Поділ доступу в інтернет з локальної мережі, Локальні мережі, статті

Linux RSP Web Site

Близько року тому у нас з’явився інтернет і разом з ним проблема – як ділити? Власне проблема в тому, що всі машини багатокористувацькі, а, як наслідок, обмежити доступ на підставі IP адреси неможливо.

Тепер, рік по тому, виявилися 2 найбільш практичних способу. Ми використовуємо перший, але у вас є можливість вибирати 😉

Спосіб перший (IMHO більш правильний) полягає у використанні socks5 сервера і клієнта.

При цьому отримуємо відмінний firewall з можливістю проксі як TCP так і UDP плюс повний контроль над роботою користувачів в інтернет. Налаштовуємо наступним чином:


  1. Йдемо на www.socks.nec.com  і беремо там socks5 сервер (на даний момент це socks5-v1.0r8) і socks5tools – Скрипт для аналізу лог-файлів сервера.
  2. Конфігурується socks5 сервер. Запустіть ./configure – Значення за умовчанням цілком розумні, хоча я порадив би змінити syslog facility. За замовчуванням socks використовує LOG_DAEMON, І як наслідок файл
    /var/log/messages буде забитий повідомленнями socks. Щоб уникнути цього запустите ./configure
    –with-syslog-facility=LOG_LOCAL0
    і додайте рядки
    local0.* 
    /var/adm/socks5″
    і
    *.=info;*.=notice;local0.none  
    /var/log/messages

    в /etc/syslog.conf.

    Далі стандартно – make; make install.

    Якщо все нормально, створюємо файл конфігурації /etc/socks5.conf наступного змісту:

     
    [root@val /etc]# cat socks5.conf

    # A Socks5 Config file for a dual homed server

    #

    # Опис роутінга

    # route hostmask portmask interface

    route 195.9.ххх. – Eth0

    # Опис аутентифікації – в даному випадку вимагаємо від усіх логін / пароль

    #auth source-host source-port auth-metod

    auth – – u

    # Permit і deny. В даному випадку людина з правильним логіном / паролем може йти куди завгодно # 😉 детальніше – man socks5.conf

    #permit  auth cmd src-host dest-host src-port dest-port
    [user-list]


    permit u – – – – – –

    # Не робити reverse lookup в DNS – процес помітно прискорюється

    set SOCKS5_NOREVERSEMAP

    # Записувати номери портів замість імен сервісів. Теж для прискорення

    set SOCKS5_NOSERVICENAME

    # Не розсилати ident запити клієнтам

    set SOCKS5_NOIDENT

    # Максимальне число дітей socks5 – нехай буде більше, зате всім вистачить

    set SOCKS5_MAXCHILD 128
    Все, тепер створюємо /etc/socks5.passwd  формат простий – В кожному рядку ім’я та пароль, розділені пропуском.
    [root@ksaa /etc]# cat socks5.passwd

    user password

    lamer lamepassword
    З сервером все, правимо стартові скрипти для автозапуску після ребут.

  3. Тепер клієнт. Вибір не особливо багатий.
    1. SocksCap від Nec – www.socks.nec.com  Непоганий клієнт під windows3.1, 95, NT. Під NT трохи глючить, що дратує.
    2. AutoSocks від Aventail – www.aventail.com  мені сподобався найбільше. Відмінно працює під всіма видами кватирок. Недолік один – дають тільки триальную версію на 1 місяць. Але ж це-ж не проблема, не так-ли? ;))
    3. Hummingbird’s SOCKS Client від Hummingbird  Безкоштовний, добре працює, але чертовски незручний. 😉

Спосіб другий:

Squid – кешуючий проксі сервер. Також дозволяє авторизуватися за логіном / паролем, але проксі тільки HTTP, FTP, і Gopher. Також починаючи з версії 2.0 включає поддежку ARP acl , Тобто можливість дозволити доступ тільки станціям з опреденнимі MAC адресами мережевих адаптерів. Можливість цікава, але не всіх влаштовує. IMHO Практичний і універсальний використовувати username / password аусентіфікацію. Прикручується наступним чином:

Запустіть ./configure -DUSE_PROXY_AUTH=1, або просто раскоментіруйте рядок USE_PROXY_AUTH в Makefile.

Скажіть make ; make install . Потім підправте все необхідне в squid.conf і додайте туди рядок

proxy_auth /usr/local/squid/etc/passwd

passwd – файл з кріптаванимі паролями ( crypt()), Такого-же формату як і в Appache.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*