AltLinux 6.0 - Организация прокси-сервера [решено]

[ans]

Так с чего начать?

[asy]

Что-то я забыл про это с новогодними праздниками. В итоге, что сейчас не работает ? Или всё осталось, как написано ?

[ans]

Что-то я забыл про это с новогодними праздниками. В итоге, что сейчас не работает ? Или всё осталось, как написано ?

Да, как написано. Точнее, сейчас у меня работает так:
Центр упр.->Брандмауэр-> Внешние сети ->Режимм "ШЛЮЗ".
Включен SQUID (только тут сказали, что в этом случае SQUID не нужен). Но если не включать SQUID, то не работает клиент-банк (ftp21).

Нужно разобраться со статистикой и разрешениями для пользователей.
Будет ли работать статистика из альтератора?

[asy]

Будет ли работать статистика из альтератора?

Не знаю, я им не пользуюсь.

Но если не включать SQUID, то не работает клиент-банк (ftp21)

интересно... А точно там ftp используется ? И есть ли в клиент-банке что-то вроде "работать через http-proxy" ? Ещё интересен вывод iptables -nL и iptables -nL -t nat (можно личным сообщением, если не хочется IP-адреса всем показывать).

[ans]

интересно... А точно там ftp используется ? И есть ли в клиент-банке что-то вроде "работать через http-proxy" ? Ещё интересен вывод iptables -nL и iptables -nL -t nat (можно личным сообщением, если не хочется IP-адреса всем показывать).

Там особых настроек нет, их ТП говорит, что работает, если ftp21 открыт.
Об iptables - команда не найдена

[asy]

Об iptables - команда не найдена

Это просто в пользовательском окружении к ней путь не прописан: http://www.altlinux.org/Su
она точно есть.

[varalt]

Запускать надо не от "su", а от "su-"!

[asy]

Семён Семёныч, запускал su -, и думаю...
Так, всё работает.

Надо было с -v просить... В смысле -vnL. Можно ещё раз ? Можно прямо старое сообщение отредактировать, чтобы форум не загромождать. Но, в любом случае, я не вижу, где бы тут редирект на squid делался, а, значит, если squid не указывается непосредственно в приложении, непонятно, как от него может зависеть работоспособность.

[ans]

Надо было с -v просить... В смысле -vnL. Можно ещё раз ? Можно прямо старое сообщение отредактировать, чтобы форум не загромождать. Но, в любом случае, я не вижу, где бы тут редирект на squid делался, а, значит, если squid не указывается непосредственно в приложении, непонятно, как от него может зависеть работоспособность.

-vnL добавил в старое сообщение.
Выходит, SQUID работает в холостую?

[asy]

Выходит, SQUID работает в холостую?

Если только кто-то не указывает "работать через прокси сервер" в явном виде в конкретных приложениях, то да,SQUID не используется . Кстати, что касается статистики. Если для сбора используется именно ulog, то трафик, попавший вот сюда

8990K 3490M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

до правила с ulog не доходит. И так для каждой цепочки.

[ans]

Если только кто-то не указывает "работать через прокси сервер" в явном виде в конкретных приложениях, то да,SQUID не используется . Кстати, что касается статистики. Если для сбора используется именно ulog, то трафик, попавший вот сюда

8990K 3490M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

до правила с ulog не доходит. И так для каждой цепочки.

"Это правило в SQUID.conf должно прописано?
Если да, то его пока там нет. Хочу настроить постепенно.

[asy]

"Это правило в SQUID.conf должно прописано?
Если да, то его пока там нет. Хочу настроить постепенно.

Нет. Учёт трафика через ulog не имеет никакого отношения к SQUID. А правило задаётся для iptables. Где именно, в общих настройках iptables, или какое-то приложение при запуске его формирует - надо смотреть. В ALT есть два штатных места для размещения правил. Одно, как у многих, /etc/sysconfig/iptables, второе - http://www.altlinux.org/Etcnet/firewall. Использоваться, по идее, должно какое-то одно.

[ans]

Нет. Учёт трафика через ulog не имеет никакого отношения к SQUID. А правило задаётся для iptables. Где именно, в общих настройках iptables, или какое-то приложение при запуске его формирует - надо смотреть.

Как правильно это сделать в данном случае?
Что получаю, что теряю при выборе РОУТЕР или ШЛЮЗ в плане безопасности?
В справке:

Роутер. В этом режиме перенаправление пакетов между сетевыми интерфейсами происходит без трансляции сетевых адресов.
Шлюз. В этом режиме будет настроена трансляция сетевых адресов (NAT) при перенаправлении пакетов на внешние интерфейсы. Использование этого режима имеет смысл, если у вас настроен по крайней мере один внешний и один внутренний интерфейс.

И что из этого? Есть понятное объяснение для домохозяек?

[ans]

Это  http://linuxopen.ru/2007/12/21/nastrojjka-fajjrvola.-iptables.htm  подходит для настройки iptables в кентавре?
Попробовал, но ничего не меняется. Или что-то не так делаю?

[asy]

Как правильно это сделать в данном случае?
Что получаю, что теряю при выборе РОУТЕР или ШЛЮЗ в плане безопасности?

Я не знаю - я не пользовался Альтератором. Точнее, пользовался только конфигуратором OVZ-контейнеров в server 4.0.

Это  http://linuxopen.ru/2007/12/21/nastrojjka-fajjrvola.-iptables.html  подходит для настройки iptables в кентавре? Попробовал, но ничего не меняется. Или что-то не так делаю?

Наверное не так. Тут всё стандартно. Вместо iptables-save можно использовать "service iptables save", кстати. Оно само всё в /etc/sysconfig/iptables запишет. А вот что показывает "chkconfig iptables --list" ?
Если в текущем ранлевеле off, то оно просто не применяется при старте.