Ubuntu Server (squid+dnsmasq+sarg+iptables)
Активируем учетную запись root
sudo passwd root
#Вводим пароль локального пользователя, а далее присваеваем пароль
для root
#Обновляем систему
apt-get update
apt-get upgrade
#Инсталируем - "mc" (Midnight Commander)
apt-get install mc
#Включаем второй интерфей сетевой карты
ifconfig eth1 up
#Настраиваем сеть
#Запускаем "mc"
#Переходим в папку /etc/network/interfaces (F4 для редактирования,
выбираем "medit" текстовой редактор)
----------------------------------------------------------------------------
-----------------------------
п Р и м е р - 1 при условии что инет по DHCP, если статика, то руками прописывать, как в eth1
-----------------------------
# The primary network interface
auto eth0
# The secondary network interface
auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
dns-nameservers 192.168.1.1
address 192.168.0.1
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
dns-nameservers 192.168.0.1
-----------------------------------------------------------------------------
#Перезагружаем сеть
/etc/init.d/networking restart
Отключаем IPV6
______________
#Проверяем, включен ли IPV6, для этого в терминале набираем:
cat /proc/sys/net/ipv6/conf/all/disable_ipv6
#если ответ 0 - ipv6 включен, 1 - отключен.
#Открываем файл /etc/sysctl.conf и в конце вставляем следующие:
--------------------------------------
#disable ipv6
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
--------------------------------------
#Применяем код
sysctl -p
#Проверяем cat /proc/sys/net/ipv6/conf/all/disable_ipv6
#Удаляем пакет app-armor, он может помешать нормальной работе
/etc/init.d/apparmor stop
update-rc.d -f apparmor remove
aptitude remove apparmor apparmor-utils
НАСТРАИВАЕМ NAT
_______________
#Идем в директорию /etc/
#Создаем sh файл nat.sh
touch nat.sh
#Редактором входим в него (F4) и ишем следующее:
----------------------------------------------------------------------------
#/bin/sh
# Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward
# Разрешаем трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT
# Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
# Включаем NAT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth0 -o eth1 -j REJECT
----------------------------------------------------------------------------
#Заходим в раздел, где лежит наш файл nat.sh и пишем в консоли
sh nat.sh
!!! ВСЕ ИНТЕРНЕТ РАБОТАЕТ !!!
#Сохраняем (F2).Для автоматического запуска скрипта, снова открываем
/etc/network/interfaces и в самый конец файла дописываем:
post-up /etc/nat.sh
#Также не забываем дать нашему скрипту права на исполнение:
chmod +x /etc/nat.sh
#Перезапускаем сеть:
/etc/init.d/networking restart
УСТАНОВКА DNS СЕРВЕРА - DNSMASQ
_______________________________
apt-get install dnsmasq
#Открываем и правим /etc/dansmasq.conf
listen-address=192.168.1.1
cache-size=300
#Логируем запросы в файл /var/log/dnsmasq.log
log-queries
log-facility=/var/log/dnsmasq.log
#Перезагружаем демона
/etc/init.d/dansmasq restart
УСТАНОВКА и НАСТРОЙКА SQUID (работа)
____________________________________
apt-get install squid
#Открываем /etc/squid/squid.conf и делаем поправки
#В большем случаи, все уже стоит на своих местах,нужно только,
перепроверить и где надо,раскоментировать строчки или
подправить!!!!!
#Определяем имена acl в зависимости от адресов
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
#Указываем внутренние сети, а лишние коментируем
acl localnet src 192.168.1.0/16 # RFC1918 possible internal network
#Перечисляем порты, которые смогу проходить через прокси
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
|
| ПОСЛЕ строчки выше, я обычно вносил ACL правила !
| Примеры приведены ниже !
|
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access deny all
icp_access allow localnet
icp_access deny all
#Делаем его прозрачным, дописывая transporent
http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
#Выделяем память под кешируемые объекты
cache_mem 64 MB
#Максимальный размер файла в памяти
maximum_object_size_in_memory 5000 KB
#Этот тэг определяет политику удаления (замены) объектов
из кэша,
когда потребуется место под новые объекты. (LRU)-Политика
Squid
по умолчанию, основанная на сохранении часто запрашиваемых
объектов
cache_replacement_policy heap LRU
#Этот тэг определяет какие объекты будут удалятся из памяти, когда
потребуется свободное место под новые объекты
memory_replacement_policy heap lru
#Директория для кеша где 4096-количество мегабайт для него,
16-количество каталогов первого уровня, 256-второго
cache_dir ufs /var/spool/squid 4096 16 256
#Этот тэг определяет алгоритм выбора директории для кэширования
некоторого объекта
store_dir_select_algorithm least-load
#Максимальный размер закешированного файла
maximum_object_size 10240 KB
#Эти тэги определяют нижний и верхний предел заполненности swap.
Замена объектов кэша, согласно выбранной политики, начинается,
когда заполненность swap достигнет нижней границы. Если заполненность
swap достигнет верхней границы, то замена объектов кэша будет
происходить более агрессивно
cache_swap_low 90
cache_swap_high 95
#Этот тэг определяет формат записи для журнала доступа(access.log)
logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt
#Пути, где хранятся логи
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
#Ротация логов
logfile_rotate = 0
#Опция “buffered_logs”, если установлена в “ON”, может немного
увеличить скорость записи некоторых файлов регистрации. Это
оптимизационная возможность
buffered_logs on
#Этот тэг позволяет настраивать дополнительные параметры оптимизации
кэширования.Эти настройки помогают Squid определить, брать объект для
пользователя из кэша,или этот объект уже устарел в кэше, и нужно скачать
этот объект у первоисточника заново
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
refresh_pattern -i \.jpg$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.gif$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.html$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.htm$ 43200 100% 43200 override-lastmod override-expire
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
#посылает сообщение о закрытии соединения клиентам, которые оставляют
полуоткрытое соединение с сервером squid
half_closed_clients off
#Сообщения о ошибках будем отображать на русском
error_directory /usr/local/etc/squid/errors/Russian-1251
#Если нет своего DNS сервера, то прописываем DNS провайдера
dns_nameservers 217.26.0.2
#Если есть DNS, то можно так:
dns_nameservers 127.0.0.1
#Расположения host файла
hosts_file /etc/hosts
#Дадим Squid возможность в кешировании большего количества
(число записей) FQDN-записей (параметр не совсем понятный, особенно
в свете того, что для него нет правила очистки кеша от устаревших записей,
как это сделано для ipcache_size; подозреваю, что это работает тогда,
когда нужно осуществить обратное разрешение имени исходя из имеющегося
IP-адреса, что в типовой конфигурации Squid не подразумевается)
fqdncache_size 5120
#Этот тэг определяет, будет ли однажды выделенная(но сейчас не используемая)
память, доступна для использования в будущем. Если вам необходимо освобождать
память, которая была выделена(но сейчас не используется), то установите значение
этого тэга в «off»
memory_pools off
#Этот тэг определяет местоположение директории, которая будет содержать core файлы
coredump_dir /var/spool/squid
#Сама настройка закончена, теперь приступим к запуску squid, перввым делом
создадим иерархию директорий кеша. Для этого нужно запустить squid с ключом -z
squid -z
service squid rfestart
#Если есть ошибки, то он напишет
#Если ошибок нет, то должно выглядеть примерно так:
2012/04/06 10:52:30| Squid is already running! Process ID 841
ОПРЕДЕЛЕННЫЕ ЗАПРЕТЫ В SQUID
____________________________
ЗАПРЕТ ДОСТУПА по ДОМЕНАМ (com.,ru.,net. и т.д)
_______________________________________________
#Создадим файл - domains в корне squid или подпапке с любым названием и
пропишем:
-------
\.com
\.by
\.info
-------
#В squid пишем правило
---------------------------------------------------------------
Acl SitesRegexComNet dstdom_regex "\etc\squid\sites\domains"
http_access deny SitesRegexComNet
---------------------------------------------------------------
ЗАПРЕТ ДОСТУПА к САЙТАМ
_______________________
#Создадим файл - badsites и пропишем:
--------
ya.ru
dni.ru
mail.ru
--------
#В squid пишем правило
--------------------------------------------------
acl blacklist url_regex "/etc/squid/bad/badsites"
http_access deny blacklist
--------------------------------------------------
ПО ОПРЕДЕЛЕННОМУ IP
___________________
#Создадим файл - ip и пропишем:
------------
192.168.0.2
192.168.0.3
192.168.0.4
------------
#В squid пишем правило
-------------------------------
acl ip1 src "/etc/squid/bad/ip"
http_access deny ip1
-------------------------------
ЗАПРЕТ НА РАЗЛИЧНЫЕ РАСШИРЕНИЯ
______________________________
#Создадим файл - rashireniya и пропишем:
-------
\.avi$
\.mpg$
\.wmv$
-------
#В squid пишем правило
-------------------------------------------------
acl rashireniya1 src "/etc/squid/bad/rashireniya"
http_access deny rashireniya1
-------------------------------------------------
ЗАПРЕТ НА САЙТЫ ИЗБРАННЫМ
_________________________
--------------------------------------------------
acl ip1 src "/etc/squid/bad/ip"
acl blacklist url_regex "/etc/squid/bad/badsites"
http_access deny ip1 blacklist
--------------------------------------------------
ЗАПРЕТ ДОСТУПА в ИНТЕРНЕТ по ВРЕМЕНИ
____________________________________
#Если мы вставим перед 10:00-11:00 SMTWHFA, то это означает по определенным
дням запрет (т.е Воскресенье S,Понедельник M, Вторник T и т.д)
--------------------------------------------------
acl badtime time 10:00-11:00
acl badsites url_regex "/etc/squid/site/timesites"
http_access deny bad_time badsites
--------------------------------------------------
ЗАПРЕТ ДОСТУПА по ПОРТАМ
________________________
---------------------------------
acl icqport port 5190
http_access deny CONNECT icqport
---------------------------------
#При желании можно создать список не используемых IP и доступ в инет на них
заблокировать
ЗАПРЕТ ДОСТУПА по MAC адресу
____________________________
#В списке прописывается, только МАС адрес маленькими буквами с двоеточием,
но если мы хотим открыть доступ в интернет, в списке, то достаточно
закоментировать нужный MAC адрес.
П Р И М Е Р : 1
------------------------------------------------
acl mac1 arp 00:67:45:f1:5a:p2 01:67:h8:78:5d:50
http_access deny all mac1
------------------------------------------------
П Р И М Е Р : 2
-----------------------------------------
acl mac1 arp "/etc/squid/bad/mac_address"
http_access deny all mac1
-----------------------------------------
#Остается настроить прозрачную работу прокси-сервера, чтобы
http трафик заворачивался на Squid автоматически, без
прописывания прокси на клиенте в браузере. Для этого открываем:
/etc/nat и прописываем в конец строку:
П Р И М Е Р - 1 (virtual box) ПИШЕТСЯ В ОДНУ СТРОЧКУ ВСЕ! после multiport - пробел
---------------------------------------------------------------------------
iptables -t nat -A PREROUTING -i eth1 ! -d 10.0.0.0/24 -p tcp -m multiport
--dport 80 -j DNAT --to 192.168.1.1:3128
---------------------------------------------------------------------------
#В случаи, если мы используем DansGuardian то порт в конце меняем на
8081
#Перезапускаем сеть:
УСТАНОВКА И НАСТРОЙКА АНАЛИЗАТОРА LOG ФАЙЛОВ - SARG
___________________________________________________
apt-get install sarg
#Указываем, где будет находиться лог squid, который sarg будет
анализировать
access_log /var/log/squid/access.log
#Включаем построение графиков
graphs yes
graph_days_bytes_bar_color orange
#Указываем загологок отчетов sarg
title "МОЯ ОГРАНИЗАЦИЯ"
#визуальные изменения (шрифт,размер шрифта,цвет и т.д)
font_face Tahoma,Verdana,Arial
header_color darkblue
header_bgcolor blanchedalmond
font_size 9px
background_color white
text_color #000000
text_bgcolor blanchedalmond
title_color green
#адрес директории хранения временных файлов
temporary_dir /tmp
#Указываем, где будут храниться отчёты
output_dir /var/www/squid-reports
#разрешаем, чтобы вместо ip компов, sarg резолвил имена компов
resolve_ip yes
#использовать IP вместо имен пользователей
user_ip no
#Сортировка юзеров в выводе по USER CONNECT BYTES TIME
topuser_sort_field BYTES reverse
user_sort_field BYTES reverse
#Указывем ip-адреса с которых ненужно собирать статистику
exclude_users /etc/sarg/exclude_users
#Адреса хостов и сетей, которые не нужно включать в отчёт
exclude_hosts /etc/sarg/exclude_users
#Как будет выглядеть имя выходного файла, который состоит из
форматированной даты, (u)-mm/dd/yyyy - американский формат даты
date_format u
#параметр задает количество отчетов хранимых в каталоге, если он указан
lastlog 0
#Удаление временных файлов
remove_temp_files yes
#создавать index-ный файл отчетов
index yes
#Определяем тип генерируемого индекса
index_tree file
#Перезаписывать отчет, если отчет с указанной датой уже существует
overwrite_report yes
# Указываем подставлять вместо отсутствующего userdi IP пользователя
records_without_userid ip
#Указываем использовать запятую вместо десятичной точки
use_comma yes
#Команда для отправки сообщения по почте
mail_utility mailx
#Сколько сайтов в отчете
topsites_num 100
#Сортировка топсайтов по (D)-убыванию
topsites_sort_order CONNECT D
#Выбираем тип сортировки для индекса отчётов: в обратном порядке
index_sort_order D
#Укажем путь к файлу, содержащему HTTP-коды; Sarg будет игнорировать
в отчёте записи с этими кодами
exclude_codes /etc/sarg/exclude_codes
#Пока время в логе не превысит 8 часов от начала лога, sarg счиатть не будет
max_elapsed 28800000
#Тип отчета, включаем все
report_type topusers topsites sites_users users_sites date_time denied auth_failures
site_user_time_date downloads
#Место расположения usertab
usertab /etc/sarg/usertab
#Детальные адреса посещаемых ресурсов
long_url no
#При формировании и сортировке отчётов ориентируемся на полученные байты,
а не на затраченное время
date_time_by bytes
#Указываем язык который будет использоваться в отчётах
charset UTF-8
#Показывать сообщение о удачном завершении анализа
show_successful_message yes
#Показывать статистику чтения
show_read_statistics yes
#Определяемся со списком параметров, выводимых в отчёте сравнительной
активности пользователей
topuser_fields NUM DATE_TIME USERID CONNECT BYTES %BYTES IN-CACHE-OUT
USED_TIME MILISEC %TIME TOTAL AVERAGE
#Определяемся со списком параметров, выводимых в отчёте индивидуальной
активности
user_report_fields CONNECT BYTES %BYTES IN-CACHE-OUT USED_TIME MILISEC
%TIME TOTAL AVERAGE
#Не ограничиваем Sarg в количестве пользователей в отчёте
сравнительной активности
topuser_num 0
#Помечать в отчетах о загружаемых файлах
download_suffix "zip,bzip,gz,rpm,doc,iso,bin,cab,com,mdb,mso,rtf,src,sys,exe,
mp3,avi,mpg,mpeg,swf"
#Сама настройка SARG акончена, на самом деле практически все уже
установлено по умолчанию
и прописывать или дописывать ничего не надо, возможно из всего
перечисленного, только нужно
исправить и раскоментировать пару позиций!!!!!
#Заходим в usr/local/etc/sarg/usertab и прописываем IP с именем
---------------------
192.168.1.5 Kuznetsov
192.168.1.6 Ivanov
192.168.1.7 Smirnov
---------------------
#В Apache apache2.conf дописываем DocumentRoot "/var/www/squid-reports/"
#погуляем по сайтам и зайдем в /etc/sarg и сделаем команду для
сбора статистики
sarg
#Переходим по адресу 192.168.1.1/squid-reports/ и видим нашу статистику
#далее создадим sh скрипт для автоматисческого сбора статистики
/etc/sarg-d.sh И пропишем в него:
------------------------------------------------------------
#!/bin/sh
/usr/bin/sarg -d `/bin/date +%d/%m/%Y`-`/bin/date +%d/%m/%Y`
------------------------------------------------------------
#открывааем cron и прописываем время запуска скрипта на каждый день
9:00,11:00,14:00 и т.д
-----------------------------------------------
0 9,11,14,17,19,22 * * 0-6 root /etc/sarg-d.sh
-----------------------------------------------
#Создаем исполняемый sh скрипт - clearlog.sh для автоматической
чистки log файлов backup с расширением .gz
--------------------------------
#!/bin/bash
cd /var/log/
rm $(ls *.gz)
cd /var/log/squid/
rm $(ls *.gz)
cd /var/log/apt/
rm $(ls *.gz)
cd /var/log/installer/
rm $(ls *.gz)
cd /var/log/unattended-upgrades/
rm $(ls *.gz)
cd /var/log/samba/
rm $(ls *.gz)
cd /var/log/apache2/
rm $(ls *.gz)
---------------------------------
#Добавляем скрипт в CRON (в 23:00,2ого и 27ого дня каждого месяца)
0 23 2,27 * * root /etc/clearlog.sh
#Привязываем IP к MAC
#В /etc создаем файл ethers и в нем пишем IP и MAC
-----------------------------
192.168.1.1 00:76:f4:45:b7:34
192.168.1.2 00:71:f9:05:b3:36
192.168.1.3 00:77:f2:48:e7:74
-----------------------------
#Делаем комманду
arp -f /etc/ethers
#Для автоматического запуска делаем исполняемый sh скрипт - mac.sh
------------------
#!/bin/sh
arp -f /etc/ethers
------------------
#Далее прописываем его в /etc/network/interfaces
post-up /etc/macstart.sh
#Что бы в syslog (var/log/syslog) не фильтровался отчет об отправки
письма по email,в CRONTAB после (PATH=/usr/local/sbin:/usr/local ...)
прописываем:
MAILTO=""
УСТАНАВЛИВАЕМ УДАЛЕННЫЙ ДОСТУП НА БАЗЕ HAMACHI
______________________________________________
#Для начала скачаем и попробуем установить пакет:
wget https://secure.logmein.com/labs/logmein-hamachi...
sudo dpkg -i logmein-hamachi_2.1.0.17-1_i386.deb
#Система выдаст сообщение по поводу зависимостей, но добавит пакет в
список менеджера пакетов. Теперь можно произвести стандартную
установку:
sudo apt-get install logmein-hamachi
#Система попросит установить зависимости, устанавливаем. Всё, теперь
у вас установлена серверная версия Hamachi на Ubuntu Linux.
#Запуск и настройка Hamachi происходит из консоли. Для подключения к
серверам Hamachi
введите следующую команду:
sudo hamachi login
#Для подключения к нужной сети вводим следующую команду:
sudo hamachi do-join 111-222-333
#111-222-333 это ваш идентификатор. Вводить его нужно именно как в
примере, с дефисами.Hamachi запросит пароль на подключение. Если его
нету просто нажмите Enter.
#Описание:
hamachi --help
#Создание сети
hamachi create myhome
#Далее попросит ввести пароль - вводим
IP TABLES ЗАПРЕТЫ
_________________
#запрет mail agent для всех
iptables -A FORWARD -d 94.100.0.0/255.255.0.0 -p tcp --dport 443 -j DROP
iptables -A FORWARD -d 94.100.0.0/255.255.0.0 -p tcp --dport 2041 -j DROP
iptables -A FORWARD -d 94.100.0.0/255.255.0.0 -p tcp --dport 2042 -j DROP
iptables -A FORWARD -d 194.67.0.0/255.255.0.0 -p tcp --dport 443 -j DROP
iptables -A FORWARD -d 194.67.0.0/255.255.0.0 -p tcp --dport 2041 -j DROP
iptables -A FORWARD -d 194.67.0.0/255.255.0.0 -p tcp --dport 2042 -j DROP
iptables -A FORWARD -d 194.186.0.0/255.255.0.0 -p tcp --dport 443 -j DROP
iptables -A FORWARD -d 194.186.0.0/255.255.0.0 -p tcp --dport 2041 -j DROP
iptables -A FORWARD -d 194.186.0.0/255.255.0.0 -p tcp --dport 2042 -j DROP
#запрет ICQ одному (пример)
iptables -A FORWARD -d 205.188.0.0/16 -s 192.168.1.32 -j DROP
#группе (ip для блокировки)
iptables -A FORWARD -d 205.188.0.0/16 -m iprange --src-range 192.168.1.11-192.168.1.22 -j DROP
iptables -A FORWARD -d 81.19.64.0/23 -m iprange --src-range 192.168.1.11-192.168.1.22 -j DROP
iptables -A FORWARD -d 81.19.66.0/23 -m iprange --src-range 192.168.1.11-192.168.1.22 -j DROP
iptables -A FORWARD -d 81.19.69.0/24 -m iprange --src-range 192.168.1.11-192.168.1.22 -j DROP
iptables -A FORWARD -d 81.19.70.0/24 -m iprange --src-range 192.168.1.11-192.168.1.22 -j DROP
iptables -A FORWARD -d 64.12.0.0/16 -m iprange --src-range 192.168.1.11-192.168.1.22 -j DROP
Комментариев нет:
Отправить комментарий