Автор Тема: Alt linux ковчег 5.0 с прокси на nat (Прочитано 2666 раз)

nanacano · « : 10.02.2012 09:08:15 »

Alt linux ковчег 5.0
Здравствуйте, у меня нет стажа работы с линукс, и мало возможности для экспериментирования потому и задаю дилетанские вопросы.
Есть необходимость перенастроить Alt linux ковчег 5.0 с прокси сервера на nat (если быть точным то на Перегруженный NAT), в связи с чем несколько вопросов:
1) Как это собственно сделать через веб интерфейс?
2) Может ли одновременно работать proxy и nat интернет?
3) Как отключить кеширование прокси, т.е. чтобы он просто перенаправлял? (тоже через веб интерфейс)

Заранее благодарен

asy · « **Ответ #1 :** 11.02.2012 17:07:23 »

Цитата: nanacano от 10.02.2012 09:08:15

2) Может ли одновременно работать proxy и nat интернет?

В смысле squid и NAT ? Конечно может. Это совсем разные вещи и друг другу не мешают.

Цитата: nanacano от 10.02.2012 09:08:15

3) Как отключить кеширование прокси, т.е. чтобы он просто перенаправлял? (тоже через веб интерфейс)
Заранее благодарен

squid, если речь о нём, в первую очередь, кэширующий прокси. Так что, боюсь, что никак. Хотя надо почитать, что он может, а то мало ли... Вообще, у него размер объекта для кэширования задаётся, можно поставить поменьше. Если ограничения на минимальный размер нет, то 0 байт, к примеру.

Но можно поставить вместо squid что-нибудь другое. А зачем кэш отключать ?

berkut_174 · « **Ответ #2 :** 11.02.2012 19:34:40 »

Цитата: nanacano от 10.02.2012 09:08:15

1) Как это собственно сделать через веб интерфейс?

Меню Внешние сети. Установить режим работы шлюз (NAT), поставить галочку на внешний интерфейс и нажать применить. :)

nanacano · « **Ответ #3 :** 13.02.2012 07:42:21 »

Цитата: asy от 11.02.2012 17:07:23

Цитата: nanacano от 10.02.2012 09:08:15
3) Как отключить кеширование прокси, т.е. чтобы он просто перенаправлял? (тоже через веб интерфейс)
Заранее благодарен
squid, если речь о нём, в первую очередь, кэширующий прокси. Так что, боюсь, что никак. Хотя надо почитать, что он может, а то мало ли... Вообще, у него размер объекта для кэширования задаётся, можно поставить поменьше. Если ограничения на минимальный размер нет, то 0 байт, к примеру.

Но можно поставить вместо squid что-нибудь другое. А зачем кэш отключать ?

Да, я говорю про squid. Есть подозрения, что кеширвание сильно замедляет и нарушает работу пары служебных сайтов, поэтому я и хочу отключить кеширование.
И в веб интерфейсе есть настройки подходящие по переводу (правда я не очень понимаю их смысл и прошу объяснить):
http://s017.radikal.ru/i438/1202/91/15fc8cfd14b0.jpg
Select proxying mode: здесь могут быть два варианта: transparent, proxy.

http://s004.radikal.ru/i206/1202/ce/982fa0e47af1.jpg
В настройках портов то же: Connection method: два варианта passthrough, и proxy.
И Enable transparent redirection.
Эти две настройки у разных портов варьируются.

Цитата: berkut_174 от 11.02.2012 19:34:40

Цитата: nanacano от 10.02.2012 09:08:15
1) Как это собственно сделать через веб интерфейс?
Меню Внешние сети. Установить режим работы шлюз (NAT), поставить галочку на внешний интерфейс и нажать применить. :)

К сожалению в этой версии веб интерфейса нет такого
http://s018.radikal.ru/i516/1202/01/16632ff93f55.jpg
http://s018.radikal.ru/i516/1202/45/65a0a13d067f.jpg
Есть настройка Select forwarding mode: у которой есть два варианта gateway (NAT), router. Сейчас стоит gateway (NAT).

berkut_174 · « **Ответ #4 :** 25.02.2012 12:07:57 »

Цитировать

Select proxying mode: здесь могут быть два варианта: transparent, proxy.

transparent - прозрачный прокси, proxy - обычный прокси.

Цитировать

Сейчас стоит gateway (NAT).

Если нужен NAT - тогда правильно стоит.

Цитировать

Enable transparent redirection.

Включить прозрачное перенаправление.
А что в Ковчеге нет русского языка? Почему у вас все по английски?

nanacano · « **Ответ #5 :** 29.02.2012 14:21:30 »

Цитата: berkut_174 от 25.02.2012 12:07:57

Если нужен NAT - тогда правильно стоит.

Тогда почему если я выставляю основной шлюз у клиента на внутренний адрес сервера (192.168.1.51) интернета нет?

Цитата: berkut_174 от 25.02.2012 12:07:57

А что в Ковчеге нет русского языка? Почему у вас все по английски?

Есть но русские термины для меня тоже не все понятны + не всё переведено (Connection method: два варианта passthrough, и proxy. )

asy · « **Ответ #6 :** 29.02.2012 19:12:00 »

Цитата: nanacano от 29.02.2012 14:21:30

Тогда почему если я выставляю основной шлюз у клиента на внутренний адрес сервера (192.168.1.51) интернета нет?

Что проверить в веб-интерфейсе - знаю. Но, в конечном итоге, всё зависит то тех правил, которые можно посмотреть командами
iptables -nL
iptables -nL -t nat
Ещё можно проверить cat /proc/sys/net/ipv4/ip_forward, но у сервера там, по-умолчанию, 1 должно бы быть.

nanacano · « **Ответ #7 :** 11.03.2012 13:42:55 »

Цитата: asy от 29.02.2012 19:12:00

Цитата: nanacano от 29.02.2012 14:21:30
Тогда почему если я выставляю основной шлюз у клиента на внутренний адрес сервера (192.168.1.51) интернета нет?
Что проверить в веб-интерфейсе - знаю. Но, в конечном итоге, всё зависит то тех правил, которые можно посмотреть командами
iptables -nL
iptables -nL -t nat
Ещё можно проверить cat /proc/sys/net/ipv4/ip_forward, но у сервера там, по-умолчанию, 1 должно бы быть.

cat /proc/sys/net/ipv4/ip_forward - стоит 1
на команду iptables -nL -t nat выдает

Цитировать

Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:70 redir ports 3128
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:70 redir ports 3128
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:777 redir ports 3128
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:777 redir ports 3128
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 redir ports 3128
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 redir ports 3128
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 redir ports 3128
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 redir ports 3128

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

iptables -nL

Цитировать

Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -f 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ULOG all -- 0.0.0.0/0 0.0.0.0/0 ULOG copy_range 48 nlgroup 1 prefix `icount' queue_threshold 50
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:110
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:995
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:995
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:25
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:465
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:587
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:587
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:443
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -f 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ULOG all -- 0.0.0.0/0 0.0.0.0/0 ULOG copy_range 48 nlgroup 1 prefix `fcount' queue_threshold 50
ACCEPT all -- 0.0.0.0/0 xxx.xxx.xxx.xxx/29 – локальная сеть провайдера
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 PHYSDEV match --physdev-is-bridged
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP all -f 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ULOG all -- 0.0.0.0/0 0.0.0.0/0 ULOG copy_range 48 nlgroup 1 prefix `ocount' queue_threshold 50

Форум сообщества
Альт Линукс