptables -A FWD_OUT_$inet[$i] -s $host`;
}

#rules for SPEC
for ($i = 0; $i < @spec; $i++) {
$host = "$net.$spec[$i]";
`$iptables -A POSTROUTING -t nat -j MASQUERADE -s $host`;
`$iptables -N FWD_IN_$spec[$i]`;
`$iptables -N FWD_OUT_$spec[$i]`;
`$iptables -A FORWARD -j FWD_IN_$spec[$i]`;
`$iptables -A FORWARD -j FWD_OUT_$spec[$i]`;
`$iptables -A FWD_IN_$spec[$i] -d $host`;
`$iptables -A FWD_OUT_$spec[$i] -s $host`;
}

#rules for MAIL
for ($i = 0; $i < @mail; $i++) {
$host = "$net.$mail[$i]";
`$iptables -A POSTROUTING -t nat -j MASQUERADE -s $host`;
`$iptables -N FWD_IN_$mail[$i]`;
`$iptables -N FWD_OUT_$mail[$i]`;
`$iptables -A FORWARD -j FWD_IN_$mail[$i]`;
`$iptables -A FORWARD -j FWD_OUT_$mail[$i]`;
`$iptables -A FWD_IN_$mail[$i] -d $host`;
`$iptables -A FWD_OUT_$mail[$i] -s $host`;
}

#rules for PKDI OPS
for ($i = 0; $i < @pkdi; $i++) {
$host = "$net.$pkdi[$i]";
`$iptables -N FWD_IN_$pkdi[$i]`;
`$iptables -N FWD_OUT_$pkdi[$i]`;
`$iptables -A FORWARD -j FWD_IN_$pkdi[$i]`;
`$iptables -A FORWARD -j FWD_OUT_$pkdi[$i]`;
`$iptables -A FWD_IN_$pkdi[$i] -d $host`;
`$iptables -A FWD_OUT_$pkdi[$i] -s $host`;
}

} #start

####################################################
sub stop {
 `$iptables -F POSTROUTING -t nat`;
 `$iptables -F INPUT`;
 `$iptables -F OUTPUT`;

 for ($i = 0; $i < @allhost; $i++) {
  $host = "$net.$allhost[$i]";
  `$iptables -F FWD_IN_$allhost[$i]`;
  `$iptables -F FWD_OUT_$allhost[$i]`;
 }
 `$iptables -F FORWARD`;
 `$iptables -X`;
 `$iptables -t nat -X`;
} #stop

if ($ARGV[0] =~ /^start/i) { &start; }
elsif ($ARGV[0] =~ /^stop/i) { &stop; }
elsif ($ARGV[0] =~ /^restart/i) { &stop; &start; }
else { print "Usage: rules {start|stop|restart}\n";}

Andy
ст. лейтенант
Сообщения: 1117
Зарегистрирован: 2007-03-04 7:48:58
Откуда: Mytischi

Re: как мини сревер (Samba+SQUID+Firewall+ClamAV

Непрочитанное сообщение Andy » 2008-12-08 16:33:24

Извини, я что-то плохо прорубаю этот перловый скрипт, можно посто

Код: Выделить всё

iptables-save > rules.txt
и вывод rules.txt сюда. И еще кому что можно распиши, и где у тебя сквид находится.
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104

abix
рядовой
Сообщения: 13
Зарегистрирован: 2008-12-04 16:41:09

Re: как мини сревер (Samba+SQUID+Firewall+ClamAV

Непрочитанное сообщение abix » 2008-12-08 17:00:53

сквид лежит в /etc /squid конфиги
в /usr/bin сам сквид

Код: Выделить всё

# Generated by iptables-save v1.2.9 on Mon Dec  8 16:49:22 2008
*mangle
:PREROUTING ACCEPT [20467118:10648256626]
:INPUT ACCEPT [11552703:6110599551]
:FORWARD ACCEPT [8894789:4533068282]
:OUTPUT ACCEPT [11619511:7825945428]
:POSTROUTING ACCEPT [20514510:12359847288]
COMMIT
# Completed on Mon Dec  8 16:49:22 2008
# Generated by iptables-save v1.2.9 on Mon Dec  8 16:49:22 2008
*filter
:INPUT ACCEPT [297176590:173718096404]
:FORWARD ACCEPT [416323267:271860412234]
:OUTPUT ACCEPT [299874442:195175677264]
:FWD_IN_100 - [0:0]
:FWD_IN_101 - [0:0]
:FWD_IN_11 - [0:0]
:FWD_IN_13 - [0:0]
:FWD_IN_14 - [0:0]
:FWD_IN_15 - [0:0]
:FWD_IN_150 - [0:0]
:FWD_IN_16 - [0:0]
:FWD_IN_160 - [0:0]
:FWD_IN_17 - [0:0]
:FWD_IN_18 - [0:0]
:FWD_IN_19 - [0:0]
:FWD_IN_199 - [0:0]
:FWD_IN_20 - [0:0]
:FWD_IN_202 - [0:0]
:FWD_IN_203 - [0:0]
:FWD_IN_206 - [0:0]
:FWD_IN_21 - [0:0]
:FWD_IN_23 - [0:0]
:FWD_IN_234 - [0:0]
:FWD_IN_252 - [0:0]
:FWD_IN_253 - [0:0]
:FWD_IN_27 - [0:0]
:FWD_IN_28 - [0:0]
:FWD_IN_29 - [0:0]
:FWD_IN_31 - [0:0]
:FWD_IN_32 - [0:0]
:FWD_IN_33 - [0:0]
:FWD_IN_35 - [0:0]
:FWD_IN_36 - [0:0]
:FWD_IN_48 - [0:0]
:FWD_IN_51 - [0:0]
:FWD_IN_52 - [0:0]
:FWD_IN_53 - [0:0]
:FWD_IN_54 - [0:0]
:FWD_IN_66 - [0:0]
:FWD_IN_8 - [0:0]
:FWD_IN_9 - [0:0]
:FWD_IN_99 - [0:0]
:FWD_OUT_100 - [0:0]
:FWD_OUT_101 - [0:0]
:FWD_OUT_11 - [0:0]
:FWD_OUT_13 - [0:0]
:FWD_OUT_14 - [0:0]
:FWD_OUT_15 - [0:0]
:FWD_OUT_150 - [0:0]
:FWD_OUT_16 - [0:0]
:FWD_OUT_160 - [0:0]
:FWD_OUT_17 - [0:0]
:FWD_OUT_18 - [0:0]
:FWD_OUT_19 - [0:0]
:FWD_OUT_199 - [0:0]
:FWD_OUT_20 - [0:0]
:FWD_OUT_202 - [0:0]
:FWD_OUT_203 - [0:0]
:FWD_OUT_206 - [0:0]
:FWD_OUT_21 - [0:0]
:FWD_OUT_23 - [0:0]
:FWD_OUT_234 - [0:0]
:FWD_OUT_252 - [0:0]
:FWD_OUT_253 - [0:0]
:FWD_OUT_27 - [0:0]
:FWD_OUT_28 - [0:0]
:FWD_OUT_29 - [0:0]
:FWD_OUT_31 - [0:0]
:FWD_OUT_32 - [0:0]
:FWD_OUT_33 - [0:0]
:FWD_OUT_35 - [0:0]
:FWD_OUT_36 - [0:0]
:FWD_OUT_48 - [0:0]
:FWD_OUT_51 - [0:0]
:FWD_OUT_52 - [0:0]
:FWD_OUT_53 - [0:0]
:FWD_OUT_54 - [0:0]
:FWD_OUT_66 - [0:0]
:FWD_OUT_8 - [0:0]
:FWD_OUT_9 - [0:0]
:FWD_OUT_99 - [0:0]
-A INPUT -s 200.200.200.200 -i eth0 -j DROP 
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -s 127.0.0.0/255.0.0.0 -i eth0 -j DROP 
-A INPUT -d 224.0.0.0/255.0.0.0 -i eth0 -j DROP 
-A INPUT -d 239.255.255.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -d 172.16.0.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -i eth0 -m state --state INVALID,NEW -j DROP 
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j DROP 
-A INPUT -s 10.1.1.255 -i eth0 -j DROP 
-A INPUT -d 10.1.1.255 -i eth0 -j DROP 
-A INPUT -s 0.0.0.0 -i eth0 -j DROP 
-A INPUT -d 0.0.0.0 -i eth0 -j DROP 
-A INPUT -s 255.255.255.255 -i eth0 -j DROP 
-A INPUT -d 255.255.255.255 -i eth0 -j DROP 
-A INPUT -s 207.46.166.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -d 207.46.166.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -s 93.186.224.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -d 93.186.224.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -s 93.186.225.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -d 93.186.225.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -s 93.186.226.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -d 93.186.226.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -s 93.186.226.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -d 93.186.226.0/255.255.255.0 -i eth0 -j DROP 
-A INPUT -i lo -j ACCEPT 
-A FORWARD -i eth0 -m state --state INVALID,NEW -j DROP 
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT 
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT 
-A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT 
-A FORWARD -j FWD_IN_8 
-A FORWARD -j FWD_OUT_8 
-A FORWARD -j FWD_IN_9 
-A FORWARD -j FWD_OUT_9 
-A FORWARD -j FWD_IN_14 
-A FORWARD -j FWD_OUT_14 
-A FORWARD -j FWD_IN_15 
-A FORWARD -j FWD_OUT_15 
-A FORWARD -j FWD_IN_16 
-A FORWARD -j FWD_OUT_16 
-A FORWARD -j FWD_IN_17 
-A FORWARD -j FWD_OUT_17 
-A FORWARD -j FWD_IN_18 
-A FORWARD -j FWD_OUT_18 
-A FORWARD -j FWD_IN_19 
-A FORWARD -j FWD_OUT_19 
-A FORWARD -j FWD_IN_21 
-A FORWARD -j FWD_OUT_21 
-A FORWARD -j FWD_IN_23 
-A FORWARD -j FWD_OUT_23 
-A FORWARD -j FWD_IN_27 
-A FORWARD -j FWD_OUT_27 
-A FORWARD -j FWD_IN_29 
-A FORWARD -j FWD_OUT_29 
-A FORWARD -j FWD_IN_35 
-A FORWARD -j FWD_OUT_35 
-A FORWARD -j FWD_IN_36 
-A FORWARD -j FWD_OUT_36 
-A FORWARD -j FWD_IN_66 
-A FORWARD -j FWD_OUT_66 
-A FORWARD -j FWD_IN_99 
-A FORWARD -j FWD_OUT_99 
-A FORWARD -j FWD_IN_101 
-A FORWARD -j FWD_OUT_101 
-A FORWARD -j FWD_IN_160 
-A FORWARD -j FWD_OUT_160 
-A FORWARD -j FWD_IN_199 
-A FORWARD -j FWD_OUT_199 
-A FORWARD -j FWD_IN_20 
-A FORWARD -j FWD_OUT_20 
-A FORWARD -j FWD_IN_31 
-A FORWARD -j FWD_OUT_31 
-A FORWARD -j FWD_IN_32 
-A FORWARD -j FWD_OUT_32 
-A FORWARD -j FWD_IN_28 
-A FORWARD -j FWD_OUT_28 
-A FORWARD -j FWD_IN_11 
-A FORWARD -j FWD_OUT_11 
-A FORWARD -j FWD_IN_13 
-A FORWARD -j FWD_OUT_13 
-A FORWARD -j FWD_IN_48 
-A FORWARD -j FWD_OUT_48 
-A FORWARD -j FWD_IN_150 
-A FORWARD -j FWD_OUT_150 
-A FORWARD -j FWD_IN_51 
-A FORWARD -j FWD_OUT_51 
-A FORWARD -j FWD_IN_52 
-A FORWARD -j FWD_OUT_52 
-A FORWARD -j FWD_IN_53 
-A FORWARD -j FWD_OUT_53 
-A FORWARD -j FWD_IN_54 
-A FORWARD -j FWD_OUT_54 
-A FORWARD -j FWD_IN_100 
-A FORWARD -j FWD_OUT_100 
-A FORWARD -j FWD_IN_206 
-A FORWARD -j FWD_OUT_206 
-A FORWARD -j FWD_IN_252 
-A FORWARD -j FWD_OUT_252 
-A FORWARD -j FWD_IN_253 
-A FORWARD -j FWD_OUT_253 
-A FORWARD -j FWD_IN_33 
-A FORWARD -j FWD_OUT_33 
-A FORWARD -j FWD_IN_202 
-A FORWARD -j FWD_OUT_202 
-A FORWARD -j FWD_IN_203 
-A FORWARD -j FWD_OUT_203 
-A OUTPUT -s 10.1.1.255 -o eth0 -j DROP 
-A OUTPUT -d 10.1.1.255 -o eth0 -j DROP 
-A OUTPUT -s 0.0.0.0 -o eth0 -j DROP 
-A OUTPUT -d 0.0.0.0 -o eth0 -j DROP 
-A OUTPUT -s 255.255.255.255 -o eth0 -j DROP 
-A OUTPUT -d 255.255.255.255 -o eth0 -j DROP 
-A OUTPUT -s 207.46.166.0/255.255.255.0 -o eth0 -j DROP 
-A OUTPUT -d 207.46.166.0/255.255.255.0 -o eth0 -j DROP 
-A OUTPUT -s 93.186.224.0/255.255.255.0 -o eth0 -j DROP 
-A OUTPUT -d 93.186.224.0/255.255.255.0 -o eth0 -j DROP 
-A OUTPUT -s 93.186.225.0/255.255.255.0 -o eth0 -j DROP 
-A OUTPUT -d 93.186.225.0/255.255.255.0 -o eth0 -j DROP 
-A OUTPUT -s 93.186.226.0/255.255.255.0 -o eth0 -j DROP 
-A OUTPUT -d 93.186.226.0/255.255.255.0 -o eth0 -j DROP 
-A OUTPUT -s 93.186.226.0/255.255.255.0 -o eth0 -j DROP 
-A OUTPUT -d 93.186.226.0/255.255.255.0 -o eth0 -j DROP 
-A OUTPUT -o lo -j ACCEPT 
-A FWD_IN_100 -d 192.168.0.100 
-A FWD_IN_101 -d 192.168.0.101 
-A FWD_IN_11 -d 192.168.0.11 
-A FWD_IN_13 -d 192.168.0.13 
-A FWD_IN_14 -d 192.168.0.14 
-A FWD_IN_15 -d 192.168.0.15 
-A FWD_IN_150 -d 192.168.0.150 
-A FWD_IN_16 -d 192.168.0.16 
-A FWD_IN_160 -d 192.168.0.160 
-A FWD_IN_17 -d 192.168.0.17 
-A FWD_IN_18 -d 192.168.0.18 
-A FWD_IN_19 -d 192.168.0.19 
-A FWD_IN_199 -d 192.168.0.199 
-A FWD_IN_20 -d 192.168.0.20 
-A FWD_IN_202 -d 192.168.0.202 
-A FWD_IN_203 -d 192.168.0.203 
-A FWD_IN_206 -d 192.168.0.206 
-A FWD_IN_21 -d 192.168.0.21 
-A FWD_IN_23 -d 192.168.0.23 
-A FWD_IN_234 -d 192.168.0.234 
-A FWD_IN_252 -d 192.168.0.252 
-A FWD_IN_253 -d 192.168.0.253 
-A FWD_IN_27 -d 192.168.0.27 
-A FWD_IN_28 -d 192.168.0.28 
-A FWD_IN_29 -d 192.168.0.29 
-A FWD_IN_31 -d 192.168.0.31 
-A FWD_IN_32 -d 192.168.0.32 
-A FWD_IN_33 -d 192.168.0.33 
-A FWD_IN_35 -d 192.168.0.35 
-A FWD_IN_36 -d 192.168.0.36 
-A FWD_IN_48 -d 192.168.0.48 
-A FWD_IN_51 -d 192.168.0.51 
-A FWD_IN_52 -d 192.168.0.52 
-A FWD_IN_53 -d 192.168.0.53 
-A FWD_IN_54 -d 192.168.0.54 
-A FWD_IN_66 -d 192.168.0.66 
-A FWD_IN_8 -d 192.168.0.8 
-A FWD_IN_9 -d 192.168.0.9 
-A FWD_IN_99 -d 192.168.0.99 
-A FWD_OUT_100 -s 192.168.0.100 
-A FWD_OUT_101 -s 192.168.0.101 
-A FWD_OUT_11 -s 192.168.0.11 
-A FWD_OUT_13 -s 192.168.0.13 
-A FWD_OUT_14 -s 192.168.0.14 
-A FWD_OUT_15 -s 192.168.0.15 
-A FWD_OUT_150 -s 192.168.0.150 
-A FWD_OUT_16 -s 192.168.0.16 
-A FWD_OUT_160 -s 192.168.0.160 
-A FWD_OUT_17 -s 192.168.0.17 
-A FWD_OUT_18 -s 192.168.0.18 
-A FWD_OUT_19 -s 192.168.0.19 
-A FWD_OUT_199 -s 192.168.0.199 
-A FWD_OUT_20 -s 192.168.0.20 
-A FWD_OUT_202 -s 192.168.0.202 
-A FWD_OUT_203 -s 192.168.0.203 
-A FWD_OUT_206 -s 192.168.0.206 
-A FWD_OUT_21 -s 192.168.0.21 
-A FWD_OUT_23 -s 192.168.0.23 
-A FWD_OUT_234 -s 192.168.0.234 
-A FWD_OUT_252 -s 192.168.0.252 
-A FWD_OUT_253 -s 192.168.0.253 
-A FWD_OUT_27 -s 192.168.0.27 
-A FWD_OUT_28 -s 192.168.0.28 
-A FWD_OUT_29 -s 192.168.0.29 
-A FWD_OUT_31 -s 192.168.0.31 
-A FWD_OUT_32 -s 192.168.0.32 
-A FWD_OUT_33 -s 192.168.0.33 
-A FWD_OUT_35 -s 192.168.0.35 
-A FWD_OUT_36 -s 192.168.0.36 
-A FWD_OUT_48 -s 192.168.0.48 
-A FWD_OUT_51 -s 192.168.0.51 
-A FWD_OUT_52 -s 192.168.0.52 
-A FWD_OUT_53 -s 192.168.0.53 
-A FWD_OUT_54 -s 192.168.0.54 
-A FWD_OUT_66 -s 192.168.0.66 
-A FWD_OUT_8 -s 192.168.0.8 
-A FWD_OUT_9 -s 192.168.0.9 
-A FWD_OUT_99 -s 192.168.0.99 
COMMIT
# Completed on Mon Dec  8 16:49:22 2008
# Generated by iptables-save v1.2.9 on Mon Dec  8 16:49:22 2008
*nat
:PREROUTING ACCEPT [13434048:1130394350]
:POSTROUTING ACCEPT [2539782:231503508]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 
-A POSTROUTING -s 192.168.0.8 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.9 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.14 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.15 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.16 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.17 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.18 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.19 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.21 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.23 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.27 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.29 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.35 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.36 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.66 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.99 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.101 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.160 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.199 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.20 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.31 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.32 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.28 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.11 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.13 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.48 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.150 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.51 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.52 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.53 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.54 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.100 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.206 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.252 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.253 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.33 -j MASQUERADE 
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -j MASQUERADE 
COMMIT
# Completed on Mon Dec  8 16:49:22 2008

Andy
ст. лейтенант
Сообщения: 1117
Зарегистрирован: 2007-03-04 7:48:58
Откуда: Mytischi

Re: как мини сревер (Samba+SQUID+Firewall+ClamAV

Непрочитанное сообщение Andy » 2008-12-08 18:31:00

abix писал(а):сквид лежит в /etc /squid конфиги
в /usr/bin сам сквид
я о другом, где у тебя находится сквид? На той же тачке что и файрвол?
Теперь распиши словами, что требуется, и кому куда можно?
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104

abix
рядовой
Сообщения: 13
Зарегистрирован: 2008-12-04 16:41:09

Re: как мини сревер (Samba+SQUID+Firewall+ClamAV

Непрочитанное сообщение abix » 2008-12-09 8:37:48

Стоит сервер suse 9.1 и cisco сквид на серваке,все остальное на циске,нужно сделать так чтобы сквид мог идти везде, а через него можно было бы резать траффик, сайты, баннеры, и т.д.

abix
рядовой
Сообщения: 13
Зарегистрирован: 2008-12-04 16:41:09

Re: как мини сревер (Samba+SQUID+Firewall+ClamAV

Непрочитанное сообщение abix » 2008-12-09 8:48:14

кому куда можно оч. долго расписывать
abix писал(а):У меня ситуация как описанная в начале, только стоит openSuse 9.1 и кол-во компов не 7 а 235
просто надо сделать чтобы все шли в инет через сквид, а там обрезать уже проще

Andy
ст. лейтенант
Сообщения: 1117
Зарегистрирован: 2007-03-04 7:48:58
Откуда: Mytischi

Re: как мини сревер (Samba+SQUID+Firewall+ClamAV

Непрочитанное сообщение Andy » 2008-12-09 9:05:51

abix писал(а):кому куда можно оч. долго расписывать
abix писал(а):У меня ситуация как описанная в начале, только стоит openSuse 9.1 и кол-во компов не 7 а 235
просто надо сделать чтобы все шли в инет через сквид, а там обрезать уже проще

Код: Выделить всё

iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source (твой внешний ip)
вот эти два правила попробуй оставить.
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104

abix
рядовой
Сообщения: 13
Зарегистрирован: 2008-12-04 16:41:09

Re: как мини сревер (Samba+SQUID+Firewall+ClamAV

Непрочитанное сообщение abix » 2008-12-09 11:17:05

Пасиб теперь все идети через сквид :Yahoo!:

Andy
ст. лейтенант
Сообщения: 1117
Зарегистрирован: 2007-03-04 7:48:58
Откуда: Mytischi

Re: как мини сревер (Samba+SQUID+Firewall+ClamAV

Непрочитанное сообщение Andy » 2008-12-09 11:24:16

abix писал(а):Пасиб теперь все идети через сквид :Yahoo!:
Теперь надо наворачивать правила потихоньку. Этого недостаточно.
Последний раз редактировалось Andy 2008-12-09 14:04:13, всего редактировалось 1 раз.
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104

abix
рядовой
Сообщения: 13
Зарегистрирован: 2008-12-04 16:41:09

Re: как мини сревер (Samba+SQUID+Firewall+ClamAV

Непрочитанное сообщение abix » 2008-12-09 13:24:30

Правила в сквиде или на файере :unknown:

Andy
ст. лейтенант
Сообщения: 1117
Зарегистрирован: 2007-03-04 7:48:58
Откуда: Mytischi

Re: как мини сревер (Samba+SQUID+Firewall+ClamAV

Непрочитанное сообщение Andy » 2008-12-09 14:03:49

abix писал(а):Правила в сквиде или на файере :unknown:
Правила файрвола.
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: как мини сревер (Samba+SQUID+Firewall+ClamAV

Непрочитанное сообщение paix » 2008-12-25 13:41:14

немного запоздало встряю в топик, но всеже )

касательно фаервола.
рекомендую ничинать с простого, тем более что по умолчанию, например, в centos он включен.
также: http://wiki.centos.org/HowTos/Network/IPTables

Andy, а чем плох дебиан? на моей памяти только баг с ссл...

еще, зачем в твоем скрипте разные modprobe ? у меня похожий скрипт, но без загрузки модулей. Все модули загружаются автоматом при первом вызове. Вообще как помне разные загрузки-выгрузки модулей - диверсия.
With best wishes, Sergej Kandyla

Andy
ст. лейтенант
Сообщения: 1117
Зарегистрирован: 2007-03-04 7:48:58
Откуда: Mytischi

Re: как мини сревер (Samba+SQUID+Firewall+ClamAV

Непрочитанное сообщение Andy » 2008-12-27 9:25:54

paix писал(а):немного запоздало встряю в топик, но всеже )
Andy, а чем плох дебиан? на моей памяти только баг с ссл...
Как раз ssl меня беспокоит меньше всего, плох тем, что у него отсутствует
chkconfig, зато какие-то малопонятные update-rc вместо него. Да и связка
apt+rpm мне ближе, чем apt+deb. Это конечно все субъективно, просто я
больше привык к CentOS, ALT Linux. Кому-то обратное покажется более удобным,
выбор за человеком который разворачивает и обслуживает систему.
paix писал(а): еще, зачем в твоем скрипте разные modprobe ? у меня похожий скрипт, но без загрузки модулей. Все модули загружаются автоматом при первом вызове. Вообще как помне разные загрузки-выгрузки модулей - диверсия.
modprobe для того чтобы загрузились нужные модули для файра, у меня был опыт удаленной работы,
когда в suse отсутствовал модуль multiport, поэтому предпочитаю сам загрузить недостающее, дабы
быть уверенным, что все заработает как надо. У меня опыта работы во FreeBSD больше, но все чаще
приходится работать с Linux системами, видимо и домашнюю машину буду переводить на Linux,
поэтому осваиваю потихоньку.
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: как мини сревер (Samba+SQUID+Firewall+ClamAV

Непрочитанное сообщение paix » 2008-12-27 11:50:57

Andy писал(а): Как раз ssl меня беспокоит меньше всего, плох тем, что у него отсутствует
chkconfig, зато какие-то малопонятные update-rc вместо него. Да и связка
apt+rpm мне ближе, чем apt+deb. Это конечно все субъективно, просто я
больше привык к CentOS, ALT Linux. Кому-то обратное покажется более удобным,
выбор за человеком который разворачивает и обслуживает систему.
ясно. оч. субьективно вообщем.
козырь дебиана в его системе пакетов, и в огромном колличестве пакетов. Очень быстро, очень гибко.
Если в стейбле нужен самый новый пакет, то можно воспользоваться пакетом из бекпортс, или собрать самому из unstable, напр.

Код: Выделить всё

# apt-get update
# apt-get source sim
# apt-get build-dep sim
# cd sim-0.9.5~svn20080806/
# debuild -us -uc
# cd -
# dpkg -i *.deb
в сентосе же прийдется искать src.rpm...

не то чтобы я пропогандировал дебиан, но система неплохая. А баг с ссл это ощутимо, когда прийдется переделать сертификаты и еще заплатить за это бабок )
Centos подкупает оч. качественной сборкой и долгим сроком поддержки. (тут правда, наверно, в первую очередь надо говорить спасибо редхату ;) )
Andy писал(а): modprobe для того чтобы загрузились нужные модули для файра, у меня был опыт удаленной работы,
когда в suse отсутствовал модуль multiport, поэтому предпочитаю сам загрузить недостающее, дабы
быть уверенным, что все заработает как надо.
в сюсе не пробовал.
centos\debian\fedora загружают модули автоматом при вызове iptables.
у меня был такой бок, что iptables restart иногда подвисал на загрузке\выгрузке модулей. Поэтому я стараюсь чтобы в скриптах модули никак не дергались. Походу каждый исходит из собтсвенного опыта ;)
Andy писал(а): У меня опыта работы во FreeBSD больше, но все чаще
приходится работать с Linux системами, видимо и домашнюю машину буду переводить на Linux,
поэтому осваиваю потихоньку.
+1
With best wishes, Sergej Kandyla

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35462
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: как мини сревер (Samba+SQUID+Firewall+ClamAV

Непрочитанное сообщение Alex Keda » 2008-12-27 15:04:33

Andy писал(а):видимо и домашнюю машину буду переводить на Linux,
поэтому осваиваю потихоньку.
трус - не играет в хокей.
Убей их всех! Бог потом рассортирует...

abix
рядовой
Сообщения: 13
Зарегистрирован: 2008-12-04 16:41:09

Re: как мини сревер (Samba+SQUID+Firewall+ClamAV

Непрочитанное сообщение abix » 2008-12-29 11:17:28

Squid не пускает конкретный мак адрес в чем прблема дошел до того что разрешил всем все но по прежнему одна машина в оффлайне

_Andy
проходил мимо

Re: как мини сревер (Samba+SQUID+Firewall+ClamAV

Непрочитанное сообщение _Andy » 2008-12-30 16:51:27

lissyara писал(а):трус - не играет в хокей.
Если мне нужен хоккей с шайбой, то мне незачем играть в хоккей с мячом. По-моему это рационально, причем тут трусость?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35462
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: как мини сревер (Samba+SQUID+Firewall+ClamAV

Непрочитанное сообщение Alex Keda » 2008-12-31 10:35:36

трус - вообще не играет в хоккей.
а остальное - отмазки
Убей их всех! Бог потом рассортирует...

_Andy
проходил мимо

Re: как мини сревер (Samba+SQUID+Firewall+ClamAV

Непрочитанное сообщение _Andy » 2008-12-31 11:24:34

lissyara писал(а):трус - вообще не играет в хоккей.
а остальное - отмазки
Так я хоккей выбираю исходя из целесообразности игры. Остальное - троллинг, Алексей :)