nixp.ru v3.0

26 мая 2017,
пятница,
08:42:02 MSK

DevOps с компанией «Флант»
anonymous написал 2 марта 2005 года в 21:38 (251 просмотр) Ведет себя неопределенно; открыл 1814 темы в форуме, оставил 5575 комментариев на сайте.

Доброго времени суток.

Читая форум nixp.ru, задавая вопросы, я сделал вывод — «многие вопросы поднимаются многократно, но не все получают однозначные ответы в полной мере”.

Ведь правда, не очень хочется все повторно и повторно отвечать на аналогичные вопросы.

Хочу предложить осветить наиболее важные и востребованные темы и предложить разнообразные варианты их решений, дабы дать возможность выбирать из нескольких решений наиболее подходящее.

Хотелось бы услышать ваше мнение и ваш опыт по настройке коллективного доступа в Интернет, выражаясь другим языком — «настройка Интернет шлюза».

Существует множество вариантов:

1. Настройка маскарадинга с помощью iptables

2. Настройка доступа через VPN, с использованием RADIUS и др.

3. Настройка доступа через прокси-сервер

4 …

Хочется услышать ваш вариант, как это делали Вы, ваше мнение о недостатках и преимуществах этих технологий.

П.С.

Я встречал разнообразные варианты настройки, хотя сам использую традиционный iptables.

fly4life
Guest
Читая форум nixp.ru, задавая вопросы, я сделал вывод — «многие вопросы поднимаются многократно, но не все получают однозначные ответы в полной мере”.

Форум является местом, где можно получить совет по интересующему тебя вопросу или получить подсказку направления, в котором искать решение своих проблем.

Как правило, человек сначала пробует что-то сделать, а потом уже, если что-то не получается, идёт спрашивать на форуме. Поэтому по одной и той же теме у людей возникают разные вопросы. Отсюда и неоднозначность ответов.

А инструкции, типа настройки интернет шлюза «с нуля» — это уже техподдержка, а значит и расценки совсем другие ;). Или же приходится очень надеяться на настроение человека, который возьмётся расписать всё с нуля, а потом ещё и выслушать претензии по поводу того, что что-то работает не совсем так, как этого хотел вопрошавший.

Guest
Ведь правда, не очень хочется все повторно и повторно отвечать на аналогичные вопросы.

Не хочется, конечно. Поэтому повторяющиеся темы, как правило, удаляются. Если же не удаляются, то вместо ответа там размещается ссылка на тему, в которой нужный вопрос уже обсуждался ;). Всё до безобразия просто.

Guest
Существует множество вариантов:

1. Настройка маскарадинга с помощью iptables

2. Настройка доступа через VPN, с использованием RADIUS и др.

3. Настройка доступа через прокси-сервер

4 …

Причём все эти способы можно вполне совмещать между собой.

Guest
Хочется услышать ваш вариант, как это делали Вы, ваше мнение о недостатках и преимуществах этих технологий.

Пожалуйста.

На домашнем маршрутизаторе «коллективный доступ во внешнюю сеть» осущесвляется NAT’ом средствами iptables. Настраивалось всё тупо и цинично по iptables-tutorial (а точнее — для обеспечения НАТа нужно, фактически, одно правило ;)). Плюс, некоторые телодвижения с обеспечением соединения к удалённым ФТП серверам, работающим в активном режиме, а также с обеспечением DCC в местном IRC.

На рабочем маршрутизаторе сначала тоже был НАТ средствами iptables (аналогичный домашнему). Но в последствии понадобилось урезать клиентам сети скорость для входящий соединений <font size=«-2»>(а-то что-то провайдер баловать начал широким каналом, и пользователи неперменули этим воспользоваться ;), сожрав в один прекрасный месяц кучу трафика)</font>. Немного почесав репу и посоветовавшись с окружающими, решил ставить прокси сервер squid и настраивать в нём delay pools. А чтобы у каждого клиента сети не прописывать вручнуюю прокси сервер в настройках браузера и прочих программ, — прокси сделал прозрачным (средствами всё того же iptables, тупо и цинично содрав настройки с Transparent proxy HOWTO).

Genie
а потом ещё и выслушать претензии по поводу того, что что-то работает не совсем так, как этого хотел вопрошавший.

которые, как правило, вытекают из неумения правильно и качественно задать вопрос.

Существует множество вариантов:

1. Настройка маскарадинга с помощью iptables

2. Настройка доступа через VPN, с использованием RADIUS и др.

3. Настройка доступа через прокси-сервер

4 …

…. а так же существует специальный раздел на opennet.ru, посвящённый всему этому.

возникает естественный вопрос: «А зачем дублировать всё это?»

или же вопрос ставится не в том, чтобы описать с нуля постедовательность настройки, а просто указать перечень ссылок, которые дают представление о предмете, дают примерные конфиги настроек?

(вот, уже даже в этом имеется неоднозначность пнонимания поставленного вопроса. проистекающая из понимания того, что давать пошаговую установку — затея, в общем-то, для человека — бессмысленная: повторив всё по шагам, как попугай/обезьянка сам он, в большинстве случаев до сути не додумается. и будут уже в дальнейшем возникать вопросы, которые бы не возникали, разобрайся настраивающий сам в этой предмтной области.)

впрочем, это не отменяет того, что если кто-то взял оттуда (или откуда-то ещё) описание, что и как делается, но при этом не понял какую-то часть, и не запрещает обсуждать возникшие вопросы на этом или каком-то другом форуме.

и никак не отменяет того, что, разбравшись с проблемой, этот «кто-то» может написать внятное описание действий по установке.

то, что таких, разобравшихся, есть какое-то немаленькое количество, а пошагового описания — днём с огнём не сыскать, о чём-то говорит… и лень тут, собственнно, если и «при чём», то только в том, что описывать по шагам, с объяснениями, что к чему — это РАБОТА. это — довольно тяжёлая, нудная, продолжительная работа по сбору, упорядочиванию, переработке и изложению информации. Большого объёма, кстати, так как одно только простое описание iptables (iptables-tutorial, ссылка на который есть в разделе «Безопасность» этого форума) чего стоит.

если сюда ещё привлечь vpn, то… вот у меня от этой мысли возник вопрос: «А будет ли кто-нибудь читать получившийся документ?»

то-то же.

поэтому, никто и не берётся делать толковое описание. отталкивает как раз понимание объёма работы, за которую, кроме морального удовлетворения от того, что «я это СДЕЛАЛ», ничего не получит, понимание того, что читать это всё равно никого не хватит,…

в общем, идея, как всегда, хороша. ещё б кто-нибудь взялся. к примеру. Вы, анонимный наш Guest. а?

Хочется услышать ваш вариант, как это делали Вы, ваше мнение о недостатках и преимуществах этих технологий.

ну, как, помнится, делал я… поспрошал знакомых, кто хоть что-то понимает. (а я, надо сказать, в то время о линухе имел ооооочень маленькое представление). ткнули носом в описание iptables (как раз в тот, что на opennet.ru находится), дали пример, который используется на шлюзе. «Разбирайся, что не поймёшь — спрашивай».

Поначалу думал было обижаться, вот типа мол, гордые, объяснить по-человечески не хотят… Через пару часов проникся, что столько объяснять — это… ммм.. это ещё надо заслужить, такое внимание человека, на котором лежит dns+mail одного из городских провайдеров.

Внимания, правда, всё равно оторвал много :)

попутных вопросов (по сути, глупых, но тогда совершенно для меня не укладывавшихся в понимание работы как iptables, так и всего остального, что требовалось настроить — web, mail, dns,…) — было очень много.

это что касалось настройки шлюза на работе.

А потом.. ну, когда приспичило настроить оное дома, просто спросил гугль://iptables+nat+MASQUERADE+filter+FORWARD и подыскивал подходящие настройки в инете. (собственные правила почему-то не давали пользоваться активным режимом ftp). нашёл рабочий конфиг. да вот только от моего он по сути-то не отличался. задумался… ;) и полез опять к гуглю, с другим, совершенно чётким вопросом. :)

Master
Genie
А потом.. ну, когда приспичило настроить оное дома, просто спросил гугль://iptables+nat+MASQUERADE+filter+FORWARD и подыскивал подходящие настройки в инете. (собственные правила почему-то не давали пользоваться активным режимом ftp). нашёл рабочий конфиг. да вот только от моего он по сути-то не отличался. задумался… ;) и полез опять к гуглю, с другим, совершенно чётким вопросом. :)

iptables правила для активного режима ftp плз в студию

Genie

да давно на форуме <font color=«red»>выложен</font> <font color=«blue»>рабочий</font> <font color=«green»>конфиг</font>, с описанием необходимых модулей.

anonymous
Genie
поэтому, никто и не берётся делать толковое описание. отталкивает как раз понимание объёма работы, за которую, кроме морального удовлетворения от того, что «я это СДЕЛАЛ», ничего не получит, понимание того, что читать это всё равно никого не хватит,…

в общем, идея, как всегда, хороша. ещё б кто-нибудь взялся. к примеру. Вы, анонимный наш Guest. а?

Я согласен с тем, что это огромный объем работы.

Вопросы буду всегда и во всем.

Я вспоминаю, то время когда я только решил попробовать линукс, потом разобраться в настройках iptables, прочел iptables-tutorial.

Да все это правильно, нужно читать доки, разбираться как можно подробней, но не все так просто.

Существуют много путей решения одной и той же задачи, настройка того же шлюза может быть решена многими способами.

Добавим к этому такие необходимые вещи как статистика, ограничения, выставление лимитов на скорость и на объем (например, дневной).

Человек, который лишь знакомится с этим всем, должен получить хотя бы краткое представление, чем все эти варианты настройки и технологии отличаются друг от друга, какие недостатки и перспективы у каждой из них.

После этого будет ГОРАЗДО ЛЕГЧЕ ОПРЕДЕЛИТЬСЯ с чего начать и что изучить подробно в первую очередь, хотя изучать нужно все.

Я с линуксом не долго, мне интересно.

Я вижу разные сервера, настроенные с применением разных технологий.

Почему именно так, лучше, хуже?

Вот именно поэтому документ такого рода давал бы очень хорошее представления о вариантах и возможностях каждой технологии.

Написание данного документа.

—————————————-

Я не имею достаточного опыта для написания данного документа, поэтому и создал данную тему, дабы услышать Ваше мнение.

Да я разберусь с вариантами настройки, на это нужно время.

Нужны люди, которые имеют богатый опыт.

Возможно, мне удастся создать данный документ.

Если удастся — я обязательно его опубликую и в первую очередь на nixp.

Longobard

Не понял, а простой NAT почему не устраивает? У меня так и сделано. А в инет все ходят через проксю (редирект с 80 на 3128 порт), что дает возможно контролировать HTTP доступ. Банеры там всякие резать, трафик экономить :)

anonymous

Насколько я знаю, прокси можно контроллировать HTTP, FTP, ICQ, …

На использование прокси сервера приходится настраивать некоторые программы, например ICQ.

Есть способы, которые не используют прокси-сервера, точнее будет сказать: пользователи выбирают сами использовать или нет.

Я хочу охватить возможные и наиболее правильные варианты.

fly4life
Guest
Насколько я знаю, прокси можно контроллировать HTTP, FTP, ICQ, …

На использование прокси сервера приходится настраивать некоторые программы, например ICQ.

Я ж выше написал: «А чтобы у каждого клиента сети не прописывать вручнуюю прокси сервер в настройках браузера и прочих программ, — прокси сделал *прозрачным*»

Guest
Есть способы, которые не используют прокси-сервера, точнее будет сказать: пользователи выбирают сами использовать или нет.

Чего-то недопонимаю. А не мог бы ты разъяснить, что конкретно ты имел в виду? Неужели ситуацию типа: «А хочется мне чего-то сегодня полазить в интернете через прокси, ставлю его в настройках браузера. Не хочется через прокси — убираю"? Это бессмысленно.

anonymous

Я не это имел ввиду.

Возьми любой провайдер.

Если ты хочешь использовать прокси сервер в своих целях — пожалуйста пропиши и используй.

Не хочешь — не прописывай.

Интернет работает в обоих случаях.

При это есть возможнотсть ограничивать трафик, вести статистику и делать еще массу вещей без прокси.

Прозрачный прокси.

Ты имеешь ввиду редирект или что-то другое?

Через такой прзрачный прокси идет траффик на любой порт?

Genie
Прозрачный прокси.

может быть уже стОит начать читать упомянутые в этом обсуждении документы?

например, это:

прокси сделал прозрачным (средствами всё того же iptables, тупо и цинично содрав настройки с Transparent proxy HOWTO).
fly4life
Guest
Я не это имел ввиду.

Кстати, именно то, что я написал ;)

Guest
Возьми любой провайдер.

Если ты хочешь использовать прокси сервер в своих целях — пожалуйста пропиши и используй.

Не хочешь — не прописывай.

А что значит «в своих целях"? У тебя может быть одна цель — получить доступ в интернет. У прокси сервера есть одна замечательная особенность — кешировать трафик. Отсюда не вижу никакого смысла лезть в интернет не через прокси при наличии оного.

Guest
Интернет работает в обоих случаях.

При это есть возможнотсть ограничивать трафик, вести статистику и делать еще массу вещей без прокси.

«Ограничивать трафик», «вести статистику» и ещё «масса вещей» — это всё понятия очень растяжимые и относительные. Без прокси тоже можно ограничивать, протоколировать, вести статистику и делать ещё массу вещей. Всё упирается в конкретную задачу.

Guest
Прозрачный прокси.

Ты имеешь ввиду редирект или что-то другое?

Да, имею в виду «редирект». Т.е. со шлюза в интернет запросы на указанный(е) порт(ы) «заворачиваются» на прослушиваемый прокси сервером порт.

Guest
Через такой прзрачный прокси идет траффик на любой порт?

Порт ты можешь указать любой, но естесственно, что трафик через такой прозрачный прокси пойдёт тот, который cможет через себя пропустить проксик (например, HTTP, FTP). <font size=«-2»>Кстати, ровно также и с обычным проксированием — не весь трафик можно пускать через прокси сервер.</font>

anonymous

Вот читаю данный документ.

Настраиваем SQUID …

Настраиваем IPTABLES

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Получается переадресация пакетов с 80-го порта на 3128 порт (прокси).

ПРостая переадресация, так как я писал выше.

А что происходит с трафиком на другие порты ICQ, FTP, POP3, IMAP4, SMTP, SSH и др.

Не все же пускать через прокси.

Поправьте пожалуйста если я ошибся.

fly4life

А что такое Squid? Прочитав его описание, можно легко догадаться почему на него переадресовывается HTTP трафик.

Куда можно (и нужно ли вообще) заворачивать остальные указанные тобой протоколы, предлагаю узнать в качестве домашнего задания ;).

anonymous

> А что такое Squid? Прочитав его описание, можно легко догадаться почему на него переадресовывается HTTP трафик

Что это такое — понятно.

Я не справишиваю почему на него переадресовываеться трафик.

> Куда можно (и нужно ли вообще) заворачивать остальные указанные тобой протоколы, предлагаю узнать в качестве домашнего задания.

Сдесь были темы в которых описывалась возможность ограничение пропускной способности через прокси.

Если через прокси идет только HTTP и FTP как Вы предлагаете ограничивать трафик по остальным протоколам?

Если ты знаешь расскажи: «Куда можно (и нужно ли вообще) заворачивать остальные указанные тобой протоколы»

Причем здесь «домашнее задание», говори серьезно.

Dmitry Ivanov
Guest
> А что такое Squid? Прочитав его описание, можно легко догадаться почему на него переадресовывается HTTP трафик

Что это такое — понятно.

Я не справишиваю почему на него переадресовываеться трафик.

> Куда можно (и нужно ли вообще) заворачивать остальные указанные тобой протоколы, предлагаю узнать в качестве домашнего задания.

Сдесь были темы в которых описывалась возможность ограничение пропускной способности через прокси.

Если через прокси идет только HTTP и FTP как Вы предлагаете ограничивать трафик по остальным протоколам?

Если ты знаешь расскажи: «Куда можно (и нужно ли вообще) заворачивать остальные указанные тобой протоколы»

Причем здесь «домашнее задание», говори серьезно.

Развлекаться шейпером на интерфейсе или разными проксями.

Ситуаций много и универсального решения просто нет.