Squid3 + squidGuard vs. pop3 & smtp & Банк-клиент

Автор urichalex, 15 сентября 2011, 17:16:41

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

urichalex

Доброго времени суток. Есть сервер на Squeeze. На нём 2 сети: eth1 ломится в интернет, eth0 локалка.
Установил Squid и SquidGuard с базами режика. Теперь не работают почтовые клиенты и программа клиент-банк.
Подскажите, что делать?
Я читал, что нужно делать проброс через iptables но я его совершенно не знаю, а сдать сервер нужно уже позавчера... =)

fry

http://www.opennet.ru/docs/RUS/iptables/
Вот тут есть нужная тебе информация. Тебе нужен форвардинг пакетов для нужных портов и днат или маскардинг. + в файле /etc/sysctl.conf раскомментируй строку net.ipv4.ip_forward=1 После этого перезагружаешь сервер и проверяешь.:)
Товарищи призывники! Надо понимать всю глубину наших глубин!

Руководство по добавлению изображений на форум

urichalex

Цитата: fry от 15 сентября 2011, 18:10:23
http://www.opennet.ru/docs/RUS/iptables/
Вот тут есть нужная тебе информация. Тебе нужен форвардинг пакетов для нужных портов и днат или маскардинг. + в файле /etc/sysctl.conf раскомментируй строку net.ipv4.ip_forward=1 После этого перезагружаешь сервер и проверяешь. :)


Спасибо за совет. Читать про iptables давно намеревался. Только вот всё времени нет...
Если бы Вы мне подсказали бы как мне настроить iptables, что именно прописать для данного случая, я бы был очень бы благодарен Вам =)

gardarea51

#3
Мне кажется вам нужно более основательно подойти к вопросу, для начала просто прозрачно проксируйте 80й порт, базы режика конечно хорошо, но лучше используйте dansguardisn. Незнаю почему, но мне кажется это самый вменяемый и действенный способ фильтрации контента. Всякие блэклисты конечно хорошо, но слабо..

Итак, начните с малого, к примеру у меня практически минимальный конфиг squid, только 80й порт, потому что больше мне не нужно, пусть почта вздохнет с облегчением, потом доберетесь и до нее. Приведу свой конфиг:
#squid.conf
##Перечитать настройки без перезапуска демона: 'squid -k reconfigure' (очевидно, не самые критичные)

http_port 3128 transparent

#acl all src 0.0.0.0/0 пришлось отключить после апдейта сквида, видимо эт. уже дефолт
acl localhost src 127.0.0.1/32
acl localNet src 192.168.2.2-192.168.2.254

acl Web_ports port 80
http_access deny !Web_ports

http_access allow localhost
http_access allow localNet
http_access deny all

#CACHE OPTIONS
cache_mem 64 MB
cache_swap_high 95
cache_swap_low 90
maximum_object_size 4096 KB
minimum_object_size 0 KB
memory_pools off        #высвобождение в систему захваченной, но не нужно памяти
quick_abort_pct 97      #если скачано 97% и юзер отменил - докачать (в кэш)
negative_ttl 1 minutes  #кэширование "негативных ответов", типа 404, время жизни в кэше

# OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

#Suggested default:
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

# Leave coredumps in the first cache dir
coredump_dir /var/cache/squid
#LOGFILE OPTIONS
access_log /var/log/squid/access.log squid

#OTHER_FOR_ERROR_REPORTS
error_directory /usr/share/squid/errors/ru
httpd_suppress_version_string on #Подавлять вывод версии
visible_hostname area51


Прозрачное проксирование со стороны iptables обеспечивается перенаправлением порта, вот так (это вообще то мой старый конфиг, сейчас по другому, но не суть):
###Заворачивание на squid всех остальных (от локальных юзеров в инет, но не на этот шлюз) запросов
###Заворачивание на squid всех остальных (от локальных юзеров в инет, но не на этот шлюз) запросов
$IPTBLS -t nat -A PREROUTING -i $LAN_IFACE -p tcp -s $LAN_IP_RANGE ! -d 192.168.2.1 -m tcp --dport 80 -j REDIRECT --to-ports 8080

Здесь указан диапазон локальных адресов, заворачивание идет только если пакеты бегут не на шлюз, а куда то там.. туда. =) Кстати, указан конфиг с портом 8080, но вы можете поставить 3128, это у меня для dansguardian. Могу вообще привести весь конф, но думаю не стоит.