Подходит-ли мне StarGazer 2?

[Ven]

Ищу биллинг для офисной сети. Компов будет от 5-ти до 20-ти.

Сервер ASP Linux 9.2. Два интерфейса - один в мир, другой в офисную сетку. Поднят pptp сервер.

Приконнектиться к нему могут только с интерфейса, который смотрит в офис и только с айпишниками 192.168.1.х. Клиент коннектится виндой обычным VPN соединением. В зависимости от того, какой логин он ввел при подключении - этому подключению присваивается айпи 192.168.211.х.

Затем squid принимает на себя эти VPN подключения и пускает их в мир.

 

Хочу видеть VPN сессии клиентов и URL'ы squid'a.

[DarkNight]

у меня стоит та же система.

только настроено по другому и с СТГ2 работает замечательно:

Клиенты с адресами 10.10.х.х

Настроен DHCPD выдает аипишки по MAC Адресам.

АРП таблица лочится тобишь IP+MAC

Стоит СТГ2 завел пользователей к привязанным аипи выдал логин и пароль каждому. Счетчики показывает им в реале.

Написал Веб мордину для пользователя чтоб мог смотреть свою детальную статистику по каким ресурсам лазил.

и все удовольствие - =)

ну а еще у меня много интересных фич работает. а о них я писать не буду потому что они для корпоративной организации

[Ven]

Ввожу: rpm -i Stargazer-2.08.6.4-beta.i386.rpm

Говорит что нужен ему libstdc++-libc6.2-2.so3

Я попробовал: rpm -i libstdc++-3.3.2-1asp.i386.rpm

Сказал что уже стоит такое. Я еще попробовал с --force, но при попытке поставить Stargazer-2.08.6.4-beta.i386.rpm он опять сказал что нету libstdc++-libc6.2-2.so3.

Тогда я решил что мне этот libstdc++-libc6.2-2.so3 нафиг не нужен (может я зря так решил???) и прописал: rpm -i --nodeps Stargazer-2.08.6.4-beta.i386.rpm.

Потом /etc/init.d/stargazer start

На клиенте (в винде) запускаю SgConfig2.exe.

Захожу админом: admin 123456

Все классно, только я не понимаю что делать дальше. Я попробовал добавить юзера - он ругнулся и отконнектил админа. И пока я не удалил папку этого юзера и не перезапустил stargazer - он говорил что connection failed.

 

Скажите пожалуйста как быть дальше. Ручками файлы править? Какова вообще последовательность? Руководство прочитал от корки до корки.

 

P.S. руководство не плохое, но жаль что нету в нем примеров реализации каких-то решений.

[DarkNight]

Во первых собери СТГ2 лучше из исходников - эффективнее!

Во вторых дальше читай МАНУ по установке там написаны все параметры!

В Третих есть программа PASS_CONVERT воспользуйся ей чтоб зашифровать пароль админа.

а дальше если будуи проблемы все по асе помогу решить.

[egor2fsys]

эта

 

действительно собери СТГ из исходников, тогда он скомпилится с той либой что у тебя есть в системе и глюков будет меньше ...

 

пароль по умолчанию 123456

 

юзера едиснтвенного не удаляй, просто добавляй новых

 

проверь свой конфиг сервера перед запуском

[Ven]

А STG умеет считать траффик squid'a? Если не умеет, то я откажусь от squid'a и сделаю NAT для 192.168.211.х.

[stg-34]

А STG умеет считать траффик squid'a? Если не умеет, то я откажусь от squid'a и сделаю NAT для 192.168.211.х.

Тебе нужно сделать прозрачный прокси, принудительно перенаправить на него все http запросы и будет тебе счастье.

[Ven]

Как делается прозрачный прокси в ASP 9.2? В чем заключается его прозрачность? У меня сейчас надо в браузере прописывать для VPN'a прокси...иначе не пускает на сайтики.

[stg-34]

Как делается прозрачный прокси в ASP 9.2? В чем заключается его прозрачность? У меня сейчас надо в браузере прописывать для VPN'a прокси...иначе не пускает на сайтики.

на opennet.ru был набор док по настройке сквида и в т.ч. настройка прозрачного прокси, почитай там

[Ven]

Народ, я поражен! Почему нет нормального изложения информации? Это что - все переводы с английского или в чем дело?

Не нашел я толкового изложения настройки squid'a.

[stg-34]

http://www.opennet.ru/docs/HOWTO-RU/mini/T...arentProxy.html

[Ven]

Читал!

Во-первых, вам нужно разрешить прохождение пакетов, направленных к вашему веб-серверу. Причем надо указать как интерфейс loopback, так и сетевой интерфейс. Вам нужно это сделать даже в том случае, если у вас нет собственного веб-сервера, т.к. отсутствие этих правил приведет бесконечному зацикливанию пакетов, если прокси попытается соединиться с самим собой. Используйте следующие команды:

 

 

 

ipchains -A input -p TCP -d 127.0.0.1/32 www -j ACCEPT

 

ipchains -A input -p TCP -d 192.168.1.1/32 www -j ACCEPT

 

 

А это заклинание включает прозрачный прокси:

 

ipchains -A input -p TCP -d any/0 www -j REDIRECT 3128

 

 

Вы можете добавить эти команды к соответствующему скрипту загрузки в каталоге /etc/rc.d/.

Как выглядят эти три команды в iptables?

Очень прошу после каждой команды написать что-то типа: 192.168.1.1 - адрес прокси сервера, www - пропускаемые данные.

Відредаговано 19 вересня, 2004 Ven

[Ven]

А если прокси не прозрачный, то считать не получится?

Может выкинуть проксю и сделать NAT?

Что прописывать в скриптах чтоб работал какой-то из вариантов?

[Mainstas]

А если прокси не прозрачный, то считать не получится?

Может выкинуть проксю и сделать NAT?

Что прописывать в скриптах чтоб работал какой-то из вариантов?

 

1) Почему не получится..получится очень даже Stargazer считает трафик на юзерском интерфейсе..просто не забудь что rules у тебя трафик к 3128 порту сервера должен считаться как инетовский.

 

2) Зачем выкидывать проксю..это ж экономия денег и оптимизация..сделай просто ее прозрачной..

 

В файле /etc/squid/squid.conf:

разремливаешь (прописываешь):

httpd_accel_host virtual

httpd_accel_port 80

httpd_accel_with_proxy on

httpd_accel_uses_host_header on

 

проверяешь чтобы у тебя в настройках файерволла (iptables) по умолчанию нацепочку INPUT была политика DROP (не забудь только открыть порты конфигуратора, авторизатора..ну и ssh :-))

Вобщем главное чтобы порт 3128 был недоступен по умолчанию... (иначе народ и без авторизатора просекет фишку и полезет нахаляву в инет)

 

3)

в скрипте ONConnect прописываешь:

iptables -A INPUT -i eth0 -p tcp --dport 80 -s $ip -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --dport 3128 -s $ip -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -s $ip -j REDIRECT --to-port 3128

 

где eth0 интерфейс пользователей.

Вот и все :-)

 

З.Ы. Не забудь прописать те же правила в скрипте ONDisconnect только "-А"

замени на "-D"

 

iptables -D INPUT -i eth0 -p tcp --dport 80 -s $ip -j ACCEPT

iptables -D INPUT -i eth0 -p tcp --dport 3128 -s $ip -j ACCEPT

iptables -t nat -D PREROUTING -i eth0 -p tcp --dport 80 -s $ip -j REDIRECT --to-port 3128

 

 

З.З.Ы. Да совсем забыл..в случае прозрачного проксирования не забудь убрать авторизацию в самом сквиде... потому как иначе работать не будет (броузер клиента ведь думает что работает напрямую а не через сквид).

 

Да кстати в описанном случае пользователи могут работать как с прозрачным прокси так и напрямую прописывая его в браузере

[Ven]

Вот это человек пишет! Супер!!!

Давай по пунктам будем разбираться!

1) Делаем прозрачный прокси.

В файле /etc/squid/squid.conf в самом вверху добавляю строки:

httpd_accel_host virtual

httpd_accel_port 80

httpd_accel_with_proxy on

httpd_accel_uses_host_header on

 

Верно?

 

2) Как сделать все это?

проверяешь чтобы у тебя в настройках файерволла (iptables) по умолчанию нацепочку INPUT была политика DROP (не забудь только открыть порты конфигуратора, авторизатора..ну и ssh :-))

Вобщем главное чтобы порт 3128 был недоступен по умолчанию... (иначе народ и без авторизатора просекет фишку и полезет нахаляву в инет)

Какой командой вывести список цепочек, которые тебе нужно увидеть чтоб понять верно-ли я все сделал?

[Mainstas]

Какой командой вывести список цепочек, которые тебе нужно увидеть чтоб понять верно-ли я все сделал?

 

Командой iptables -L

по умолчанию если файерволл не настроен тебе выдаст примерно такое:

 

Chain INPUT (policy ACCEPT)

 

Chain FORWARD (policy ACCEPT)

 

Chain OUTPUT (policy ACCEPT)

 

надпись в скобках означает политику по умолчанию..(в данном случае политика АССЕРТ что означает "разрешено все, что не запрещено явно")

 

Ну тут уж полет для фантазии..кто как хочет так и настраивает.

Я лично сразу перевожу цепочки INPUT и FORWARD в политику DROP (тем самым закрывая все входящие и проходящие для сервера пакеты).

 

Настраивается это все обычными правилами которые прописываются в файле /etc/rc.d/rc.firewall

Политика по умолчанию прописывается такими правилами:

 

IPTABLES -P INPUT DROP

IPTABLES -P FORWARD DROP

 

затем обязательно открываются порты авторизатора конфигуратора, ssh и других служб которые необходимы независимо от того находится юзер в ОНЛАЙН или нет

 

iptables -A INPUT -i eth0 -p tcp --dport (нужный порт) -j ACCEPT

 

Также в этом файле прописываешь цепочки NAT

[Ven]

Как сделать так, чтоб squid стартовал при старте системы?

Мне когда-то сказали что надо прописать chkconfig --level 123456 squid off чтоб он не стартовал...вот теперь скажи мне плиз как сделать чтоб стартовал?

Как поудалять лишнее?

[S_ergey]

chkconfig -level 345 squid on

[Mainstas]

Можешь поставить себе WEBMIN

Тогда тебе будет легче намного...в нем и настройка сквида в графичексом виде есть и добавление/изменение/удаление служб в автозагрузке и еще вагон и маленькая тележка графических средств управления разными линуховскими приблудами :-) И все это с помощью обычного браузера.

[Mainstas]

В файле /etc/squid/squid.conf в самом вверху добавляю строки:

httpd_accel_host virtual

httpd_accel_port 80

httpd_accel_with_proxy on

httpd_accel_uses_host_header on

 

Верно?

 

 

Вобще-то эти строки там уже есть...просто они заремлены (перед ними стоит символ "#") то-есть достаточно их найти и разремить (убрать этот значек). (в mc редактирование F4 поиск F7)

 

Единственное что в первой строке по умолчанию нет слова virtual его нужно дописать вручную

 

 

Как поудалять лишнее?

 

rc.firewall в СТУДИЮ!!!

 

А вобще ручное удаление всех явнозаданных правил iptables -F (удаляет только правила но не политику по умолчанию...так что осторожно если рулишь сервером через ssh и политика INPUT DROP выполнение этой команды просто обрубит твою сессию) так что лучше ее выполнять или локально на серваке или в rc.firewall совместно с последующим открытием необходимых портов

[Ven]

http://www.webmin.com/download.html

webmin-1.160.tar.gz (Unix tar/gzip format, 7372 kB)

webmin-1.160-1.noarch.rpm (RPM suitable for Redhat, Caldera, SuSE, Mandrake or MSC Linux, 8387 kB)

webmin-1.160-1.src.rpm (Source RPM suitable for Redhat, Caldera, SuSE, Mandrake or MSC Linux, 7368 kB)

webmin-1.160.pkg.gz (Solaris package format, 7372 kB)

webmin-1.160-minimal.tar.gz (Minimal version of Webmin, Unix tar/gzip format, 964 kB)

Что из этого качать?

[Mainstas]

QUOTE

webmin-1.160.tar.gz (Unix tar/gzip format, 7372 kB)

webmin-1.160-1.noarch.rpm (RPM suitable for Redhat, Caldera, SuSE, Mandrake or MSC Linux, 8387 kB)

webmin-1.160-1.src.rpm (Source RPM suitable for Redhat, Caldera, SuSE, Mandrake or MSC Linux, 7368 kB)

webmin-1.160.pkg.gz (Solaris package format, 7372 kB)

webmin-1.160-minimal.tar.gz (Minimal version of Webmin, Unix tar/gzip format, 964 kB)

Что из этого качать?

 

Зачем тебе такие сложности :loop: установи webmin который идет у тебя в комплекте с твоим линухом (полюбому на одном из дисков найдешь rpm пакет)

[Ven]

httpd_accel_host

этой строки вообще небыло...я ее вверху оставил.

остальные понаходил, но там вконце было off вместо on - раскоментировал, исправил

 

Теперь беремся за rc.firewall

/etc/rc.d/rc.firewall

у меня нету этого файла

[Ven]

Поставил webmin из того что был у меня на дисках. Как теперь к нему подрубиться из винды? Компы стоят в одной сети - у линухи айпи 10.0.5.210, а у виндовой тачки 10.0.5.209.

[Mainstas]

Теперь беремся за rc.firewall

/etc/rc.d/rc.firewall

у меня нету этого файла

 

 

"Пока противник изучает карту местности мы меняем ландшафт..причем вручную...

во время боя противник теряется на незнакомой местности и проигрывает.

Так мы выигравали все войны" (Дикий Прапор...фильм ДМБ) :tongue:

 

Нет файла rc.firewall так создай его :=

ну или если лень создавать просто сделай копию файла rc и переименуй эту копию в rc.firewall ..попутно стерев все ее содержимое кроме первой строки

#!/bin/bash

-<!--emo&--><!--endemo-->

 

З.Ы. не забудь что созданый тобой файл должен быть executable for owner

вобщем запускабелен для владельца ;-)