[El Scorpio]

/etc/dnsmasq.conf моего DNS-сервера

Код:

# Other options
bogus-priv
listen-address=127.0.0.1,172.25.46.127
filterwin2k
domain-needed
# DNS-сервер провайдера 1
server=212.122.1.2
# DNS-cервер провайдера 2
server=80.79.176.2
# Сервер Гугля (на всякий случай)
server=8.8.8.8
no-resolv
no-poll

Понятно, что server - это запись старшего DNS-сервера, куда будет перенаправляться запрос. Опрашиваются в порядке перечисления
listen-address - сетевые интерфейсы, которые обслуживает сервер. Обычно это лупбэк и интерфейс внутренней локальной сети


/etc/resolv.conf моего DNS-сервера

Код:

nameserver 127.0.0.1

Другие адреса DNS-серверов на самом DNS-сервере смысла писать нет


На клиентах соответственно вместо лупбэка должен быть указан IP-адрес DNS-сервера

[konstantin21]

у меня вот что получилось:

/etc/dnsmasq.conf
=================
listen-address=127.0.0.1, 192.168.103.205
cache-size=300
domain-needed # никогда не пересылать адреса без доменной части
bogus-priv # никогда не пересылать адреса из немаршрутизируемого пространства
strict-order # пересылать запросы, с первого и по порядку
no-resolv # не использовать /etc/resolv.conf
server=[ip_провайдера] # адреса серверов провайдера
server=8.8.8.8
server=8.8.4.4

/etc/resolv.conf
================
nameserver 127.0.0.1

ну и конфиг squid.conf - к сожалению забыл сохранить взять с собой, чтобы предоставить

после чего в браузере ввожу данные о прокси-сервере: 192.168.103.205:3128. все работает и все счастливы, кроме меня! там сеть на 60 компов, как то обходить их всех мне лень можно ли сделать все это дело через Iptables NAT? не могли бы вы показать, как сделать прозрачный прокси-сервер? искал решение в Сети, но у меня ничего не заработало, хотя если опять указать в браузере IP&port прокси, то все работает.

вот мой etc/network/interfaces на всякий случай
========================
# The loopback
auto lo
iface lo inet loopback

# LAN NETWORK
auto eth0
iface eth0 inet static
address 192.168.103.205
netmask 255.255.255.0
network 192.168.103.0
broadcast 192.168.103.255

# WAN NETWORK
auto eth1
iface eth1 inet static
address 90.24.200.226
netmask 255.255.255.252
network 90.24.200.0
broadcast 90.24.200.255
gateway 90.24.200.225

Заранее благодарен!

[El Scorpio]

Цитата konstantin21:

можно ли сделать все это дело через Iptables NAT? не могли бы вы показать, как сделать прозрачный прокси-сервер? »

Вообще-то это совершенно разные технологии
NAT - это маршрутизация с преобразованием обратного адреса, которая выполняется на уровне IP-адресов и портов, а прокси-сервер - промежуточный сервер, который выполняет обработку запросов и ответов на прикладном уровне и действует только для HTTP-протокола.

Как настроить простейший NAT, аналогичный ICS в Windows, рассказывается здесь - в этом случае http-трафик будет маршрутизироваться через шлюз наравне со всем остальным
При "прозрачном прокси" компьютер, указанный на клиентах шлюзом, просто перенаправляет весь трафик по 80-му, 443-му и другим указанным портам на вход прокси-сервера, изменяя адрес получателя. При этом маршрутизация, как таковая, на шлюзе вообще может не выполняться.

Для настройки и того, и другого способа можно использовать графический web-интерфейс Webmin

[konstantin21]

Спасибо, кажется заработало. Но появился еще один вопрос:
- как мне сделать ограничение по портам для конкретных IP-адресов? Вот что мне надо сделать: есть 3 группы - "3 файла" (IT, user, menager), соответственно в каждом их них находятся IP-адреса. Мне нужно, чтобы например у группы user были доступны порты 80, 25, 110 и т.д. для каждой группы конкретные порты.

Смотрел, что запретить доступ по IP можно создав, например файл user.txt и в squid.conf прописать:
acl user src "/etc/squid3/user.txt"
http_access allow user

Но вот как приписать еще и порты, ответа не нашел, может быть плохо искал...

Заранее спасибо.

[El Scorpio]

Во-первых, для интуитивно-понятной настройки SQUID и других служб предлагаю использовать webmin
Во-вторых, SQUID может проксировать только ограниченное число протоколов.
Тем не менее, нашёл вот этот способ

[konstantin21]

Да, мне понятно что можно добавить порты, которые необходимы, в примере который вы привили. Однако мне кажется это не удовлетворит мои потребности. Так как мне нужно создать 3 списка IP-адресов (user, manager, IT). Для каждой группы будут доступны только ограниченное число портов. Для примера скажем, что для группы user порты 25, 80, для manager порты 80, 110. Для IT порты 25, 80,110.

Можно ли сделать так? Или это шаманство и никто так не делает? Если так, что вы можете посоветовать?

Webmin буду пробовать.

Заранее спасибо.

[El Scorpio]

konstantin21, SQUID пропускает запрашиваемое действие через список разрешений (по порядку от первого до последнего), и разрешает его выполнение, когда находит строку, для которого параметры соединения удовлетворят все правилам разрешения. И наоборот, блокирует соединение, если параметры соединения удовлетворят все правилам запрета.

Можно (в том числе через вебмин) сделать так:
1. Для каждого отдела прописать комплект правил (например IT-users, IT-sites, IT-ports и т.д)
2. Для каждого отдела создать разрешение, в котором перечислить комбинацию требуемых правил (например IT-users IT-sites IT-ports)


P.S.
Чтобы разрешить доступ к определённым сайтам всем пользователям, просто укажите правило для имён сайтов без правила для имён пользователей.