ppawlo

Tak aby to zrobić przez corna!! czyli bardzo automatycznie!!

Jak w squidzie ustawić, aby strone z tego samego serera pobierał bezpośrednio a nie przez proxy?? - to po pierwsze po drugie. Zablokowałem dostęp do wielu rzeczy - np. nie można ściągać plików *.exe z netu. Niby wszystko Ok, ale na moim serwerze, a dokładniej na mojej stronie sąpliki exe, które należy ściągać np. do aktualizacji programu. Co mam zrobić w takiej sytuacji, Czy mogę ustawić w squidzie, aby z moich stron może ściągać wszystko i bezpośrednio, a resztę przez proxy i z ograniczeniami?? Dzięki

Chodzi mi o takie cos Mianowicie. Jeżeli ktoś coś zrobił (np. nie zapłacił abonamentu, czy złamał jakieś zasady) to chciałbym aby cokolwiek otworzy - jakąkolwiek stronę internetową to otwarła mu sięmoja strona informująca iż dostęp do internetu z jego komputera został zablokowany!! Jak to zrobić?? - Dzięki?? - może jakiś materiał z netu - gdzies ktoś coś czytał na ten temat??

Chciałbym automatycznie wysyłać emaila do usera wraz załącznikiem w postaci pliku - rzecz jasna. Jak to zrobić?? - nigdy jeszcze nie wysyłałem emaila z linuxa??

Teraz mam tak i działa !! #Akceptujemy polaczenia juz nawiazane (inaczej nawet net nie zadziala) #Bez tych ustawien nie dziala DNS iptables -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED iptables -A OUTPUT -p tcp -j ACCEPT -m state --state ESTABLISHED #iptables -A INPUT -p tcp -j ACCEPT -m state --state RELATED iptables -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED iptables -A OUTPUT -p udp -j ACCEPT -m state --state ESTABLISHED #iptables -A INPUT -p udp -j ACCEPT -m state --state RELATED #iptables -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED #iptables -A INPUT -p icmp -j ACCEPT -m state --state RELATED #www iptables -A INPUT -p tcp -s 10.0.0.0/8 -d 10.150.1.1/8 --dport 80 -j ACCEPT iptables -A INPUT -p udp -s 10.0.0.0/8 -d 10.150.1.1/8 --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p udp --dport 80 -j ACCEPT #ftp iptables -A INPUT -p tcp -s 10.200.1.220 -d 10.0.0.0/8 --dport 20 -j ACCEPT iptables -A INPUT -p tcp -s 10.100.1.200 -d 10.0.0.0/8 --dport 20 -j ACCEPT #IP Roberta iptables -A OUTPUT -p tcp -s 10.150.1.1/8 --sport 20 -d 10.0.0.0/8 -j ACCEPT iptables -A INPUT -p tcp -s 10.200.1.220 -d 10.0.0.0/8 --dport 21 -j ACCEPT iptables -A INPUT -p tcp -s 10.100.1.200 -d 10.0.0.0/8 --dport 21 -j ACCEPT #IP Roberta iptables -A OUTPUT -p tcp -s 10.150.1.1/8 --sport 21 -d 10.0.0.0/8 -j ACCEPT #dns - TYLKO DLA SIECI WEWNETRZNEJ # " -i eth1" - tylko dla karty eth1 / transakcje typu klient-serwer iptables -A INPUT -p udp --dport 53 -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --sport 53 --dport 53 -m state --state NEW -j ACCEPT iptables -A INPUT -p udp --sport 53 --dport 53 -m state --state NEW -j ACCEPT iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -j ACCEPT #dhcp - Tylko dla sieci wewnetrznej iptables -A INPUT -p tcp -s 10.0.0.0/8 --dport 67 -j ACCEPT iptables -A OUTPUT -p tcp -s 10.150.1.1/8 --sport 67 -d 10.0.0.0/8 -j ACCEPT iptables -A INPUT -p udp -s 10.0.0.0/8 --dport 67 -j ACCEPT iptables -A OUTPUT -p udp -s 10.150.1.1/8 --sport 67 -d 10.0.0.0/8 -j ACCEPT iptables -A INPUT -p tcp -s 10.0.0.0/8 --dport 68 -j ACCEPT iptables -A OUTPUT -p tcp -s 10.150.1.1/8 --sport 68 -d 10.0.0.0/8 -j ACCEPT iptables -A INPUT -p udp -s 10.0.0.0/8 --dport 68 -j ACCEPT iptables -A OUTPUT -p udp -s 10.150.1.1/8 --sport 68 -d 10.0.0.0/8 -j ACCEPT #proxy - TYLKO dla sieci wew iptables -A INPUT -p tcp -s 10.0.0.0/8 -d 10.150.1.1/8 --dport 8080 -j ACCEPT iptables -A INPUT -p udp -s 10.0.0.0/8 -d 10.150.1.1/8 --dport 8080 -j ACCEPT iptables -A OUTPUT -p tcp --dport 8080 -j ACCEPT iptables -A OUTPUT -p udp --dport 8080 -j ACCEPT #samba (139-smbd), (137,138-nmbd) - dla wszystkich iptables -A INPUT -p tcp -s 10.0.0.0/8 -d 10.150.1.1/8 --dport 139 -j ACCEPT iptables -A OUTPUT -p tcp -s 10.150.1.1/8 --sport 139 -d 10.0.0.0/8 -j ACCEPT iptables -A INPUT -p udp -s 10.0.0.0/8 -d 10.150.1.1/8 --dport 138 -j ACCEPT iptables -A OUTPUT -p udp -s 10.150.1.1/8 --sport 138 -d 10.0.0.0/8 -j ACCEPT iptables -A INPUT -p udp -s 10.0.0.0/8 -d 10.150.1.1/8 --dport 137 -j ACCEPT iptables -A OUTPUT -p udp -s 10.150.1.1/8 --sport 137 -d 10.0.0.0/8 -j ACCEPT #--------------------------------Przejscie obok serwera - FORWARD-ing #Pozwalamy na wysylanie i sciaganie poczty z zewnatrz iptables -A FORWARD -p tcp -s 10.0.0.0/8 -d 0/0 --dport 25 -j ACCEPT iptables -A FORWARD -p tcp -s 10.0.0.0/8 -d 0/0 --dport 110 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 --sport 25 -d 10.0.0.0/8 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 --sport 110 -d 10.0.0.0/8 -j ACCEPT iptables -A OUTPUT -p tcp -s 10.150.1.1/8 --sport 25 -d 0/0 -j ACCEPT iptables -A OUTPUT -p tcp -s 10.150.1.1/8 --sport 110 -d 0/0 -j ACCEPT

To jest mój skrypt firewalla - niestety DNS nie działa nie tylko u klientów ale i na serwerze, co mam zrobić aby ten DNS działał?? System to REDHAT 8.0 i jedna karta sieciowa 10.150.1.1 - to adres serwera --------------------------------------------------------------------------------- #!/bin/bash #czwarty firewall w wykonaniu Pawla Pietrzynskiego #Sciezka do plikow wykonalnych iptables="/sbin/iptables" #Ladujemy potrzebne moduly modprobe ip_tables modprobe ip_conntrack modprobe ip_conntrack_ftp #Wyczyszczenie wszystkich dotychczasowych regul #Zamiast tych regulek ponizej moze byc #iptables -F iptables -F FORWARD iptables -F INPUT iptables -F OUTPUT iptables -F -t nat #Domyslna polityka firewalla - wszystko odrzucamy #OUTPUT ACCEPT - gdy chcemy wszystkie uslugi otworzyc dla sieci wychodzacej iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Caly ruch internetowy #------------------------------------------------------ ZABEZPIECZENIA #Zalaczamy forwarding w kernelu echo "1" > /proc/sys/net/ipv4/ip_forward #Bug wykryty w iptables iptables -A OUTPUT -m state -p icmp --state INVALID -j DROP #Ochrona przed falszowaniem pakietow echo "1" > /proc/sys/net/ipv4/tcp_syncookies #Ochrona przed atakiem SMURF echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts #Nie akceptujemy pakietow "Source route" echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route #Nie przyjmujemy pakietow ICMP redirect, ktore moga zmienic nasza tablice #routingu echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects #Wlaczamy ochrone przed blednymi pakietami ICMP error echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses #Obrona przed skanerami portow szybko przemiatajacych siec iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT #Ping of death iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT #Zabezpieczenia przed powodzia pakietow SYN iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT #---------------------------------------------------NASZE USTAWIENIA #Pelen ruch na interfejsie lokalnym, czyli na 127.0.0.1 #Potrzebne dla wielu uslug np. squerrlmaila iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT #---------------------------------INPUT #---------------------------------Wejscie do serwera z interfejsow sieciowych #Akceptujemy polaczenia juz nawiazane (inaczej nawet net nie zadziala) #iptables -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED #iptables -A INPUT -p tcp -j ACCEPT -m state --state RELATED #iptables -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED #iptables -A INPUT -p udp -j ACCEPT -m state --state RELATED #iptables -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED #iptables -A INPUT -p icmp -j ACCEPT -m state --state RELATED #www iptables -A INPUT -p tcp -s 10.0.0.0/8 -d 10.150.1.1/8 --dport 80 -j ACCEPT iptables -A INPUT -p udp -s 10.0.0.0/8 -d 10.150.1.1/8 --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp -s 10.150.1.1/8 --sport 80 -d 10.0.0.0/8 -j ACCEPT #ftp iptables -A INPUT -p tcp -s 10.200.1.220 -d 10.0.0.0/8 --dport 20 -j ACCEPT iptables -A INPUT -p tcp -s 10.100.1.200 -d 10.0.0.0/8 --dport 20 -j ACCEPT #IP Roberta iptables -A OUTPUT -p tcp -s 10.150.1.1/8 --sport 20 -d 10.0.0.0/8 -j ACCEPT iptables -A INPUT -p tcp -s 10.200.1.220 -d 10.0.0.0/8 --dport 21 -j ACCEPT iptables -A INPUT -p tcp -s 10.100.1.200 -d 10.0.0.0/8 --dport 21 -j ACCEPT #IP Roberta iptables -A OUTPUT -p tcp -s 10.150.1.1/8 --sport 21 -d 10.0.0.0/8 -j ACCEPT #dns - TYLKO DLA SIECI WEWNETRZNEJ # " -i eth1" - tylko dla karty eth1 / transakcje typu klient-serwer iptables -A INPUT -p udp --dport 53 -j ACCEPT iptables -A INPUT -p tcp --dport 53 -j ACCEPT iptables -A INPUT -p tcp -s 10.150.1.1/8 --sport 53 -d 0/0 -j ACCEPT iptables -A INPUT -p udp -s 10.150.1.1/8 --sport 53 -d 0/0 -j ACCEPT #dhcp - Tylko dla sieci wewnetrznej iptables -A INPUT -p tcp -s 10.0.0.0/8 --dport 67 -j ACCEPT iptables -A OUTPUT -p tcp -s 10.150.1.1/8 --sport 67 -d 10.0.0.0/8 -j ACCEPT iptables -A INPUT -p udp -s 10.0.0.0/8 --dport 67 -j ACCEPT iptables -A OUTPUT -p udp -s 10.150.1.1/8 --sport 67 -d 10.0.0.0/8 -j ACCEPT iptables -A INPUT -p tcp -s 10.0.0.0/8 --dport 68 -j ACCEPT iptables -A OUTPUT -p tcp -s 10.150.1.1/8 --sport 68 -d 10.0.0.0/8 -j ACCEPT iptables -A INPUT -p udp -s 10.0.0.0/8 --dport 68 -j ACCEPT iptables -A OUTPUT -p udp -s 10.150.1.1/8 --sport 68 -d 10.0.0.0/8 -j ACCEPT #samba (139-smbd), (137,138-nmbd) - dla wszystkich iptables -A INPUT -p tcp -s 10.0.0.0/8 -d 10.150.1.1/8 --dport 139 -j ACCEPT iptables -A OUTPUT -p tcp -s 10.150.1.1/8 --sport 139 -d 10.0.0.0/8 -j ACCEPT iptables -A INPUT -p udp -s 10.0.0.0/8 -d 10.150.1.1/8 --dport 138 -j ACCEPT iptables -A OUTPUT -p udp -s 10.150.1.1/8 --sport 138 -d 10.0.0.0/8 -j ACCEPT iptables -A INPUT -p udp -s 10.0.0.0/8 -d 10.150.1.1/8 --dport 137 -j ACCEPT iptables -A OUTPUT -p udp -s 10.150.1.1/8 --sport 137 -d 10.0.0.0/8 -j ACCEPT #--------------------------------Przejscie obok serwera - FORWARD-ing #Pozwalamy na wysylanie i sciaganie poczty z zewnatrz iptables -A FORWARD -p tcp -s 10.0.0.0/8 -d 0/0 --dport 25 -j ACCEPT iptables -A FORWARD -p tcp -s 10.0.0.0/8 -d 0/0 --dport 110 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 --sport 25 -d 10.0.0.0/8 -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 --sport 110 -d 10.0.0.0/8 -j ACCEPT iptables -A OUTPUT -p tcp -s 10.150.1.1/8 --sport 25 -d 0/0 -j ACCEPT iptables -A OUTPUT -p tcp -s 10.150.1.1/8 --sport 110 -d 0/0 -j ACCEPT # Pozwalamy na gadulke - czyli gadu-gadu #iptables -A FORWARD -p tcp -s 0/0 -d 0/0 --dport 8074 -j ACCEPT #iptables -A FORWARD -p tcp -s 0/0 --sport 8074 -d 0/0 -j ACCEPT

W firmie której pracuję jest taka topologia sieci. Internet otrzymywany od dostawcy jest przyjmowany przez ruter, (ma on kilka adresów wyjściowych i obsługuje kilka grup założonych wewnętrz szpitala: grupy wejściowych w szpitalu : 10.1.1.xxx 10.100.1.xxx 10.200.1.xxx przy masce 255.0.0.0) Mam teraz pytanie. Chciałem uruchomić serwer proxy na systemie Linux REDHAT, ale nie wiem do końca jak rozwiązać problem z kartami sieciowymi. Otóż najlepiej do tego celu było by założyć dwie karty sieciowe do serwera, gdzie przez jedną proxy pobierało by strony, a drugą wysyłało je do uzytkowników. Ale nie wiem jak to zrobić i proszę o pomoc. NIe mogę inaczej podłączyć linuxa do internetu jak przez ruter który obsługuje np. taki adres 10.200.1.200/255.0.0.0 - i ok, mogę tak ustawić kartę sieciową aby miała taki adres i pobierała przez ruter dane z internetu. Ale siec wewnątrz szpitala musi mieć też ustawienia 10.xxx.1.xxx/255.0.0.0 - i niestety nie mogę zainstalować karty z takimi ustawieniami, ponieważ linux jej wówczas nie obsługuje. - chodzi mi o to aby użytkownicy z ustawieniami sieci 10.xxx.1.xxx/255.0.0.0 - mogli się łączyć do drugiej karty nie mogę zmienić całej struktury sieci, więc nie będę zmieniał grupy i maski na inną. Mam terz pytanie do Was - specjalistów. Jak rozwiązać ten problem. Chicałbym, aby użytkownicy, którzy mają takie ustawienia siecioe jak do tej pory 10.xxx.1.xxx/255.0.0.0 przechodzili przez proxy linuxa. A linux (w celu zwiększenia szybkości) przyjmował polecenia jadną kartą a drugą pobierał dane z interentu - ale przypominam, że ruter obsługuje tylko adresy 10.xxx.1.xxx/255.0.0.0. Wiem, wiem, gdybym zamiast rutera podłączył linuxa, było by inaczej, ale niestety tak nie mogę zrobić. A możę na jednek karcie sobie poradzi?? - tylko u mnie jest około 300 userów i duży ruch na necie!! Może inaczej - chodzi mi o to, aby dwie karty w linuxie miały te same ustawienia, tylko inny IP i obsługiwały tą samą sieć Proszę o pomoc!!

W firmie której pracuję jest taka topologia sieci. Internet otrzymywany od dostawcy jest przyjmowany przez ruter, (ma on kilka adresów wyjściowych i obsługuje kilka grup założonych wewnętrz szpitala: grupy wejściowych w szpitalu : 10.1.1.xxx 10.100.1.xxx 10.200.1.xxx przy masce 255.0.0.0) Mam teraz pytanie. Chciałem uruchomić serwer proxy na systemie Linux REDHAT, ale nie wiem do końca jak rozwiązać problem z kartami sieciowymi. Otóż najlepiej do tego celu było by założyć dwie karty sieciowe do serwera, gdzie przez jedną proxy pobierało by strony, a drugą wysyłało je do uzytkowników. Ale nie wiem jak to zrobić i proszę o pomoc. NIe mogę inaczej podłączyć linuxa do internetu jak przez ruter który obsługuje np. taki adres 10.200.1.200/255.0.0.0 - i ok, mogę tak ustawić kartę sieciową aby miała taki adres i pobierała przez ruter dane z internetu. Ale siec wewnątrz szpitala musi mieć też ustawienia 10.xxx.1.xxx/255.0.0.0 - i niestety nie mogę zainstalować karty z takimi ustawieniami, ponieważ linux jej wówczas nie obsługuje. - chodzi mi o to aby użytkownicy z ustawieniami sieci 10.xxx.1.xxx/255.0.0.0 - mogli się łączyć do drugiej karty nie mogę zmienić całej struktury sieci, więc nie będę zmieniał grupy i maski na inną. Mam terz pytanie do Was - specjalistów. Jak rozwiązać ten problem. Chicałbym, aby użytkownicy, którzy mają takie ustawienia siecioe jak do tej pory 10.xxx.1.xxx/255.0.0.0 przechodzili przez proxy linuxa. A linux (w celu zwiększenia szybkości) przyjmował polecenia jadną kartą a drugą pobierał dane z interentu - ale przypominam, że ruter obsługuje tylko adresy 10.xxx.1.xxx/255.0.0.0. Wiem, wiem, gdybym zamiast rutera podłączył linuxa, było by inaczej, ale niestety tak nie mogę zrobić. A możę na jednek karcie sobie poradzi?? - tylko u mnie jest około 300 userów i duży ruch na necie!! Może inaczej - chodzi mi o to, aby dwie karty w linuxie miały te same ustawienia, tylko inny IP i obsługiwały tą samą sieć Proszę o pomoc!!

Po zainstalowaniu biblioteki rrdtool, i próbu konfiguracji programu lstat wyskakuje mi błąd [root@sp lstat-2.2]# ./configure --apache ERROR: Can't find library RRDs.pm file on library path: Please install RRDtool. [root@sp lstat-2.2]# Prosze o pomoc, dzięki

Panowie, jak zainstalować webalizera?? Cały czas wyskakuje mi jak go instaluje że nie ma paqczki gd "configure: error: gd library not found... please install gd" Paczka gd instaluje się prwidłowo. Ale jak probuję zainstalować webalizera to ponownie kłopo. Może brakuj emi jakiegoś parametru, configuruje go z ustawieniami jeżyka polskiego?? Dzięki

Macie może jkiś programik do generowania statystyk z logów apacha?? Najlepiej jak by pokazywał je przez www. Wielkie dzięki

Posiadam statystykę dla postfixa. Nazwa tego skryptu to http://www.enderunix.org/isoqlog/ Jest całkiem niezły lecz ma jedną wade. Jeżeli jedna osoba wyśle jednym listem list do np. 20 osób, do tego z załącznikiem 2MB, to statystyka pokaże, że dana osoba wysłała jeden list i wygenerowała ruch 2 MB, a przecież to nie prawda. Bo wysłała do 20 osób i wygenerowała ruch 40MB. Ale ok, postanowiłem sam to zmienić, tylko mam jedno pytanie. Gdzie są trzymane informacje o tym jak wielkie (rozmiar wiadomości) pakiety są przesyłane przez sieć?? A moze znacie jakiś inny skrypt lub program do statystyki poczty?? - Musi pokazywać ile wiadomości wychodzi (nie koniecznie od kogo) i ile MB przesyła (rzeczywistych informacji). Pozdrawiam

Dlaczego nikt mi nie powiedział?? - he he. że squid przepuszcza wszystko !! - myślałem, że to jest serwer proxy tylko dla stron www, a tu okazuje się, że nawet radyjko mogę słuchać przez squida?? - dlaczego tak jest - czy radio nadaje na porcie 80?? Mam program squidGuard - niesamowity - blokuje mi w tej chwili strony erotyczne, jest naprawdę niezły, może też blokować radyjka, ale w 100% nigdy tego nie zrobi. Mam więc pytanie, czy squid nie może działać tylko dla stron www?? - i jak to zrobić??

czy jest - pewnie jest, tylko jak spowodować, aby plik access.log programu squid nie przekraczal 1MB?? NIech sobie tworzy (w czasie przekroczenia limitu) - stary nadaje nazwę 2, a nowemu nową. I tylko logi do 2 poziomu, żeby się nie okazało, że po roku bedzie ich 20GB?? - dzięki

już mam - była zla scieżka, powinienem wpisać blacklists, zamiast blacklist !! Dzięki

Mam pytanie, czy ktoś może mi powiedzieć krok po kroku jak zainstalować ten program. 1. configure 2. make 3. make install 4. Konfiguruje plik squidGuard.conf "logdir /usr/local/squidGuard/log dbhome /usr/local/squidGuard/db dest porn { domainlist /usr/local/squidGuard/blacklist/porn/domains urllist /usr/local/squidGuard/blacklist/porn/urls redirect http://www.onet.pl } acl { default { pass !porn all redirect http://10.150.1.1 } } " W pliku configuracyjnym squida wpisuje "redirect_program /usr/local/bin/squidGuard -c /usr/local/squidGuard/squidGuard.conf" Odpalam squida. Teraz próbję dodać bazę do pliku - i niestety nie mogę. polecenie squidGuard -C nazwa tak jaby się zawiesza, a w logach wyskakuje mi komunikat " 2003-12-08 10:57:57 [3851] init domainlist /usr/local/squidGuard/blacklist/porn/domains 2003-12-08 10:57:57 [3851] /usr/local/squidGuard/blacklist/porn/domains: No such file or directory 2003-12-08 10:57:57 [3851] going into emergency mode ~ " Co ja robię nie tak?? Może użytkowik nie ten - w squid mam wpisae aby korzystał z nobody?? Dzięki za każdą odpowiedż.

z skąd to pobiorę??

Problem z shaperdem!! Gdzie mogę znaleźć dokładny opis jego wszystkich opcji ?? Bo mam taki problem. Mam internet 100Mbitowy i diwe karty w linuxie. Normalne transfery na karcie wewnętrznej to 5000kbitów. Jeżeli uruchomię shaperda - to transfer spada do 100kb. (mierzę to programem iptraf). Dlaczego tak moze być - przyznam się , że plik kofiguracyjny robiłem na szybko, ale może mi pomożecie?? Oto mój konfig ------------------------------------------------------------------------------ # timeout of tcp connection on masquerade # for kernel 2.2.x (in seconds) # default: # timeout_ipchains_22=3600 # for kernel 2.4.x and ipchains (in minutes) # default: # timeout_ipchains_24=7200 # for kernel 2.4.x and iptables (in seconds) # default: # timeout_iptables_24=432000 # older connection on masquerade will be ignored (in seconds) # default: # timeout_global=300 # experimental - yes - turn on alternative nat tracking connection. # Work only with nomasq=no # default: # alt_natstat=yes # if yes - new user will get as high speed as possible # default: # high_start_speed=yes # if yes - don't recreate speed allocation every cycle but only change it # default: # continuous_control=yes # if yes - turn on even division # default: # even_division=no # measure total of assigned bandwidth # default: # check_sum_of_bandwidth=yes # in percent of total bandwidth speed # default: # check_download_factor=50 # check_upload_factor=50 check_download_factor=30 check_upload_factor=30 # on how many cycles shaperd have control if real speed is great than assigned # 0 - on every cycle # don't use 0 for CBQ classes! # default: # check_download_factor_cnt=5 # check_upload_factor_cnt=5 check_download_factor_cnt=10 check_upload_factor_cnt=10 # (EXPERIMENTAL) if some class crash and will do not control bandwidth then # shaperd will remove it when check_(down/up)load_factor_cnt=0 # and create again in next cycle. # default: # remove_dead_class=no remove_dead_class=yes # no - will turn off "Can't control bandwidth ..." message # default: # control_mesg=yes # if yes - shaperd will cooperate with TOS patched squid # default: # squid_support=no squid_support=yes # squid port # default: squid_port=8080 #squid_port=8192 # if yes - divide upload traffic # default: # divide_upload=no divide_upload=yes # yes - turning on TOS mangling for every user # default: # extended_queue=no extended_queue=yes # for iptables and large ip_conntrack table or slow servers with a lot of # users set it to yes # default: # nomasq=yes # type of download limiting class # default: # class_type=cbq class_type=htb # type of upload limiting class # default: # upload_class_type=cbq upload_class_type=htb # for HTB only - in percent of assigned bandwidth # default: # ceil_download=0 # ceil_upload=0 ceil_download=50 ceil_upload=50 # for HTB only - in KB # default: # burst_download=100 # burst_upload=100 ceil_download=240 ceil_upload=60 # extension of speed # default: #speed_ext=bit speed_ext=Kbit # speed increasing multipler # default: # jump_type=0 jump_type=5 # if allocation is used less than this percentage factor - shaperd will # decrease allocation # default: # nop_factor=50 nop_factor=60 # if allocation is used more than this percentage factor - shaperd will # increase allocation # default: # add_factor=75 add_factor=80 debug=0 # default: # debug_output=/dev/null #debug_output=/tmp/shaperd.debug # delay between cycles # default: # delay=10 # no - turn off info messages in log if delay is change # default: # delay_mesq=yes delay_mesg=no # no - turn off "Can't find mask for IP" message # default: # mask_mesg=yes mask_mesg=yes # default: # write_delay=0 write_delay=1 # interface definitions inter_int=eth0;8;102400;2;0;auto;1 local_int=eth1;102400;192.168.62.0/24;192.168.62.0/24;2 mainip=10.150.1.1 internet_iface=eth0 high_start_speed=1 even_division=0 #1 - ustawia dla wszystkich rowny transfer check_always=1 ------------------------------------------------- Dzięki za wszystkie rady!!

Próbuję gg na siłę zmusić, aby działało prez prxy. Wpisuję taką samą regułkę jak do www "iptables -t nat -A PREROUTING -p tcp -s 192.168.62.0/24 --dport 80 -j REDIRECT --to-port 8080 " - iptables -t nat -A PREROUTING -p tcp -s 192.168.62.0/24 --dport 8074 -j REDIRECT --to-port 8080 Ale to nie pomaga - ba nawet szkodzi, bo połączenie z netem w ogóle nie działa. Proxy obsługuje gg - jeżeli w ustawieniach gg wpiszę adres i port proxy - to wszystko działa. Tylko jak go zmusić, tak aby nie fatygować użytkowników?? Dzieki

Dzieki

Gdzy odpalę proxy i ręcznie ustawię w windowsie, aby korzystał z proxy i podam port - wszystko działa prawidłowo. Jeżeli dodam wpis do firewalla " iptables -t nat -A PREROUTING -s 10.0.0.0/24 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.1:8080 " A w przeglądarce ie usunę wpisany na sztywno wpis i port proxy. To wyskakuje mi po otwarciu przeglądarki i próbie otwarcia strony taki momunikat. ----------------------------------------- ERROR The requested URL could not be retrieved -------------------------------------------------------------------------------- While trying to retrieve the URL: / The following error was encountered: Invalid URL Some aspect of the requested URL is incorrect. Possible problems: Missing or incorrect access protocol (should be `http://'' or similar) Missing hostname Illegal double-escape in the URL-Path Illegal character in hostname; underscores are not allowed Your cache administrator is webmaster. -------------------------------------------------------------------------------- Generated Tue, 02 Dec 2003 13:31:56 GMT by sp (squid/2.5.STABLE4) ------------------------------ Czy wiecie w czym jest błąd ?? - dzięki i do jutra !!

Jak zablokować dostęp do stron pornograficznych przez squida i spowodować, że gdy użytkownik spróbuje taką strone otworzyć to wówczas otworzy się moja strona z odpowiednią informacją. Na dodatek mógłby jeszcze do jakiegoś pliku loga zapisać?? Dzięki

Witam, mam zainstalowanego squida na linuxie - redhat 8.0 Całoś kontroluje mi firewall. Pytanie: Chciałbym, aby firewall blokował cały ruch przekazujący - FORWARD, i serwer udostępniał tylko strony przez proxy. Dodatkowo chciałbym odblokować porty dla poczty zewnętrznej i innych typowych usłg (np. gg). Jak to zrobić. w firewall-u jak zablokuję łańcuch FORWARD - to nic mi nie działa, łącznie z dns-em (na serwerze wpis "host onet.pl" - nie działa). INPUT - domyśleni drop, następnie otwieram porty ale tylko do serwera. lo - ma pełen dostęp. Output - domyślnie ACCEPT. Jak mam zrobić, - aby po zablokowaniu FORWARD - DROP otworzyć niektóre usługi tak aby np. gg działało, dns z serwera widział i odpowiadał na zapytania typu host onet.pl??

Linux redhat 8.0 i taki oto pomysł. Mam sprzetowy router który udostępnia dla sieci z maską 255.0.0.0 internet. Moim zadaiem - tzn. chciałbym zrobić serwer proxy na linuxie oraz serwer dhcp który przydizleałby ip i kierował użytkowników albo przez proxy (linux - tylko www)) albo przez bramkę (router - pełen dostęp). Myślę sobie, że do tego celu lepiej jest mieć dwie karty sieciowe, jedna niech pobiera inforamcje z internetu i podaje do proxy, a druga odpowiada na zapytania użytkowników. Ok. Pierwsza karta, na które linux działa to 10.150.1.1/255.0.0.0 - tak wyglada eth0 " DEVICE=eth0 BROADCAST=10.255.255.255 IPADDR=10.150.1.1 NETMASK=255.0.0.0 NETWORK=10.0.0.0 ONBOOT=yes " Chciałbym aby ta karta tylko i wyłącznie łączyla sie z routerem - (nie ma problemu - zrobię sobie to w firewallu). Teraz druga karta, hym - nie wiem co mam zrobić. Nie chcę dzielić sieci na dwie (nie chcę dawać innej maski podsieci) dlatego postanowiłem nadać taki IP drugiej karcie sieciowej 10.250.1.1/255.0.0.0 " DEVICE=eth1 ONBOOT=yes BOOTPROTO=static BROADCAST=10.255.255.255 IPADDR=10.250.1.1 NETMASK=255.0.0.0 GATEWAY=10.254.100.51 " Hym ale niestety - jedna karta działa, a druga nie I to zależy od tego którą drugą podniosę, mianowicie jeżeli podnoszę eth0 a następnie eth1 to eth1 działa i przez nią mogę sie pingować na obydwa adresy. Jeżeli podnoszę eth1 następnie eth0 - to w ogóle nie działa żadna karta, a jak położe eth1 to eth0 działa prawidłowo. Wiem, że najprawdopodobniej to kwestia grup albo maski podsieci, ale ie mogę zmienić jej na inną bo komputery w sieci przestaną sie widzieć. I teraz pytanie, czy jest jakaś możliwośc, aby te karty sieciowe zaczeły poprawnie dzialać przy takiej samej masce podsieci i grupie - tylko o innym IP, czy niestety muszę zmienić coś i zastosować coś aby dwie sieci były widoczne wzajemnie?? - ale wówczas co takiego - czy macie może jakies materiały?? Wielkie dzięki wszystkim odpowiadającym

Cześć, Kurde, udało mi się właśnie zarąbiście dobrze zabezpieczyć postfixa. Może wysłać i odebrać listy osoba tylko która sią będzie autoryzować i nie dosyć tego - musi mieć taki email wpisany w ustawieniach na jakie konto się loguje (dokładne - wraz z domeną - jakikolwieg błąd eliminuje jego autoryzacje). Ale jak zawsze mam pewien problem. Otóż nie mogę wysyłać squiermailem wiadomosci. Wiem ze musze odblokowac konto localhosta - zrobić tak aby sie nie autoryzowal, hym ale jak to zrobic, aby poczta byla bezpieczna ?? Oto mój konfig smtpd_sasl_auth_enable = yes broken_sasl_auth_clients = yes smtpd_sasl_security_options = noanonymous smtpd_recipient_restrictions = permit_sasl_authenticated, reject smtpd_sender_login_maps = hash:/etc/postfix/login_maps smtpd_sender_restrictions = reject_sender_login_mismatch W pliku login_maps mam takie wpisy ppawlo@sp.pl ppawlo tomasz@sp.pl tomasz kinga@sp.pl kinga ---------------------------------------------------------------- Jedyne rozwiazanie to chyba autoryzowac wszystkich, ale przepuszczac tylko tych co mam w pliku (i tam wpisać dodatkowo konto localhost, no ale jeżeli każe się każdemu autoryzować, to znów mi localhost nie przejdzie). Może mi ktoś jakoś pomóc, w czym tkwi błąd ?? PAweł - pozdrawiam.