пропозиції роботи
Wypowiedzi
-
Aby mieć możliwość przeczytania tego posta musisz być członkiem grupy Administratorzy Windows
-
Aby mieć możliwość przeczytania tego posta musisz być członkiem grupy Administratorzy Windows
-
Aby mieć możliwość przeczytania tego posta musisz być członkiem grupy Administratorzy Windows
-
Aby mieć możliwość przeczytania tego posta musisz być członkiem grupy Administratorzy Windows
-
Witam,
Na moim debianowym routerku, na którym działa Squid 2.7, zainstalowałem SquidClamav
http://squidclamav.darold.net/installv5.html
Gdy zgodnie z manualem do squid.conf dopiszę nastepujące linie:
url_rewrite_program /usr/local/bin/squidclamav
url_rewrite_children 15
strony na komputerach w sieci lokalnej przestają się wyświetlać. Nie pojawia się żaden komunikat o braku strony/ o problemach z połączeniem. Po prostu ciągłe ładowanie strony...
w /var/log/squid/squidclamav.log mam tylko takie coś:
Sun Jan 22 18:24:01 2012 [21722] LOG SquidClamav v5.7 (PID 21722) started
Sun Jan 22 18:24:01 2012 [21723] LOG Anonymizing User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Sun Jan 22 18:24:01 2012 [21723] LOG SquidClamav v5.7 (PID 21723) started
Sun Jan 22 18:24:01 2012 [21725] LOG Anonymizing User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Sun Jan 22 18:24:01 2012 [21725] LOG SquidClamav v5.7 (PID 21725) started
Żadnych dodatkowych informacji.
Nie wydaje mi się jednak, żeby była to wina procesu skanowania strony na którą wchodzi użytkownik sieci. Dla testu wystawiłem czysty index.html w Internecie - i jego też nie mogę wyświetlić.
Czy ktoś ma pomysł gdzie jeszcze powinienem szukać przyczyny braku dostępu do stron? -
Rozwiązałem problem następująco
iptables -t nat -N WYJATEK
iptables -t nat -A WYJATEK -s 192.168.0.0/24 ! -d 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -s 192.168.0.0/24 ! -d 192.168.2.0/24 -p tcp --dport 80 -j WYJATEK
Dziękuję Marcinie, Twoje podpowiedzi były bardzo pomocne! -
Zrobiłem takie coś:
iptables -t nat -N EXCEPTIONS
iptables -t nat -A EXCEPTIONS -i eth0 -s 192.168.0.0/24 -p tcp --dport 80 -d 192.168.1.0/24 -j RETURN
iptables -t nat -A EXCEPTIONS -i eth0 -s 192.168.0.0/24 -p tcp --dport 80 -d 192.168.2.0/24 -j RETURN
iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -j EXCEPTIONS
Nadal jednak w pliku /var/log/squid/access.log widzę wpisy z sieci 192.168.0.0/24 do sieci 192.168.1.0.
Co zrobiłem nie tak? -
Ale czy to rozwiąże problem?
iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/24 -p tcp --dport 80 -d! 192.168.1.0/24 -j
REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/24 -p tcp --dport 80 -d! 192.168.2.0/24 -j
REDIRECT --to-port 8080
Pierwszy przekieruje ruch do sieci 192.168.2.0/24, a nie chcemy aby tak było.
Nie chodziło mi o napisanie pętli for, nie tu tkwił problem. -
Witam,
w mojej sieci stoi sobie transparentny squid, do którego ruch trafia dzięki małemu przekierowaniu portów:
iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080
Chciałbym jednak aby hosty: 192.168.0.2, 192.168.0.20, 192.168.0.100 nie korzystały z proxy.
Jak stworzyć takie trzy wyjątki?
Chciałbym też aby ruch, który idzie do wybranej sieci, załóżmy 192.168.1.0/24 i 192.168.10.0/24 nie przechodził przez Squida.
Podejrzewam, że da się do powyższej linijki iptables dodać ! - d 192.168.1.0/24
Ale tu też musiałbym zastosować dwa wyjątki. -
A teraz kolejny krok.
Co jeśli router obsługuje kilka VLAnów?
Czy muszę do bridge dodać tyle kart sieciowych ile jest vlanów? -
Tak właśnie przed chwilą zrobiłem i wszystko działa.
-
Tomaszu,
Podpięcie trzech maszyn do jednego vSwitcha nie rozwiązuje problemu, bo wówczas ruch z maszyny VM2 do VM1 nie przechodzi przez VM3_bridge.
Być może nie do końca poprawnie rozumiem działanie vSwitchów, ale myslalem o stworzeniu czegoś takiego
VM01--vSwich1--VM03(bridge)---vSwitch2--VM02
Niestety VM03 nie przepuszcza ruchu między dwoma vSwitchami. -
W chwili obecnej jest to ForeFront. Chodzi mi jednak o mozliwość zastosowania bridgea w środowisku virtualnym. Nie skupiajmy się na ForeFroncie.
PS. Chciałem kliknąć odpowiedź a kliknąłem na "wartościowa" ;) Troche dziwnie to wygląda, ale niech już zostanie... -
Zrobiłem to samo, tylo w miejsce Untangle wstawiłem Debiana i wszystko chodzi bez problemu.
Teraz kolejnym zadaniem było by przeniesienie tego na wirtualizację, tak aby i router i bridge stały na jednym hoście.
Mam fizyczny serwer, na którym zainstalowałem VMware ESXi.
Jedną z wirtualnych maszyn jest (VM01) Microsoft ForeFront, który pełni rolę routera, z jednej strony jest podłączony do LANu a z drugiej do Internetu.
Na ESXi znajduje się też druga maszyna (VM02), która korzysta z Internetu za pośrednictwem ForeFronta.
Chciałbym między te dwie maszyny wstawić transparentny bridge (VM03), jednak nie bardzo wiem jak do tego tematu podejść.
Ruch z VM02 musiałby przechodzić przez VM03 zanim dojdzie do VM01.
Jak rozumiem nie może być możliwości aby VM01 komunikował się bezpośrednio z VM02.
Wydaje mi się to do osiągnięcia, jednak nie mogę poprawnie skonfigurować ustawień sieci na VMware. -
Witam,
Zastanawiam się jak rozwiązać następujący problem.
Mam fizyczny serwer, na którym zainstalowałem VMware ESXi.
Jedną z wirtualnych maszyn jest (VM01) Microsoft ForeFront, który pełni rolę routera, z jednej strony jest podłączony do LANu a z drugiej do Internetu.
Na ESXi znajduje się też druga maszyna (VM02), która korzysta z Internetu za pośrednictwem ForeFronta.
Chciałbym między te dwie maszyny wstawić transparentny bridge (VM03), jednak nie bardzo wiem jak do tego tematu podejść.
Ruch z VM02 musiałby przechodzić przez VM03 zanim dojdzie do VM01.
Jak rozumiem nie może być możliwości aby VM01 komunikował się bezpośrednio z VM02.
Z góry dziękuję za podpowiedzi które pozwolą rozwiązać ten problem. -
Mam dwie sieciówki.
Kreator przeklikałem cały, a czy dobrze, to nie wiem ;) -
Witam,
Próbuję stworzyć bridge na Untangle (untangle.com), który będzie filtrował ruch w sieci.
Topologia wygląda tak:
Hosty_LAN---Switch---Untangle_Bridge---Router--INTERNET
Po podłaczeniu untangle i stworzeniu z niego bridgea wszystkie hosty w sieci LAN straciły możliwość łączenia z siecią i pingowania czegokolwiek wewnątrz sieci.
Na maszynach tych tablica ARP wygląda nastepująco:
192.168.0.1 at <incomplete> on eth1
192.168.0.2 at <incomplete> on eth1
Nawet przypisanie statycznego adresu MAC dla wybranego urządzenia w sieci nie pomaga.
Jedynym rozwiązaniem jest wyłączenie Untangle, restart urządzeń i switcha.
Czy ktoś ma pomysł, co jest powodem takiego stanu rzeczy? Czemu Untangle tak "brudzi" w sieci? -
Wykorzystałem Transparentnego Debiana ze Squidem na pokładzie.
Dodatkowo linijka iptables, do logowaia połączen wychodzących.
Dziekuję za odpowiedzi -
Szef chce mieć raport dotyczący odwiedzonych stron.
Logowanie pozostałego ruchu nie będzie analizowane na co dzień.
Ma być jednak dostępne do analizy "gdyby coś się stało". -
Niestety Forefront w takiej konfiguracji w jakiej jest teraz (nie można tego zmienic) nie spełnia wymagań.
Idealnym rozwiązaniem byłoby gdyby maszyna analizująca ruch stała "obok" routera, wykorzystując możliwości switchów - port mirroring.
Może odpalony na takiej maszynie iptables mógłby logować wsszystko? Mógłbym logować cały ruch przychodzący do takiej maszyny, co jednak zrobić, aby Iptables logował adresy domen zamiast adresów IP?
Dołącz do GoldenLine
Oferty pracy
Sprawdź aktualne oferty pracy
Aplikuj w łatwy sposób
Aplikuj jednym kliknięciem
