Прокси в средней организации (OS Suse 9,2 prof)

[teddy_val]

Эпиграф:
Помогите люди добрые
Есть сеть 50 компов, везде винда, сеть-рабочие группы, интернет SDSL через прокси.
Сервер-прокси: OS Windows 2000, стенка Outpost (не смеяться),сама прокся Eserv 2,99 , управление траффиком BSB (bsb.net.ru), антивирус NOD32, почта MDAEMON+встроенный антивирус.

Почему решил отказаться от этого кошмарика тема не этого топика, методом проб и ошибок и лазанья по форумам получил:

Линух видел тока по фото )) но получил:
Сервер-прокси:OS Suse Linux proffesional 9,2, стенка iptables, прокси Squid 2,5 stable6 ,управление траффиком SAMS, антивирус ???,почта???

Начнем с того что, инфы по Suse Linux мало (русской) а когда начинающих человек хочет применить что то из др. дистрибудитива сталкивается с тем что в SUSE все пути в хлам перековерканы, взять хотя бы /srv/www/htdocs, и это еще цветочки. И все таки уснановил Suse потомучто он без проблем проглотил мою конфигурацию компа (в отличии от Mandrake,REDHAT 3 ent ser,ALT 2,4,ASP,Debian,gentoo вот скока я перепробовал) а что такое установить сетевуху для человека впервые вставившего установочный диск? потомучто , при установки интуитивно понятно все настроилось (Правда с разбиением винта пришлось помучиться, новички делайте только / и swap!) .

Настраваю этот сервер при работающим старым. Поднимаю Squid коннекчусь к perent proxy -Eserv вроде работает, поднимаю SAMS статистика по ip юзерам работает, при превышении лимита юзера отключаются.
1.Вопрос при отключении пользователя посредсвом acl и редиректора squid, докачает ли squid этот файл сам? про патч который бьет файл по 100 кб знаю.
2.Вопрос есть ли какой антивирус на squid для проверки транзитного трафика (кеша)?

Сервак вроде готов пора ставить стенку и ppp
настраиваю iptables по дико-большому мануалу перегружаю комп, все цепочки пусты, везде ACCEPT, ладно я упертый, переписываю все заново,iptables-save перегружаемся опять всеп чисто.Хорошо смотрим chkconfig --list
iptables не фигурирует,
chkconfig -a iptables -нет такого сервиса,
rpm -qa iptables пож-та версия iptables,
which iptables мол лежит там.
Нашел единственный выход записал в cron при загрузке iptables-restore /etc/iptables-my-rules

Есть еще одна фича в yast включаем файлволл выбираем что нужно защитиь и пож-та загружается susefirewall тот же iptables но со своими правилами, пожно их менять но при перезагрузке все вернет на свои места. Кто раюботал с SUSE как настроить firewall?
3.Вопрос
Сделал такие вот правила:
Chain INPUT (policy DROP)
> target prot opt source destination
> ACCEPT all -- anywhere anywhere state RELATED,ESTAB
> LISHED
> ACCEPT tcp -- 192.168.1.0/24 anywhere tcp dpt:http
> LOG all -- anywhere anywhere LOG level warning p
> refix `INPUT LOG '
> ACCEPT tcp -- 192.168.1.0/24 anywhere tcp dpt:ndl-aas
> ACCEPT tcp -- 192.168.1.0/24 anywhere tcp dpt:ssh
> ACCEPT all -- anywhere anywhere
> ACCEPT tcp -- 192.168.1.0/24 anywhere tcp dpt:1001
>
> Chain FORWARD (policy DROP)
> target prot opt source destination
> ACCEPT all -- anywhere anywhere state RELATED,ESTAB
> LISHED
>
> Chain OUTPUT (policy DROP)
> target prot opt source destination
> ACCEPT all -- anywhere anywhere state NEW,RELATED,E
> STABLISHED
> ACCEPT tcp -- anywhere anywhere tcp dpt:ndl-aas
> ACCEPT all -- anywhere anywhere

Что нужно открыть для нормальной работы прокси?3128 на входе из локалки? 80 наружу? может еще 53 наружу? прокся то работает то нет.
Что такое заворачивать весь трафик на squid?
Как мне заворачивать трафик поступающие на порты 9025 и 9110 на порты 25 и 110 моего почтового сервера (др комп пока тоже винда)?
Типа portmaping

4.Вопрос Может у кого есть русская дока по SUse Linux?

Заранее благодарен.

[dr-evil]

а) не suse a то что знает твой знакомый юниксоид
б) имхо вообще не linux a freebsd
в) прокся правильно - сквид
г) стенка ipfw имхо удачнее... покрайней мере проще точно
д) почта... это как тебе захочется.. qmail, exim или еще-что...
е) антивирь... у меня бегает clamav... можно каспера... можно drweb... кому что
ж) забудь про гуи. ssh и только из внутренней сетки.
з) не забудь про nat

[Bek]

Цитата:

Сообщение от dr-evil

а) не suse a то что знает твой знакомый юниксоид
б) имхо вообще не linux a freebsd
в) прокся правильно - сквид
г) стенка ipfw имхо удачнее... покрайней мере проще точно
д) почта... это как тебе захочется.. qmail, exim или еще-что...
е) антивирь... у меня бегает clamav... можно каспера... можно drweb... кому что
ж) забудь про гуи. ssh и только из внутренней сетки.
з) не забудь про nat

a) согласен
б) ф топку!!! =)
в) +
г) заблуждение
д) рекомендую разобраться с sendmail. он только поначалу кажется замороченным
е, ж) согласен
з) зачем?

[teddy_val]

Цитата:

dr-evil:
а) не suse a то что знает твой знакомый юниксоид

Нет у меня знакомых таких (((

Цитата:

dr-evil:
б) имхо вообще не linux a freebsd

Ставил то что поставилось, сомниваюсь что FreeBSD c первого раза без проблем бы встала, чего только система портов стоит, я конечно все на ус наматываю но пока рано

г) стенка ipfw имхо удачнее... покрайней мере проще точно
с iptables разобрался... Проблемы не с синтаксисом а с семантикой, если я знаю что нужно открыть так я открою...

Цитата:

dr-evil:
е) антивирь... у меня бегает clamav... можно каспера... можно drweb... кому что

Тоже слышал про clamav его и собирался ставить только по моему он проверяет только почту может я не прав.

Цитата:

dr-evil:
забудь про гуи. ssh и только из внутренней сетки

полностью согласен

Цитата:

dr-evil:
не забудь про nat

ЗАчем нужен мне нат?

[SinClaus]

А на сервере ничего кроме почты проверять и не нужно, на фре вирусы не заводятся.
По поводу секюрити: обязательно запретить root логиниться через сеть, только с консоли. Намного надежнее серв будет.

[teddy_val]

Не удаляйтесь от темы.
Помогите в Suse Linux настроить iptables, ибо как о стене мнение о нем у меня уже устаялось.
Нужно запихнуть его в сервисы. я так пологаю должны быть скрыпты типа etc/init.d/rc.d/rc.firewall или /etc/init.d/iptables но их нет.

[DeADMoroZ]

а разве в SUSE нет подобия шапкиного /etc/rc.local? Может стоит найти его и запихнуть в конец iptables-restore /etc/iptables.conf? ИМХО проще, ибо с сервисами (отзвуком маздая) париться не надо...

[Saruman]

Цитата:

teddy_val:
но их нет

раз нет - создай.
Installing and Configuring iptables
Там же есть ссылка на пример rc-скрипта.
Либо, если не хочешь заморачиваться с постоянным редактированием rc-скрипта, можно сделать через iptables-save. Для это сохраняешь правила файрволла в файл такой командой:
iptables-save > /etc/iptables.conf
После чего добавляешь в скрипт запуска строку:
iptables-restore < /etc/iptables.conf

[teddy_val]

Цитата:

DeADMoroZ:
Может стоит найти его и запихнуть в конец iptables-restore /etc/iptables.conf

Нет такого файла /etc/iptables.conf

Цитата:

Saruman:
Либо, если не хочешь заморачиваться с постоянным редактированием rc-скрипта, можно сделать через iptables-save. Для это сохраняешь правила файрволла в файл такой командой:
iptables-save > /etc/iptables.conf

Если вы читали шапку я сделал нечто подобное записал в cron для запуска при загрузке iptables-restore /etc/iptables-my-rules, но меня как новичка инетересует почему такая большая разница в дистрибутивах? Почему в хваленом линуксе где все построено на файлах нет одного где вся автозагрузка? почему надо рыться в rc.d 1 2 3 . И в конце концов почему блин на всех форумах написано какие конфигурационные файлы iptables нужно править, а у меня их даже нет? Хотя все работает.

[Saruman]

Цитата:

teddy_val:
Почему в хваленом линуксе где все построено на файлах нет одного где вся автозагрузка?

хм, по autoexec.bat скучаем? 8)) Рыться нигде не нужно - все файлы для загрузки лежат в /etc/init.d/ . Оттуда они симлинками добавляются по уровням запуска. Это тебе позволяет легко у удобно контролировать, на каком уровне что запускается.
Тем более, имхо, намного удобнее иметь свой скрипт запуска для каждого сервиса/приложения, чем валить все в один файл и в нем копаться потом.

А что касается разницы в дистрибутивах - так у всех свои представления о том, как удобней или правильней. В Gentoo по умолчанию, к примеру, вообще нет rc-папок, а есть /etc/init.d и есть /etc/runlevels/, где по имени перечислены эти самые ранлевелы (boot, default, nonetwork, single). Так что просто разберись в устройстве _своего_ дистрибутива - и не будет проблем с нахождением конфигов.

[teddy_val]

Это все понятно Saruman.
Может найдется тот кто меня носом ткнет.

[DeADMoroZ]

настраиваешь iptables так, как тебе угодно. Даешь комманду iptables-save>/etc/iptables.conf. Создается файл конфигурации iptables который содержит все твои настройки. Потом достаточно в /etc/rc.local дописать iptables-restore /etc/iptables.conf и все сохранненные правила будут восстанавливаться при каждой загрузке.

[teddy_val]

Ладно с запуском будем считать разобрались, если нет скрипта на запуск iptables пользуем cron или rc.local и пишем iptables-restore файл_с_правилом.
Теперь осталось разобраться с портами и как как зоворачивать трафик приходящий на один порт на определенный ip-адрес и порт?
И нужно ли "заворачивать " трафик на squid разве он не ждет соединений на (допустим) 3128 порту?
Ну и вирус все таки какой точно будет проверять "на лету" весь кеш squid-а.

[DeADMoroZ]

Цитата:

И нужно ли "заворачивать " трафик на squid разве он не ждет соединений на (допустим) 3128 порту?

Сквид может рабоать в двух режимах - обычном и прозрачном. Когда он работает в прозрачном режиме, весь http-трафик можно заворачивать на него (к примеру iptables -t nat -I PREROUTING -p TCP --dport 80 -j REDIRECT 3128) и тогда юзера даже не будут знать, что ходят через проксик. В обычном режиме он ждет соединения по указанному порту и работает как обычный проксик. По умалочнанию стоит обычный.

[teddy_val]

Цитата:

DeADMoroZ:
и тогда юзера даже не будут знать, что ходят через проксик

Здесь можно поподробней? Какие настройки нужно будет сделать у юзера? Указать шлюз?днс сервер?В прозрачном режиме вся функциональность сквида сохраняется?МОжно ли тогда пользоваться редиректором? т.к. для работы SAMS требуется редиректор.
Далее для работы прокси достаточно открыть 3128 на входе и 80 для выхода в инет, разрешить 53 для просмотра ns и может быть icmp?

[Bek]

http://www.linuxguruz.com/iptables/howto/

[DeADMoroZ]

http://squid.opennet.ru/
Очень хорошая дока. Сам когда-то по ней настраивал.

[teddy_val]

Цитата:

DeADMoroZ:
Очень хорошая дока

Полностью согласен перевел в печатный вариант. Написано что и как , только на вопрос зачем не найдешь ответ.

[DeADMoroZ]

Цитата:

Сообщение от teddy_val

Полностью согласен перевел в печатный вариант. Написано что и как , только на вопрос зачем не найдешь ответ.

Ну если не знаешь зачем, тогда и делать что-то смысла нет

[teddy_val]

Факир был пьян и фокус не удался.