Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest czwartek, 28 marca 2024, 16:38

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 33 ]  Przejdź na stronę 1, 2  Następna
Autor Wiadomość
Post: sobota, 2 stycznia 2010, 19:31 
Offline
Użytkownik

Rejestracja: niedziela, 23 września 2007, 14:35
Posty: 477
Witam.

Ponieważ chciałbym wreszcie wziąć się za testowanie oprogramowania typu Dansguardian, SquidGuard, a jednocześnie chciałbym uniknąć grzebania w samym serwerze NND (grzebanie w NND oznacza często czasowy brak dostępu do netu w całym budynku), wpadłem na pomysł, aby do takich celów wykorzystać oddzielną maszynę, która działałaby i tak tylko na czas użytkowania pracowni komputerowej.

Maszyna (np kolejne NND) z Dansguardianem (lub SquidGuard) byłaby umieszczona pomiędzy głównym serwerem NND a switchem pracowni komputerowej.

Chciałbym, aby główny serwer robił to co do tej pory (przydzielanie IP, podział pasma). Pytanie tylko, czy takie coś jest możliwe do uruchomienia? (Dansguardian umiejscowiony między NND a switchem pracowni robi swoje, a poza tym sieć działała po staremu).

Na maszynie z Dansguardianem chciałbym przy okazji postawić Sambę w roli kontrolera domeny Windows - włożyć tam duży dysk na pliki kont użytkowników Windowsowych (też nie chciałbym cały ten potencjalny "bałagan" wynieść poza serwer główny).


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 2 stycznia 2010, 19:52 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1203
Lokalizacja: Bieruń
:-D moze glupie pytanie, ale w czym problem? skoro masz jedno NND to pewnie i drugie uruchomisz, i bez problemu wepniesz do sieci.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 2 stycznia 2010, 20:01 
Offline
Użytkownik

Rejestracja: niedziela, 23 września 2007, 14:35
Posty: 477
rikardo7 pisze:
:-D moze glupie pytanie, ale w czym problem?

Z wszelkiego rodzaju proxo-podobnymi nie mam żadnego prawie doświadcznia. Problem w "transparentności" - czy może tak być, że siecią (przydzielanie IP, pasmo) dalej steruje serwer główny, a od strony hostów na pracowni komputerowej patrząc ruch "przechwytywany jest" przez maszynę z Dansguardianem, czyli wszelkie pakiety domyślnie trafiają na Dansguardiana (realizacja w taki sposób, aby Dansguardiana, od strony pracowni komputerowej nie dało się ominąć).


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 2 stycznia 2010, 20:11 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1203
Lokalizacja: Bieruń
Jak masz DSL-a to podlacz swicha miedzy modem TP a router i mozesz spokojnie konfigurowac kolejne NND a przekierownie na inny server ze squidem, ale zanim zrobisz przekierowanie zawsze mozesz potestowac ustawiajac proxy w przegladarce.
EDIT
to powinno ci pomuc z przekierowaniem http://forum.freesco.pl/viewtopic.php?t ... nie+squida


Ostatnio zmieniony sobota, 2 stycznia 2010, 20:19 przez rikardo7, łącznie zmieniany 1 raz

Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 2 stycznia 2010, 20:19 
Offline
Użytkownik

Rejestracja: niedziela, 23 września 2007, 14:35
Posty: 477
rikardo7 pisze:
Jak masz DSL-a to podlacz swicha miedzy modem TP a router i mozesz spokojnie konfigurowac kolejne NND

Chcę tego uniknąć, choćby z powodu podziału pasma dla łącza. Rolę taką pełni główny serwer NND (niceshaper). Poza tym chcę, aby DHCP przydzielał IP dla całej sieci, również komputerom za Dansguardianem.

rikardo7 pisze:
przekierowanie zawsze mozesz potestowac ustawiajac proxy w przegladarce.

To furtka do prostego obejścia wszystkich squido-podobnych. Wolałbym, aby użytkownik nie miał wyboru, w jaki sposób się łączyć (bezpośrednio czy przez proxy) i cały ruch kierowany był na Dansguardiana.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 2 stycznia 2010, 20:32 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1203
Lokalizacja: Bieruń
jak zrobisz przekierowanie to wpisy w przegladarce nie beda mialy znaczenia, zle troche sie wyrazilem, chodzilo mi o spraqwdzenie dzialania squida na innej maszynie.
Cytuj:
Chcę tego uniknąć, choćby z powodu podziału pasma dla łącza. Rolę taką pełni główny serwer NND (niceshaper). Poza tym chcę, aby DHCP przydzielał IP dla całej sieci, również komputerom za Dansguardianem.

no to muszisz dodac ten serwer do sieci jak inny komp i zrobic przekierowanie na squida na innym kompie powinno bez problemu dzialac.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 2 stycznia 2010, 21:23 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
W sumie tak sobie czytam i podziwiam. Podziwiam konsekwentną umiejętność wyważania otwartych drzwi. Od jakiegoś czasu jest EOS, który spełnia wszystkie założenia - mało tego - w zasadzie jest już skonfigurowany.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 3 stycznia 2010, 01:36 
Offline
Użytkownik

Rejestracja: niedziela, 23 września 2007, 14:35
Posty: 477
Maciek pisze:
W sumie tak sobie czytam i podziwiam. Podziwiam konsekwentną umiejętność wyważania otwartych drzwi. Od jakiegoś czasu jest EOS, który spełnia wszystkie założenia - mało tego - w zasadzie jest już skonfigurowany.

Przymierzam się do przesiadki na niego, jednak będę musiał załatwić mocniejszą maszynę. Póki co spróbuję jeszcze pobawić się w ten sposób.

PS (tak przy okazji, apropos skonfigurowania). Jak wygląda w EOS kwestia Samby jako kontrolera domeny Windows? (czy jest wstępnie przygotowany do tej roli?) Oprogramowanie typu Dansguardian w standardzie? Serwer poczty? Mechanizmy antyspamowe, kwestia ochrony stałego IP przed trafieniem na black-listy typu RBL?

Może faktycznie zamiast stawiać kolejnego NND zabawę z Dansguardianem zacznę na EOSie?


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 3 stycznia 2010, 12:56 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Cytuj:
Jak wygląda w EOS kwestia Samby jako kontrolera domeny Windows?

EOS dorobił się kilku postów na forum i ma stronę eos.freesco.pl.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 3 stycznia 2010, 14:12 
Offline
Użytkownik

Rejestracja: niedziela, 23 września 2007, 14:35
Posty: 477
Tak jeszcze wracając do tematu.
rikardo7 pisze:
no to muszisz dodac ten serwer do sieci jak inny komp i zrobic przekierowanie na squida na innym kompie powinno bez problemu dzialac.

Chyba nie do końca zrozumiałem.

host > maszyna proxy > NND > DSL

Jeśli na NND ustawię przekierowanie portu 80 na maszynę proxy, wówczas cały budynek będzie kierowany przez proxy, podczas gdy ja chciałbym, aby na proxy kierowana była tylko pracownia komputerowa.

Zastanawiam się, czy to co chcę zrobić jest w ogóle realne (pasmem i przydzielanymi ipkami ma zarządzać cały czas NND).


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 3 stycznia 2010, 17:45 
Offline
MODERATOR

Rejestracja: środa, 24 października 2007, 15:30
Posty: 329
Lokalizacja: Sadowne
: [/] [] ()
 
cd /etc/iptables/
for ip_squid in `ls /etc/iptables/ip_squid`; do
iptables -t nat -A PREROUTING -s $ip_squid -p tcp --dport 80 -j REDIRECT --to-port 8080
done
 


Wrzucasz do to firewalla. Tworzysz plik /etc/iptables/ip_squid. Wrzucasz tam Ip.

_________________
Polska Grupa Freesco
medhost - Kompleksowe rozwiązania informatyczne
Przychodnia Optima Koszarska Rudnicka


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 16 marca 2010, 01:30 
Offline
Użytkownik

Rejestracja: niedziela, 23 września 2007, 14:35
Posty: 477
Saturas pisze:
: [/] [] ()
 
cd /etc/iptables/
for ip_squid in `ls /etc/iptables/ip_squid`; do
iptables -t nat -A PREROUTING -s $ip_squid -p tcp --dport 80 -j REDIRECT --to-port 8080
done
 


Wrzucasz do to firewalla. Tworzysz plik /etc/iptables/ip_squid. Wrzucasz tam Ip.

Męczę się, na różne sposoby, w tym używając konfiguratora nndconf, ale coś mi to nie chce działać.

Dla przypomnienia:

Główny NND-router w sieci: 192.168.0.1 (firewall ze strony http://listonosz.com.pl/)
Maszyna pełniąca funkcję proxy+squid NND squid: 192.168.0.2 (firewall wyłączony)

Dla dowolnego komputera w sieci, w przeglądarce ustawiając proxy 192.168.0.2 i port 8080 Dansguardian działa wyśmienicie. Chcę jednak aby ruch WWW z dowolnego komputera w sieci (później tylko z wybranych IP) zawsze szedł przez 192.168.0.2 bez konieczności konfigurowania proxy.

Zwątpiłem już całkiem więc zapytam jak kompletny laik (być może ciągle popełniam jakiś głupi błąd):

Co powinienem wykonać na maszynie 192.168.0.1 (router NND z firewallem ze strony http://listonosz.com.pl/) aby strony WWW szły przez hosta 192.168.0.2 (były filtrowane przez działającego na nim Dansguardiana)?

Sory za najprawdopodobniej kolejne głupie pytanie. Ale jak ktoś miałby ochotę pomóc, będę bardzo wdzięczny.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 16 marca 2010, 02:03 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Zwykła reguła transparent proxy wygląda tak:
$i -t nat -A PREROUTING -i $INTIF -p tcp --dport 80 -j REDIRECT --to-port 8080
Zmiana ip wymagałaby jeszcze jednego argumentu:
$i -t nat -A PREROUTING -i $INTIF -p tcp --dport 80 -j REDIRECT -d 192.168.1.5 --to-port 8080
Tak sobie teoretycznie to napisałem. Dawno nie komponowałem regułek, więc nie jestem pewien czy nie poplątałem.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 16 marca 2010, 02:57 
Offline
Użytkownik

Rejestracja: niedziela, 23 września 2007, 14:35
Posty: 477
Generalnie to:

: [/] [] ()
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT -d 192.168.0.2 --to-port 8080

wklepane do konsoli przy uprawnieniach roota powinno od razu włączyć przekierowanie odwołań do portu 80 na maszynę 192.168.0.2. Dobrze myślę? Bo jeśli tak, to z jakiegoś powodu u mnie to przekierowania nie włącza.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 16 marca 2010, 12:39 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Bo ze łba pisałem w środku nocy i widać głupoty popisałem. Problem jest w tym, że używając redirect nie możemy użyć opcji IP:PORT. Ale opcja -d IP nie działa tak jak chciałem, więc przepraszam za wprowadzenie w błąd.
Nie mogę jakoś w necie znaleźć odpowiednich regułek. Nie da się tu zdaje się użyć jednej prostej reguły z opcją redirect. Żeby taki ruch przekierować jedną regułą to tylko jescze mi takie coś przychodzi do głowy:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.0.2:8080
Jeśli to nie zadziała, to musisz w routerze zrobić samo przekierowanie na 192.168.0.2 a na docelowej maszynie przekierowanie portów.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 16 marca 2010, 16:01 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1203
Lokalizacja: Bieruń
Powinien wystarczyc tylko kawalek z porady saturasa a mianowicie :
iptables -t nat -A PREROUTING -s 192.168.0.2 -p tcp --dport 80 -j REDIRECT --to-port 8080
kiedys takie przekierowanie dzialalo u mnie.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 16 marca 2010, 17:27 
Offline
Użytkownik

Rejestracja: niedziela, 23 września 2007, 14:35
Posty: 477
Hmm.

Po wprowadzeniu na routerze: iptables -t nat -A PREROUTING -s 192.168.0.2 -p tcp --dport 80 -j REDIRECT --to-port 8080

Przeglądarki ustawione bez proxy działają bez zmian, natomiast ustawione ręcznie na proxy od tego momentu wyświetlają:

: [/] [] ()
BŁĄD
Żądany URL nie może zostać sprowadzony

Podczas sprowadzania URL-a: http://books.google.pl/bkshp?

wystąpił następujący błąd:

    * Nie można zrealizować połączenia

System zwrócił następującą wartość:

    (111) Connection refused



Natomiast wprowadzenie iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.0.2:8080 (po uprzednim reebocie) w ogóle blokuje dostęp do netu (bezpośrednio jak i przez ręcznie ustawione proxy).

Pozostaje chyba trzecia opcja jaką sugeruje Maciek.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 16 marca 2010, 17:58 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Taka reguła:
: [/] [] ()
iptables -t nat -A PREROUTING -s 192.168.0.2 -p tcp --dport 80 -j REDIRECT --to-port 8080

mówi, że każdy pakiet z komputera 192.168.0.2 na port docelowy 80 ma zostać przekierowany na port 8080. Zatem ta reguła pasować na pewno nie może.
Żeby napisać regułę od zera to muszę mieć dostęp do takiej sieci. Bo jak widać w teorii o wszystko można sobie napisać. :)

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 16 marca 2010, 20:19 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1203
Lokalizacja: Bieruń
z tego:
Cytuj:
host > maszyna proxy > NND > DSL

ja wnioskuje, ze chcesz z NND podlaczyc proxy a z proxy dopiero siec, a moze sie myle? ja bym dal tak:

http://forum.freesco.pl/viewtopic.php?t ... quid+sieci

i zastosuj rade zciech-a.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 16 marca 2010, 21:02 
Offline
MODERATOR

Rejestracja: środa, 24 października 2007, 15:30
Posty: 329
Lokalizacja: Sadowne
mes mariusz pisze:
Hmm.

Po wprowadzeniu na routerze: iptables -t nat -A PREROUTING -s 192.168.0.2 -p tcp --dport 80 -j REDIRECT --to-port 8080

Przeglądarki ustawione bez proxy działają bez zmian, natomiast ustawione ręcznie na proxy od tego momentu wyświetlają:

: [/] [] ()
BŁĄD
Żądany URL nie może zostać sprowadzony

Podczas sprowadzania URL-a: http://books.google.pl/bkshp?

wystąpił następujący błąd:

    * Nie można zrealizować połączenia

System zwrócił następującą wartość:

    (111) Connection refused



Natomiast wprowadzenie iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.0.2:8080 (po uprzednim reebocie) w ogóle blokuje dostęp do netu (bezpośrednio jak i przez ręcznie ustawione proxy).

Pozostaje chyba trzecia opcja jaką sugeruje Maciek.


Przekierowując ruch z całej sieci(eth1) robi się koło. Klient chce ściągnąć stronę, router przekierowuje na proxy, proxy chce do netu, więc odwołuje się znowu do serwera, który znowu przekierowuje go do siebie samego.

klient -> router -> serwer proxy -> router -> serwer proxy -> ... i tak dalej

Chyba dobrze myślę? :)

Odnośnie (111) Connection refused - sprawdź ACL w squidzie.

Idąc dalej... wpisujesz ip na ślepo? czyli to co ktoś poda? dostosowujesz to do siebie?

_________________
Polska Grupa Freesco
medhost - Kompleksowe rozwiązania informatyczne
Przychodnia Optima Koszarska Rudnicka


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 33 ]  Przejdź na stronę 1, 2  Następna

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 9 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl