Прокси сервер на Linux
 

Приветствую!)
На днях ради интереса поставил себе на бук Linux Mint 12, понравилась!) решил на прокси сервер на работе установить linux систему, так как надоели вечные падения винды и ЮзерГейта в частности!
Так вот, подскажите пжлста подходящий дистрибутив Linux для решения моей задачи, неплохо бы было ещё получить аналог ЮзерГейта и какой нить хороший фаервол, ну а если ещё и сниффер будет, будет вообще замечательно))

как вариант:
squid + авторизация в домене
Kerberos
NTLM
на squid можно поставить разные веб-морды для управления. типа SAMS
фаерволл - штатный iptables - изучайте

В принципе, дистрибутив можно ставить любой, тот, который нравится. А средства для организации прокси есть, вроде как, в любом дистрибутиве. У меня, например, Debian стоит, вполне доволен. А остальные дистры мне не нравятся. Это дело вкуса, как говорится. Прокси сервер, ессно, строить лучше всего на Squid. Авторизацию делать или нет, это дело Ваше. У меня авторизации нет, прокси прозрачный. Фильтрация по MAC-адресам. Благо никто у нас мак адреса не умеет изменять:))) Плюс, крутится антивирус Clamav. IPTABLES ессно настроен и работает. так что защита от взлома более-менее обеспечена. Для управления всей системой, в т.ч. и Сквидом, использую WebMIN. Классная вещь, советую!

Спасибо за советы, вот выбираю между Mint, Ubuntu и debian? нужен такой, чтобы не сильно загружен был всякой чепухой не нужной и самый надежный вариант!
а webMIN это что? можно по подробней?)

поиск документация
а что - с 3 сквидом не работает?

установил модуль для сквида - установился 2.7....
надо было почитать, перед тем как ставить... хорошо, на тестовой машине всё делал...
прочитал немного... там нет кербероса... :(

+1

я на 3 Кальмар так и не перешел. Во-первых, что-то он у меня с первого раза не заработал, во-вторых, ВебМИН только кальмар 2.7 поддерживает...... к вебмину я привык, поэтому дальше с 3 кальмаром разбираться не стал

Viton-Zizu, если что, вдруг заинтересует, вот http://www.webmin.com/ - качаем оттуда. Ставится без проблем

я тут почитал про вебмин - там просто пути к сквиду меняют, и типа всё ок... но мне нужен Керберос... в вебмине только NTLM

exo, вроде как да, я тоже путь менял. Но! В сквидах 2.7 и 3 есть существенные различия в конфиге. Поэтому для себя я там не только кербероса не увидел (хотел как то сделать) , но и еще глюки почерпнул. Возможно у меня из-за этого 3 кальмар не работал) ) )

я искал искал, а когда нашёл по-кусочкам в интернете написал для себя статью
теперь всегда под рукой.

ребят, подскажите пжлста в чём может быть дело, устанавливаю минт12 на бук, всё отлично поставилось инет пашет. ставлю с того же диска на системник, выдает ошибку, подрубаю ЮЗБ дисковод, установка идёт, но визуальное оформление уже немного другое, в плане панелей с верху и снизу! как такое может быть? диск то один) но это ещё пол беды, инет не получается настроить через прокси на системнике, тока лиса работает когда в неё руками забиваешь! есть один момент, на системнике до минт12 стоял убунту, вот там как раз проблема с прокси и высветилась! может не до конца всё форматируется? ничего не понимаю...

ребят, кальмара установил всё в норме) но единственно не особо удобно пользовать конешно его, подскажите, есть ли графическая оболочка какая?) а то постоянно конфиги править тоже не удобно

так же есть S.A.M.S
я для отчётов использую LightSquid

Viton-Zizu, exo правильно подметил, я уже рассказал про Вебмин! Самс - это как бы отдельная тема. Вебмин все же более универсален, так как позволяет рулить всей системой. Рекомендую именно его. Если организовываете прокси-сервер, к которому как правило, не особо то и надо граф.оболочку ставить, Вебмин как раз самое то. С любого браузера заходите по https на проксик свой, и администрируете. Удобно)

я так понимаю это мне апач, sql и прочее понадобится? тогда это совсем нежуное получается, нужен то просто Прокси, без лишних заморочек, я просто представил как щас ручками всех пользователй прописывать(айпи, мак)... уж сильно рутинно получается, поэтому про визуальную и спросил)

ребят и ещё подскажите по портам, в ЮГ для мейла нужно было порты пробрасывать в Кальмаре это нужно делать? или он прозрачно работает?

почтовые протоколы не умеют через прокси работать, соответственно ответ на Ваш вопрос утвердительный, нужно будет пробрасывать.

печально, а каким образом? и ещё не могу найти как аутентификацию по IP и MAC сделать...

для этого надо будет изучить работу iptables, хотя и не обязательно...

ок, это мне ещё предстоит, надо будет в любом случае разбираться с iptables)
такой вопрос, кальмара установил, конфиг скопировал с вики, запускаю а он мне обишку выдает...
http://imageshack.us/f/714/20120323160337.png/

особо в смысл не вдавался,
1 запускать сервисы можно только от рута;
2 Вам же пишут "use the service(8) utility, e.g. service squid start"

вроде запустил и то после перезагрузки и того:
на проксях работает инет- ip 192.168.1.80, на компе - ip 192.168.1.124, забиваю в фаерфоксе настройки прокси, 192.168.1.80 порт 3128 и тишинааа, компы пингуются, сканирую порты на проксях, открыты только139 и 445. следовательно кальмар не робит... подскажите чего ещё можно сделать?)
на проксях конфиг вот:

запускаю скид так
sudo service squid start
squid start/running, process 2711
вроде всё норм как я понял

если ошибка, то какая?
уберите из конфига сквида все те параметры, работу которых Вы не понимаете (ну... в разумных пределах конечно).
Когда увиде это, дальше читать перестал.

transparent - это прозрачный прокси. в этом случае никаких настроек в браузере делать не нужно, кроме как указать адрес прокси сервера в качестве шлюза по умолчанию!

У вас домен Active Directory или нет?

читайте.
http://dethroner.blogspot.de/2009/05/squid.html

Зато нужно делать на NAT шлюзе правило перенаправления. Устал поворять, но прозрачный прокси и прокси с авторизацией - вещи взаимоисключающие. Либо одно, либо другое.
Либо копипастит конфиги в духе авось заработает, либо что-то скрывает.

если этим НАТ шлюзом является не прокси-сервер.

а если шлюз - прокси сервер - http://debuntu.ru/nastroyka-prozrach...id3-squidguard

сорри затупил! конфиг старый выложил, конешно диапазон другой ставил!
попробую порт сделать не transparent, гляну что получится, желательно пока без НАТ попробовать, а потом уже буду НАТ осваивать)

ребят, transparent убрал, хочу пока не прозрачный сделать, всё равно не хочет подрубаться... я вообще тестирую пока, поэтому просто подключаю системник(прокси сервер) и ноутбук(клиент) так вот на клиенте Фаерфокс выдаёт - "Фаерфокс настроен на использование прокси сервера который отказывает в соединении"
на сервере кальмара запускаю, мне пишет- squid start/running, process 1911
как я понимаю значит всё работает, значит что то в конфигах не то наверно... диапазон допустимый IP в этот раз правильно указал. подскажите что ещё можно посмотреть?
з.ы. а да, маленькая деталь... сам прокси который я настраиваю пока работает через прокси)) но работает норм и обновляется и в инет выходит)

ps aux | grep squid
гг. ну и какие мысли по этому поводу?

что надо ещё и этот прокси в конфиге прописать...только незнаю как))
вот что выдаёт)

ну прочитайте уже документацию.
Вы вывод команды проанализировали?

команда вывела инфу по процессу, но какую, не совсем понял))
по родительскому прокси вроде нашёл, читаю)

прописываю
получаю ошибку, чего не так?

после того как права папкам назначил, заработали логи))
вот что пишет кэшлог
/var/spool/squid/swap.state: (13) Permission denied

что в /var/log/squid/access.log ?

Как вы вообще лог сквид ставили?

переставьте на дебиан без графики ОС.
сквид ставится одной командой:
apt-get install squid
всё, дальше правится конфиг в соответствии с вашими нуждами.

ееее, разобралсо)))
права на папки криво назначил))
а есть русская полная справка по настройке кальмара? чтобы я дальше уже мог спокойно настраивать)

а такой вопрос, в аксесс лог так и будет всё подряд писаться или можно чтобы по пользователям разбивал? а то сильно не удобно полный лог листать...
и можно ли сделать лог по проще, чтобы просто велись посещаемые сайты, а не все подряд подгружаемые элементы с сайта)

это что вообще за абракадабра?) где дешифратор?
А по сути, чем обоснован данный совет?
предполагаю, сейчас ситуация изменилась в лучшую сторону и кривые настройки заменены на политкорректные rwxrwxrwx. Угадал?)

Вы знаете Минт? Я нет.
Без графики - а зачем она там?
поставьте анализаторы логов. например - lightsquid

ух ты! вот за это спасибо! завтра на работе обязательно гляну!!!

ага, всё пашет) теперь можно спокойно эксперементировать с настройками)
а вообще как то он глючно на минт встал, пришлось права на папки ручками до делывать, это пока тестовый вариант, а уже нормальный возможно буду и не на минт делать, нужно чтото по стабильней!

а где можно ещё посмотреть все возможные примочки к кальмару?) lightsquid уж очень понравился!)

пытаюсь сделать прозранчйы прокси, но IPTABLES не хочет правило прописывать
подскажите что не правильно прописываю? чтото в синтаксисе?

в гугле.
ссылку читали?

плюс сверху, не получается установить guarddog...
говорит, пакет guarddog недоступен, но уопмянут в списке зависимостей другого пакета, это может означать, что пакет отсутствует, устарел, или недоступен из источников, не упомянутых в source.list
есть ли какой нибудь ещё способо установить програмку? а то дико неохота все правила в ручную прописывать в iptables...

установил firestarter, я как понимаю это одно и тоже с гварддогом?) и тот и тот настройки iptables правят?)

ребят, чтобы темы не плодить, посоветуйте пжлста способ для авторизации пользователей? на ЮзерГейт был IP + MAC тут наверно тоже подобное хочется сделать. но также нужно в дальнейшем получать статистику по пользователям, поэтому подскажите пжлста подходящий способ?

сеть какая? рабочая группа или домен?

сеть не большая, компов 50, рабочая группа

можно и домен настроить. управлять лучше и быстрее будет. а в домене авторизация kerberos.

погодите - у вас сейчас прозрачный прокси??? у него нет авторизации.

кстати, вот ещё программа для анализа free-sa.
только эта статья похоже для BSD системы написана.

ничего понять не могу, transparent прокси пускает всех подряд получается? вне зависимости, прописывали мы IP в http_access allow или нет?

и вот такой вопрос, нужно делать рестарт сквида каждый раз когда сквид.конф правишь? или он настройки сразу подхватывает без перезапуска?

нужно.

Можно ограничиться специальной командой перечитки конфига:
Или соответствующей командой init/rc скрипту, например /etc/rc.d/squid reload (конкретная команда зависит от дистрибутива).

ну я типа это и имел ввиду под рестартом :)

Не, это разные вещи, перечитать конфиг и отправить сигнал об этом демону или перезапустить демона. Первое существенно быстрее, особенно если коннектов много и обрывать их все нет резона.

спасибо большое за эту команду) а то постоянно перезагружал))))
ребят, поставил себе сквид3
вот конфиг
в allowed_hosts:
проблема в том, что пускает все подряд IP! хотя по идее должен только один, прописанный в allowed_hosts... ничего понять не могу)

вот я даю!) по на открывал портов а потом ничего понять не могу))
удалил http_access allow open_ports и теперь пускает только нужные IP а не всё подряд))

ребят, на прозрачном прокси вообще пользователей фильтровать никак не получится? допустим мне надо только чтобы определённые IP в инет ходили, может есть какие плагины или ещё чего? подскажите пжлста)

что Вы привязались к этому прозрачному прокси? Чем не устраивает прокси с авторизацией?

не хочется всех клиентов об бегать и заново почтовики браузеры банк клиенты и тд настраивать)

используйте средства удаленного администрирования, пользуйтесь возможностями групповых политик и т.д. Либо работаете головой, либо ногами :)
Почтовики не работают через прокси. Банк-клиенты... вроде тоже, хотя надо уточнить. Посмотрите на продукт Netams.

у него нет функционала прокси сервера. это биллинговая система - показывает только количество трафика, а не кто куда ходил. Нет функционала фаервола.
правда, они говорили что пишут клиент, который сможет показывать статистику сайтов. У меня в паре с цисками работает 4-ая версия уже год как. Под юниксом работает.

сейчас прочитал - сделали статистику по сайтам и авторизацию доменных-пользователей. надо будет как-нить попробовать. у меня работает 1068... сейчас 1402...

пошёл ставить виртуалку с Дебианом...

ребят, установил Webmin + Squid3
всё вроде бы ничего НО как обычно в линухе всё просто так не работает, захожу в админку там ошибка
your squid cache directory /var/spool/squid3 has not been initialized/ this must be done before Squid can be run
нажимаю под ним на кнопочку Initialize Cache
и вот что он мне пишет
Initializing the Squid cache with the command squid3 -f /etc/squid.conf -z ..
date | Creating Swap Directories

вот собственно и всё, выхожу обратно, надпись осталась, ничего понять не могу.... папка эта пустая
... squid3 -z делал...

проверить не запущен ли сквид. если да, то выгрузить и нажать кнопкуэ.

если бы всё было так просто) уже пробовал так))
сношу webmin, дико не удобная вещь...проще конфиги так править

Как это почтовики не работают, я на сандерберд заворачивал на 80ый порт через прокси.

proxifier в помощь