"Помогите новичку" или вопросы по LINUX

[desa]

"Помогите новичку" или вопросы по LINUX.
Спрашиваем, советуем ...
Удачной работы.

Правила темы, очень простые

Скриншоты более 250х250 убираем под тэг CUT.
Для выражения благодарности, пользуемся кнопкой Спасибо.

Прежде чем спросить, воспользуйтесь поиском в разделе,
и просмотрите хотя бы не сколько последних страниц темы в поисках решения Вашей проблемы, вопроса.
Возможно ответ Уже Есть.

Книги и документация
Видео уроки по Linux (только ссылки)

"Помогите новичку" или вопросы по LINUX (Архив)

[nops_]

Цитата: Сообщение от Ystinov83 Привет всем. На работе стоит (дохленькая)машина в качестве шлюза ОС дебиан iptables помоему еще sqid для подсчета трафика sarg сдается некоторый трафик не считается (так случайно заметил на одной из машин сети установленный торрент утром было в очереди наверное 4-7 загрузок по 1гигабайту вечером половина была закачена и уже висела на раздаче перепроверил отчет sarg так за весь день 500 метров всего проскочило и это на сеть в 40 машин)хотябы торрент трафик что и где покрутить не знаю. Буду рад любой помощи зарание спасибо!

Это вполне нормальное явление...
Давайте попробую объяснить....
смотрите, у Вас стоит шлюз с IPtables+nat скорее всего(наврятли иначе) Стоит squid и это не что иное, как прокси-сервер, который может многое, очень многое. В вашем случае, он скорее всего, не больше не меньше, а пропускает только 80-й порт, т.е. обращения на 80-й порт. Другими словами, если чел прописал у себя в качестве прокси ваш серв, то при посещении веб-страниц он их просматривает через проксю. Запрос идет не напрямую на сайт, а сначала на ваш прокси, и уже прокси проверяет индексацию этого сайта у себя, потом делает запрос на сайт и после этого уже загружает в свою базу данные с сайта и выдает пользователю. Sarg нужен не столько для статистики, а для управления SQUID-ом.Тепер ваш случай. Стоит торрент-клиент, он через проксю работать просто не сможет, т.к. используемые порты не настроены на проксе и соответственно сам прокси не будет выпусать юзера на эти порты. Отсюда следует, что эти твои юзеры, получают интернет не через прокси, а напрямую через nat+iptables.
Это конечно пока только предположение, но возможно оно правильное. Покажите:
1. все правила iptables(не помню где он лежит:-()
2. Покажите конфиг squid.conf
3. А так же, посмотрите что на NAT стоит.

[Ystinov83]

Цитата: Сообщение от nops_ Это конечно пока только предположение, но возможно оно правильное. Покажите: 1. все правила iptables(не помню где он лежит:-() 2. Покажите конфиг squid.conf 3. А так же, посмотрите что на NAT стоит.

В понедельник все покажу копий дома нет

[DoubleSpace]

sarg анализирует тока логи squid- а через него у вас завернут,скорее всего только http, а весь траффик торрентов туда не попадает. Для учета торрент трафика нужна любая прога, что считает трафик напрямую, правда, торрент может ходить на разные порты, та еще задача. Бороться с торрентами наверно, лучше напрямую, вычислять, кто лазит по трекерам- вот тут sarg поможет- потом ходить и выписывать благодарности. Так как перекрыть торрент практически нереально- хоть как-то но работать будет.

[nops_]

Цитата: Сообщение от DoubleSpace sarg анализирует тока логи squid- а через него у вас завернут,скорее всего только http, а весь траффик торрентов туда не попадает. Для учета торрент трафика нужна любая прога, что считает трафик напрямую, правда, торрент может ходить на разные порты, та еще задача. Бороться с торрентами наверно, лучше напрямую, вычислять, кто лазит по трекерам- вот тут sarg поможет- потом ходить и выписывать благодарности. Так как перекрыть торрент практически нереально- хоть как-то но работать будет.

Ну вовсе не обязательно анализировать логи юзера по портам, куда проще настроить сбор статистики любым способом с конкретного порта и самому проанализировать.
Согласен, что с торрентом бороться практически невозможно, но выход опять таки есть. Поднять только http-прокси. в фаерволе отключить нат, или оставить только для себя, чтобы остальные могли в инет выходить только на веб и только через squid. В этом случае, настройки прокси в торрент-клиенте работать не должны, т.е. торрент не должен работать, а страницы посещять юзер будет...
А вообще, лучше взять доки по сквиду и почитать... Я с ним давно не работал, т.к. скорости высоченные и прокся воообщем-то и не нужна.

[Ystinov83]

Может тогда я не правельно организовал доступ в Инет. просто сеть на 40 машин у когото инет должен быть у когото нет подключение типо изернета к конторе. Поставили шлюзик и все через него...??? можно было по другому?

[NetFox]

Вообще-то должна стоять ещё одна тулза для фильтрации трафика. Это может быть squidgard или dansguardian. Посмотри их сторону. Там можно забанить определённые расширения файлов. Первое, что создаст юзверям проблемы с торрентами, это бан расширений .torret, .magnet и ещё что-то (не помню). Торрент тянет файл кусочками с одним и тем же расширением. К сожалению, не помню. И то и другое смогу только завтра сообщить, когда на работу выйду - забанено и забыто. Расширения, закачиваемые юзверями ловятся через журналы. У меня стоит dansguardian в одной посуде с Zentyal. Если это стоит у тебя или поставишь, то смогу помочь. Хотя на инете об этом достаточно много чего есть.

[Ystinov83]

Вопрос не в том чтоб запретить как бы траф никто не ограничивает но иногда канал просто виснет и тут появляются вопросы из за чего просто если б с отчетах sarg показывал бы и мегабайты по торрент было б проше определить некоторые вещи просто раз пришли на работу а сеть мертвая т.е. по загрузке сетевуха на наших глазах лешилась порта пришлось менять

[nops_]

Цитата: Сообщение от Ystinov83 Вопрос не в том чтоб запретить как бы траф никто не ограничивает но иногда канал просто виснет и тут появляются вопросы из за чего просто если б с отчетах sarg показывал бы и мегабайты по торрент было б проше определить некоторые вещи

для распределения нагрузки есть QoS
а вообще, почему в конторе, работники качают торренты?
Забань им вообще выход в инет через NAT.
Сделаей его только себе. Для каждого создай логин+пароль, если есть домен, можно привязать к домену(AD, OpenLDAP).
Они не смогут качать торренты через сквид. К тому же, QoS динамично будет распределять нагрузку(но он только для NAT)

[Ystinov83]

Цитата: Сообщение от nops_ для распределения нагрузки есть QoS а вообще, почему в конторе, работники качают торренты? Забань им вообще выход в инет через NAT. Сделаей его только себе. Для каждого создай логин+пароль, если есть домен, можно привязать к домену(AD, OpenLDAP). Они не смогут качать торренты через сквид. К тому же, QoS динамично будет распределять нагрузку(но он только для NAT)

работа напряженная(да и не ЧП особо ненапугаешь) поэтому все и шарются но нету. Пока нету когда будет не знаю точнее когда серьезные деньги выделят тогда появятся я согласен что логин пароль но пока до этого ну очень далеко хотя у меня идея такая с момента устройства на эту работу с прошлого лета если быть точным но говорят что денег на покупку нет.

[nops_]

Цитата: Сообщение от Ystinov83 работа напряженная(да и не ЧП особо ненапугаешь) поэтому все и шарются но нету. Пока нету когда будет не знаю точнее когда серьезные деньги выделят тогда появятся я согласен что логин пароль но пока до этого ну очень далеко хотя у меня идея такая с момента устройства на эту работу с прошлого лета если быть точным но говорят что денег на покупку нет.

скажи пожалуйста, а кто тебе мешает в проксе создать отдельных юзеров?
есть Прокси-пользователи, которые заведены в сквид и имеют доступ...
Есть множество мануалов в инете.
Ты можешь разрешить пользоваться прокси не только подсетям и IP-шникам, но и связке логин+пароль пользователей, созданных в системе сквида.

[Ystinov83]

Цитата: Сообщение от nops_ скажи пожалуйста, а кто тебе мешает в проксе создать отдельных юзеров? есть Прокси-пользователи, которые заведены в сквид и имеют доступ... Есть множество мануалов в инете. Ты можешь разрешить пользоваться прокси не только подсетям и IP-шникам, но и связке логин+пароль пользователей, созданных в системе сквида.

Есть определенные трудности я немного(точнее наверное много или сильно) туповат в этих делах. по нетовским статья м настроил шлюзик ip раскидываю так нужные компы получают ip в диапазоне от 0..50 остальные выше соответственно кто в списке есть (т.е. IP до 50 раздаю по mac адресам карты те выход в нет имеют кого нет те увы) пока все устраивало перед тем как столкнулся с проблемой перегрузки

[nops_]

Вы что-то путаете.
Для раздачи IP-адресов в сети используется DHCP, можете поставить isc-dhcp, норм робит.
Для раздачи интернета клиентом используется NAT, т.е. подмена внутренних адресов на один реальный сервера.
По средству NAT-а в интернет может выйти любой пользователь(если у него есть права на это в таблице фаервола и маршрутизации), достаточно прописать в сетевых настройках в качестве шлюза локальную сетевую карту этого сервера. Если отключить NAT или составить грамотно правила фаервола, т.е. iptables, то любой юзер не сможет выйти в сеть прописав адрес шлюза.
Чтобы с отсутствующим натом или отключенным, юзеры могли выходить в сеть, можно поставить прокси-сервер, в данном случае SQUID. В нем настраиваем разрешения таким образом:
1. Разрешаем руководству без пароля выходить в интернет(азрешения по IP)
2. Всем остальным разрешаем выйти в инет только по логин+пароль.

Чтобы вы понимали, что такое НАТ. Это драйвер, который метит все пакеты, пришедшие из сети, подставляет этим пакетам свой собственный внешний IP-адрес, чтобы удаленный сервер вернул посланный запрос обратно на этот сервер. Когда сервер получает обратно пакет, он его вскрывает, видит что он был им же помечен, разбирает, снимает метку и отправляет нужной машине в сети. И так очень много раз. Проходя через NAT, все пакеты маркируются, иначе удаленный сервер не будет знать, куда отправлять пакет.

[Ystinov83]

вот примерное содержание sqid.conf оригинал уже после правился немного

Код:

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
#acl localnet src 10.0.0.0/8	# RFC1918 possible internal network
#acl localnet src 172.16.0.0/12	# RFC1918 possible internal network
acl full_access src 192.168.100.1-192.168.100.50/255.255.255.255
#acl lim_access src 192.168.100.51/255.255.255.128
acl SSL_ports port 443		# https
acl SSL_ports port 563		# snews
acl SSL_ports port 873		# rsync
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl Safe_ports port 631		# cups
acl Safe_ports port 873		# rsync
acl Safe_ports port 901		# SWAT
acl deny_hosts_access url_regex "/etc/squid/deny_hosts_access"
#acl SiteWarez dstdom_regex "/etc/squid/deny_hosts_access"
http_access deny full_access deny_hosts_access
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow full_access
#http_access allow lim_access
http_access deny all
icp_access allow full_access
#icp_access allow lim_access
icp_access deny all
http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
cache_mem 64 MB
cache_dir ufs /var/spool/squid 1024 16 256
cache_mgr [email protected]
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern (Release|Packages(.gz)*)$	0	20%	2880
refresh_pattern .		0	20%	4320
delay_pools 1
delay_class 1 3
#delay_class 2 3
#delay_access 1 allow lim_access
#delay_access 1 deny all
delay_access 1 allow full_access
delay_access 1 deny all
delay_parameters 1 -1/-1 -1/-1 1000000/102400000
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
hosts_file /etc/hosts
coredump_dir /var/spool/squid
error_directory /usr/share/squid/errors/Russian-1251
ignore_expect_100 on

а еще как на форуме сдесь поставить возможность сворачивания кода?

[nops_]

я конечно понимаю, что вам хочется, чтобы за вас все сделали и вы просто подменили конфиг, но я Вам рекомендую самостоятельно изучить фаервол, как он работает, изучить что такое нат, что такое прокси и как работает, взять статью, на примере этой http://sysadmins.el.kg/viewtopic.php?f=52&t=362 и сделать по аналогии.
конфиги, что на FreeBSD, что на девиане, одинаковые. Разница в другом, так что смело по этой статье или другой статье делайте и будет вам счастье...
ну или вот Вам дебиан http://rukul.ru/squid-proxy-server/s...�з-файла

[Ystinov83]

так но у меня вопросик все делается в этом конфиге или нет так как я еще че то писал и в другие файлы? счас перечислю dhcpd.conf firewall.conf sarg.conf sysctl.conf