fernir

Вопрос номер раз: Политика по умолчанию в INPUT OUTPUT FORWARD? Логично что она будет DROP, но всетаки. Да, я видел в основном скрипте файрвола, но всетаки. Просто ты принудительно прописываешь пользователю DROP, а поидее хватает дефолтных политик. Просто вот это: iptables -I FORWARD -i $eth_local -s $ip -j DROP iptables -I FORWARD -o $eth_local -d $ip -j DROP Никак не влияет на соединение с проксей. Посомтри, где может быть утечка... watch -n1 'netstat -a -n -p -t | grep 10.0.0.13 & netstat-nat -n | grep 10.0.0.13 & iptables -L -v -n -x | grep 10.0.0.13' Чтонибудь типа

Сколько юзеров ты хочешь к сети подключить? Если один дом - то свич на чердак и провода до каждого пользователя. Если весь город - то подумай о финансовой целессобразности. Подключение одного удаленного узера может обойтись довольно дорого... По твоим вопросам: 1) Сервер - смотря какой. Если файлопомойка - то пень-4 проц, оперативки гиг-два, винтов побольше в рейд-5 или 6. Ибо винты могут навернуться под нагрузкой. Пару гигабитных сетевух в совместный (а лучше асинхронный) режим. Выделенный сервак для игрушек - проц нужен будет пошустрее, оперативы еще больше. Тут смотерть что буд

Патчей нет, а куда корка ляжет?

Гента, 1,8 атлонХп, 256 рам, 40-50 юзеров. stg-2.405.9.8 валится вот с такими вот письменами (собран с дебагом): ping.cpp > 11:19:08 > pinger.DelIP 0.0.0.0 ping.cpp > 11:19:08 > pingerCurrIP.AddIP 10.0.0.78 user.cpp > 11:19:08 > USER::WriteStat user=Ibragim inetaccess.cpp > 11:19:08 > Min8(sizeof(ALIVE_SYN)) = 368 inetaccess.cpp > 11:19:08 > 1212131990.928739 368 bytes sent to 10.0.0.78:5555 len=368 inetaccess.cpp > 11:19:08 > Monitor time 1212079955 1212132008 inetaccess.cpp > 11:19:08 > recv from 10.0.1.133 55

Ты через cap_ether или cap_ipq считаешь?

Ну... нужно слепить авторизатор для сквида. Авторизатор выглядит как висящий процесс, которому время от времени кидают логин и пароль в stdin. Он должен ответить OK или ERR. gate squid # cat auth.sh #!/bin/bash ## Авторизатор squid на БД stargazer'а PrintBases () { ./stga.sh $line } if [ $# -gt 0 ] then PrintBases "$@" else # чтение со stdin while read line do PrintBases $line done fi gate squid # cat stga.sh #!/bin/bash LOGIN=$1 PASSW=$2 ANSW='ERR' DBS=`cat /var/stargazer/users/$LOGIN/conf` for b in

А не предвидется-ли в ближайшее время написание модуля (патчика?) для хранения юзверей в каталогах ldap или на крайний случай AD (samba)? Т.е. статистика пользователей, их траффик в mysql (firebird), а логины-пароли в лдапе? Имхо фича тоже довольно востребована, особенно в организациях. Создавать юзерам по 2-3 учетки лениво (юзерам хотябы один пароль запомнить), хочется все в лдап запихнуть.

Шлюз и днс. DNS - или поднять свой, или твоего провайдера. Шлюз - сам сервак старгейзера. Сквид в режиме прозрачного проксирования - http://local.com.ua/forum/index.php?showtopic=10991 тут посмотри.

У меня на двух шлюзах стоят, экономия от 17 до 25%. refresh_pattern пока не трогал. Сквид 3.1_rc1. refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 cache_replacement_policy lru memory_replacement_policy lru

кинул, лови

Можно пример как оно у тебя так получается? Прозрачное проксирование (как я это понимаю) - все HTTP запросы скрытно от юзера заворачиваются на проксю, т.е. : iptables -t nat -A PREROUTING -s $userip -d ! $lanip -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j DNAT --to-destination ".$proxy.":3128 Преобразование в PREROUTING. Траффик еще не дошел до правила QUEUE, и не попал в cap_ipq, и соотв еще не обработался старгейзером. Старгейзер, если посмотреть detailstat обсчитывает общение с инетом, как общение с проксей. Alferov, то что ты говоришь, может бы

См мой пост выше - Разрешается общаться с локалкой, _кроме_ порта 3128. Соотв в OnConnect OnDisconect разрешаем общаться с проксей. iptables -t filter -A INPUT -i $iface_lan -p tcp -s $localnet -m multiport ! --dport 3128 -j ACCEPT iptables -t filter -A OUTPUT -o $iface_lan -p tcp -d $localnet -m multiport ! --sport 3128 -j ACCEPT iptables -t filter -A INPUT -i $iface_lan -p udp -s $localnet -m multiport ! --dport 3128 -j ACCEPT iptables -t filter -A OUTPUT -o $iface_lan -p udp -d $localnet -m multiport ! --sport 3128 -j ACCEPT В /etc/stargazer/rules TCP 10.0.0.9/32:3

Нууу... Напрмер вот так: Создаем БД в mysql: ip,user,url,bytes,host,trans - и т.д. (Читаем squid.conf про формат файла access.log, и добавляем нужные нам поля - user, host). Создаем таблицу соответствий now (ip=user) - которую поддерживают в актуальном состоянии скрипты OnConnect, OnDisconnect. Создаем трубу (pipe) mkfifo в /var/log/squid/access.log Запускаем скрипт (./s2m < /var/log/squid/access.log), который будет с одной стороны трубы ловить идущий в него поток. Запускаем сквид. Сквид пихает в лог строки, мы это дела разбираем, и тутже кладем в БД. (Долго искал патчик на скв

Ну примерно вот так: server0=10.0.0.9 ProxyIP=10.0.0.9 # Поменяй на свои iface_lan=eth0 localnet=10.0.0.0/21 iptables -t filter -A INPUT -i $iface_lan -p tcp -s $localnet -m multiport ! --dport 3128 -j ACCEPT iptables -t filter -A OUTPUT -o $iface_lan -p tcp -d $localnet -m multiport ! --sport 3128 -j ACCEPT iptables -t filter -A INPUT -i $iface_lan -p udp -s $localnet -m multiport ! --dport 3128 -j ACCEPT iptables -t filter -A OUTPUT -o $iface_lan -p udp -d $localnet -m multiport ! --sport 3128 -j ACCEPT Разрешаем общаться с локалкой, кроме портов прокей. В rules - указываем

В какой кодировке пишется БД ? Картина : gentoo LANG=ru_RU.UTF-8 LC_CTYPE="ru_RU.UTF-8" LC_NUMERIC="ru_RU.UTF-8" LC_TIME="ru_RU.UTF-8" LC_COLLATE="ru_RU.UTF-8" LC_MONETARY="ru_RU.UTF-8" LC_MESSAGES="ru_RU.UTF-8" LC_PAPER="ru_RU.UTF-8" LC_NAME="ru_RU.UTF-8" LC_ADDRESS="ru_RU.UTF-8" LC_TELEPHONE="ru_RU.UTF-8" LC_MEASUREMENT="ru_RU.UTF-8" LC_IDENTIFICATION="ru_RU.UTF-8" LC_ALL= cat /var/log/stargazer.log | grep real 2008-02-02 10:18:59 -- Admin 'admin', 10.0.0.5: User 'test': 'realName' parameter changed from '' to '����'. cat /var/log/stargazer.log | grep real | iconv -f ko