dnsmasq dns forwarding
Доброго времени суток!
Задача: организовать dns forwarding из локальной сети на сервер провайдера На прокси-сервере (squid) раздается интернет. И решили еще сделать dns forward с помощью dnsmask. Поиски привели меня вот сюда - http://pyther.net/2010/12/dns-condit...rding-dnsmasq/ Правильно ли я понимаю, что мои файлы (dnsmasq.conf & resolv.conf) будут след. содержания: Код:
#dnsmasq.conf Код:
#resolv.conf *правильно ли настроен dns forward? |
/etc/dnsmasq.conf моего DNS-сервера
Код:
# Other options listen-address - сетевые интерфейсы, которые обслуживает сервер. Обычно это лупбэк и интерфейс внутренней локальной сети /etc/resolv.conf моего DNS-сервера Код:
nameserver 127.0.0.1 На клиентах соответственно вместо лупбэка должен быть указан IP-адрес DNS-сервера |
у меня вот что получилось:
/etc/dnsmasq.conf ================= listen-address=127.0.0.1, 192.168.103.205 cache-size=300 domain-needed # никогда не пересылать адреса без доменной части bogus-priv # никогда не пересылать адреса из немаршрутизируемого пространства strict-order # пересылать запросы, с первого и по порядку no-resolv # не использовать /etc/resolv.conf server=[ip_провайдера] # адреса серверов провайдера server=8.8.8.8 server=8.8.4.4 /etc/resolv.conf ================ nameserver 127.0.0.1 ну и конфиг squid.conf - к сожалению забыл сохранить взять с собой, чтобы предоставить после чего в браузере ввожу данные о прокси-сервере: 192.168.103.205:3128. все работает и все счастливы, кроме меня! там сеть на 60 компов, как то обходить их всех мне лень =) можно ли сделать все это дело через Iptables NAT? не могли бы вы показать, как сделать прозрачный прокси-сервер? искал решение в Сети, но у меня ничего не заработало, хотя если опять указать в браузере IP&port прокси, то все работает. вот мой etc/network/interfaces на всякий случай ======================== # The loopback auto lo iface lo inet loopback # LAN NETWORK auto eth0 iface eth0 inet static address 192.168.103.205 netmask 255.255.255.0 network 192.168.103.0 broadcast 192.168.103.255 # WAN NETWORK auto eth1 iface eth1 inet static address 90.24.200.226 netmask 255.255.255.252 network 90.24.200.0 broadcast 90.24.200.255 gateway 90.24.200.225 Заранее благодарен! |
Цитата:
NAT - это маршрутизация с преобразованием обратного адреса, которая выполняется на уровне IP-адресов и портов, а прокси-сервер - промежуточный сервер, который выполняет обработку запросов и ответов на прикладном уровне и действует только для HTTP-протокола. Как настроить простейший NAT, аналогичный ICS в Windows, рассказывается здесь - в этом случае http-трафик будет маршрутизироваться через шлюз наравне со всем остальным При "прозрачном прокси" компьютер, указанный на клиентах шлюзом, просто перенаправляет весь трафик по 80-му, 443-му и другим указанным портам на вход прокси-сервера, изменяя адрес получателя. При этом маршрутизация, как таковая, на шлюзе вообще может не выполняться. Для настройки и того, и другого способа можно использовать графический web-интерфейс Webmin |
Спасибо, кажется заработало. Но появился еще один вопрос:
- как мне сделать ограничение по портам для конкретных IP-адресов? Вот что мне надо сделать: есть 3 группы - "3 файла" (IT, user, menager), соответственно в каждом их них находятся IP-адреса. Мне нужно, чтобы например у группы user были доступны порты 80, 25, 110 и т.д. для каждой группы конкретные порты. Смотрел, что запретить доступ по IP можно создав, например файл user.txt и в squid.conf прописать: acl user src "/etc/squid3/user.txt" http_access allow user Но вот как приписать еще и порты, ответа не нашел, может быть плохо искал... Заранее спасибо. |
Во-первых, для интуитивно-понятной настройки SQUID и других служб предлагаю использовать webmin
Во-вторых, SQUID может проксировать только ограниченное число протоколов. Тем не менее, нашёл вот этот способ |
Да, мне понятно что можно добавить порты, которые необходимы, в примере который вы привили. Однако мне кажется это не удовлетворит мои потребности. Так как мне нужно создать 3 списка IP-адресов (user, manager, IT). Для каждой группы будут доступны только ограниченное число портов. Для примера скажем, что для группы user порты 25, 80, для manager порты 80, 110. Для IT порты 25, 80,110.
Можно ли сделать так? Или это шаманство и никто так не делает? Если так, что вы можете посоветовать? Webmin буду пробовать. Заранее спасибо. |
konstantin21, SQUID пропускает запрашиваемое действие через список разрешений (по порядку от первого до последнего), и разрешает его выполнение, когда находит строку, для которого параметры соединения удовлетворят все правилам разрешения. И наоборот, блокирует соединение, если параметры соединения удовлетворят все правилам запрета.
Можно (в том числе через вебмин) сделать так: 1. Для каждого отдела прописать комплект правил (например IT-users, IT-sites, IT-ports и т.д) 2. Для каждого отдела создать разрешение, в котором перечислить комбинацию требуемых правил (например IT-users IT-sites IT-ports) P.S. Чтобы разрешить доступ к определённым сайтам всем пользователям, просто укажите правило для имён сайтов без правила для имён пользователей. |
Время: 11:00. |
Время: 11:00.
© OSzone.net 2001-