Прокси в средней организации (OS Suse 9,2 prof)
 

Эпиграф:
Помогите люди добрые
Есть сеть 50 компов, везде винда, сеть-рабочие группы, интернет SDSL через прокси.
Сервер-прокси: OS Windows 2000, стенка Outpost (не смеяться),сама прокся Eserv 2,99 , управление траффиком BSB (bsb.net.ru), антивирус NOD32, почта MDAEMON+встроенный антивирус.

Почему решил отказаться от этого кошмарика тема не этого топика, методом проб и ошибок и лазанья по форумам получил:

Линух видел тока по фото )) но получил:
Сервер-прокси:OS Suse Linux proffesional 9,2, стенка iptables, прокси Squid 2,5 stable6 ,управление траффиком SAMS, антивирус ???,почта???

Начнем с того что, инфы по Suse Linux мало (русской) а когда начинающих человек хочет применить что то из др. дистрибудитива сталкивается с тем что в SUSE все пути в хлам перековерканы, взять хотя бы /srv/www/htdocs, и это еще цветочки. И все таки уснановил Suse потомучто он без проблем проглотил мою конфигурацию компа (в отличии от Mandrake,REDHAT 3 ent ser,ALT 2,4,ASP,Debian,gentoo вот скока я перепробовал) а что такое установить сетевуху для человека впервые вставившего установочный диск? потомучто , при установки интуитивно понятно все настроилось (Правда с разбиением винта пришлось помучиться, новички делайте только / и swap!) .

Настраваю этот сервер при работающим старым. Поднимаю Squid коннекчусь к perent proxy -Eserv вроде работает, поднимаю SAMS статистика по ip юзерам работает, при превышении лимита юзера отключаются.
1.Вопрос при отключении пользователя посредсвом acl и редиректора squid, докачает ли squid этот файл сам? про патч который бьет файл по 100 кб знаю.
2.Вопрос есть ли какой антивирус на squid для проверки транзитного трафика (кеша)?

Сервак вроде готов пора ставить стенку и ppp
настраиваю iptables по дико-большому мануалу перегружаю комп, все цепочки пусты, везде ACCEPT, ладно я упертый, переписываю все заново,iptables-save перегружаемся опять всеп чисто.Хорошо смотрим chkconfig --list
iptables не фигурирует,
chkconfig -a iptables -нет такого сервиса,
rpm -qa iptables пож-та версия iptables,
which iptables мол лежит там.
Нашел единственный выход записал в cron при загрузке iptables-restore /etc/iptables-my-rules

Есть еще одна фича в yast включаем файлволл выбираем что нужно защитиь и пож-та загружается susefirewall тот же iptables но со своими правилами, пожно их менять но при перезагрузке все вернет на свои места. Кто раюботал с SUSE как настроить firewall?
3.Вопрос
Сделал такие вот правила:
Chain INPUT (policy DROP)
> target prot opt source destination
> ACCEPT all -- anywhere anywhere state RELATED,ESTAB
> LISHED
> ACCEPT tcp -- 192.168.1.0/24 anywhere tcp dpt:http
> LOG all -- anywhere anywhere LOG level warning p
> refix `INPUT LOG '
> ACCEPT tcp -- 192.168.1.0/24 anywhere tcp dpt:ndl-aas
> ACCEPT tcp -- 192.168.1.0/24 anywhere tcp dpt:ssh
> ACCEPT all -- anywhere anywhere
> ACCEPT tcp -- 192.168.1.0/24 anywhere tcp dpt:1001
>
> Chain FORWARD (policy DROP)
> target prot opt source destination
> ACCEPT all -- anywhere anywhere state RELATED,ESTAB
> LISHED
>
> Chain OUTPUT (policy DROP)
> target prot opt source destination
> ACCEPT all -- anywhere anywhere state NEW,RELATED,E
> STABLISHED
> ACCEPT tcp -- anywhere anywhere tcp dpt:ndl-aas
> ACCEPT all -- anywhere anywhere

Что нужно открыть для нормальной работы прокси?3128 на входе из локалки? 80 наружу? может еще 53 наружу? прокся то работает то нет.
Что такое заворачивать весь трафик на squid?
Как мне заворачивать трафик поступающие на порты 9025 и 9110 на порты 25 и 110 моего почтового сервера (др комп пока тоже винда)?
Типа portmaping

4.Вопрос Может у кого есть русская дока по SUse Linux?

Заранее благодарен.

а) не suse a то что знает твой знакомый юниксоид
б) имхо вообще не linux a freebsd
в) прокся правильно - сквид
г) стенка ipfw имхо удачнее... покрайней мере проще точно
д) почта... это как тебе захочется.. qmail, exim или еще-что...
е) антивирь... у меня бегает clamav... можно каспера... можно drweb... кому что
ж) забудь про гуи. ssh и только из внутренней сетки.
з) не забудь про nat

a) согласен
б) ф топку!!! =)
в) +
г) заблуждение
д) рекомендую разобраться с sendmail. он только поначалу кажется замороченным
е, ж) согласен
з) зачем?

Нет у меня знакомых таких (((
Ставил то что поставилось, сомниваюсь что FreeBSD c первого раза без проблем бы встала, чего только система портов стоит, я конечно все на ус наматываю но пока рано

г) стенка ipfw имхо удачнее... покрайней мере проще точно
с iptables разобрался... Проблемы не с синтаксисом а с семантикой, если я знаю что нужно открыть так я открою...

Тоже слышал про clamav его и собирался ставить только по моему он проверяет только почту может я не прав.полностью согласен

ЗАчем нужен мне нат?

А на сервере ничего кроме почты проверять и не нужно, на фре вирусы не заводятся.
По поводу секюрити: обязательно запретить root логиниться через сеть, только с консоли. Намного надежнее серв будет.

Не удаляйтесь от темы.
Помогите в Suse Linux настроить iptables, ибо как о стене мнение о нем у меня уже устаялось.
Нужно запихнуть его в сервисы. я так пологаю должны быть скрыпты типа etc/init.d/rc.d/rc.firewall или /etc/init.d/iptables но их нет.

а разве в SUSE нет подобия шапкиного /etc/rc.local? Может стоит найти его и запихнуть в конец iptables-restore /etc/iptables.conf? ИМХО проще, ибо с сервисами (отзвуком маздая) париться не надо...

раз нет - создай.
Installing and Configuring iptables
Там же есть ссылка на пример rc-скрипта.
Либо, если не хочешь заморачиваться с постоянным редактированием rc-скрипта, можно сделать через iptables-save. Для это сохраняешь правила файрволла в файл такой командой:
iptables-save > /etc/iptables.conf
После чего добавляешь в скрипт запуска строку:
iptables-restore < /etc/iptables.conf

Нет такого файла /etc/iptables.conf

Если вы читали шапку я сделал нечто подобное записал в cron для запуска при загрузке iptables-restore /etc/iptables-my-rules, но меня как новичка инетересует почему такая большая разница в дистрибутивах? Почему в хваленом линуксе где все построено на файлах нет одного где вся автозагрузка? почему надо рыться в rc.d 1 2 3 . И в конце концов почему блин на всех форумах написано какие конфигурационные файлы iptables нужно править, а у меня их даже нет? Хотя все работает.

хм, по autoexec.bat скучаем? 8)) Рыться нигде не нужно - все файлы для загрузки лежат в /etc/init.d/ . Оттуда они симлинками добавляются по уровням запуска. Это тебе позволяет легко у удобно контролировать, на каком уровне что запускается.
Тем более, имхо, намного удобнее иметь свой скрипт запуска для каждого сервиса/приложения, чем валить все в один файл и в нем копаться потом.

А что касается разницы в дистрибутивах - так у всех свои представления о том, как удобней или правильней. В Gentoo по умолчанию, к примеру, вообще нет rc-папок, а есть /etc/init.d и есть /etc/runlevels/, где по имени перечислены эти самые ранлевелы (boot, default, nonetwork, single). Так что просто разберись в устройстве _своего_ дистрибутива - и не будет проблем с нахождением конфигов.

Это все понятно Saruman.
Может найдется тот кто меня носом ткнет.

настраиваешь iptables так, как тебе угодно. Даешь комманду iptables-save>/etc/iptables.conf. Создается файл конфигурации iptables который содержит все твои настройки. Потом достаточно в /etc/rc.local дописать iptables-restore /etc/iptables.conf и все сохранненные правила будут восстанавливаться при каждой загрузке.

Ладно с запуском будем считать разобрались, если нет скрипта на запуск iptables пользуем cron или rc.local и пишем iptables-restore файл_с_правилом.
Теперь осталось разобраться с портами и как как зоворачивать трафик приходящий на один порт на определенный ip-адрес и порт?
И нужно ли "заворачивать " трафик на squid разве он не ждет соединений на (допустим) 3128 порту?
Ну и вирус все таки какой точно будет проверять "на лету" весь кеш squid-а.

Сквид может рабоать в двух режимах - обычном и прозрачном. Когда он работает в прозрачном режиме, весь http-трафик можно заворачивать на него (к примеру iptables -t nat -I PREROUTING -p TCP --dport 80 -j REDIRECT 3128) и тогда юзера даже не будут знать, что ходят через проксик. В обычном режиме он ждет соединения по указанному порту и работает как обычный проксик. По умалочнанию стоит обычный.

Здесь можно поподробней? Какие настройки нужно будет сделать у юзера? Указать шлюз?днс сервер?В прозрачном режиме вся функциональность сквида сохраняется?МОжно ли тогда пользоваться редиректором? т.к. для работы SAMS требуется редиректор.
Далее для работы прокси достаточно открыть 3128 на входе и 80 для выхода в инет, разрешить 53 для просмотра ns и может быть icmp?

http://squid.opennet.ru/
Очень хорошая дока. Сам когда-то по ней настраивал.

Полностью согласен перевел в печатный вариант. Написано что и как , только на вопрос зачем не найдешь ответ.

Ну если не знаешь зачем, тогда и делать что-то смысла нет :biggrin:

Факир был пьян и фокус не удался.

Ая-яй... никто не помог!

/etc/sysconfig/SuSEfirewall2 - внимательно почитать
/etc/sysconfig/scripts/SuSEfirewall2-custom - при необходимости сделать
и написАть туда то, что нужно.
squid - поставить и настроить из rpm через YaST2.

SuSE - один из лучших, простых и понятных Linux-дистрибутивов.
Пользуйся YaST2 (yast).

Не говори, такое очучение что Suse дистрибутив пока мало распространен.
Пока мне посоветовали грузить iptables-restore xxx с помощью etc/init.d/boot.local
Сколько было проблем, но yast2 быстро все делает, с настройкой конечно прошлось повозиться , особенно когда учил squid общаться с SAMS

Седня проштудирую.
Полностью согласен, скольео я их перепробовал, только он с полоборота завелся, правда мой (мало)знакомый гуру сказал, что SUSE дистрибутивы мягко говоря не оптимизированы для серверный задач. Сам пока не могк это прокоментировать

Серверные SuSE
 

Странный гуру:)
Он про SLES - SuSE Linux Enterprise Server - 8-й или 9-й слышал?
Они стоят денег, но я думаю, при желании можно и достать:)
Вообще у SuSE линейка серверных дистрибутивов достаточная.

iptables-restore и т.д. - это для RedHat-то подобных дистрибутивов.
Я понимаю, что времени мало, но потрать его один раз на изучение.
Не похачив ОСь, а используя её возможности для конфигурации ты потом сможешь легко обновляться (настроить из yast2 автообновление) и переходить на более новые версии.

Маленький пример из жизни:
SuSE 9.0 те же задачки, что и у тебя. Работает года полтора. Перезагрузки только из-за отключения питания и обновления ядра. Администрит человек, который в Linux знает очень немного.
Всё вышесказанное - IMHO :)

Все ясно... Просто в поисках места где нужно поставить или убрать галку, штудируя SuSE библию на англ. языке можно потратить день, в то время как знающий человек за секунду ответит... ну ничаво, впервые отпаивая контроллер сигейтовкого винта тоже думал "неужели его можно назад припаять", надеюсь линух бысто падет.
В yast2 нашел конфигуратор /etc/sysconfig
каждый день открываешь что новое... Была бы русская дока...

Да и попутно у меня есть еще один вопрос:
У меня поднят samba server, не то что бы очень нужен скорее для самообразования, хотел подключиться к рабочей группе хотя бы для печати.
так вот, в /etc/samba/smb.conf параметр browseable = no
но как только стартуешь samd комп сразу становиться master browser,все компы с русскими названиями обрастают каракулями,или вообще все пропадают. Не смотря на то что три сервака в сети (Win2000 server) стоят master browser и backup server browser