The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Вееpное подключение к Инетy (squid acl time)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
Ключевые слова: squid, acl, time,  (найти похожие документы)
_ RU.UNIX (2:5077/15.22) _____________________________________________ RU.UNIX _ From : Yar Tikhiy 2:5020/118 Sat 11 Jul 98 10:32 Subj : Re: Вееpное подключение к Инетy ________________________________________________________________________________ From: Yar Tikhiy <yar@comp.chem.msu.su> Pete Procenko wrote: PP> Возникла такая пpоблема: есть пpиличных pазмеpов сетка (около 150 машин, 7 PP> сегметов коаксиала), и есть не очень пpиличная для таких масштабов выделенная PP> линия (38.4 К) PP> Есть также 15 pеальных IP-адpесов. Часть компyтеpов сгpyппиpована по yчебным PP> аyдитоpиям (мы - вyз). Вопpос - как оpганизовать (желательно софтвеpное PP> pешение) PP> такой pежим pаботы: с 9-12 (yсловно) интеpнет есть в одном классе, с 12-14 - в PP> дpyгом, плюс к этомy - несколько машин (отдельных, не классов) с постояным PP> достyпом 1. Раздаются приватные адреса из блоков 10/8, 172.16/12, 192.168/16 - RFC1918 Далее вариант 1: 2. Hа машине, являющейся gateway во внешний мир, или за ней ставится Squid (http://squid.nlanr.net) и конфигурируется так, чтобы адреса класса #1 пускать с 9 до 12, а адреса #2 - с 12 до 14: acl all src 0.0.0.0/0.0.0.0 acl CLASS1 src 192.168.1.0/255.255.255.0 acl CLASS2 src 192.168.2.0/255.255.255.0 acl CLASS1TIME time 9:00-12:00 acl CLASS2TIME time 12:00-14:00 acl PRIVILEGED_LUSERS 192.168.3.3 192.168.4.4 192.168.5.5 http_access allow CLASS1 CLASS1TIME http_access deny CLASS1 http_access allow CLASS2 CLASS2TIME http_access deny CLASS2 http_access allow PRIVILEGED_LUSERS http_access deny all Хотя, как я подозреваю, такая политика задумывалась из-за недостатка адресов. Все обращение к ftp, www, gopher и wais идет через Squid. Очевидно, у этой машины должно быть 2 адреса - реальный и приватный. 3. Вся почта ходит через эту машину с 2 адресами. Кстати, почту могут посылать все подключенные, а не только люди из "acl PRIVILEGED_LUSERS" ;-) Если не принять соотв. мер... 4. DNS работает через нее же. Желательно завести свою приватную зону и назвать машинки, а главное - сделать реверс, чтобы всякие демоны типа sendmail и popd были довольны. Вариант 2: Включить на маршрутизаторе NAT. Как - зависит от платформы и п/o. Для видимых снаружи сервисов (mail relay, www, ftp, dns etc) прописать статические соответствия адресов, а всех остальных свалить в несколько (а то и в 1 адрес). Если уж захочется классы по времени ограничивать - по cron IP фильтры ставить/убирать. Хотя и в случае с NAT недурно поставить Squid, а уж локальный DNS завести - просто обязательно. Замечание о классах. Если там бегает IPX между какими-нибудь Win'XX в MS domain, то на выходе можно поставить MS Proxy и включить remote winsock. Тогда a) не надо ставить внутри классов TCP/IP б) можно разрешать/запрещать выход в инет по именам/группам пользователей. SY, Yar --- Tin 1.3 unoff * Origin: Chemistry Department, MSU (2:5020/118@fidonet)

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

Обсуждение [ RSS ]
  • 1, BARS (?), 13:04, 01/04/2004 [ответить]  
  • +/
    У меня проблема с почтой: 3 уч. класса с приватными сетками для каждого (192.168.10.0/27, 192.168.20.0/27, 192.168.30.0/27). На шлюзе для каждой сетки поднят свой интерфейс(т.е. для каждого свой гейтвэй), установлены squid и iptables. SQUID настроен с аутоинтефикацией пользователей. По www ходим без проблем, но почтовые клиенты из уч. классов не работают. Думал что из-за аутоинтефикации , отключил - все равно не работает. В чем дело?
     
     
  • 2, ipmanyak (?), 04:53, 02/04/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >У меня проблема с почтой: 3 уч. класса с приватными сетками для
    >каждого (192.168.10.0/27, 192.168.20.0/27, 192.168.30.0/27). На шлюзе для каждой сетки поднят свой
    >интерфейс(т.е. для каждого свой гейтвэй), установлены squid и iptables. SQUID настроен
    >с аутоинтефикацией пользователей. По www ходим без проблем, но почтовые клиенты
    >из уч. классов не работают. Думал что из-за аутоинтефикации , отключил
    >- все равно не работает. В чем дело?

    cквид это http прокси и он ничего не знает про smtp и pop, пропускай почту
    правилами iptables напрямую, то бишь форварди запросы по портам 25 и 110

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру