Ven 0 Posted 2004-09-16 16:06:32 Share Posted 2004-09-16 16:06:32 Ищу биллинг для офисной сети. Компов будет от 5-ти до 20-ти. Сервер ASP Linux 9.2. Два интерфейса - один в мир, другой в офисную сетку. Поднят pptp сервер. Приконнектиться к нему могут только с интерфейса, который смотрит в офис и только с айпишниками 192.168.1.х. Клиент коннектится виндой обычным VPN соединением. В зависимости от того, какой логин он ввел при подключении - этому подключению присваивается айпи 192.168.211.х. Затем squid принимает на себя эти VPN подключения и пускает их в мир. Хочу видеть VPN сессии клиентов и URL'ы squid'a. Link to post Share on other sites
DarkNight 0 Posted 2004-09-16 16:34:19 Share Posted 2004-09-16 16:34:19 у меня стоит та же система. только настроено по другому и с СТГ2 работает замечательно: Клиенты с адресами 10.10.х.х Настроен DHCPD выдает аипишки по MAC Адресам. АРП таблица лочится тобишь IP+MAC Стоит СТГ2 завел пользователей к привязанным аипи выдал логин и пароль каждому. Счетчики показывает им в реале. Написал Веб мордину для пользователя чтоб мог смотреть свою детальную статистику по каким ресурсам лазил. и все удовольствие - =) ну а еще у меня много интересных фич работает. а о них я писать не буду потому что они для корпоративной организации Link to post Share on other sites
Ven 0 Posted 2004-09-16 21:39:05 Author Share Posted 2004-09-16 21:39:05 Ввожу: rpm -i Stargazer-2.08.6.4-beta.i386.rpm Говорит что нужен ему libstdc++-libc6.2-2.so3 Я попробовал: rpm -i libstdc++-3.3.2-1asp.i386.rpm Сказал что уже стоит такое. Я еще попробовал с --force, но при попытке поставить Stargazer-2.08.6.4-beta.i386.rpm он опять сказал что нету libstdc++-libc6.2-2.so3. Тогда я решил что мне этот libstdc++-libc6.2-2.so3 нафиг не нужен (может я зря так решил???) и прописал: rpm -i --nodeps Stargazer-2.08.6.4-beta.i386.rpm. Потом /etc/init.d/stargazer start На клиенте (в винде) запускаю SgConfig2.exe. Захожу админом: admin 123456 Все классно, только я не понимаю что делать дальше. Я попробовал добавить юзера - он ругнулся и отконнектил админа. И пока я не удалил папку этого юзера и не перезапустил stargazer - он говорил что connection failed. Скажите пожалуйста как быть дальше. Ручками файлы править? Какова вообще последовательность? Руководство прочитал от корки до корки. P.S. руководство не плохое, но жаль что нету в нем примеров реализации каких-то решений. Link to post Share on other sites
DarkNight 0 Posted 2004-09-16 21:51:36 Share Posted 2004-09-16 21:51:36 Во первых собери СТГ2 лучше из исходников - эффективнее! Во вторых дальше читай МАНУ по установке там написаны все параметры! В Третих есть программа PASS_CONVERT воспользуйся ей чтоб зашифровать пароль админа. а дальше если будуи проблемы все по асе помогу решить. Link to post Share on other sites
egor2fsys 5 Posted 2004-09-17 06:01:04 Share Posted 2004-09-17 06:01:04 эта действительно собери СТГ из исходников, тогда он скомпилится с той либой что у тебя есть в системе и глюков будет меньше ... пароль по умолчанию 123456 юзера едиснтвенного не удаляй, просто добавляй новых проверь свой конфиг сервера перед запуском Link to post Share on other sites
Ven 0 Posted 2004-09-19 17:08:10 Author Share Posted 2004-09-19 17:08:10 А STG умеет считать траффик squid'a? Если не умеет, то я откажусь от squid'a и сделаю NAT для 192.168.211.х. Link to post Share on other sites
stg-34 0 Posted 2004-09-19 17:51:12 Share Posted 2004-09-19 17:51:12 А STG умеет считать траффик squid'a? Если не умеет, то я откажусь от squid'a и сделаю NAT для 192.168.211.х. Тебе нужно сделать прозрачный прокси, принудительно перенаправить на него все http запросы и будет тебе счастье. Link to post Share on other sites
Ven 0 Posted 2004-09-19 17:56:50 Author Share Posted 2004-09-19 17:56:50 Как делается прозрачный прокси в ASP 9.2? В чем заключается его прозрачность? У меня сейчас надо в браузере прописывать для VPN'a прокси...иначе не пускает на сайтики. Link to post Share on other sites
stg-34 0 Posted 2004-09-19 18:44:45 Share Posted 2004-09-19 18:44:45 Как делается прозрачный прокси в ASP 9.2? В чем заключается его прозрачность? У меня сейчас надо в браузере прописывать для VPN'a прокси...иначе не пускает на сайтики. на opennet.ru был набор док по настройке сквида и в т.ч. настройка прозрачного прокси, почитай там Link to post Share on other sites
Ven 0 Posted 2004-09-19 20:06:09 Author Share Posted 2004-09-19 20:06:09 Народ, я поражен! Почему нет нормального изложения информации? Это что - все переводы с английского или в чем дело? Не нашел я толкового изложения настройки squid'a. Link to post Share on other sites
stg-34 0 Posted 2004-09-19 20:13:01 Share Posted 2004-09-19 20:13:01 http://www.opennet.ru/docs/HOWTO-RU/mini/T...arentProxy.html Link to post Share on other sites
Ven 0 Posted 2004-09-19 20:37:59 Author Share Posted 2004-09-19 20:37:59 (edited) Читал! Во-первых, вам нужно разрешить прохождение пакетов, направленных к вашему веб-серверу. Причем надо указать как интерфейс loopback, так и сетевой интерфейс. Вам нужно это сделать даже в том случае, если у вас нет собственного веб-сервера, т.к. отсутствие этих правил приведет бесконечному зацикливанию пакетов, если прокси попытается соединиться с самим собой. Используйте следующие команды: ipchains -A input -p TCP -d 127.0.0.1/32 www -j ACCEPT ipchains -A input -p TCP -d 192.168.1.1/32 www -j ACCEPT А это заклинание включает прозрачный прокси: ipchains -A input -p TCP -d any/0 www -j REDIRECT 3128 Вы можете добавить эти команды к соответствующему скрипту загрузки в каталоге /etc/rc.d/. Как выглядят эти три команды в iptables? Очень прошу после каждой команды написать что-то типа: 192.168.1.1 - адрес прокси сервера, www - пропускаемые данные. Edited 2004-09-19 20:40:21 by Ven Link to post Share on other sites
Ven 0 Posted 2004-09-20 18:57:53 Author Share Posted 2004-09-20 18:57:53 А если прокси не прозрачный, то считать не получится? Может выкинуть проксю и сделать NAT? Что прописывать в скриптах чтоб работал какой-то из вариантов? Link to post Share on other sites
Mainstas 0 Posted 2004-09-20 19:20:21 Share Posted 2004-09-20 19:20:21 А если прокси не прозрачный, то считать не получится?Может выкинуть проксю и сделать NAT? Что прописывать в скриптах чтоб работал какой-то из вариантов? 1) Почему не получится..получится очень даже Stargazer считает трафик на юзерском интерфейсе..просто не забудь что rules у тебя трафик к 3128 порту сервера должен считаться как инетовский. 2) Зачем выкидывать проксю..это ж экономия денег и оптимизация..сделай просто ее прозрачной.. В файле /etc/squid/squid.conf: разремливаешь (прописываешь): httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on проверяешь чтобы у тебя в настройках файерволла (iptables) по умолчанию нацепочку INPUT была политика DROP (не забудь только открыть порты конфигуратора, авторизатора..ну и ssh :-)) Вобщем главное чтобы порт 3128 был недоступен по умолчанию... (иначе народ и без авторизатора просекет фишку и полезет нахаляву в инет) 3) в скрипте ONConnect прописываешь: iptables -A INPUT -i eth0 -p tcp --dport 80 -s $ip -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 3128 -s $ip -j ACCEPT iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -s $ip -j REDIRECT --to-port 3128 где eth0 интерфейс пользователей. Вот и все :-) З.Ы. Не забудь прописать те же правила в скрипте ONDisconnect только "-А" замени на "-D" iptables -D INPUT -i eth0 -p tcp --dport 80 -s $ip -j ACCEPT iptables -D INPUT -i eth0 -p tcp --dport 3128 -s $ip -j ACCEPT iptables -t nat -D PREROUTING -i eth0 -p tcp --dport 80 -s $ip -j REDIRECT --to-port 3128 З.З.Ы. Да совсем забыл..в случае прозрачного проксирования не забудь убрать авторизацию в самом сквиде... потому как иначе работать не будет (броузер клиента ведь думает что работает напрямую а не через сквид). Да кстати в описанном случае пользователи могут работать как с прозрачным прокси так и напрямую прописывая его в браузере Link to post Share on other sites
Ven 0 Posted 2004-09-20 19:49:35 Author Share Posted 2004-09-20 19:49:35 Вот это человек пишет! Супер!!! Давай по пунктам будем разбираться! 1) Делаем прозрачный прокси. В файле /etc/squid/squid.conf в самом вверху добавляю строки: httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on Верно? 2) Как сделать все это? проверяешь чтобы у тебя в настройках файерволла (iptables) по умолчанию нацепочку INPUT была политика DROP (не забудь только открыть порты конфигуратора, авторизатора..ну и ssh :-)) Вобщем главное чтобы порт 3128 был недоступен по умолчанию... (иначе народ и без авторизатора просекет фишку и полезет нахаляву в инет) Какой командой вывести список цепочек, которые тебе нужно увидеть чтоб понять верно-ли я все сделал? Link to post Share on other sites
Mainstas 0 Posted 2004-09-20 20:22:51 Share Posted 2004-09-20 20:22:51 Какой командой вывести список цепочек, которые тебе нужно увидеть чтоб понять верно-ли я все сделал? Командой iptables -L по умолчанию если файерволл не настроен тебе выдаст примерно такое: Chain INPUT (policy ACCEPT) Chain FORWARD (policy ACCEPT) Chain OUTPUT (policy ACCEPT) надпись в скобках означает политику по умолчанию..(в данном случае политика АССЕРТ что означает "разрешено все, что не запрещено явно") Ну тут уж полет для фантазии..кто как хочет так и настраивает. Я лично сразу перевожу цепочки INPUT и FORWARD в политику DROP (тем самым закрывая все входящие и проходящие для сервера пакеты). Настраивается это все обычными правилами которые прописываются в файле /etc/rc.d/rc.firewall Политика по умолчанию прописывается такими правилами: IPTABLES -P INPUT DROP IPTABLES -P FORWARD DROP затем обязательно открываются порты авторизатора конфигуратора, ssh и других служб которые необходимы независимо от того находится юзер в ОНЛАЙН или нет iptables -A INPUT -i eth0 -p tcp --dport (нужный порт) -j ACCEPT Также в этом файле прописываешь цепочки NAT Link to post Share on other sites
Ven 0 Posted 2004-09-20 20:37:11 Author Share Posted 2004-09-20 20:37:11 Как сделать так, чтоб squid стартовал при старте системы? Мне когда-то сказали что надо прописать chkconfig --level 123456 squid off чтоб он не стартовал...вот теперь скажи мне плиз как сделать чтоб стартовал? Как поудалять лишнее? Link to post Share on other sites
S_ergey 21 Posted 2004-09-20 20:38:56 Share Posted 2004-09-20 20:38:56 chkconfig -level 345 squid on Link to post Share on other sites
Mainstas 0 Posted 2004-09-20 20:49:26 Share Posted 2004-09-20 20:49:26 Можешь поставить себе WEBMIN Тогда тебе будет легче намного...в нем и настройка сквида в графичексом виде есть и добавление/изменение/удаление служб в автозагрузке и еще вагон и маленькая тележка графических средств управления разными линуховскими приблудами :-) И все это с помощью обычного браузера. Link to post Share on other sites
Mainstas 0 Posted 2004-09-20 21:00:09 Share Posted 2004-09-20 21:00:09 В файле /etc/squid/squid.conf в самом вверху добавляю строки:httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on Верно? Вобще-то эти строки там уже есть...просто они заремлены (перед ними стоит символ "#") то-есть достаточно их найти и разремить (убрать этот значек). (в mc редактирование F4 поиск F7) Единственное что в первой строке по умолчанию нет слова virtual его нужно дописать вручную Как поудалять лишнее? rc.firewall в СТУДИЮ!!! А вобще ручное удаление всех явнозаданных правил iptables -F (удаляет только правила но не политику по умолчанию...так что осторожно если рулишь сервером через ssh и политика INPUT DROP выполнение этой команды просто обрубит твою сессию) так что лучше ее выполнять или локально на серваке или в rc.firewall совместно с последующим открытием необходимых портов Link to post Share on other sites
Ven 0 Posted 2004-09-20 21:03:49 Author Share Posted 2004-09-20 21:03:49 http://www.webmin.com/download.html webmin-1.160.tar.gz (Unix tar/gzip format, 7372 kB) webmin-1.160-1.noarch.rpm (RPM suitable for Redhat, Caldera, SuSE, Mandrake or MSC Linux, 8387 kB) webmin-1.160-1.src.rpm (Source RPM suitable for Redhat, Caldera, SuSE, Mandrake or MSC Linux, 7368 kB) webmin-1.160.pkg.gz (Solaris package format, 7372 kB) webmin-1.160-minimal.tar.gz (Minimal version of Webmin, Unix tar/gzip format, 964 kB) Что из этого качать? Link to post Share on other sites
Mainstas 0 Posted 2004-09-20 21:09:28 Share Posted 2004-09-20 21:09:28 QUOTEwebmin-1.160.tar.gz (Unix tar/gzip format, 7372 kB) webmin-1.160-1.noarch.rpm (RPM suitable for Redhat, Caldera, SuSE, Mandrake or MSC Linux, 8387 kB) webmin-1.160-1.src.rpm (Source RPM suitable for Redhat, Caldera, SuSE, Mandrake or MSC Linux, 7368 kB) webmin-1.160.pkg.gz (Solaris package format, 7372 kB) webmin-1.160-minimal.tar.gz (Minimal version of Webmin, Unix tar/gzip format, 964 kB) Что из этого качать? Зачем тебе такие сложности :loop: установи webmin который идет у тебя в комплекте с твоим линухом (полюбому на одном из дисков найдешь rpm пакет) Link to post Share on other sites
Ven 0 Posted 2004-09-20 21:18:44 Author Share Posted 2004-09-20 21:18:44 httpd_accel_host этой строки вообще небыло...я ее вверху оставил. остальные понаходил, но там вконце было off вместо on - раскоментировал, исправил Теперь беремся за rc.firewall /etc/rc.d/rc.firewall у меня нету этого файла Link to post Share on other sites
Ven 0 Posted 2004-09-20 21:27:56 Author Share Posted 2004-09-20 21:27:56 Поставил webmin из того что был у меня на дисках. Как теперь к нему подрубиться из винды? Компы стоят в одной сети - у линухи айпи 10.0.5.210, а у виндовой тачки 10.0.5.209. Link to post Share on other sites
Mainstas 0 Posted 2004-09-20 21:28:28 Share Posted 2004-09-20 21:28:28 Теперь беремся за rc.firewall/etc/rc.d/rc.firewall у меня нету этого файла "Пока противник изучает карту местности мы меняем ландшафт..причем вручную... во время боя противник теряется на незнакомой местности и проигрывает. Так мы выигравали все войны" (Дикий Прапор...фильм ДМБ) :tongue: Нет файла rc.firewall так создай его := ну или если лень создавать просто сделай копию файла rc и переименуй эту копию в rc.firewall ..попутно стерев все ее содержимое кроме первой строки #!/bin/bash -<!--emo&--><!--endemo--> З.Ы. не забудь что созданый тобой файл должен быть executable for owner вобщем запускабелен для владельца ;-) Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now