Romanian PC Forum Sabitech Media - web design, gazduire web, promovare, seo, logo design si branding


Go Back   Romanian PC Forum > Software > Unix - Linux - BSD > Ubuntu

Ubuntu Sectiune dedicata distributiei linux Ubuntu


Reply
 
Thread Tools
Old 27.02.2013, 18:25   #1
mileper2nd
RPC Member
 
Join Date: 11.12.2008
Location: CJ
Age: 30
Posts: 83
Thanks: 22
Thanked 18 Times in 10 Posts
Lightbulb ubuntu server & squid proxy

Caut un pic de ajutor de la cei in domeniu, daca au ceva timp si pentru problema mea.

Intr-o retea locala, cu iesire in internet cu ajutorul unui server, as vrea sa limitez accesul la internet pe baza MAC-ului si eventual site-urile vizitate sa fie salvate intr-un log. Momentan pe server este instalat smoothwall, care nu indeplineste conditiile de mai sus.

Actual, pe un desktop independent, am instalat Ubuntu Server impreuna cu Squid Proxy care ofera facilitatile de mai sus, dar cum sunt newbie in realitatea virtuala Linux/Squid Proxy nu reusesc sa simulez macar ceea ce am nevoie sa indeplinesc.
Desktop-ul are 2 NIC-uri, una conectata la un wall jack, cealalalta conectata la un desktop client.

Intrebarea mea pentru cei care au experienta cu Squid Proxy, o recomandare GUI pentru Squid(am incercat webmin, dar google imi spune ca nu stie filtrare MAC) sau un mini tutorial cu liniile de comanda pentru Squid pentru filtrarea MAC (am incercat
Quote:
acl macf1 arp mac-address
acl macf2 arp 00:11:22:33:44:55
http_access allow macf1
http_access allow macf2
http_access deny all
fara succes), eventual si realizare log ()
__________________
Imi place Romanian PC Forum - www.rpc-forum.ro!
mileper2nd is offline   Reply With Quote
Old 02.03.2013, 21:06   #2
bogdan
RPC Super Moderator
 
bogdan's Avatar
 
Join Date: 26.06.2010
Posts: 5,341
Thanks: 5,847
Thanked 7,846 Times in 3,990 Posts
Default Re: ubuntu server & squid proxy

Din pacate GUI pentru configurare squid nu stiu, n-am folosit niciodata decat optiunile din squid.conf.
Filtrarea dupa MAC n-as face-o din squid, ci din iptables. Ar trebui sa folosesti tot iptables pentru redirectionarea traficului pe portul 80 catre portul de squid (3128 sau ce port definesti tu) pentru ca altfel orice user de pe un PC din LAN va putea configura browserul pe "No proxy" si astfel va iesi direct pe internet fara a mai trece prin proxy-ul tau.
http://linuxconfig.net/manual-howto/...-iptables.html

Nu stiu cat e de etic sa supraveghezi prin proxy URL-urile accesate de catre useri... Eu nu am implementat asa ceva si nici n-am de gand. Poti in schimb defini o lista de URL-uri permise si sa le "tai" pe celelalte; poti de asemenea sa definesti o lista de URL-uri interzise (se pot defini siruri de caractere, care daca sunt continute in URL sa nu se permita accesarea - ceva gen "porn", "sex", etc ...).

Pentru log masiv din squid, varianta potrivita n-ar fi logging in fisiere ci intr-o baza de date (MySQL).
http://sourceforge.net/news/?group_id=124519
http://linux.softpedia.com/get/Syste...ort-7385.shtml
__________________
CHIAR Imi place Romanian PC Forum - www.rpc-forum.ro!
bogdan is offline   Reply With Quote
The Following 2 Users Say Thank You to bogdan For This Useful Post:
AnbuBlack (02.03.2013), mileper2nd (03.03.2013)
Old 03.03.2013, 13:18   #3
mileper2nd
RPC Member
 
Join Date: 11.12.2008
Location: CJ
Age: 30
Posts: 83
Thanks: 22
Thanked 18 Times in 10 Posts
Default Re: ubuntu server & squid proxy

multumesc, bogdan. Am testat functionalitatea squid pe 1 client, iar filtrarea MAC functioneaza editand fisierul squid.conf,dar o sa testez si varianta cu iptables. Revin cu detalii.
__________________
Imi place Romanian PC Forum - www.rpc-forum.ro!
mileper2nd is offline   Reply With Quote
Old 03.03.2013, 23:35   #4
bogdan
RPC Super Moderator
 
bogdan's Avatar
 
Join Date: 26.06.2010
Posts: 5,341
Thanks: 5,847
Thanked 7,846 Times in 3,990 Posts
Default Re: ubuntu server & squid proxy

Cu mare placere !
Ai insa grija ca daca nu filtrezi traficul cu iptables ci doar cu ACL-urile de MAC-uri permise din squid, oricine din LAN va iesi pe net configurand browser-ul cu "No proxy". Fa o incercare ...
__________________
CHIAR Imi place Romanian PC Forum - www.rpc-forum.ro!
bogdan is offline   Reply With Quote
Old 04.03.2013, 10:47   #5
sdw
RPC Gold Member
 
Join Date: 02.03.2011
Age: 42
Posts: 978
Thanks: 20
Thanked 1,087 Times in 581 Posts
Default Re: ubuntu server & squid proxy

Asta nu e asa mare problema, se poate bloca din iptables portul 80/443 pentru ip-urile din LAN. La proxy transparent e aiurea ca nu prea merge https.
__________________
E bine să ai mintea deschisă, dar nu aşa deschisă īncāt să-ţi cadă creierul.
sdw is offline   Reply With Quote
The Following User Says Thank You to sdw For This Useful Post:
bogdan (05.03.2013)
Old 05.03.2013, 08:18   #6
mileper2nd
RPC Member
 
Join Date: 11.12.2008
Location: CJ
Age: 30
Posts: 83
Thanks: 22
Thanked 18 Times in 10 Posts
Lightbulb Re: ubuntu server & squid proxy

Quote:
Originally Posted by bogdan View Post
Cu mare placere !
Ai insa grija ca daca nu filtrezi traficul cu iptables ci doar cu ACL-urile de MAC-uri permise din squid, oricine din LAN va iesi pe net configurand browser-ul cu "No proxy". Fa o incercare ...
Am incercat doar cu ACL si configurand "No proxy" => Access denied . iptables inca nu l-am deslusit cum se foloseste, de fapt chiar toata treaba cu Linux&Squid. Ai putea cumva sa imi recomanzi un tutorial cap coada(gen instalezi ubuntu server, instalezi squid, instalezi iptables) pe care sa il urmez, Bogdan? Cu ajutorul documentatiei de pe web am reusit sa configurez proxy-ul squid si blocarea mac cu ACL, in rest cancan.

Trebuie sa indeplinesc 3 cerinte:
- limitare access pe baza IP/MAC (doar 15-20 de IP-uri/MAC-uri permise)
---pornind de la hint-ul tau probabil trebuie sa folosesc iptables
- filtrare trafic(blocare access anumite site-uri facebook etc.)
---ACL squid.conf
- limitare latime banda per IP
---probabil se poate face tot cu iptables !???
__________________
Imi place Romanian PC Forum - www.rpc-forum.ro!
mileper2nd is offline   Reply With Quote
Old 05.03.2013, 13:11   #7
bogdan
RPC Super Moderator
 
bogdan's Avatar
 
Join Date: 26.06.2010
Posts: 5,341
Thanks: 5,847
Thanked 7,846 Times in 3,990 Posts
Default Re: ubuntu server & squid proxy

Tutoral cap-coada de la instalarea OS-ului pana la configurarile de finete nu cred ca se poate gasi usor. Din pacate sunt multe asemenea situatii particulare, in care va trebui sa combini informatii din mai multe surse.

Filtrarea accesului pe baza de MAC as face-o astfel: din iptables si eventual din serviciul DHCP, care sa dea adrese IP private in functie de MAC (asta cu DHCP e o varianta care poate sa-ti simplifice anumite configurari).
sdw are dreptate, pentru proxy transparent e nasoala treaba cu accesul https; daca au nevoie clientii din LAN sa acceseze https poti face asa: redirectionezi din iptables traficul pe 80 prin proxy, pe cand cel pe 443 il lasi sa treaca direct. Si aici ar mai exista varianta auxiliara de a scrie un fisier proxy.pac pe care sa-l "servesti" clientilor din LAN in care sa pui acces prin proxy pentru portul 80 si direct pentru 443. In fine, niciuna nu e varianta absoluta; depinde de ce anume trebuie sa poata accesa clientii din LAN si ce anume nu li se permite.

Blocarea anumitor site-uri (fb, etc ...) o faci obligandu-i sa treaca prin proxy cu redirectionarea din iptables a portului 80 spre portul de squid (3128 by default; poti insa sa definesti tu un alt port). Din configurarea squid "tai" site-urile ce contin in URL anumite string-uri (facebook, twitter, etc ...).

Limitarea latimii de banda (traffic shaping) o faci cu traffic control (tc) folosind hierarchy token bucket (htb). Asta as zice ca e varianta cea mai potrivita si robusta.

Toate utilitarele de mai sus sunt continute in (cam toate) distributiile linux actuale, asadar nu va fi nevoie sa instalezi separat nimic altceva.
Inconvenientele insa sunt de alta natura: ceea ce ai nevoie sa faci este o treaba de networking destul de avansata, asadar iti va trebui ceva timp sa te documentezi destul de serios pentru a putea implementa corect ceea ce iti propui. Important e sa intelegi ceea ce ai facut la fiecare nivel de configurare, nu doar de a rula un script "black box" pe care sa nu fii capabil sa-l adaptezi ulterior in functie de evolutia traficului / modificari de configuratie LAN, etc ...
De asemenea, n-as folosi Ubuntu pentru asa ceva ci o distributie mai robusta, destinata unui mediu enterprise. As recomanda CentOS (fiindca il folosesc si eu - glumesc; la fel de bine cred ca poti folosi ceva gen openSUSE, sau, si mai si, daca e sa iei taurul de coarne, un *BSD ). Personal n-as folosi Ubuntu pe un server deoarece nu stiu cat de bine e optimizat pentru "tavaleala" dintr-asta; plus ca de updates beneficiaza un timp mult mai scurt decat o distributie enterprise (CentOS are cel putin 7 ani de updates; pentru CentOS 6 updates vor fi cel putin pana in 2020).

OK, hai sa incepem cu inceputul: iptables. Uite aici tutorialul lui Oskar Andreasson pentru iptables:
http://www.frozentux.net/iptables-tu...-tutorial.html
E excelent de bine explicat; dupa parerea mea e cel mai bine scris tutorial de iptables; dupa el am invatat si eu. Printeaza-l, citeste-l si tine-l intr-un dosar mereu la indemana. Nu te speria ca e mare; nu trebuie sa retii toate optiunile posibile; important e sa stii sa cauti in el cand ai nevoie.

Un tutorial bun de traffic control gasesti aici:
http://linux-ip.net/articles/Traffic-Control-HOWTO/
N-am avut nevoie sa fac asemenea "acrobatii", asadar recunosc ca am aruncat un ochi pe el destul de fugitiv, mai mult pentru "cultura" mea Mi-a placut insa faptul ca e scris foarte didactic si bine explicat.

Incearca sa citesti documentele de mai sus, incearca eventual si un install de CentOS (tutorial aici) si, unde intampini greutati, nu ezita sa intrebi. Succes !
__________________
CHIAR Imi place Romanian PC Forum - www.rpc-forum.ro!

Last edited by bogdan; 05.03.2013 at 13:19.
bogdan is offline   Reply With Quote
The Following User Says Thank You to bogdan For This Useful Post:
mileper2nd (05.03.2013)
Old 05.03.2013, 17:52   #8
sdw
RPC Gold Member
 
Join Date: 02.03.2011
Age: 42
Posts: 978
Thanks: 20
Thanked 1,087 Times in 581 Posts
Default Re: ubuntu server & squid proxy

Daca nu esti in tema si nu ai chef sa-ti bati capul cu invatatul Linux-ului iti recomand sa iei un router Mikrotik, gen RB433. Asta stie sa faca de toate, direct din maus.
__________________
E bine să ai mintea deschisă, dar nu aşa deschisă īncāt să-ţi cadă creierul.
sdw is offline   Reply With Quote
The Following User Says Thank You to sdw For This Useful Post:
bogdan (05.03.2013)
Old 05.03.2013, 19:18   #9
mileper2nd
RPC Member
 
Join Date: 11.12.2008
Location: CJ
Age: 30
Posts: 83
Thanks: 22
Thanked 18 Times in 10 Posts
Default Re: ubuntu server & squid proxy

Quote:
Originally Posted by sdw View Post
un router Mikrotik
Dap, stie, din pacate, chiar daca l-as cumpara din surse proprii, nu as obtine acordul sa il instalez pe retea. Oricum, imi doresc sa fiu in tema
__________________
Imi place Romanian PC Forum - www.rpc-forum.ro!
mileper2nd is offline   Reply With Quote
Reply

Bookmarks


Currently Active Users Viewing This Thread: 1 (0 members and 1 guests)
 
Thread Tools

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off

Forum Jump

Similar Threads
Thread Thread Starter Forum Replies Last Post
Ubuntu 12.04 LTS Alin99 Ubuntu 9 29.03.2012 10:24
Modificari ubuntu 11 HELP!.. flashboy Ubuntu 10 26.12.2011 23:02
Tutorial instalare ubuntu dual boot-windos-ubuntu Alin99 Ubuntu 7 23.04.2011 12:05
Ubuntu AaA Ubuntu 12 27.09.2010 21:57
Mass Proxy Alynnn Offtopic 0 08.09.2010 15:17

 
Advertisement




camere foto digitale

aparate foto digitale


Partner Links
Sabitech Media - dezvoltare web, servicii media

RSP Forum - sateliti.info
Comunitate Satelitara






All times are GMT +2. The time now is 01:43.


Powered by vBulletin® - © Jelsoft Enterprises Ltd.
~ Copyright © 2007-2015 Romanian PC Forum ~
Toate drepturile rezervate

Romanian Sattelites Provider Wi-Fi Magazin