Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Debian/Ubuntu - Lenny + SQUID + SAMS + VPN

Ответить
Настройки темы
Debian/Ubuntu - Lenny + SQUID + SAMS + VPN

Новый участник


Сообщения: 3
Благодарности: 0

Профиль | Отправить PM | Цитировать


Всем привет.
Я начинающий сисадмин (за неграмотность не судите строго). Совсем недавно начал работать с Debian, как с серверной системой. Есть некая локальная сеть 192.168.1.0/24. В этой сети я поднял proxy на debian lenny 5.06 (squid с параметром transparent) + учёт пользователей (SAMS). Всё работает прекрасно. Пользователи ходят в нет через прозрачный прокси. Через SAMS есть возможность контролировать их перемещения по нету. Но вот появилась такая задача: надо полностью зашифровать трафик между локалкой и внешкой. Есть коммерческие проекты типа Ideco ICServer и т.п. где реализована авторизация пользователей на шлюзе несколькими вариантами (VPN, agent, web, ip). Вот меня заинтересовал вариант VPN авторизации. В сети не нашёл толковых вариантов реализации данной задумки. Вот надеюсь на ваши знания и умения. И прошу помощи и подсказок. Когда будет полный комплект squid+sams+vpn обещаю подробную инструкцию. Да, чуть не забыл, обязательно должен работать сбор статистики по пользователям в виртуалке адреса назначаются по DHCP. Если нужна какая доп. инфа спрашивайте, обязательно поделюсь.
Заранее благодарю всех, кто уделил хоть какое-то внимание.

Отправлено: 06:32, 13-01-2011

 

Аватара для Yustus

Ветеринар


Сообщения: 1763
Благодарности: 64

Профиль | Сайт | Отправить PM | Цитировать


Цитата hilary_daff:
надо полностью зашифровать трафик между локалкой и внешкой »
неясна постановка задачи

-------
<EOT>
Пригодился ответ? Смело жмем на Полезное сообщение под ним =)


Отправлено: 09:30, 13-01-2011 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 3
Благодарности: 0

Профиль | Отправить PM | Цитировать


Да. У меня всегда такая проблема была. Не могу формулировать и всё тут. Попробую на примере. Есть локальная сеть и есть виртуальная. Если, к примеру запустить icq снифер из локалки или виртуалки, то сообщения не должны перехватываться, т.к. проходят через зашифрованый канал. Вот. Так и с остальным трафиком. Вобщем мне удалось поднять VPN, но столкнулся с такой проблемой - Не могу правильно настроить iptables. Весь трафик из локалки наружу (в нашем случае из виртуалки) должен перенаправляться на порт 3128 где висит прозрачный прокси. С iptables у меня туговато, вот вопрос теперь в этом. Привожу свой вариант:

*filter
:INPUT DROP [417:72027]
:FORWARD ACCEPT [2622:161926]
:OUTPUT ACCEPT [2664:224816]
-A INPUT -p tcp -m tcp --dport 33 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -s 172.16.16.0/24 -j ACCEPT - вот смущает эта строка. Уверен неправильно, но как должно быть не разберусь.
-A INPUT -s 192.168.1.0/24 -i eth2 -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [727:92675]
:POSTROUTING ACCEPT [4:281]
:OUTPUT ACCEPT [4:281]
-A PREROUTING -s 172.16.16.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 172.16.16.0/24 -o eth1 -j SNAT --to-source 10.10.254.4
COMMIT

ну и интерфейсы для ясности:

eth1 Link encap:Ethernet HWaddr 00:04:76:11:64:b6
inet addr:10.10.254.4 Bcast:10.10.254.255 Mask:255.255.255.0
inet6 addr: fe80::204:76ff:fe11:64b6/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5554326 errors:0 dropped:0 overruns:0 frame:0
TX packets:7805467 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2341920706 (2.1 GiB) TX bytes:627349622 (598.2 MiB)
Interrupt:16 Base address:0xc800

eth2 Link encap:Ethernet HWaddr 00:80:48:18:3c:30
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::280:48ff:fe18:3c30/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:8928042 errors:0 dropped:0 overruns:0 frame:0
TX packets:5952167 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:936018929 (892.6 MiB) TX bytes:2464906609 (2.2 GiB)
Interrupt:19 Base address:0xe800

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:359159 errors:0 dropped:0 overruns:0 frame:0
TX packets:359159 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:205829207 (196.2 MiB) TX bytes:205829207 (196.2 MiB)

ppp0 Link encap:Point-to-Point Protocol
inet addr:172.16.16.1 P-t-P:172.16.16.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1396 Metric:1
RX packets:231083 errors:0 dropped:0 overruns:0 frame:0
TX packets:141045 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:12442966 (11.8 MiB) TX bytes:48309055 (46.0 MiB)

ppp1 Link encap:Point-to-Point Protocol
inet addr:172.16.16.1 P-t-P:172.16.16.3 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1396 Metric:1
RX packets:2135 errors:0 dropped:0 overruns:0 frame:0
TX packets:2706 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:222022 (216.8 KiB) TX bytes:2978822 (2.8 MiB)

Отправлено: 02:29, 14-01-2011 | #3


Пользователь


Сообщения: 103
Благодарности: 3

Профиль | Отправить PM | Цитировать


а зачем для шифрования трафика использовать отдельный впн?

Отправлено: 02:33, 14-01-2011 | #4


Новый участник


Сообщения: 3
Благодарности: 0

Профиль | Отправить PM | Цитировать


Так. Оказалось всё в порядке. Запросы как и положено заворачиваются на squid. Теперь нужно разобраться, как настроить sams на пользователей. debian раздаёт адреса в виртуалке по DHCP. В sams выставлена авторизация по ip. Может у вас есть какие предложения?!

"а зачем для шифрования трафика использовать отдельный впн?"

Не совсем понял что вы имеете ввиду. Есть какие-то другие варианты?

Отправлено: 02:34, 14-01-2011 | #5



Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Debian/Ubuntu - Lenny + SQUID + SAMS + VPN

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Squid+SAMS+Rejik freemanlutsk Программное обеспечение Linux и FreeBSD 1 12-01-2011 16:01
Debian/Ubuntu - Настройка SQUID для VPN-туннеля Vadim_kazan Общий по Linux 3 15-05-2009 10:41
Suse/OpenSuSE - Про squid+sams stavsys Общий по Linux 7 17-02-2009 16:29
FreeBSD - [решено] SQUID+SAMS c авторизацией по NTLM. Почему Opera требует авторизацию? BachiStil Общий по FreeBSD 2 04-02-2009 16:21
Шлюз & VPN & SQUID kryo Общий по FreeBSD 6 06-06-2005 14:27




 
Переход