Можно заставить старгайзер считать украину и мир?

[Гость TuzZz]

Можно заставить старгайзер считать украину и мир отдельно?? кто-то пробывал? если да напишить как плз

[Гость Quarc]

Не понимаю в чем затруднения.

Я так делал, но только не с украинским трафиком тк как живу не в Украине , я так учитываю "городской" трафик который у нас дешевле остального

Соб-но все, что нужно это правильно заполнить файл rules

http://stargazer.dp.ua/doc/conf_rules.html

[nn 7]

А если внимательно поискать по сайту, то можно найти готовые ответы на этот вопрос. Даже скрипты, генерирующие конфиги.

[Гость TuzZz]

Ребята огромное спасибо за помощь...

[Гость TuzZz]

Нашел как можно считать два направления (в моем случае украину и мир) нашел скрипт который генерит правила немного переделал, а старгазер упирается считать два направления может я чего нитак в правилах написал подскажите плз вот правила и конфиг:

 

------------------------rules--------------------------

 

# DIR0 = UA-IX

# DIR1 = World

 

#-----START UA-IX RULES-----#

ALL 62.16.16.128/26 DIR0

ALL 62.64.64.0/18 DIR0

ALL 62.64.80.0/21 DIR0

. . .

. . .

. . .

ALL 217.198.132.0/22 DIR0

ALL 217.198.140.0/22 DIR0

ALL 217.199.224.0/20 DIR0

#------END UA-IX RULES------#

 

#-----START WORLD RULES-----#

All 0.0.0.0/0 DIR1

#------END WORLD RULES------#

 

---------------------stargazer.conf-----------------------

rules=/etc/stargazer/rules

WorkDir=/var/stargazer/

LogFile=/var/log/stargazer.log

UserTimeout=60

UserDelay=5

FreeMb=cash

StatTime=1/6

adminPort=5555

userPort=5555

MaxUsers=123

 

iface=rl0, fxp0

 

TurnTraff=no

Kilo=1024

DayFee=15

DayResetTraff=1

 

DirName0=UA-IX

DirName1=World

DirName2=None

DirName3=None

[nn 7]

Надо уточнить начальные условия и результаты.

А вообще что-то считается?

Какая ОС, версия СТГ?

 

Ты бы мир ставил последним, украиский предпоследним, мало ли что захочешь добавть еще.

Локальный трафик в предыдущие правила или в NULL надо запускать.

И перед тем, как переделывать скрипт, попробовал бы как есть, у людей-то работало с ним.

Еще есть однин возможный баг, табуляция или пробелы исполюзуются в файле правил.

В моем скрипте на перле табуляция используется, у меня работает. Что именно схавает СТГ это вопрос к автору.

[Гость TuzZz]

Ось FreeBSD 4.9

StarGazer версию точно не помню но это 2-ая версия в котором шифрование не заменено

Щитает только все что попадает под правило ALL 0.0.0.0.0 DIR1 тоесть все вподряд а на правило DIR0 даже не смотрит.

[Гость TuzZz]

А начальные условия таковы:

есть два интерфейса

один смотрит в сеть 192.168.250.1 (А)

второй смотрит в и-нет 19526.х.х (Б)

 

так вот нада чтоб весь инет трафик делился на украину и мир и велось два разных подсчета. Насколько я понял нужно считать два направления что я и пытался сделать в выше приведенных правилах.

[Гость TuzZz]

Версия Stargazer-а у меня 2.07.5.3 beta

[nn 7]

Читай 4 5 6 строчку в моем предыдущем постинге, все перепробывал?

Первые три строки это просто напимониание, что надо указывать, исходные данные, так сказать, и давать их за один раз, желательно в самом вопросе.

[AlexeyD 0]

И снова я со своими вопросами...

Итак еще раз что я имею:

 

Последнюю версию стгз.

FreeBSD 4.9

ipfw

squid

rl0 - 192.168.250.0/24 моя сеть

fxp0 - 195.26.18.18 внешний IP

 

ipfw - открытого типа (65535 allow ip from any to any )

http ходит через сквиду 3128

 

Требования:

 

1)диверт всех пакетов которые не приходят на 3128 (чтоб можна было почту забирать с помощью аутлука, или в онлайн игрухи шпилить)

 

2)Заставить старгайзер считать все причем делить на украину и мир т.е

 

Два направления DIR0 = UA-IX и DIR1 = Other

 

Вопросы:

1)Как осуществить диверт всех пакетов которые не на 3128 пришли

2)Правильно ли настроен фаервол?

3)Правильно ли настроены рулсы в стгз?

4)Если п.2 и п.3 верны то почему стгз не считает два направления а считает только одно?

 

 

При следующих настройках в стгз срабатывает почему-то только DIR1 А правило DIR0 не срабатывает те

весь трафик считается на DIR1 и даже тот который прописан на DIR0 :bue:

 

---------------------rules

#UA-IX

# Для теста возьмем подсетку в которой

# находится topping.com.ua

 

ALL 217.20.163.0/24 DIR0

 

#World

ALL 0.0.0.0/0 DIR1

---------------------END

 

 

---------------------ipfw rules

00001 allow tcp from 192.168.250.10 to any 21

00002 allow tcp from 192.168.250.10 to any 22

00003 allow tcp from 192.168.250.1 to 192.168.250.0/24 via rl0

00004 allow tcp from any 80 to 195.26.18.18 via fxp0

00005 allow tcp from any to 195.26.18.18 22 via fxp0

00006 allow tcp from any to 195.26.18.18 21 via fxp0

00007 allow tcp from 192.168.250.0/24 to 192.168.250.1 5555 via rl0

00008 allow tcp from 192.168.250.2 to any 22

00009 allow tcp from 192.168.250.0/24 to 192.168.250.1 80

00010 allow tcp from any 443 to 195.26.18.18 via fxp0

00011 allow tcp from 192.168.250.60 to 192.168.250.1 22 via rl0

05000 deny tcp from any to any via rl0

05001 deny tcp from any to 195.26.18.18 via fxp0

65535 allow ip from any to any

------------------------END

 

 

----------------------OnConnect

#Для каждого эзера добавляю запись типа

03060 pipe 60 tcp from 192.168.250.60 to 192.168.250.1 3128

-----------------------END

 

 

-----------------------OnDisconnect

#Соответственно удаляем

ipfw del 3060

-----------------------END

[AlexeyD 0]

Прошу прощения за мою назойливость... Я кажется разобрался в чем дело поправьте меня если я не прав... СТГЗ считает пакеты до того как они заворачиваются на сквиду по этому нужно делать транспарент прокси....

Я прав??? Если да то может кто-то даст пример настройки транспарент прокси или хоть какие-то маны ?? :loop:

[Den_LocalNet 1 472]

ага, прав.....

 

http://www.opennet.ru/base/net/trans_squid.txt.html

http://www.squid-cache.org/Doc/FAQ/FAQ-17.html

 

 

а вообще Яндекс\Гугл.....

[AlexeyD 0]

ага, прав.....

 

http://www.opennet.ru/base/net/trans_squid.txt.html

http://www.squid-cache.org/Doc/FAQ/FAQ-17.html

 

 

а вообще Яндекс\Гугл.....

Den спасибо за ответ.... ссылки я уже эти и сам нашел... еще раз извеняюсь за то что сначало тут спрашивал по манам а потом уже сам искать начал... Ленивость проявилась малехо....

[Den_LocalNet 1 472]

Кстати это всё не есть гуд......

 

а если юзер таки пропишет прокси себе......тогда у него мы увидим только трафик внутрисетевой..... что совсем плохо....

 

Варианты ставить сквиду на левый порт не катят....

Может кто знает как запретить прямой доступ к свиду, а оставить только через редирект?

 

есть вариант на фаерволе в цепочках ИНПУТ и АУТПУТ закрыть порт на котором сидит сквид, но непонятно как себя будет вести редирект.... сегодня попробую так.....

[Bas 2]

Кстати это всё не есть гуд......

 

а если юзер таки пропишет прокси себе......тогда у него мы увидим только трафик внутрисетевой..... что совсем плохо....

 

Варианты ставить сквиду на левый порт не катят....

Может кто знает как запретить прямой доступ к свиду, а оставить только через редирект?

 

есть вариант на фаерволе в цепочках ИНПУТ и АУТПУТ закрыть порт на котором сидит сквид, но непонятно как себя будет вести редирект.... сегодня попробую так.....

Значит получается, что при использовании сквида как траспарент прокси необходимо не пускать на прямую юзера иначе получится то что не надо?

 

А вообще, вопрос к разработчику: а есть ли возможность приоритет сделать выше? Сначала Старгейзер подсчитывает, может даже перехватывает и сам переанаправляет эти запросы, а уже потом передаёт сквиду? Или пока сложно реализуемо?

[AlexeyD 0]

Кстати это всё не есть гуд......

 

а если юзер таки пропишет прокси себе......тогда у него мы увидим только трафик внутрисетевой..... что совсем плохо....

 

Варианты ставить сквиду на левый порт не катят....

Может кто знает как запретить прямой доступ к свиду, а оставить только через редирект?

 

есть вариант на фаерволе в цепочках ИНПУТ и АУТПУТ закрыть порт на котором сидит сквид, но непонятно как себя будет вести редирект.... сегодня попробую так.....

Слыш Ден а ты не мог бы дать свой конфиг сквида ато у меня наверно руки не оттудова растут немогу транспарент сконфигурировать.... :-/ или если кто кроме дена может буду очень благодарен. Или хоть напишите мне какие строчки в сквиде обязательно должны быть (я имею ввиду кроме конфигов для транспарента)

[XoRe 0]

О, Басик =)))

 

Во первых, сквид можно настроить, чтобы он биндился на адрес 127.0.0.1:8080

Во фряхе для редиректа этого будет достаточно.

Во вторых, для остальных доступ к сквиду можно закрыть файрволом.

 

При компиляции stg с подсчетом траффика через divert, на той же фряхе, подсчет можно вести как угодно. Хоть до скида, хоть после =)

[AlexeyD 0]

Проблемка возникла..

Сквид не запускается, а точнее запускается и падает

Ваши советы???

 

в конфиге сквиды пишу:

 

http_port 192.168.250.1:3128

icp_port 0

acl QUERY urlpath_regex cgi-bin \\?

no_cache deny QUERY

cache_mem 64 MB

maximum_object_size 100 MB

minimum_object_size 0 KB

maximum_object_size_in_memory 8 KB

cache_dir ufs /var/spool/squid 5000 16 256

cache_store_log none

request_body_max_size 0

refresh_pattern ^http: 0 0% 0 override-expire

reference_age 1 year

negative_ttl 1 minutes

range_offset_limit 0 KB

peer_connect_timeout 3 seconds

read_timeout 5 minutes

request_timeout 60 seconds

half_closed_clients off

acl lanusers src 192.168.250.0/24

acl all src 0.0.0.0/0.0.0.0

http_access allow lanusers

http_access deny all

httpd_accel_host virtual

httpd_accel_port 80

httpd_accel_with_proxy on

httpd_accel_uses_host_header on

nonhierarchical_direct off

[Den_LocalNet 1 472]

Пора тему в Софт переносить......

 

ты бы не конфиг, а cache.log показал..... а то по конфигу тяжело.... а сквид как правило сам рассказывает что ему не нравится.....

 

Вот мой порезаный (вырезал лишнее связаное с юзерами):

squid.conf          [----]  0:  1+21= 22/279 - *918 /10224b= 97
# NETWORK OPTIONS
# -----------------------------------------------------------------------------
http_port 3128
snmp_port 3401
# -----------------------------------------------------------------------------
cache_peer 195.78.--.---      parent    3128  3130
cache_peer 195.78.--.---      parent    3128  3130
cache_peer 195.78.--.---      parent    3128  3130
# -----------------------------------------------------------------------------
acl QUERY urlpath_regex cgi-bin \? dreamstarmail
no_cache deny QUERY
# -----------------------------------------------------------------------------
ftp_user anonymous@lan.com.ua
ftp_passive on
ftp_sanitycheck on
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
peer_connect_timeout 240 seconds
dead_peer_timeout 60 seconds
# -----------------------------------------------------------------------------
acl My_SNMP snmp_community squidmrtg
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl manager proto cache_object
acl shara dst "/etc/squid/acl/local.ip"
acl shara dst "/etc/squid/acl/ua-ix.ip"
acl SSL_ports port 443 563
acl SSL_ports port 81 10000
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
# -----------------------------------------------------------------------------
acl User1 src 10.10.0.1
acl User2 src 10.10.0.2
# -----------------------------------------------------------------------------
snmp_access allow all
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access allow CONNECT !SSL_ports
http_access allow localhost
#-------------------------------
http_access allow User1
http_access allow User2
#-------------------------------
cache_peer_access 195.78.--.--- deny User1
cache_peer_access 195.78.--.--- allow User2
#-------------------------------
cache_peer_access 195.78.--.--- deny User1
cache_peer_access 195.78.--.--- deny User2
#-------------------------------
cache_peer_access 195.78.--.--- allow User1
cache_peer_access 195.78.--.--- deny User2
# -----------------------------------------------------------------------------
http_reply_access allow all
# -----------------------------------------------------------------------------
icp_access allow all
# -----------------------------------------------------------------------------
#miss_access allow all
# -----------------------------------------------------------------------------
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
visible_hostname proxy.lan.com.ua
# -----------------------------------------------------------------------------
always_direct allow shara
# -----------------------------------------------------------------------------
never_direct deny shara
never_direct allow all
# -----------------------------------------------------------------------------
cache_effective_user squid
cache_effective_group squid

 

А вот и правило для iptables:

iptables -t nat -A PREROUTING -i eth1 -s 10.10.0.1 -d ! 10.0.0.0/8 -p tcp --dport 80 -j REDIRECT --to-port 3128

[AlexeyD 0]

УРААА! :loop: Заработало все и ТП И СТГЗ... СПАСИБО ВСЕМ КТО ПРИНЯЛ УЧАВСТВИЕ В РЕШЕНИИ МОЕЙ ПРОБЛЕММЫ. ОСОБЕННЫЕ БЛАГОДАРНОСТИ: Den_LocalNet и nn. Да кстати Ден ты пробовал как-то решить проблемму с явным указанием прокси в браузере???

[Den_LocalNet 1 472]

ПЖЛСТ......

 

посмотри 3 поста выше....XoRe описал как решить проблемму

[Bas 2]

ну ладно, допустим транспарент прокси я сделал, НО! у меня есть сайт, как бы мне сделать, чтобы с сети в проксю всё как надо попадало, а с внешки случайно не наткнулись на fwd? а то получится нездоровая весчь... думаю проблема ясна?

[XoRe 0]

У меня прозрачное проксирование реализовано 1 правилом:

ipfw add fwd 127.0.0.1,8080 tcp from any to not me 80 recv fxp0

где fxp0 - это интерфейс сетевухи, смотрящей внутрь.

[Гость Guest]

Кстати это всё не есть гуд......

 

а если юзер таки пропишет прокси себе......тогда у него мы увидим только трафик внутрисетевой..... что совсем плохо....

 

Варианты ставить сквиду на левый порт не катят....

Может кто знает как запретить прямой доступ к свиду, а оставить только через редирект?

 

есть вариант на фаерволе в цепочках ИНПУТ и АУТПУТ закрыть порт на котором сидит сквид, но непонятно как себя будет вести редирект.... сегодня попробую так.....

И как результат ?