Помогите Abills+Squid

[Xramovnik]

Есть работающий abills 0.37. Есть squid настроенный как прозрачный прокси. Помогите с конфигом IpTables для заворачивания всего трафика от abills на squid для разграничений на уровне http. заранее спасибо.

[NiTr0]

http://www.koryazhma.ru/net/dimez/dnat/
Траф заворачивается на сквид, вместо $EXT_R_IP - ставится ИП, к которому идет запрос через роутер/прокси.

[Xramovnik]

А если и Abills и Squid установлены на одной машине? Как тогда поможет DNAT? И в качестве сервера для VPN клиентов у меня выдается "белый" IP адрес. Тогда выходит его и указывать?

[NiTr0]

DNAT - на свой же ИП (можно и на 127.0.0.1), но на другой порт. На котором висит прокся.

[ran]

DNAT - на свой же ИП (можно и на 127.0.0.1), но на другой порт. На котором висит прокся.

фу как некрасиво... а редирект в прероутинге на что?

[Xramovnik]

DNAT - на свой же ИП (можно и на 127.0.0.1), но на другой порт. На котором висит прокся.

фу как некрасиво... а редирект в прероутинге на что?

Уже главное не красота - главное работоспособность

[ran]

Уже главное не красота - главное работоспособность

дело не в крастоте а в правильности. В правильности же совета NiTr0... я сомневаюсь (навскидку спорить небуду, а думать лень ) - НО:

1. подозреваю траблы с трассировщиком соединений

2. не думаю что редирект просто так придумали

[Xramovnik]

Решил этот вопрос. Выкладываю настройку правил Iptables и конфиг squid. Может кому сэкономит время.
И так:
1.2.3.4 - мой внешний IP, он же указан как IP сервера в настройке PPPoE сервера, т.е. является шлюзовым для подключившихся по PPPoE клиентов.
172.30.1.0/24 - диапазон адресов из которого выдаются адреса для клиентских подключений

iptables.rules

Код: Выделить всё

#!/bin/sh
#Настройка firewall для шлюза
IPT=/sbin/iptables

$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT
#Разрешаем весь трафик по интерфейсу обратной петли
$IPT -A INPUT   -i lo -j ACCEPT
#Разрешаем весь трафик по интерфейсу ЛВС
$IPT -A INPUT -i eth2 -j ACCEPT

$IPT -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROP
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -t nat -A POSTROUTING -s 172.30.1.0/24 -j SNAT --to-source 1.2.3.4
$IPT -t nat -A PREROUTING -p tcp -s 172.30.1.0/24 --dport 80 -j REDIRECT --to-port 3128
$IPT -t nat -A PREROUTING -p tcp -s 172.30.2.0/24 --dport 80 -j REDIRECT --to-port 3128

Первая строка squid.conf

Код: Выделить всё

http_port 1.2.3.4:3128 transparent

все работает все считает.
Огромное спасибо всем кто ответил в этом топике!

[Павел]

А как можно сделать, чтобы имя подключившегося клиента передавалось squid'у, а то в логах сквида указывается только айпишник этого клиента.

[Павел]

Люди подскажите как можно это сделать, чтобы подключившийся пользователь автоматически авторизовывался на squid ?

[xoy]

Аккаунтинга Squid в Abills нет. Есть только мониторинг.
Как писал сам ~AsmodeuS~, цена вороса 300$ и месяц делов.
Если хотите в личку разработцику.
Или напишите сами, помогите проекту коли денег нет

[Xramovnik]

А как можно сделать, чтобы имя подключившегося клиента передавалось squid'у, а то в логах сквида указывается только айпишник этого клиента.

А зачем такой гемор, да еще с авторизацией. У меня просто сгенерированый sarg'ом отчет перегребает перловый скрипт, который берет данные о ip клиента из базы abills'а (адреса у меня руками каждому прописаны, необходимость такая) , и подставляет в отчет squid'а. Просто и удобно. А еще и на проксе авторизовываться... Это слишком заморочено, все равно сквид тока хттп отслеживает, большого толку от статистики его нет. Сертификата нет ни у того не у другого, поэтому что-то кому-то доказать, а уж тем более отсудить не получится, для этого UTM есть. У меня сквид стоит только лишь как кэширующий прокси чтоб срезать нагрузку на канал, да порезать доступ к сайтам.

[Xramovnik]

Есть дибильная мысль.
Сделать замену IP адресов в отчете сквида, логинами из биллинга, и потом уже измененый лог подсовывать sarg для разбора и получения красивой веб статистики. Если идея кого заинтересовала, то займусь. Ради одного только себя - как то влом.
И если так, то откуда тогда брать привязку логин - IP, из базы биллинга или из логов радиуса? И там и там есть камни подводные: если разрешено более 1 подключения на логин, то руками IP адрес в биллинге не нарисуешь. А вот логи радиуса, там все более правильно, но вот сколько каждый хранит логи? Высказывайте свои идеи. Да и в мечтах все это запихнуть модулем в abills для полного удобства, чтоб период выбрал - кнопочку тыцнул и вот тебе красивый отчет
Спустя 20 минут переговоров в аське...
Мысль переросла в еще более дибильную: парсить логи сквида и радиуса раз в сутки, замещать IP логином, и полученый отчет писать в базу!!! А уж с базы можно любой отчет сделать!
Ждем одобрения со стороны Asmodeus'а и ran'a

[NiTr0]

Посмотрите в сторону sams - может проще будет сделать синхронизацию баз 2х систем?

[Xramovnik]

Смотрел, не очень понравилось, как то все скупо и туго. Цель - сделать формирование отчетов максимально быстрым и гибким. И не использовать сторонних программ для прокси. Еще один посредник - дополнительная нагрузка, доп администрирование.