Портал информационной и технической поддержки ПО образовательных учреждений РФ

SPO HELP
  • Новости
  • Продукты
  • Поддержка
  • Учебный центр
  • Документация
  • Сообщество
  • Форумы
       
  • Вход
  • Регистрация

Назад к профилю пользователя Александр

22 июня 2012, 11:49
X_6a7896e9_medium Александр Записей: 23

Выкладываю свои наработки, инструкцию составлял по разным мануалам из инета, все проверено на серваке и виртуалке, по мере возникновение проблем инструкция корректирую. не исключаю возможность каких то мелких ошибок.

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

    #Активируем учетную запись root

sudo passwd root
   
    #Вводим пароль локального пользователя, а далее присваеваем пароль
     для root

    #Обновляем систему

apt-get update
apt-get upgrade
   
    #Инсталируем - "mc" (Midnight Commander)

apt-get install mc

    #Включаем второй интерфей сетевой карты

ifconfig eth1 up

    #Настраиваем сеть
    #Запускаем "mc"

    #Переходим в папку /etc/network/interfaces (F4 для редактирования,
     выбираем "medit" текстовой редактор)

----------------------------------------------------------------------------
-----------------------------       
п Р и м е р - 1    при условии что инет по DHCP, если статика, то руками прописывать, как в eth1   
-----------------------------        

# The primary  network interface        
auto eth0                    
                          
# The secondary network interface        
auto eth1                      
iface eth1 inet static                  
    address 192.168.1.1                    
        netmask 255.255.255.0                 
        network 192.168.1.0                 
        broadcast 192.168.1.255          
        dns-nameservers 192.168.1.1                    
                          address 192.168.0.1
                          netmask 255.255.255.0
                          network 192.168.0.0    
                          broadcast 192.168.0.255
                        dns-nameservers 192.168.0.1
-----------------------------------------------------------------------------

    #Перезагружаем сеть

/etc/init.d/networking restart


    Отключаем IPV6
    ______________

    #Проверяем, включен ли IPV6, для этого в терминале набираем:

cat /proc/sys/net/ipv6/conf/all/disable_ipv6

    #если ответ 0 - ipv6 включен, 1 - отключен.

    #Открываем файл /etc/sysctl.conf и в конце вставляем следующие:

--------------------------------------
#disable ipv6
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
--------------------------------------

    #Применяем код

sysctl -p

    #Проверяем cat /proc/sys/net/ipv6/conf/all/disable_ipv6

    #Удаляем пакет app-armor, он может помешать нормальной работе

/etc/init.d/apparmor stop
update-rc.d -f apparmor remove
aptitude remove apparmor apparmor-utils

   
    НАСТРАИВАЕМ NAT
        _______________
 
    #Идем в директорию  /etc/
    #Создаем sh файл nat.sh

touch nat.sh

    #Редактором входим в него (F4) и ишем следующее:

----------------------------------------------------------------------------
#/bin/sh

# Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

# Разрешаем трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT

# Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

# Включаем NAT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth0 -o eth1 -j REJECT
----------------------------------------------------------------------------


    #Заходим в раздел, где лежит наш файл nat.sh и пишем в консоли

sh nat.sh
   
    !!! ВСЕ ИНТЕРНЕТ РАБОТАЕТ !!!

    #Сохраняем (F2).Для автоматического запуска скрипта, снова открываем
         /etc/network/interfaces и в самый конец файла дописываем:

post-up /etc/nat.sh

    #Также не забываем дать нашему скрипту права на исполнение:

chmod +x /etc/nat.sh

    #Перезапускаем сеть:

/etc/init.d/networking restart

   
    УСТАНОВКА DNS СЕРВЕРА - DNSMASQ
    _______________________________

apt-get install dnsmasq

    #Открываем и правим /etc/dansmasq.conf

listen-address=192.168.1.1
cache-size=300

    #Логируем запросы в файл /var/log/dnsmasq.log

log-queries
log-facility=/var/log/dnsmasq.log

    #Перезагружаем демона

/etc/init.d/dansmasq restart


    УСТАНОВКА и НАСТРОЙКА SQUID (работа)
        ____________________________________

apt-get install squid

    #Открываем /etc/squid/squid.conf и делаем поправки

    #В большем случаи, все уже стоит на своих местах,нужно только,
     перепроверить и где надо,раскоментировать строчки или
     подправить!!!!!

    #Определяем имена acl в зависимости от адресов

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

    #Указываем внутренние сети, а лишние коментируем

acl localnet src 192.168.1.0/16 # RFC1918 possible internal network

    #Перечисляем порты, которые смогу проходить через прокси

acl SSL_ports port 443         # https

acl SSL_ports port 563        # snews
acl SSL_ports port 873        # rsync
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl Safe_ports port 631        # cups
acl Safe_ports port 873        # rsync
acl Safe_ports port 901        # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
|
    |  ПОСЛЕ строчки выше, я обычно вносил ACL правила !
    |  Примеры приведены ниже !   
    |

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access deny all
icp_access allow localnet
icp_access deny all

    #Делаем его прозрачным, дописывая transporent
   
http_port 3128 transparent

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
   
    #Выделяем память под кешируемые объекты

cache_mem 64 MB
   
    #Максимальный размер файла в памяти

maximum_object_size_in_memory 5000 KB   

    #Этот тэг определяет политику удаления (замены) объектов
     из кэша,
     когда потребуется место под новые объекты. (LRU)-Политика
     Squid
     по умолчанию, основанная на сохранении часто запрашиваемых
     объектов

cache_replacement_policy heap LRU

    #Этот тэг определяет какие объекты будут удалятся из памяти, когда
          потребуется свободное место под новые объекты

memory_replacement_policy heap lru

    #Директория для кеша где 4096-количество мегабайт для него,
     16-количество каталогов первого уровня, 256-второго

cache_dir ufs /var/spool/squid 4096 16 256

    #Этот тэг определяет алгоритм выбора директории для кэширования
     некоторого объекта

store_dir_select_algorithm least-load

    #Максимальный размер закешированного файла

maximum_object_size 10240 KB

    #Эти тэги определяют нижний и верхний предел заполненности swap.
     Замена объектов кэша, согласно выбранной политики, начинается,
     когда заполненность swap достигнет нижней границы. Если заполненность
     swap достигнет верхней границы, то  замена объектов кэша будет
     происходить более агрессивно

cache_swap_low 90
cache_swap_high 95

    #Этот тэг определяет формат записи для журнала доступа(access.log)

logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt

    #Пути, где хранятся логи

access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
   
    #Ротация логов

logfile_rotate = 0

    #Опция “buffered_logs”, если установлена в “ON”, может немного
     увеличить скорость записи некоторых файлов регистрации. Это
     оптимизационная возможность

buffered_logs on

    #Этот тэг позволяет настраивать дополнительные параметры оптимизации
     кэширования.Эти настройки помогают Squid определить, брать объект для
     пользователя из кэша,или этот объект уже устарел в кэше, и нужно скачать
     этот объект у первоисточника заново

refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern (Release|Packages(.gz)*)$    0    20%    2880
refresh_pattern .        0    20%    4320
refresh_pattern -i \.jpg$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.gif$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.html$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.htm$ 43200 100% 43200 override-lastmod override-expire

acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT

    #посылает сообщение о закрытии соединения клиентам, которые оставляют
     полуоткрытое соединение с сервером squid

half_closed_clients off

    #Сообщения о ошибках будем отображать на русском

error_directory /usr/local/etc/squid/errors/Russian-1251

    #Если нет своего DNS сервера, то прописываем DNS провайдера

dns_nameservers 217.26.0.2

     #Если есть DNS, то можно так:

dns_nameservers 127.0.0.1

    #Расположения host файла

hosts_file /etc/hosts

    #Дадим Squid возможность в кешировании большего количества
     (число записей) FQDN-записей (параметр не совсем понятный, особенно
     в свете того, что для него нет правила очистки кеша от устаревших записей,
     как это сделано для ipcache_size; подозреваю, что это работает тогда,
     когда нужно осуществить обратное разрешение имени исходя из имеющегося
     IP-адреса, что в типовой конфигурации Squid не подразумевается)

fqdncache_size 5120

    #Этот тэг определяет, будет ли однажды выделенная(но сейчас не используемая)
     память, доступна для использования в будущем. Если вам необходимо освобождать
     память, которая была выделена(но сейчас не используется), то установите значение
     этого тэга в «off»

memory_pools off

    #Этот тэг определяет местоположение директории, которая будет содержать core файлы

coredump_dir /var/spool/squid

    #Сама настройка закончена, теперь приступим к запуску squid, перввым делом
      создадим иерархию директорий кеша. Для этого нужно запустить squid с ключом -z

squid -z
service squid rfestart

    #Если есть ошибки, то он напишет
    #Если ошибок нет, то должно выглядеть примерно так:

2012/04/06 10:52:30| Squid is already running!  Process ID 841
   

    ОПРЕДЕЛЕННЫЕ ЗАПРЕТЫ В SQUID
    ____________________________

   
    ЗАПРЕТ ДОСТУПА по ДОМЕНАМ (com.,ru.,net. и т.д)
    _______________________________________________


    #Создадим файл - domains в корне squid или подпапке с любым названием и
     пропишем:
     
-------
\.com
\.by
\.info
-------
   
    #В squid пишем правило

---------------------------------------------------------------
Acl  SitesRegexComNet  dstdom_regex  "\etc\squid\sites\domains"
http_access deny SitesRegexComNet
---------------------------------------------------------------

   
    ЗАПРЕТ ДОСТУПА к САЙТАМ   
    _______________________

    #Создадим файл - badsites и пропишем:

--------
ya.ru
dni.ru
mail.ru
--------

    #В squid пишем правило   

--------------------------------------------------
acl blacklist url_regex "/etc/squid/bad/badsites"
http_access deny blacklist
--------------------------------------------------


    ПО ОПРЕДЕЛЕННОМУ IP
    ___________________

    #Создадим файл - ip и пропишем:

------------
192.168.0.2
192.168.0.3
192.168.0.4
------------

    #В squid пишем правило   

-------------------------------
acl ip1 src "/etc/squid/bad/ip"
http_access deny ip1
-------------------------------


        ЗАПРЕТ НА РАЗЛИЧНЫЕ РАСШИРЕНИЯ
        ______________________________

    #Создадим файл - rashireniya и пропишем:

-------
\.avi$
\.mpg$
\.wmv$
-------

     #В squid пишем правило   
  
-------------------------------------------------
acl rashireniya1 src "/etc/squid/bad/rashireniya"
http_access deny rashireniya1
-------------------------------------------------


    ЗАПРЕТ НА САЙТЫ ИЗБРАННЫМ
    _________________________

--------------------------------------------------
acl ip1 src "/etc/squid/bad/ip"
acl blacklist url_regex "/etc/squid/bad/badsites"
http_access deny ip1 blacklist
--------------------------------------------------


    ЗАПРЕТ ДОСТУПА в ИНТЕРНЕТ по ВРЕМЕНИ
    ____________________________________

    #Если мы вставим перед 10:00-11:00 SMTWHFA, то это означает по определенным
     дням запрет (т.е Воскресенье S,Понедельник M, Вторник T и т.д)

--------------------------------------------------
acl badtime time 10:00-11:00
acl badsites url_regex "/etc/squid/site/timesites"
http_access deny bad_time badsites
--------------------------------------------------


    ЗАПРЕТ ДОСТУПА по ПОРТАМ
    ________________________

---------------------------------
acl icqport port 5190
http_access deny CONNECT icqport
---------------------------------

    #При желании можно создать список не используемых IP и доступ в инет на них
     заблокировать

   
    ЗАПРЕТ ДОСТУПА по MAC адресу
    ____________________________

    #В списке прописывается, только МАС адрес маленькими буквами с двоеточием,
     но если мы хотим открыть доступ в интернет, в списке, то достаточно
     закоментировать нужный MAC адрес.

П Р И М Е Р : 1
------------------------------------------------
acl mac1 arp 00:67:45:f1:5a:p2 01:67:h8:78:5d:50
http_access deny all mac1
------------------------------------------------

П Р И М Е Р : 2
-----------------------------------------
acl mac1 arp "/etc/squid/bad/mac_address"
http_access deny all mac1
-----------------------------------------

    #Остается настроить прозрачную работу прокси-сервера, чтобы
     http трафик заворачивался на Squid автоматически, без
     прописывания прокси на клиенте в браузере. Для этого открываем:
     /etc/nat и прописываем в конец строку:


П Р И М Е Р - 1 (virtual box) ПИШЕТСЯ В ОДНУ СТРОЧКУ ВСЕ! после multiport - пробел

---------------------------------------------------------------------------
iptables -t nat -A PREROUTING -i eth1 ! -d 10.0.0.0/24 -p tcp -m multiport
--dport 80 -j DNAT --to 192.168.1.1:3128
---------------------------------------------------------------------------

   
    #В случаи, если мы используем DansGuardian то порт в конце меняем на
     8081

    #Перезапускаем сеть:

   
    УСТАНОВКА И НАСТРОЙКА АНАЛИЗАТОРА LOG ФАЙЛОВ - SARG
    ___________________________________________________

apt-get install sarg

    #Указываем, где будет находиться лог squid, который sarg будет
     анализировать

access_log /var/log/squid/access.log

    #Включаем построение графиков

graphs yes
graph_days_bytes_bar_color orange

    #Указываем загологок отчетов sarg

title "МОЯ ОГРАНИЗАЦИЯ"

    #визуальные изменения (шрифт,размер шрифта,цвет и т.д)

font_face Tahoma,Verdana,Arial
header_color darkblue
header_bgcolor blanchedalmond
font_size 9px
background_color white
text_color #000000
text_bgcolor blanchedalmond
title_color green

    #адрес директории хранения временных файлов

temporary_dir /tmp

    #Указываем, где будут храниться отчёты

output_dir /var/www/squid-reports

    #разрешаем, чтобы вместо ip компов, sarg резолвил имена компов

resolve_ip yes

    #использовать IP вместо имен пользователей

user_ip no

    #Сортировка юзеров в выводе по USER CONNECT BYTES TIME

topuser_sort_field BYTES reverse
user_sort_field BYTES reverse

    #Указывем ip-адреса с которых ненужно собирать статистику

exclude_users /etc/sarg/exclude_users

    #Адреса хостов и сетей, которые не нужно включать в отчёт

exclude_hosts /etc/sarg/exclude_users

    #Как будет выглядеть имя выходного файла, который состоит из
    форматированной даты, (u)-mm/dd/yyyy - американский формат даты

date_format u

    #параметр задает количество отчетов хранимых в каталоге, если он указан

lastlog 0

    #Удаление временных файлов

remove_temp_files yes

    #создавать index-ный файл отчетов

index yes

    #Определяем тип генерируемого индекса

index_tree file

    #Перезаписывать отчет, если отчет с указанной датой уже существует

overwrite_report yes

    # Указываем подставлять вместо отсутствующего userdi IP пользователя

records_without_userid ip

    #Указываем использовать запятую вместо десятичной точки

use_comma yes

    #Команда для отправки сообщения по почте

mail_utility mailx

    #Сколько сайтов в отчете

topsites_num 100

    #Сортировка топсайтов по (D)-убыванию

topsites_sort_order CONNECT D

    #Выбираем тип сортировки для индекса отчётов: в обратном порядке

index_sort_order D

    #Укажем путь к файлу, содержащему HTTP-коды; Sarg будет игнорировать
     в отчёте записи с этими кодами

exclude_codes /etc/sarg/exclude_codes

    #Пока время в логе не превысит 8 часов от начала лога, sarg счиатть не будет
max_elapsed 28800000

    #Тип отчета, включаем все

report_type topusers topsites sites_users users_sites date_time denied auth_failures
site_user_time_date downloads

    #Место расположения usertab

usertab /etc/sarg/usertab

    #Детальные адреса посещаемых ресурсов

long_url no

    #При формировании и сортировке отчётов ориентируемся на полученные байты,
     а не на затраченное время

date_time_by bytes

    #Указываем язык который будет использоваться в отчётах

charset UTF-8

    #Показывать сообщение о удачном завершении анализа

show_successful_message yes

    #Показывать статистику чтения

show_read_statistics yes

    #Определяемся со списком параметров, выводимых в отчёте сравнительной
     активности пользователей

topuser_fields NUM DATE_TIME USERID CONNECT BYTES %BYTES IN-CACHE-OUT
USED_TIME MILISEC %TIME TOTAL AVERAGE

    #Определяемся со списком параметров, выводимых в отчёте индивидуальной
     активности

user_report_fields CONNECT BYTES %BYTES IN-CACHE-OUT USED_TIME MILISEC
%TIME TOTAL AVERAGE

    #Не ограничиваем Sarg в количестве пользователей в отчёте
     сравнительной активности

topuser_num 0   

    #Помечать в отчетах о загружаемых файлах

download_suffix "zip,bzip,gz,rpm,doc,iso,bin,cab,com,mdb,mso,rtf,src,sys,exe,
mp3,avi,mpg,mpeg,swf"

    #Сама настройка SARG акончена, на самом деле практически все уже
     установлено по умолчанию
     и прописывать или дописывать ничего не надо, возможно из всего
     перечисленного, только нужно
     исправить и раскоментировать пару позиций!!!!!

    #Заходим в usr/local/etc/sarg/usertab и прописываем IP с именем

---------------------
192.168.1.5 Kuznetsov
192.168.1.6 Ivanov
192.168.1.7 Smirnov
---------------------

    #В Apache apache2.conf дописываем DocumentRoot "/var/www/squid-reports/"

    #погуляем по сайтам и зайдем в /etc/sarg и сделаем команду для
     сбора статистики

sarg

    #Переходим по адресу 192.168.1.1/squid-reports/ и видим нашу статистику
 
    #далее создадим sh скрипт для автоматисческого сбора статистики
     /etc/sarg-d.sh И пропишем в него:

------------------------------------------------------------
#!/bin/sh
/usr/bin/sarg -d `/bin/date +%d/%m/%Y`-`/bin/date +%d/%m/%Y`
------------------------------------------------------------

    #открывааем cron и прописываем время запуска скрипта на каждый день
     9:00,11:00,14:00 и т.д
-----------------------------------------------
0 9,11,14,17,19,22 * * 0-6 root /etc/sarg-d.sh
-----------------------------------------------

    #Создаем исполняемый sh скрипт - clearlog.sh для автоматической
     чистки log файлов backup с расширением .gz

--------------------------------
#!/bin/bash
cd /var/log/
rm $(ls *.gz)
cd /var/log/squid/
rm $(ls *.gz)
cd /var/log/apt/
rm $(ls *.gz)
cd /var/log/installer/
rm $(ls *.gz)
cd /var/log/unattended-upgrades/
rm $(ls *.gz)
cd /var/log/samba/
rm $(ls *.gz)
cd /var/log/apache2/
rm $(ls *.gz)
---------------------------------

    #Добавляем скрипт в CRON (в 23:00,2ого и 27ого дня каждого месяца)

0 23 2,27 * * root /etc/clearlog.sh

    #Привязываем IP к MAC
    #В /etc создаем файл ethers и в нем пишем IP и MAC

-----------------------------
192.168.1.1 00:76:f4:45:b7:34
192.168.1.2 00:71:f9:05:b3:36
192.168.1.3 00:77:f2:48:e7:74
-----------------------------

    #Делаем комманду

arp -f /etc/ethers

    #Для автоматического запуска делаем исполняемый sh скрипт - mac.sh

------------------
#!/bin/sh
arp -f /etc/ethers
------------------

    #Далее прописываем его в /etc/network/interfaces

post-up /etc/macstart.sh

    #Что бы в syslog (var/log/syslog) не фильтровался отчет об отправки
     письма по email,в CRONTAB после (PATH=/usr/local/sbin:/usr/local ...)
     прописываем:

MAILTO=""


    УСТАНАВЛИВАЕМ УДАЛЕННЫЙ ДОСТУП НА БАЗЕ HAMACHI
    ______________________________________________

    #Для начала скачаем и попробуем установить пакет:

wget https://secure.logmein.com/labs/logmein-hamachi...

sudo dpkg -i logmein-hamachi_2.1.0.17-1_i386.deb

    #Система выдаст сообщение по поводу зависимостей, но добавит пакет в
     список менеджера пакетов.     Теперь можно произвести стандартную
     установку:

sudo apt-get install logmein-hamachi

    #Система попросит установить зависимости, устанавливаем. Всё, теперь
     у вас установлена серверная версия Hamachi на Ubuntu Linux.

    #Запуск и настройка Hamachi происходит из консоли. Для подключения к
     серверам Hamachi
     введите следующую команду:

sudo hamachi login

    #Для подключения к нужной сети вводим следующую команду:

sudo hamachi do-join 111-222-333

    #111-222-333 это ваш идентификатор. Вводить его нужно именно как в
     примере, с дефисами.Hamachi запросит пароль на подключение. Если его
     нету просто нажмите Enter.

    #Описание:
         
hamachi --help

    #Создание сети

hamachi create myhome

    #Далее попросит ввести пароль - вводим


    IP TABLES ЗАПРЕТЫ
    _________________

    #запрет mail agent для всех

iptables -A FORWARD -d 94.100.0.0/255.255.0.0 -p tcp --dport 443 -j DROP
iptables -A FORWARD -d 94.100.0.0/255.255.0.0 -p tcp --dport 2041 -j DROP
iptables -A FORWARD -d 94.100.0.0/255.255.0.0 -p tcp --dport 2042 -j DROP

iptables -A FORWARD -d 194.67.0.0/255.255.0.0 -p tcp --dport 443 -j DROP
iptables -A FORWARD -d 194.67.0.0/255.255.0.0 -p tcp --dport 2041 -j DROP
iptables -A FORWARD -d 194.67.0.0/255.255.0.0 -p tcp --dport 2042 -j DROP

iptables -A FORWARD -d 194.186.0.0/255.255.0.0 -p tcp --dport 443 -j DROP
iptables -A FORWARD -d 194.186.0.0/255.255.0.0 -p tcp --dport 2041 -j DROP
iptables -A FORWARD -d 194.186.0.0/255.255.0.0 -p tcp --dport 2042 -j DROP


    #запрет ICQ одному (пример)

iptables -A FORWARD -d 205.188.0.0/16 -s 192.168.1.32 -j DROP

    #группе (ip для блокировки)

iptables -A FORWARD -d 205.188.0.0/16 -m iprange --src-range 192.168.1.11-192.168.1.22 -j DROP
iptables -A FORWARD -d  81.19.64.0/23 -m iprange --src-range 192.168.1.11-192.168.1.22 -j DROP
iptables -A FORWARD -d  81.19.66.0/23 -m iprange --src-range 192.168.1.11-192.168.1.22 -j DROP
iptables -A FORWARD -d  81.19.69.0/24 -m iprange --src-range 192.168.1.11-192.168.1.22 -j DROP
iptables -A FORWARD -d  81.19.70.0/24 -m iprange --src-range 192.168.1.11-192.168.1.22 -j DROP
iptables -A FORWARD -d  64.12.0.0/16 -m iprange --src-range 192.168.1.11-192.168.1.22 -j DROP


 
18 апреля 2012, 22:41
X_6a7896e9_medium Александр Записей: 23

у меня тоже была, но я не боялся, пришла в комп. класс написала в яндексе порно и нет что бы проверить сайты, полезла в картинки и соотв. наткнулась на то что надо им а не надо мне. после этого пришлось запретить yandex image и советую так же запретить подобное на др. поисковиках. потом пришла бумага (много в округе так школ пострадало) типа наказать виновных, объяснения и т.д вопрос вроде бы решился тем что достаточно было открыть договор найти нужны пункты за которые несет пров ответственность за фильтрацию и отправить им ответ. Советую иметь и прочесть договор с провом за что он отвечает! в данном случаи по Москве netpolice, а уже вдобавок ко всему можно что то свое использовать, но восномном фильтрует пров.

Второй вопрос белые и черн. списки может тоже привести к плохому, прочел на форуме одном, чел писал, что были такие списки, прокуратура пришла, проверила и итог таков (дословно не скажу) но суть такова, что - ограниченный доступ детей к информации,  вот что то такого плана.

 
18 ноября 2011, 21:44
X_6a7896e9_medium Александр Записей: 23

GANNIBAL писал(а):

мое мнение если пров фильтрует - пусть, я уберу сервера, их поставлю в кабинеты а инет будет на уровне маршрутизатора не более, вот и все, не линукс, ни винда,ни вирусы и т.д что мучиться, тут надо опр. на себя отв. в фильтрации кто берет ну и если проверка будет или вообще

​
 
18 ноября 2011, 21:42
X_6a7896e9_medium Александр Записей: 23

мое мнение если пров фильтрует - пусть, я уберу сервера, их поставлю в кабинеты а инет будет на уровне маршрутизатора не более, вот и все, не линукс, ни винда,ни вирусы и т.д что мучиться, тут надо опр. на себя отв. в фильтрации ну и если проверка будет

 
18 ноября 2011, 21:39
X_6a7896e9_medium Александр Записей: 23

высшие чины не знают что хотят, linux, windows за свой или не свой счет закл. договора. кто, что фильтрует, на ком обязанность, какая то каша происходит, не понятно кто за что отвечает! хотя понятно - отмыть побольше бабла и все!

 
18 ноября 2011, 19:33
X_6a7896e9_medium Александр Записей: 23

только кто платить будет за связь альтернативную не из своего же кармана, у нас же все это через департамент договора на инет заключен, а свой токо за свои деньги

 
18 ноября 2011, 08:42
X_6a7896e9_medium Александр Записей: 23

только теперь из за этой в каком то смысле ненужной фильтрации половина сайтов действ. нужных персоналу не работает, и стал жутко тормазить инет, страницы могут то быстро то совсем медленно открываться

 
03 ноября 2011, 20:14
X_6a7896e9_medium Александр Записей: 23

ну да два канала это лучше.....но это двойная оплата это лишние миллионы на инет поэтому врядли, эти миллионы проще в карман положить и отдать во власть один канал прову...... просто как то не приятно , уже себя как то инженером не чуствуешь, что за тя все фильтруют, нахрена я все тогда сам учил (в плане линукс и т.д) чуть ли не ночами на форумах сидел, фильтрация и т.д. я согласен что да порно надо фильтровать, и пусть пров фильтрует,но все остальное толжен уже не он! понятно можно обойти все это дело, с левыми прокси но это уже не то, да и скорость там ожидает лучшего

 
03 ноября 2011, 18:54
X_6a7896e9_medium Александр Записей: 23

просто хочется знать конкретно что они фильтруют, (вон например сайт youtube) нам нужен для закачки видео школьного и соотв. на наш сайт, а тут видетели загрузка ограничена, хоть бы какая нить бумага офиц. была, что такое произошло, что доступ вам закрыли туда туда и туда ну и т.д что бы все было грамотно сделано и оповещено, а то тут так бери и гадай да и помоему инет стал жутко из за фильров тормазить ихних

 
03 ноября 2011, 17:27
X_6a7896e9_medium Александр Записей: 23

так может тогда и не ставить этот линукс, не ставить всякие линуксовые фильры dansguardian и т.д пусть вообще пров вся делает и ответственность на нем лежит в случаи проверки! а то я тут сижу все это изучаю, а за меня все это фильтруют, мне же меньше гемора будет. ну ладно тупо поставить linux, поставить сквид и все пусть работает себе а на остальное на прово возложить! или вообще все на обычном маршрутизаторе сделать и бед не знать по большому счету тогда

 
01 ноября 2011, 19:03
X_6a7896e9_medium Александр Записей: 23

суть вопроса в том что, что за фигня произошла, только ли у меня и что дальше делать!

 
01 ноября 2011, 19:01
X_6a7896e9_medium Александр Записей: 23

ну это понятное дело я так просто, я еще пока не перешел на linux хотя все протестено и готово, там мелкие нюансы просто есть и то в качестве фильтра я бы использовал dansguardian.

ну тогда либо в тех поддержку по этому вопросу звонить ( у нас мгтс) или в технопарк местный округ ЮВАО они там за инет отвечают

 
01 ноября 2011, 18:29
X_6a7896e9_medium Александр Записей: 23

да где бы они там все не проводили это их дело, не понимаю зачем блочить несогласованно, может это временный глюк конечно, но вот щас по удаленке проверял vkontakte откр. а fishki.net нет, какая то путаница происходит видать и не понятно провайдер это так развлекается или все таки мой сервачок глупостями страдает (в чем очень сильно сомневаюсь)

 
01 ноября 2011, 18:17
X_6a7896e9_medium Александр Записей: 23

да кстате конференции разные бывают в этих всяких соц сетях, ладно там порно прикрыли это правильно самая главная проблема т.к 100 проц. фильтртов я считаю нет, но остальное это уже на усмотрения админа и соц сети,и сайты знакомств и т.д ведь в свой обеденный перерыв почему бы и не зайти и не почитать что нить или попириписываться!

вообщем мне пока что не понятна эта тема с блокировкой, может кто случайно все это сделал типа не ту кнопку нажал, но офф бумаги,письма,приказа не было на главнх сайтах об этом, поэтому пока что ничего не понятно

 
01 ноября 2011, 18:02
X_6a7896e9_medium Александр Записей: 23

для администрации законом это не запрещено, вот детям я понимаю да нельзя, с моей стороны все это запрещено, но мне как инженеру доступ должен быть везде т.к для своей внутренней фильтрации я должен заходить на те или иные сайт и проверять откр. они или нет, поэтому за меня никто не должен решать куда мне ходить!

 
01 ноября 2011, 17:12
X_6a7896e9_medium Александр Записей: 23

прихожу седня на работу в школу, захожу на любимые сайты (соцсети,развлечения и т.д) и бац -

Страница заблокирована фильтром NetPolice!

это что теперь провайдер будет решать куда входить можно а куда нет?

я сам админ поэтому никто ничего на сервере не мог поставить для фильтрации (доступ токо я имею соотв.)

у кого то в школах может тоже такое?

вообщем теперь хз что делать

 
21 апреля 2011, 09:59
X_6a7896e9_medium Александр Записей: 23

а я видел dansguardian под windows но не тестил его

 
21 апреля 2011, 09:54
X_6a7896e9_medium Александр Записей: 23

ubuntu-server для сервера (т.к по тому что видел и тестил, типа школьный сервер, то что предлагают, полная ерунда)

ubuntu для школьных машин (все что надо внутри уже есть для работы) и доставлять ничего не надо!

 
21 апреля 2011, 09:48
X_6a7896e9_medium Александр Записей: 23

вот мой конфиг сквида (тестил на виртуалке) все работает

--------------------------------------------------------------------

squid.conf

 

    УСТАНОВКА и НАСТРОЙКА SQUID
        ___________________________


apt-get install squid

    #Открываем /etc/squid/squid.conf и делаем поправки...
    #Дописываем

http_port 3128 transparent (для прозрачности прокси)

    #Определяем имена acl в зависимости от адресов
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8


    #Указываем внутренние сети, а лишние коментируем

acl localnet src 192.168.1.0/24 # RFC1918 possible internal network

    #Перечисляем порты, которые смогу проходить через прокси
acl SSL_ports port 443        # https
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

    #Определяем доступы в зависимости от адресов
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

    #Разрешаем локальной сети ходить в интернет
http_access allow localnet
http_access deny all
icp_access allow localnet
icp_access deny all
hierarchy_stoplist cgi-bin ?

    #Выделяем память под кешируемые объекты
cache_mem 128 MB

    #Максимальный размер файла в памяти
maximum_object_size_in_memory 64 KB
memory_replacement_policy lru
cache_replacement_policy lru
 
    #Определяем кеш на диске
     Первая цифра размер директории кеша, две следующие это
     число директорий 1-го уровня и в них количество,
     определенное третьей цифрой, директорий
     непосредственно для файлов кеша
cache_dir ufs /usr/local/squid/cache  100 16 256
store_dir_select_algorithm least-load

    #Максимальный размер закешированного файла
maximum_object_size  8 MB
cache_swap_low 90
cache_swap_high 95
logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt

    #Местонахождение лог файлов, не забудьте создать директории
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
pid_filename /var/run/squid.pid
strip_query_terms off
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320


    #Сообщения о ошибках будем отображать на русском

error_directory /usr/local/etc/squid/errors/Russian-1251
check_hostnames on
coredump_dir /usr/local/squid/cache

    #Сама настройка закончена, теперь приступим к запуску Squid, первым делом создадим иерархию директорий кеша.
    Для этого нужно запустить Squid с ключиком -z:

squid -z

ПЕРЕНАПРАВЛЕНИЕ

--------------------

Остается настроить прозрачную работу прокси-сервера, чтобы http трафик заворачивался на Squid
автоматически, без прописывания прокси на клиенте в браузере. Для этого открываем 
/etc/nat и дописываем в конец строку:

    # Заворачиваем http на прокси
iptables -t nat -A PREROUTING -i eth1 -d ! 10.0.0.0/24 -p tcp -m multiport --dport 80,8080
-j DNAT --to 192.168.1.1:3128

 

PS: что бы прописать строчку выше ( с заворачиванием) нужно создать файл ( у меня в /etc/  создан nat.sh)

туда я прописывал раздатчик инета

и соотв. заворачивание самого сквида

пример как выглядит:

#!/bin/sh

# Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

# Разрешаем трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT

# Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

# Включаем NAT
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE

# Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth0 -o eth1 -j REJECT

# Заворачиваем http на прокси
iptables -t nat -A PREROUTING -i eth1 -d ! 10.0.0.0/24 -p tcp -m multiport --dport 80,8080
-j DNAT --to 192.168.1.1:3128

 

для запуска его (если не прописано что бы автоматом запускался при загр. системы) в папке etc набрать sh nat.sh

вот впринцапе и все

 
21 апреля 2011, 09:24
X_6a7896e9_medium Александр Записей: 23

у меня скоро будет стоять ubuntu-server, неплохая штучка, легкая по весу, ничего лишнего нет, все с легкостью ставится, пока что тестю на виртуалке, уже чисто для себя листов на 7 инструкции написал, что бы не забыть, начиная от установки и заканчивая всякими контент фильтрами и т.д........ соотв. он без графического интерфейса. Поэтому рекомендую!

Список: 1-20 из 23
1 2
  • Главная
  • О проекте
  • Справка
  • Теги
  • Карта сайта
информация от партнеров здесь

©2015 Все права защищены. Портал информационной и технической поддержки ПО образовательных учреждений РФ.
Cо всеми проблемами и пожеланиями по работе портала и службы технической поддержки вы можете обратиться по адресу .