Страница 1 из 2
Помогите Abills+Squid
Добавлено: Вт авг 05, 2008 5:01 am
Xramovnik
Есть работающий abills 0.37. Есть squid настроенный как прозрачный прокси. Помогите с конфигом IpTables для заворачивания всего трафика от abills на squid для разграничений на уровне http. заранее спасибо.
Добавлено: Вт авг 05, 2008 11:41 am
NiTr0
http://www.koryazhma.ru/net/dimez/dnat/
Траф заворачивается на сквид, вместо $EXT_R_IP - ставится ИП, к которому идет запрос через роутер/прокси.
Добавлено: Ср авг 06, 2008 1:17 pm
Xramovnik
А если и Abills и Squid установлены на одной машине? Как тогда поможет DNAT? И в качестве сервера для VPN клиентов у меня выдается "белый" IP адрес. Тогда выходит его и указывать?
Добавлено: Сб авг 09, 2008 5:56 pm
NiTr0
DNAT - на свой же ИП (можно и на 127.0.0.1), но на другой порт. На котором висит прокся.
Добавлено: Пн авг 11, 2008 6:16 am
ran
NiTr0 писал(а):DNAT - на свой же ИП (можно и на 127.0.0.1), но на другой порт. На котором висит прокся.
фу как некрасиво... а редирект в прероутинге на что?
Добавлено: Ср авг 13, 2008 10:11 am
Xramovnik
ran писал(а):NiTr0 писал(а):DNAT - на свой же ИП (можно и на 127.0.0.1), но на другой порт. На котором висит прокся.
фу как некрасиво... а редирект в прероутинге на что?
Уже главное не красота - главное работоспособность
Добавлено: Ср авг 13, 2008 11:17 am
ran
Уже главное не красота - главное работоспособность
дело не в крастоте а в
правильности. В правильности же совета NiTr0... я сомневаюсь (навскидку спорить небуду, а думать лень
) - НО:
1. подозреваю траблы с трассировщиком соединений
2. не думаю что редирект просто так придумали
Добавлено: Ср авг 13, 2008 11:24 am
Xramovnik
Решил этот вопрос. Выкладываю настройку правил Iptables и конфиг squid. Может кому сэкономит время.
И так:
1.2.3.4 - мой внешний IP, он же указан как IP сервера в настройке PPPoE сервера, т.е. является шлюзовым для подключившихся по PPPoE клиентов.
172.30.1.0/24 - диапазон адресов из которого выдаются адреса для клиентских подключений
iptables.rules
Код: Выделить всё
#!/bin/sh
#Настройка firewall для шлюза
IPT=/sbin/iptables
$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT
#Разрешаем весь трафик по интерфейсу обратной петли
$IPT -A INPUT -i lo -j ACCEPT
#Разрешаем весь трафик по интерфейсу ЛВС
$IPT -A INPUT -i eth2 -j ACCEPT
$IPT -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROP
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -t nat -A POSTROUTING -s 172.30.1.0/24 -j SNAT --to-source 1.2.3.4
$IPT -t nat -A PREROUTING -p tcp -s 172.30.1.0/24 --dport 80 -j REDIRECT --to-port 3128
$IPT -t nat -A PREROUTING -p tcp -s 172.30.2.0/24 --dport 80 -j REDIRECT --to-port 3128
Первая строка squid.conf
все работает все считает.
Огромное спасибо всем кто ответил в этом топике!
Добавлено: Чт апр 30, 2009 8:25 am
Павел
А как можно сделать, чтобы имя подключившегося клиента передавалось squid'у, а то в логах сквида указывается только айпишник этого клиента.
Re: Помогите Abills+Squid
Добавлено: Пт май 22, 2009 11:04 am
Павел
Люди подскажите как можно это сделать, чтобы подключившийся пользователь автоматически авторизовывался на squid ?
Re: Помогите Abills+Squid
Добавлено: Пт май 22, 2009 8:52 pm
xoy
Аккаунтинга Squid в Abills нет. Есть только мониторинг.
Как писал сам ~AsmodeuS~, цена вороса 300$ и месяц делов.
Если хотите в личку разработцику.
Или напишите сами, помогите проекту коли денег нет
Re:
Добавлено: Сб май 23, 2009 1:23 pm
Xramovnik
Павел писал(а):А как можно сделать, чтобы имя подключившегося клиента передавалось squid'у, а то в логах сквида указывается только айпишник этого клиента.
А зачем такой гемор, да еще с авторизацией. У меня просто сгенерированый sarg'ом отчет перегребает перловый скрипт, который берет данные о ip клиента из базы abills'а (адреса у меня руками каждому прописаны, необходимость такая) , и подставляет в отчет squid'а. Просто и удобно. А еще и на проксе авторизовываться... Это слишком заморочено, все равно сквид тока хттп отслеживает, большого толку от статистики его нет. Сертификата нет ни у того не у другого, поэтому что-то кому-то доказать, а уж тем более отсудить не получится, для этого UTM есть. У меня сквид стоит только лишь как кэширующий прокси чтоб срезать нагрузку на канал, да порезать доступ к сайтам.
Re: Помогите Abills+Squid
Добавлено: Вс май 24, 2009 12:54 pm
Xramovnik
Есть дибильная мысль.
Сделать замену IP адресов в отчете сквида, логинами из биллинга, и потом уже измененый лог подсовывать sarg для разбора и получения красивой веб статистики. Если идея кого заинтересовала, то займусь. Ради одного только себя - как то влом.
И если так, то откуда тогда брать привязку логин - IP, из базы биллинга или из логов радиуса? И там и там есть камни подводные: если разрешено более 1 подключения на логин, то руками IP адрес в биллинге не нарисуешь. А вот логи радиуса, там все более правильно, но вот сколько каждый хранит логи? Высказывайте свои идеи. Да и в мечтах все это запихнуть модулем в abills для полного удобства, чтоб период выбрал - кнопочку тыцнул и вот тебе красивый отчет
Спустя 20 минут переговоров в аське...
Мысль переросла в еще более дибильную: парсить логи сквида и радиуса раз в сутки, замещать IP логином, и полученый отчет писать в базу!!! А уж с базы можно любой отчет сделать!
Ждем одобрения со стороны Asmodeus'а и ran'a
Re: Помогите Abills+Squid
Добавлено: Вс май 24, 2009 3:12 pm
NiTr0
Посмотрите в сторону sams - может проще будет сделать синхронизацию баз 2х систем?
Re: Помогите Abills+Squid
Добавлено: Вс май 24, 2009 7:40 pm
Xramovnik
Смотрел, не очень понравилось, как то все скупо и туго. Цель - сделать формирование отчетов максимально быстрым и гибким. И не использовать сторонних программ для прокси. Еще один посредник - дополнительная нагрузка, доп администрирование.