volozub
30-01-2013, 17:56
Добрый день всем. Надеюсь на вашу помощь. Задался целью логировать посещения пользователей в инете. Вы можете кидаться всем чем хотите, но наглядность и удобность использования не заменить ничем, поэтому прикрутил вэб морду с сквиду и саргу. Отчёты генерились, добился чего хотел. + кэширование инета заметно ускоряет работу. Но возникла проблема с почтой на компах в сетке - ни доставка ни отправка не работают. К тому же перестал работать клиент видеонаблюдения. Сбросив все правила iptables и установив всё на РАЗРЕШИТЬ и прописав в конфиге сквида безопасные порты 25, 110, 143 проблему не решил. Самое что интересное, почта принималась изначально, устанавливал соединение скайп и аська (qip и icq), работал банк-клиент центр-инвест-онлайн. Отвалилась лишь почта. Причём на самом шлюзе Thunderbird (он же стоит у большинства пользователей, так же стоит The Bat) с ящиков к которым невозможно было установить подключение с компов пользователей, почту получал. И потерял коннект клиент с видеонаблюдением (комп (2) на рисунке). Собственно и вопрос: где искать проблему?
Топология приведена на картинке. Поясню:
1 - видеорегистратор - наблюдение офиса локальное. к нему иногда подключаются из вне.
(192.168.0.5)
2 - комп с клиентом видео-наблюдения на компе (коннектится к такому же удалённому регистратору) - наблюдают сторожа за складом на другом конце города.
(192.168.0.3)
3 - dir-320 с выключенным DHCP и WiFi- просто как хаб.
(192.168.0.4)
4 - DES 1228 - основной хаб сети, к которому подключены проводные клиенты сети (в том числе сервер терминалов).
5 - Asus DSL N12U - принимает подключения от беспроводных клиентов и является сервером DHCP.
(192.168.0.1)
6 - собсно шлюз на Ubuntu.
eth0 (в инет) - (192.168.1.2)
eth1 (в Lan) - (192.168.0.2)
7 - ещё один Asus DSL N12U, звонит в инет в качестве роутера, через него же осуществляется проброс портов на регистратор и сервер терминалов (об этом вопрос ниже).
(192.168.1.1)
Сеть со шлюзом:
http://cs418218.userapi.com/v418218990/2efc/i-LaRbKglQA.jpg
В настоящий момент всё функционирует как и ранее по схеме ниже - нормально, после отключения шлюза.
Сеть без шлюза:
http://cs418218.userapi.com/v418218990/2f04/MrI0lVIxI6c.jpg
Так вот, господа прошу помощи в решении сей проблемы. + прошу помочь настроить проброс портов на шлюзе для сервера терминалов и видеорегистратора.
Напомню, что на данный момент он осуществлён по средствам Virtual Server на роутере (5). Меня устроит вариант, когда шлюз будет полностью прозрачен и проброс можно будет осуществить так же с роутера (7) сквозь шлюз, если это возможно. Либо же объясните, как можно сделать проброс по средствам файрвола Ubuntu, но звонить должен именно сам модем (7).
На шлюзе стоит:
squid 3.1, sarg 2.3.2, webmin 1.610, ubuntu 12.10 (3.5.022-generic i686). Форвардинг портов установил в 1 (/etc/sysctl.conf, net.ipv4.ip_forward = 1).
squid.conf
auth_param basic credentialsttl 2 hour
auth_param basic children 5
auth_param basic program /etc/webmin/squid/squid-auth.pl /etc/webmin/squid/users
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 110 # http
acl Safe_ports port 143 # http
acl Safe_ports port 25 # http
acl Safe_ports port 995 # http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
maximum_object_size_in_memory 8 KB
cache_dir ufs /home/vo/squid3/cache 28192 16 256
access_log /home/vo/squid3/access.log
cache_swap_log /home/vo/squid3/cache_swap_log.log
log_mime_hdrs on
log_fqdn off
cache_log /home/vo/squid3/cache.log
coredump_dir /home/vo/squid3/coredump
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
cache_effective_user vo
always_direct allow all
cache_effective_group vo
http_access allow manager localhost
http_access allow all
http_access deny manager
dns_nameservers 80.80.111.254
http_port 192.168.0.3:3128 transparent
iptables -L
vo@voubuntu:~$ sudo su
[sudo] password for vo:
root@voubuntu:/home/vo# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Топология приведена на картинке. Поясню:
1 - видеорегистратор - наблюдение офиса локальное. к нему иногда подключаются из вне.
(192.168.0.5)
2 - комп с клиентом видео-наблюдения на компе (коннектится к такому же удалённому регистратору) - наблюдают сторожа за складом на другом конце города.
(192.168.0.3)
3 - dir-320 с выключенным DHCP и WiFi- просто как хаб.
(192.168.0.4)
4 - DES 1228 - основной хаб сети, к которому подключены проводные клиенты сети (в том числе сервер терминалов).
5 - Asus DSL N12U - принимает подключения от беспроводных клиентов и является сервером DHCP.
(192.168.0.1)
6 - собсно шлюз на Ubuntu.
eth0 (в инет) - (192.168.1.2)
eth1 (в Lan) - (192.168.0.2)
7 - ещё один Asus DSL N12U, звонит в инет в качестве роутера, через него же осуществляется проброс портов на регистратор и сервер терминалов (об этом вопрос ниже).
(192.168.1.1)
Сеть со шлюзом:
http://cs418218.userapi.com/v418218990/2efc/i-LaRbKglQA.jpg
В настоящий момент всё функционирует как и ранее по схеме ниже - нормально, после отключения шлюза.
Сеть без шлюза:
http://cs418218.userapi.com/v418218990/2f04/MrI0lVIxI6c.jpg
Так вот, господа прошу помощи в решении сей проблемы. + прошу помочь настроить проброс портов на шлюзе для сервера терминалов и видеорегистратора.
Напомню, что на данный момент он осуществлён по средствам Virtual Server на роутере (5). Меня устроит вариант, когда шлюз будет полностью прозрачен и проброс можно будет осуществить так же с роутера (7) сквозь шлюз, если это возможно. Либо же объясните, как можно сделать проброс по средствам файрвола Ubuntu, но звонить должен именно сам модем (7).
На шлюзе стоит:
squid 3.1, sarg 2.3.2, webmin 1.610, ubuntu 12.10 (3.5.022-generic i686). Форвардинг портов установил в 1 (/etc/sysctl.conf, net.ipv4.ip_forward = 1).
squid.conf
auth_param basic credentialsttl 2 hour
auth_param basic children 5
auth_param basic program /etc/webmin/squid/squid-auth.pl /etc/webmin/squid/users
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 110 # http
acl Safe_ports port 143 # http
acl Safe_ports port 25 # http
acl Safe_ports port 995 # http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
maximum_object_size_in_memory 8 KB
cache_dir ufs /home/vo/squid3/cache 28192 16 256
access_log /home/vo/squid3/access.log
cache_swap_log /home/vo/squid3/cache_swap_log.log
log_mime_hdrs on
log_fqdn off
cache_log /home/vo/squid3/cache.log
coredump_dir /home/vo/squid3/coredump
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
cache_effective_user vo
always_direct allow all
cache_effective_group vo
http_access allow manager localhost
http_access allow all
http_access deny manager
dns_nameservers 80.80.111.254
http_port 192.168.0.3:3128 transparent
iptables -L
vo@voubuntu:~$ sudo su
[sudo] password for vo:
root@voubuntu:/home/vo# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination