Ключевые слова:squid, acl, time, (найти похожие документы)
_ RU.UNIX (2:5077/15.22) _____________________________________________ RU.UNIX _
From : Yar Tikhiy 2:5020/118 Sat 11 Jul 98 10:32
Subj : Re: Вееpное подключение к Инетy
________________________________________________________________________________
From: Yar Tikhiy <yar@comp.chem.msu.su>
Pete Procenko wrote:
PP> Возникла такая пpоблема: есть пpиличных pазмеpов сетка (около 150 машин, 7
PP> сегметов коаксиала), и есть не очень пpиличная для таких масштабов
выделенная
PP> линия (38.4 К)
PP> Есть также 15 pеальных IP-адpесов. Часть компyтеpов сгpyппиpована по
yчебным
PP> аyдитоpиям (мы - вyз). Вопpос - как оpганизовать (желательно софтвеpное
PP> pешение)
PP> такой pежим pаботы: с 9-12 (yсловно) интеpнет есть в одном классе, с 12-14
- в
PP> дpyгом, плюс к этомy - несколько машин (отдельных, не классов) с постояным
PP> достyпом
1. Раздаются приватные адреса из блоков 10/8, 172.16/12, 192.168/16 - RFC1918
Далее вариант 1:
2. Hа машине, являющейся gateway во внешний мир, или за ней ставится Squid
(http://squid.nlanr.net) и конфигурируется так, чтобы адреса класса #1
пускать с 9 до 12, а адреса #2 - с 12 до 14:
acl all src 0.0.0.0/0.0.0.0
acl CLASS1 src 192.168.1.0/255.255.255.0
acl CLASS2 src 192.168.2.0/255.255.255.0
acl CLASS1TIME time 9:00-12:00
acl CLASS2TIME time 12:00-14:00
acl PRIVILEGED_LUSERS 192.168.3.3 192.168.4.4 192.168.5.5
http_access allow CLASS1 CLASS1TIME
http_access deny CLASS1
http_access allow CLASS2 CLASS2TIME
http_access deny CLASS2
http_access allow PRIVILEGED_LUSERS
http_access deny all
Хотя, как я подозреваю, такая политика задумывалась из-за недостатка
адресов. Все обращение к ftp, www, gopher и wais идет через Squid.
Очевидно, у этой машины должно быть 2 адреса - реальный и приватный.
3. Вся почта ходит через эту машину с 2 адресами. Кстати, почту могут
посылать все подключенные, а не только люди из "acl PRIVILEGED_LUSERS" ;-)
Если не принять соотв. мер...
4. DNS работает через нее же. Желательно завести свою приватную зону
и назвать машинки, а главное - сделать реверс, чтобы всякие демоны
типа sendmail и popd были довольны.
Вариант 2:
Включить на маршрутизаторе NAT. Как - зависит от платформы и п/o.
Для видимых снаружи сервисов (mail relay, www, ftp, dns etc) прописать
статические соответствия адресов, а всех остальных свалить в несколько
(а то и в 1 адрес).
Если уж захочется классы по времени ограничивать - по cron IP фильтры
ставить/убирать.
Хотя и в случае с NAT недурно поставить Squid, а уж локальный DNS завести -
просто обязательно.
Замечание о классах.
Если там бегает IPX между какими-нибудь Win'XX в MS domain, то на выходе
можно поставить MS Proxy и включить remote winsock. Тогда a) не надо
ставить внутри классов TCP/IP б) можно разрешать/запрещать выход
в инет по именам/группам пользователей.
SY, Yar
--- Tin 1.3 unoff * Origin: Chemistry Department, MSU (2:5020/118@fidonet)
У меня проблема с почтой: 3 уч. класса с приватными сетками для каждого (192.168.10.0/27, 192.168.20.0/27, 192.168.30.0/27). На шлюзе для каждой сетки поднят свой интерфейс(т.е. для каждого свой гейтвэй), установлены squid и iptables. SQUID настроен с аутоинтефикацией пользователей. По www ходим без проблем, но почтовые клиенты из уч. классов не работают. Думал что из-за аутоинтефикации , отключил - все равно не работает. В чем дело?
>У меня проблема с почтой: 3 уч. класса с приватными сетками для
>каждого (192.168.10.0/27, 192.168.20.0/27, 192.168.30.0/27). На шлюзе для каждой сетки поднят свой
>интерфейс(т.е. для каждого свой гейтвэй), установлены squid и iptables. SQUID настроен
>с аутоинтефикацией пользователей. По www ходим без проблем, но почтовые клиенты
>из уч. классов не работают. Думал что из-за аутоинтефикации , отключил
>- все равно не работает. В чем дело?
cквид это http прокси и он ничего не знает про smtp и pop, пропускай почту
правилами iptables напрямую, то бишь форварди запросы по портам 25 и 110