AltLinux 6.0 - Организация прокси-сервера [решено]

[ans]

Без прокси-сервера сразу к интернету.

Что это значит в вашем понимании

Кабель с интернетом сразу к компютеру.
Я уже не знаю как объяснять. Как дома - кабель (витая пара) подключен к компбютеру.

[ans]

А всего-то оставалось скорректировать /etc/sysconfig/iptables

Спасибо Вам ОГРОМНОЕ! Всё заработало!
Я Ваш должник :)

[flint1975]

Кабель с интернетом сразу к компютеру.
Я уже не знаю как объяснять. Как дома - кабель (витая пара) подключен к компбютеру.

При "втыкании" витой пары в компьютер - возможно несколько вариантов. Они зависят от того, куда подключен второй конец витой пары.
1. Это может быть модем ADSL
      1.а. Скорее всего это будет соединение PPPoE
           1.а.1. Поднятое на самом модеме (модем как роутер)
           1.а.2. Поднятое на компьютере (в вашем случае бухгалтерском)
      1.б. Возможно прямая маршрутизация от провайдера (модем играет роль моста) - это примерно то, что вы хотите у себя настроить, т.е. стать провайдером для своего офиса.
2. Это может быть свич куда приходит линк от провайдера, или любое другое оборудование, где тоже возможно использование PPPoE соединения, но скорее всего там прямая маршрутизация
3. Различные экзотические способы подключения с использованием гибридных схем - прямая маршрутизация +PPtP

Принципиально во всех случаях:
1. как назначается IP адрес клиенту (фиксированный, DHCP, автоматически сервером PPPoE или PPtP)
2. кто маршрутизирует пакеты (модем, провайдер, роутер)

У меня сильное подозрение, что у вас клиент настроен на другой шлюз, нежели вы пытетесь ему "подсунуть" поставив на пути между клиентом и шлюзом - роутер на кентавре

Хотя бы некоторую логическую топологию вашей сети узнать!

[flint1975]

Извините, не успел увидеть что у вас все заработало :)

[ans]

Извините, не успел увидеть что у вас все заработало :)

Это ещё не всё - это только первый этап. Мне ещё со статистикой нужно разобраться. ;)

[asy]

Это ещё не всё - это только первый этап. Мне ещё со статистикой нужно разобраться. ;)

Если я правильно понимаю, она теперь должна работать. Там проблема была в том что правила с ULOG стояли ближе к концу, потому они многое не считали. Если сейчас посмотреть iptables -vnL, первая цифра у правил ULOG растёт ?. И надо помнить, что ULOG - это одна статистика, а статистика из лога squid - это другая статистика. В Альтераторе какая имеется ввиду ? Или там обе сразу ?

[flint1975]

Или там обе сразу ?

Там обе по раздельности! :) Причем статистика ulogd - из коробки работает почти "никак", я эту тему раза 2 уже обсуждал, было бы интересно, что вы там накопали по поводу порядка правил в цепочке!

[asy]

было бы интересно, что вы там накопали по поводу порядка правил в цепочке!

я не знаю, как оно так вышло, но правила с ulog оказались после некоторых правил с drop и accept. С частью из них понятно, это из-за моих советов использовать ключ -I, вместо -A, но часть правил там, судя по всему, до моих советов так встала. Соответственно, эти пакеты просто не доходили до ulog.

[ans]

Это ещё не всё - это только первый этап. Мне ещё со статистикой нужно разобраться. ;)

Если я правильно понимаю, она теперь должна работать.

Если через альтератор смотреть, то при включении "СТАТИСТИКА -> ПРОКСИ-СЕРВЕР -> ВКЛЮЧИТЬ СБОР ДАННЫХ" выдаёт ошибку "Unable to turn squidmill service on".

"СТАТИСТИКА -> ПРОКСИ-СЕРВЕР -> СЕТЕВОЙ ТРАФИК" работает, но там просто общее количество.

[ans]

я не знаю, как оно так вышло, но правила с ulog оказались после некоторых правил с drop и accept. С частью из них понятно, это из-за моих советов использовать ключ -I, вместо -A, но часть правил там, судя по всему, до моих советов так встала. Соответственно, эти пакеты просто не доходили до ulog.

После переустановки системы я ещё выявил такой момент - сначала iptables вообще пустой.
Заполняется содержимым после #service iptables save откуда-то из самой системы даже если никаких правил из консоли не применяешь. Я долго не мог понять, что к чему.

И ещё, правила iptables не применяются после перезагрузки пока не сделаешь restart, хотя
# chkconfig iptables --list
iptables          0:выкл   1:выкл   2:вкл   3:выкл   4:вкл   5:вкл   6:выкл
Что не хватает?

[asy]

Если через альтератор смотреть, то при включении "СТАТИСТИКА -> ПРОКСИ-СЕРВЕР -> ВКЛЮЧИТЬ СБОР ДАННЫХ" выдаёт ошибку "Unable to turn squidmill service on".

Надо посмотреть, не пишется ли что-то интересное в /var/log/messages в этот момент. Может быть, там будет написано, что именно не нравится.

сначала iptables вообще пустой.

/etc/sysconfig/iptables имеется ввиду ? Да, так и есть.

Заполняется содержимым после #service iptables save откуда-то из самой системы

Именно так. Эта команда записывает в /etc/sysconfig/iptables текущее состояние netfilter в системе. А текущее состояние может быть получено самыми разными путями, не только посредством service iptables start (или, что то же самое, /etc/rc.d/initd.d/iptables start), при котором происходит чтение файла iptables и применение в системе. Вообще, с этим стоит определиться и использовать что-то одно, чтобы потом путаницы не возникло.

# chkconfig iptables --list
iptables          0:выкл   1:выкл   2:вкл   3:выкл   4:вкл   5:вкл   6:выкл
Что не хватает?

А у Вас не runlevel 3 по-умолчанию ? grep initdefault /etc/inittab что показывает ?

[ans]

Если через альтератор смотреть, то при включении "СТАТИСТИКА -> ПРОКСИ-СЕРВЕР -> ВКЛЮЧИТЬ СБОР ДАННЫХ" выдаёт ошибку "Unable to turn squidmill service on".

Надо посмотреть, не пишется ли что-то интересное в /var/log/messages в этот момент. Может быть, там будет написано, что именно не нравится.

31 08:15:31 host-12 squidmill: access_log not found failed

А у Вас не runlevel 3 по-умолчанию ? grep initdefault /etc/inittab что показывает ?

# grep initdefault /etc/inittab
id:5:initdefault:

В прошлый раз ошибочка при редактировании была.
Повторил, нормально всё.
# chkconfig iptables --list
iptables          0:выкл   1:выкл   2:вкл   3:вкл   4:выкл   5:вкл   6:выкл

Перепроверил состояние после перезагрузки, всё так же, правила iptables не работают (клиент-банк) пока рестарт не сделаешь.

[asy]

31 08:15:31 host-12 squidmill: access_log not found failed

Ну вот, что-то есть. Теперь надо искать причину. Вообще, я анализаторами логов сквида никогда не занимался, так что точно не подскажу. Кстати, вот что попалось: http://forum.altlinux.org/index.php?topic=11814.0

# grep initdefault /etc/inittab
id:5:initdefault:

5 значит.

Перепроверил состояние после перезагрузки, всё так же, правила iptables не работают (клиент-банк) пока рестарт не сделаешь.

Значит, используется ещё какая-то система настройки netfilter, которая сбрасывает правила, установленные сервисом iptables. Надо найти, какая, и выбрать какую-то одну. Или эту вторую (возможно, какой-то из модулей Альтератора), или сервис iptables. Ненужную отключить.

[ans]

Кстати, вот что попалось: http://forum.altlinux.org/index.php?topic=11814.0

Оно самое

Значит, используется ещё какая-то система настройки netfilter, которая сбрасывает правила, установленные сервисом iptables

Читаю http://sudouser.com/netfilter-i-iptables-v-linux-principy-raboty-nastrojkanetfilter
"Управление осуществляется с помощью утилиты iptables."
Значит, netfilter может отменять правила iptables даже, если управляется самой  iptables?
Как на netfilter могут действовать модули алтератора пока не разобрался. вроде бы там ничего такого нет (в веб-интерфейсе).
Почитал ещё в инете, что такая проблема ни у одного меня, куча вредных советов. Вроде руки тянутся, но только боюсь опять сломать систему.

[asy]

Оно самое

Там (теперь :) ) есть ссылка на решение

Значит, netfilter может отменять правила iptables даже, если управляется самой  iptables ?

Тут надо разобраться в терминологии. Во-первых: http://ru.wikipedia.org/wiki/Netfilter

То есть, есть netfilter/iptables в ядре, и только это работает. У него нет записываемых конфигов и т.п., работает текущая конфигурация, существующая только в оперативной памяти. Оно может быть собрано как в составе ядра, так и в виде подргружаемых модулей ядра. Посмотреть запущенные модули можно как-то так: lsmod|grep iptable

Есть /sbin/iptables из пакета iptables. Это та самая штука, которая конфигурирует netfilter/iptables в ядре. Как правило, все остальные конфигураторы используют её для настройки подсистемы ядра. Но, в принципе, это не обязательно. В теории возможен конфигуратор, работающий не через /sbin/iptables. К непосредственной работе ядерного netfilter/iptables пакет iptables отношения не имеет.

Есть псевдосервис /etc/rc.d/init.d/iptables, тоже из пакета iptables. Почему псевдо ? Он отрабатывает один раз и не является демоном, на самом деле. Это всего лишь скрипт, который читает /etc/sysconfig/iptables, и, через вызовы /sbin/iptables, настраивает ядерную систему netfilter/iptables. Именно этот скрипт запускается по команте service iptables <параметр>. Собственно, service запускает указанные скрипты из /etc/rc.d/init.d/, какие-то скрипты, в свою очередь, запускают настоящие сервисы/демоны, какие-то нет.

Есть etcnet, который, при старте, смотрит в свои конфиги для netfilter и, посредством вызовов /sbin/iptables настраивает ядерную систему netfilter/iptables. etcnet не пользуется файлом /etc/sysconfig/iptables, вместо этого он пользуется /etc/net/ifaces/default/fw/iptables/*. Вообще, если посмотреть на /etc/rc5.d, видно, что S10network отрабатывает после S08iptables, так что, запускающийся позже etcnet, вполне может перетереть в памяти правила (то есть, те правила, которые реально работают), заданные ранее сервисом iptables.

А, может, это и не etcnet, а что-то третье.

Текущие (работающие) настройки netfilter показывает /sbin/iptables, запускаемый с определёнными параметрами (это тут уже было).