Обнаружил что статистика IPCad не совпадает с показаниями провайдера. Что я делаю не так?

Slackware 12.
2.6.21.5-smp

# squid -v
Squid Cache: Version 3.0.STABLE18
configure options: '--prefix=/usr' '--sysconfdir=/etc/squid' '--localstatedir=/var/log/squid' '--datadir=/usr/share/squid' '--mandir=/usr/man' '--program-prefix=' '--program-suffix=' '--enable-snmp' '--enable-linux-netfilter' '--enable-async-io' '--build=i486-slackware-linux' 'build_alias=i486-slackware-linux' 'CFLAGS=-O2 -march=i486 -mtune=i686' 'CXXFLAGS=-O2 -march=i486 -mtune=i686'

# ipcad -v
IP Accounting Daemon. ipcad Version 3.7.3
Import {BPF/LIBPCAP/ULOG/LIBIPQ/DIVERT/TEE/FILE}; Export {console/file/RSH/NetFlow}
Copyright (c) 2001, 2002, 2003, 2004 Lev Walkin <vlm@lionet.info>


Похоже, что IPCad не считает tcp. Только ICPM.
На роутере прозрачный прокси.

Подсчет ведется по двум сетям 192.168.2.x и 192.168.3.x.

Вот интерейесы роутера:

eth1 Link encap:Ethernet HWaddr 00:1C:F0:0E:80:3C
inet addr:192.168.2.63 Bcast:192.168.2.255 Mask:255.255.255.0
inet6 addr: fe80::21c:f0ff:fe0e:803c/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:130619350 errors:0 dropped:0 overruns:0 frame:0
TX packets:169396153 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2706363055 (2.5 GiB) TX bytes:1510578386 (1.4 GiB)
Interrupt:16 Base address:0xac00

eth4 Link encap:Ethernet HWaddr 00:15:17:C4:A8:81
inet addr:192.168.3.1 Bcast:192.168.3.255 Mask:255.255.255.0
inet6 addr: fe80::215:17ff:fec4:a881/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:37335853 errors:0 dropped:0 overruns:0 frame:0
TX packets:40118571 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:3509138761 (3.2 GiB) TX bytes:3616561506 (3.3 GiB)
Base address:0xac00 Memory:fe8e0000-fe900000

Вот конфиг ipcad:

root@# cat /usr/local/etc/ipcad.conf
#
# Simple configuration file for ipcad.
# Copyright (c) 2001, 2002, 2003, 2004
# Lev Walkin <vlm@lionet.info>.
#
# Please see ipcad.conf.default file or ipcad.conf(5) manual page for
# complete file format explanation.
#

capture-ports enable; # Enable ports capturing for RSH (no effect on NetFlow).
buffers = 64k;


# Specify interfaces.
interface eth1; # Listen on Ethernet interface...
interface eth4; # ...and another onw.


# Preserve internal IP ranges, aggregate external ones.
#aggregate 192.168.0.0/16 strip 32; /* Don't aggregate 192.168.0.0 */
#aggregate 172.16.0.0/12 strip 32; /* Don't aggregate 172.16.0.0 */
#aggregate 0.0.0.0/0 strip 24; /* Drop the last octet of all other IPs */

# Aggregate port numbers.
#aggregate 1024-65535 into 65535; /* Aggregate wildly */
#aggregate 3128-3128 into 3128; /* Protect these ports */
#aggregate 150-1023 into 1023; /* General low range */

rsh enable at 127.0.0.1;
rsh root@127.0.0.1 admin;
rsh 127.0.0.1 view-only;
rsh ttl = 3;
rsh timeout = 30;
pidfile = ipcad.pid;
dumpfile = ipcad.dump;
chroot = /var/log/ipcad;


Вот скрипт, который берет статистику из Ipcad перегоняет стаитику в Mysql:

#IPCAD and Mysql traffic counters
*/1 * * * * /usr/local/sbin/ipcad2mysql.sh


cat /usr/local/sbin/ipcad2mysql.sh

#!/bin/sh

YEAR=`date +%Y`
MONTH=`date +%m`
DAY=`date +%d`

DATETRAF=$YEAR-$MONTH-$DAY

export DATETRAF

rsh 127.0.0.1 dump > /var/log/ipcad/ipcad.dump && rsh 127.0.0.1 clear ip accounting > /dev/null 2>&1 &&
cat /var/log/ipcad/ipcad.dump | grep «192.168» | awk '{ «echo $DATETRAF» | getline dt
printf «INSERT INTO ipcad.stat (date,source,destination,packets,bytes,src_port,dst_port) VALUES (\„„dt“\“,\»«$1»\",\«»$2"\",\«»$3"\",\«»$4"\",\«»$5"\",\«»$6"\");«»\n"
}' | /usr/bin/mysql --user=stat --password=xxx


Вот правила фаерволла.

root@mainrouter:/etc/rc.d# cat /etc/rc.d/rc.firewall
#!/bin/sh
#
#

###########################################################################
#
# 1. Configuration options.
#

#
# 1.1 Internet Configuration.
#

#INET_IP=«10.34.105.30»
#INET_IFACE=«eth2»
#INET_SUBNET=«10.34.105.28/30»
#INET_BROADCAST=«10.34.105.31»

INET_IP=«195.94.237.82»
INET_IFACE=«eth5»
INET_SUBNET=«10.34.105.28/29»
INET_BROADCAST=«195.94.237.87»

# Specialnie adresnie prostarnstva i adresa //Valya

#Straffic
RABOCHIE_STANCII=«192.168.2.1-192.168.2.30»
TONKIE_CLIENTI=«192.168.2.31-192.168.2.100»
TERMINAL_SERVER=«192.168.2.171»
S_LAN=«192.168.2.0/24»

#M
M_LAN=«192.168.3.0/24»

LAN_IP=«192.168.2.63»
LAN_SUBNET=«192.168.2.0/24»
LAN_IFACE_S=«eth1»
LAN_IFACE_M=«eth0»

LO_IFACE=«lo»
LO_IP=«127.0.0.1»

IPTABLES=«/usr/sbin/iptables»

/sbin/depmod -a

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
/sbin/modprobe ip_nat_pptp
/sbin/modprobe ip_conntrack_pptp
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_vs_ftp
/sbin/modprobe nf_nat_ftp
/sbin/modprobe nf_conntrack_ftp

#/sbin/modprobe ipt_owner
#/sbin/modprobe ipt_REJECT
#/sbin/modprobe ipt_MASQUERADE
#/sbin/modprobe ip_conntrack_ftp
#/sbin/modprobe ip_conntrack_irc
#/sbin/modprobe ip_nat_ftp
#/sbin/modprobe ip_nat_irc

###########################################################################
#
# 3. /proc set up.
#

#
# 3.1 Required proc configuration
#

#
# 3.2 Non-Required proc configuration
#
echo «1» > /proc/sys/net/ipv4/ip_forward
#echo «1» > /proc/sys/net/ipv4/conf/all/rp_filter
#echo «1» > /proc/sys/net/ipv4/conf/all/proxy_arp
#echo «1» > /proc/sys/net/ipv4/ip_dynaddr

###########################################################################
#
# 4. rules set up.
#

######
# 4.1 Filter table
#

#
# 4.1.1 Set policies
#
IPTABLES=«/usr/sbin/iptables»
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
$IPTABLES -t nat -F



#$IPTABLES -i $LAN_IFACE -d ! 192.168.1.0/24 -j SNAT --to-source 192.168.2.2
$IPTABLES -P INPUT ACCEPT
###$IPTABLES -F INPUT
$IPTABLES -P OUTPUT ACCEPT
###$IPTABLES -F OUTPUT

$IPTABLES -P FORWARD ACCEPT

Помогите, пожалуйста!

Поднял файл-сервер под самбой (конфиг будет приведен ниже). Цель файл-сервера - хранить на себе профили пользователей Windows Terminal Services.

Windows 2008 64 bit позволяет указать внешний ресурс, который будет использоваться для целей хранения профилей пользователей. Делается это через групповые политики.

Я указал винде название ресурса (расшаренная папка файл-сервера).
При заходе любым пользователем на терминальный сервер указанная шара из сетевого окружения доступна, и в неё можно писать любым пользователем треминального сервера.

При заходе любым пользователем на терминальный сервер на шаре реально создается папка, включающая имя пользователя, в которой по идее должен храниться профиль пользователя. Но профиль там отсутствует, а при заходе на терминальный сервер пользователю выдается сообщение о том, что профиль загрузить не удалось.

В журнале винды ошибка 1060 (сетевой ресурс не доступен).

После добавления строк в Samba PDC
logon path = \\%L\profiles\.msprofile
logon home = \\%L\%U\.9xprofile

ошибка стала другой:
Error 1067:
Серверу терминалов не удалось зарегистрировать имя участника-службы (SPN) «TERMSRV», используемое для проверки подлинности сервера. Произошла ошибка: Указанный домен не существует или к нему невозможно подключиться.

Вот тут я нашел про ошибку:
http://technet.microsoft.com/en-us/library/cc775361%28WS.10%29.aspx?ppud=4

Добавил пользователя termsrv в Samba PDC и попытался выполнить на терминальном сервере:

setspn -a TERMSRV/terminalserver.office MYDOMAIN\termsrv

Получаю:
FindDomainForAccount: ошибка в DsGetDcNameWithAccountW.
Не удается найти учетную запись termsrv.

В логах самбы даже не нашёл упоминаний о таком запросе.

Куда копать? Конфиг ниже:

======================= Global Settings =====================================
[global]

# workgroup = NT-Domain-Name or Workgroup-Name, eg: LINUX2
workgroup = MYDOMAIN
logon path = \\%L\profiles\.msprofile
logon home = \\%L\%U\.9xprofile

# server string is the equivalent of the NT Description field
server string = Samba Server

# Security mode. Defines in which mode Samba will operate. Possible
# values are share, user, server, domain and ads. Most people will want
# user level security. See the Samba-HOWTO-Collection for details.
# security = user
security = share
password server = PWSERVER

[printers]
comment = All Printers
path = /var/spool/samba
browseable = no
# Set public = yes to allow user 'guest account' to print
guest ok = no
writable = no
printable = yes

[public]
comment = Public Stuff
path = /home
public = yes
writable = yes
printable = no
create mask = 0777

Вроде бы банальная вещь, но проблема есть:
пытаюсь перенаправит трафик c своего ip через сквид через одного из подключенных к роутеру провайдеров. Squid и роутер находятся на одной физической машине.

Вот интерфейс, который смотрит в строну интересующего провайдера.

eth3 Link encap:Ethernet HWaddr 00:15:17:C4:A8:80
inet addr:192.168.0.2 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::215:17ff:fec4:a880/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3379 errors:0 dropped:0 overruns:0 frame:0
TX packets:3425 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:3978500 (3.7 MiB) TX bytes:346134 (338.0 KiB)
Base address:0xa880 Memory:fe880000-fe8a0000

192.168.0.1 - роутер провайдера, с нашего squid-роутера пингуется.

Маршрутизация на squid-роутере:

root:/etc/squid# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.13 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
10.34.105.28 0.0.0.0 255.255.255.252 U 0 0 0 eth2
192.168.3.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.0.0 192.168.0.1 255.255.255.0 UG 0 0 0 eth3 <- вот так я настроил роутинг (чтобы системе было ясно, куда кидать пакеты, когда они идут с ip 192.168.0.2)
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth3
10.0.0.0 10.0.0.13 255.255.252.0 UG 0 0 0 tun0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 10.34.105.29 0.0.0.0 UG 1 0 0 eth2

В фаерволе на squid-роутере завернул свой ip на сквид:
iptables -t nat -A PREROUTING -s 192.168.2.138 -d ! 192.168.2.63 -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-port 3128

192.168.2.63 - ip роутера в подсети с моим ip, трафик которого я хочу завернуть.

В сквиде прописал (сквид прозрачный):
acl myip 192.168.2.138
tcp_outgoing_address 192.168.0.2 myip
server_persistent_connections off

Иду на showip.net - мне показывает внешний ip провайдера по умолчанию, вместо провайдера на eth3.

Что я делаю не так?!

Помогите, пожалуйста!

Поднял файл-сервер под самбой (конфиг будет приведен ниже). Цель файл-сервера - хранить на себе профили пользователей Windows Terminal Services.

Windows 2008 64 bit позволяет указать внешний ресурс, который будет использоваться для целей хранения профилей пользователей. Делается это через групповые политики.

Я указал винде название ресурса (расшаренная папка файл-сервера).
При заходе любым пользователем на терминальный сервер указанная шара из сетевого окружения доступна, и в неё можно писать любым пользователем треминального сервера.

При заходе любым пользователем на терминальный сервер на шаре реально создается папка, включающая имя пользователя, в которой по идее должен храниться профиль пользователя. Но профиль там отсутствует, а при заходе на терминальный сервер пользователю выдается сообщение о том, что профиль загрузить не удалось.

В журнале винды ошибка 1060 (сетевой ресурс не доступен).

Куда копать? Конфиг ниже:

======================= Global Settings =====================================
[global]

# workgroup = NT-Domain-Name or Workgroup-Name, eg: LINUX2
workgroup = MYDOMAIN

# server string is the equivalent of the NT Description field
server string = Samba Server

# Security mode. Defines in which mode Samba will operate. Possible
# values are share, user, server, domain and ads. Most people will want
# user level security. See the Samba-HOWTO-Collection for details.
# security = user
security = share
password server = PWSERVER

[printers]
comment = All Printers
path = /var/spool/samba
browseable = no
# Set public = yes to allow user 'guest account' to print
guest ok = no
writable = no
printable = yes

[public]
comment = Public Stuff
path = /home
public = yes
writable = yes
printable = no
create mask = 0777

Стояла Freebsd 7.0 64 bit на VMWare Server 2.1 on Windows 2300 Standard 64 bit.
Поднял на другой железке линукс, поставил туда VMWare Server и перенес виртуальную машину с FreeBSD.

При загрузке перенесенная виртуальная машина выдает значения каких-то регистров и надпись BTX Halted.

Дальше не грузится.

Я попробовал загрузиться c установочного 64-битного диска, но мне выдается ошибка cpu doesn't support long mode при загрузке.

Уточню, что виртуальная машина с FreeBSD 7.0 64 bit крутилась на вмваре в среде Win 2003 Standard 64 bit.

Я сейчас я пытаюсь запустить виртуальную машину на тачке

vendor_id : GenuineIntel
cpu family : 15
model : 2
model name : Intel(R) Celeron(R) CPU 2.80GHz

и дистрибутив основной системы -Slackware 12 32 bit
Может дело в том, что основная система -не 64 bit?

Народ! Подскажите, нормально ли то, что указанные в теме броузеры не работют с frox?
У меня и TotalCommander, DowmloadMaster, обычный ftp из программ Windows работают нормально.

А эти 2 броузера ругаются. На команде List зависают:
Wed Aug 19 17:51:27 2009 frox[6650] C: USER anonymous

Wed Aug 19 17:51:27 2009 frox[6650] S: 331 Anonymous login ok, send your complete email address as your password.

Wed Aug 19 17:51:27 2009 frox[6650] C: PASS mozilla@example.com

Wed Aug 19 17:51:28 2009 frox[6650] S: 230-*************************************************************************

Wed Aug 19 17:51:28 2009 frox[6650] S: Welcome to ftp.slackware.com,

Wed Aug 19 17:51:28 2009 frox[6650] S:

Wed Aug 19 17:51:28 2009 frox[6650] S: You are user 31 of 96.

Wed Aug 19 17:51:28 2009 frox[6650] S:

Wed Aug 19 17:51:28 2009 frox[6650] S: On This Site:

Wed Aug 19 17:51:28 2009 frox[6650] S: /pub/slackware/ Slackware Linux

Wed Aug 19 17:51:28 2009 frox[6650] S:

Wed Aug 19 17:51:28 2009 frox[6650] S: If you experience any problems e-mail us: volkerdi@slackware.com

Wed Aug 19 17:51:28 2009 frox[6650] S: *************************************************************************

Wed Aug 19 17:51:28 2009 frox[6650] S:

Wed Aug 19 17:51:28 2009 frox[6650] S: 230 Anonymous access granted, restrictions apply.

Wed Aug 19 17:51:28 2009 frox[6650] C: SYST

Wed Aug 19 17:51:28 2009 frox[6650] S: 215 UNIX Type: L8

Wed Aug 19 17:51:28 2009 frox[6650] C: PWD

Wed Aug 19 17:51:29 2009 frox[6650] S: 257 "/" is current directory.

Wed Aug 19 17:51:29 2009 frox[6650] C: TYPE I

Wed Aug 19 17:51:29 2009 frox[6650] S: 200 Type set to I

Wed Aug 19 17:51:29 2009 frox[6650] Intercepted a PASV command
Wed Aug 19 17:51:29 2009 frox[6650] C: PASV

Wed Aug 19 17:51:29 2009 frox[6650] Rewritten 227 reply:
Wed Aug 19 17:51:29 2009 frox[6650] S: 227 Entering Passive Mode (192,168,2,63,158,172)

Wed Aug 19 17:51:29 2009 frox[6650] C: CWD /

Wed Aug 19 17:51:29 2009 frox[6650] S: 250 CWD command successful

Wed Aug 19 17:51:29 2009 frox[6650] Strictpath = "%2f/"
Wed Aug 19 17:51:29 2009 frox[6650] C: LIST

И ещё: я настроил forx для работы со squid. Судя по store.log - все нормально - объекты попадают в кэш прокси. Но при этом ни одной записи в access.log, хотя я ему уже дал 667.

Куда копать?

Есть необходимость прокинуть через ссх туннель на боевой сервер из локалки, а, затем, отфорвардить то, что попадет на прокинутый порт, внутрь локальной сети на опредеенный ip.

Вот так кидаю туннель с локального freebsd:

su - user -c 'AUTOSSH_FIRST_POLL="30" AUTOSSH_POLL="30" AUTOSSH_DEBUG="yes" AUTOSSH_LOGFILE="autossh_5081_2.log" AUTOSSH_LOGLEVEL="7" autossh -M 20001 -f -C -N -2 -R 5081:0.0.0.0:5081 user@server2.com'

А вот полностью содержимое файла с правилами для PF на сервере локальной сети, с которого туннель поднимается:

#test chain
rdr on em0 proto tcp from any to any port 5087 -> 192.168.2.7 port 80
pass all


192.168.2.7 - ip, куда надо прокинуть коннекты с server2.com:5081

Скажите, будет такое работать? Я бы и сам протестил, но по какой-то неясной причине не работает ни на одной машине VMware Console (VMWare Serevr 2.0), хотя юзер, с ней работающий, имеет все мыслимые привилегии. И я боюсь одной строкой отключить сервер без возможности его восстановить из консоли.

Есть роутер, который является opnvpn-клиентом к некоторому серверу.

192.168.2.63 - ip роутера в локальной сети.
10.0.0.14 - ip роутера в туннеле openvpn
10.0.0.1 - ip сервера в туннеле openvpn
192.168.2.x1 - ip клиентской машины в локальной сети за роутером, соединение с которой я хочу пробросить на 10.0.0.1:3306

Сервера по туннелю пингуют друг друга и могут взаимодействовать на уровне сервисов (например, с роутера можно подключиться через туннель на openvpn-сервер на порт 3306):

mysql -u user -h 10.0.0.1 -p - если запускать с роутера, то проходит.


За роутером есть локальная сеть (192.168.2.0/24), хотелось бы, чтобы все пакеты из локальной сети (а в моем примере ниже - с локального адреса 192.168.2.138) на порт 3306, адресованные внешнему серверу server1.com перенаправлялись на 10.0.0.1:3306.

В фаероволле на роутере все цепочки с правилом ACCEPT по умолчанию. Поднят форвардинг и snat на выданный провайдером ip для нашего роутера.

Делаю DNAT:

iptables -t nat -A PREROUTING -s 192.168.2.138 -p tcp -d server1.com --dport 3306 -j DNAT --to-destination 10.0.0.1:3306
iptables -t nat -A PREROUTING -s 192.168.2.138 -p udp -d server1.com --dport 3306 -j DNAT --to-destination 10.0.0.1:3306

Результат с машины 192.168.2.138:
C:\Program Files\MySQL\bin>mysql -u user -h server1.com -p
Enter password: ****
ERROR 2003 (HY000): Can't connect to MySQL server on 'server1.com' (10060)


Куда копать и что делать? Может дело в SNAT? Он мешает DNAT? Помогите, пожалуйста!

Скажите, можно ли переадресовать пользователя, когда он обращается на https://domen на http://domen?

B как это выглядит примерно?

Дело в том, что у меня есть домен, я когда к нему обращаюсь по https://domen, то попадаю на другой сайт на этом же сервере - https://domen2. А надо попасть на http://domen.

Не подскажите, где такой редирект прописывается и как примерно выглядит?
В свойствах VirtHost? htaccess?

Очень странная ситуация. Есть подсеть. У подсети есть маршрут по умолчаию - ip адрес 192.168.3.1. На интерфейсе поднят прозрачный прокси. Если люди работают на прямую без прокси, то всё хорошо. Если хотя бы один запрос отправляется из этой подсети на прокси, то 192.168.3.1 становится недоступным и не пингуется. Остальные адреса в подсети остаются доступными. Лечится всё просто - ifconfig eth0 down - ifocnfig eth0 up + юзеры перед этим пускаются в обход прокси.

Есть ещё одна подсеть с маршрутом по умолчаю 192.168.2.63. И в ней все ходят в инет через проксю, и проблем не наблюдается, даже когда проблемы есть в соседней подсети.

Маски подсети везде = 24 бита.

Но мне нужно, чтобы обе посдети ходили в инет через один прокси, а не только одна. Помогите пожалуйста! Конфиги фаерволла и сквида прилагаю.

Slackware 12.
2.6.21.5-smp
squid/2.6.STABLE22

RC.FIREWALL:

#!/bin/sh

IPTABLES="/usr/sbin/iptables"
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
$IPTABLES -t nat -F

INET_IP="10.34.105.30"
INET_IFACE="eth2"
INET_SUBNET="10.34.105.28/30"
INET_BROADCAST="10.34.105.31"


# Specialnie adresnie prostarnstva i adresa //Valya

#SM
RABOCHIE_STANCII="192.168.2.1-192.168.2.30"
TONKIE_CLIENTI="192.168.2.31-192.168.2.100"
TERMINAL_SERVER="192.168.2.171"
ALL_SM_LAN="192.168.2.0/24"

#MD
MD_STANCII="192.168.3.0/24"


LAN_IP="192.168.2.63"
LAN_SUBNET="192.168.2.0/24"
LAN_IFACE_SMS="eth1"
LAN_IFACE_MD="eth0"

LO_IFACE="lo"
LO_IP="127.0.0.1"


IPTABLES="/usr/sbin/iptables"

/sbin/depmod -a

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state


echo "1" > /proc/sys/net/ipv4/ip_forward
#echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
#echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp
echo "1" > /proc/sys/net/ipv4/ip_dynaddr


$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT


$INET_IFACE -j MASQUERADE

#Çàðåçàåì òðàôèê ñ òîíêèõ êëèåíòîâ â ñåòü èíòåðíåò íàïðÿìóþ
iptables -t filter -A FORWARD -m iprange --src-range $TONKIE_CLIENTI -d ! 192.168.2.63 -p all -j DROP


#########

iptables -t nat -A PREROUTING -m iprange --src-range $RABOCHIE_STANCII -d ! 192.168.2.63 -p tcp -m multiport --dport 80,81,82,83,88,8082,8083,8091,8100,8101,8102,8103,8080,8888,777 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s $TERMINAL_SERVER -d ! 192.168.2.63 -p tcp -m multiport --dport 80,81,82,83,88,8082,8083,8091,8100,8101,8102,8103,8080,8888,777 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -s $MD_STANCII -d ! 192.168.3.1 -p tcp -m multiport --dport 80,81,82,83,88,8082,8083,8091,8100,8101,8102,8103,8080,8888,777 -j REDIRECT --to-port 3128


#çàðåçàåì óòå÷êè brodcast-òðàôèêà èç âñåõ ëîêàëüíûõ ñåòåé
$IPTABLES -A INPUT -i $LAN_IFACE_SMS -s 255.255.255.255 -j DROP
$IPTABLES -A INPUT -i $LAN_IFACE_SMS -d 0.0.0.0 -j DROP

#$IPTABLES -A INPUT -i $LAN_IFACE_MD -s 255.255.255.255 -j DROP
#$IPTABLES -A INPUT -i $LAN_IFACE_MD -d 0.0.0.0 -j DROP


#######################################################

$IPTABLES -A FORWARD -p tcp --dport 25 -d ! 62.113.86.197 -j ULOG --ulog-nlgroup 1 --ulog-prefix "(b25-tcp): "
$IPTABLES -A FORWARD -p tcp --dport 25 -d ! 62.113.86.197 -j REJECT
$IPTABLES -A FORWARD -p udp --dport 25 -d ! 62.113.86.197 -j ULOG --ulog-nlgroup 1 --ulog-prefix "(b25-udp): "
$IPTABLES -A FORWARD -p udp --dport 25 -d ! 62.113.86.197 -j REJECT

$IPTABLES -A FORWARD -d 81.176.226.166 -j REJECT --reject-with icmp-host-prohibited
$IPTABLES -A FORWARD -d 87.242.91.47 -j REJECT --reject-with icmp-host-prohibited
$IPTABLES -A FORWARD -d 195.2.91.115 -j REJECT --reject-with icmp-host-prohibited
$IPTABLES -A FORWARD -d 195.2.91.116 -j REJECT --reject-with icmp-host-prohibited
$IPTABLES -A FORWARD -d 195.190.105.0/24 -j REJECT --reject-with icmp-host-prohibited

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP


SQUD.CONF :

##################################### ACL ######################################
#You can disable allowing only SM packets here, but I recommend to pass only them //V

acl manager proto cache_object
acl all src 0.0.0.0/0.0.0.0
acl root_host src 192.168.2.199
acl localhost src 127.0.0.1/255.255.255.255
acl bad_sites url_regex -i "/usr/local/squid/etc/bw.regex"
acl good_sites url_regex -i "/usr/local/squid/etc/gw.regex"

http_access allow manager localhost
http_access deny manager

acl sm src 192.168.2.0/24
acl md src 192.168.3.0/24

http_access deny bad_sites
http_access allow good_sites
http_access allow sm
http_access allow md
http_access deny all

acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 9443 9080 563 15100 11001 11002
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 9443 9080 563 11001 11002 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

#acl sm proxy_auth REQUIRED
http_access deny all

############# CACHE #############
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
cache allow all

cache_mem 60 MB

####DNS


##################################

############# PATHS #################################
cache_dir ufs /usr/local/squid/var/cache 7000 16 256
access_log /usr/local/squid/var/logs/access.log squid
####################################################

acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

cache_effective_user squid
cache_effective_group squid
log_access allow all

tcp_outgoing_address 10.34.105.30 sm
tcp_outgoing_address 10.34.105.30 md
http_port 3128 transparent

visible_hostname squid

Re: завод Windows 2003 server в PDC Samba.

при попытке ввода Win2003 Serv в домен PDC Samba винда выдает сообщение:

"При присоединении к домену возникла следующая ошибка:

Не найдено имя пользователя."

Использовал логин root..

что это может быть?

В сети много мануалов на тему завод Samba в Windows 2003 server PDC, а вот завод Windows 2003 server в PDC Sambа -плохо освещен. Поделитесь пожалуйста алгоритмом, очень надо на скорую руку замутить, а то убьют...

Народ! Просветите пожалуйста! Хотел потсавить систему SAMS. Выяснилось, что нужно поднять ntlm-аутентификацию. Поднял. Вроде работает, в access.log имена юзеров пишет. Но оказалось, что в режиме transparent ntlm работать не будет.

aclAuthenticated: authentication not applicable on transparently intercepted requests.

Так как мне юзеров редиректнуть на прокси, чтобы они только через него могли ходить в сеть? Засада в том, что мне не нужно, чтобы юзеры прописывали прокси у себя в настройках. Чтобы всё было автоматом. Если я отключаю transparent-режим, то обычный редирект через сквид средствами iptables выдает в броузере ошибку.. Помогите плиз!! А аутентификация юзеров тоже нужна...

Хочу настроить связку samba pdc + squid. PDC и есть самба. Виндовых серверов нет. сам PDC функционирует, юзеры входят.

прописал конфиг самбы, запустил winbindd, решил тестировать:

wbinfo -u
Error looking up domain users

wbinfo -g
BUILTIN@administrators
BUILTIN@users

wbinfo -t
checking the trust secret via RPC calls failed
error code was NT_STATUS_CANT_ACCESS_DOMAIN_INFO (0xc00000da)
Could not check secret

wbinfo -p
Ping to winbindd succeeded on fd 5


Вот конфиг самбы:

[global]
server string = SPDC(Samba %v)
workgroup = TEST
netbios name = TESTING

security = user
;encrypted password = yes
domain master = yes
;local master = yes
;wins support = yes
preferred master = yes
domain logons = yes
os level = 255
winbind uid = 10000-20000
winbind gid = 10000-20000
admin users = root
time server = yes


#######WINS
winbind separator = @
winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
#password server = localhost
######


#new

log level = 10
hosts allow = 192.168.x. 127. 127.27.1.
####

username map = /etc/samba/usersmap.conf

logon script = STARTUP.BAT
logon path =

;add user script = /usr/sbin/useradd %u
;add group script = /usr/sbin/groupadd %g
;add machine script = /usr/sbin/adduser -n -g machines -c Machine -d /dev/null -s /bin/false %u
;delete user script = /usr/sbin/userdel %u
;delete user from group script = /usr/sbin/deluser %u %g
;delete group script = /usr/sbin/groupdel %g

add machine script = /etc/samba/scripts/addmashine.sh %u
add user script = /etc/samba/scripts/adduser.sh %u
delete user script = /etc/samba/scripts/deluser.sh %u
add group script = /etc/samba/scripts/addgroup.sh %g
delete group script = /etc/samba/scripts/delgroup.sh %g
set primary group script = /etc/samba/scripts/setprimarygroup.sh %u %g
add user to group script = /etc/samba/scripts/addusertogroup.sh %u %g
delete user from group script = /etc/samba/scripts/deluserfrgroup.sh %u %g

[homes]
#read only = no
#browseable = no
comment = Home Directories
browseable = no
read only = no
preserve case = yes
short preserve case = yes
create mode = 0750

[netlogon]
comment = Network logon service
path = /etc/samba/netlogon
browseable = no

Не считает статистику по почте. Т.е. считает только у двоих, хотя почту принимают все. И еще - как сделать так, чтобы внутренний трафик не считался в данной конфигурации? 

eth1 - смотрит в локалку, eth2 - в инет. Поднят nat на eth2.  

NeTAMS version 3.4.1 (template config)
#begin
#global variables configuration
debug none
user name admin real-name Admin password aaa email root@localhost permit all

#services configuration

service server 0
login local
listen 20001
max-conn 6

service processor 0
lookup-delay 60
flow-lifetime 180
policy name ip target proto ip
policy name www target proto tcp ports 80 81 8080 3128
policy name mail target proto tcp ports 25 110
restrict all pass local pass
unit group name CLIENTS acct-policy ip www mail
unit host name server ip xx.xx.xx.63 acct-policy ip www mail
unit user name av ip xx.xx.xx.199 parent CLIENTS email df@mail.com acct-policy ip www mail
unit user name b ip xx.xx.xx.144 parent CLIENTS email df@mail.com acct-policy ip www mail
unit user name c ip xx.xx.xx.142 parent CLIENTS email df@mail.com acct-policy ip www mail
unit user name d ip xx.xx.xx.185 parent CLIENTS email df@mail.com acct-policy ip www mail
unit user name e ip xx.xx.xx.197 parent CLIENTS email df@mail.com acct-policy ip www mail
unit user name g ip xx.xx.xx.184 parent CLIENTS email df@mail.com acct-policy ip www mail
unit user name l ip xx.xx.xx.121 parent CLIENTS email df@mail.com acct-policy ip www mail
unit user name Ay ip xx.xx.xx.189 parent CLIENTS email df@mail.com acct-policy ip www mail
unit user name r ip xx.xx.xx.145 parent CLIENTS email df@mail.com client1@domain.ru acct-policy ip www mail
unit user name r ip xx.xx.xx.123 parent CLIENTS email df@mail.com acct-policy ip www mail
unit user name ii ip xx.xx.xx.143 parent CLIENTS email df@mail.com client1@domain.ru acct-policy ip www mail
unit user name s ip xx.xx.xx.122 parent CLIENTS email df@mail.com client1@domain.ru acct-policy ip www mail
unit user name P ip xx.xx.xx.181 parent CLIENTS email df@mail.com acct-policy ip www mail
unit user name K ip xx.xx.xx.193 parent CLIENTS email df@mail.com acct-policy ip www mail
unit user name aty ip xx.xx.xx.155 parent CLIENTS email df@mail.com acct-policy ip www mail
unit net name LAN ip xx.xx.xx.0/24 acct-policy ip www mail
storage 1 all

service storage 1
type mysql
user root
password xx
host xx
port 3306

service data-source 1
type libpcap
source eth1
rule 11 "ip"

service quota 0
policy ip
notify soft {owner}
notify hard {owner} admin
notify return {owner}
storage 1

service alerter 0
report oid 06100 name rep1 type traffic period day detail simple
smtp-server localhost

service html 0
path /var/www/htdocs/netams/stat
run 10min
htaccess yes
client-pages all
url http://xx.xx.xx.63/netams/
language ru

service scheduler
oid 08FFFF time 10min action "html"

# $Id: netams.conf,v 1.1 2008-01-03 12:44:53 anton Exp $
#end 

Прокси работал, а потом стал тормозить и перестал загружать некоторые сайты -броузеры говорят, что ждут ответа от сервера. Памяти свободной 1714624k free. Система не свопится.
При перезагрузке прокси снова работает нормально.

squid.conf

##################################### ACL ######################################

acl manager proto cache_object
acl all src 0.0.0.0/0.0.0.0
acl root_host src 192.168.2.199
acl localhost src 127.0.0.1/255.255.255.255
acl my src 192.168.2.0/24
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 9443 9080 563 15100 11001 11002
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443 9443 9080 563 11001 11002 # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

#Add or remove sites by REGEX in this file
acl bad_sites url_regex -i "/usr/local/squid/etc/bw.regex"
###############################################################################
##

######################## HTTP_ACCESS ##################################
#allow all to root/deny bad dst/allow my src/deny all
#http_access allow root_host
http_access deny bad_sites
http_access allow manager localhost
http_access deny manager
http_access allow my
http_access deny all

icp_access allow all
###############################################################


############# CACHE #############
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
cache allow all

cache_mem 120 MB
##################################

############# PATHS #################################
cache_dir ufs /usr/local/squid/var/cache 7000 16 256
access_log /usr/local/squid/var/logs/access.log squid
####################################################

############# SPECIAL PARAMETERS ################
refresh_pattern ^ftp:        1440&nbs...
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern .        0    20%    4320
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
cache_effective_user squid
cache_effective_group squid
log_access allow all

http_port 3128 transparent
reload_into_ims on
visible_hostname squid

______________

rc.squid

#!/bin/sh
# Start/stop/restart/reload the Squid Internet Object Cache (squid)
# To make Squid start automatically at boot, make this
# file executable:  chmod 755 /etc/rc.d/rc.Squid
#
# Written for Slackware Linux by Erik Jan Tromp
# Modified by David Somero <xgizzmo@slackbuilds.org>

SQUIDCFG=/usr/local/squid/etc/squid.conf
SQUIDCMD=/usr/local/squid/sbin/squid

if [ ! -r $SQUIDCFG ]; then
  echo "Please set the correct path to $SQUIDCFG"
  exit 1
fi

if [ ! -x $SQUIDCMD ]; then
  echo "$SQUIDCMD not found"
  exit 1
fi

squid_start() {
  # Create cache directory hierarchy if needed
  ALL_DIRS=$(awk '/^cache_dir/ {print $3}' $SQUIDCFG)
  [ -z "$ALL_DIRS" ] && ALL_DIRS=/usr/local/squid/var/cache/

  for CACHE_DIR in $ALL_DIRS ; do
    if [ ! -d $CACHE_DIR/00 ] ; then
      echo "Creating swap directories:  $SQUIDCMD -z"
      $SQUIDCMD -z 2> /dev/null
      break
    fi
  done

  echo "Starting Squid:  $SQUIDCMD -DF"
  $SQUIDCMD -DF
}

squid_stop() {
  COUNTDOWN=$(awk '/^shutdown_lifetime/ {print $2}' $SQUIDCFG)
  [ -z "$COUNTDOWN" ] && COUNTDOWN=30

  echo -n "Shutting down Squid in $COUNTDOWN seconds:  "
  $SQUIDCMD -k shutdown 2> /dev/null
  while [ $SQUIDCMD -k check 2> /dev/null ]
  do
     sleep 1
     echo -n .
     COUNTDOWN=$[ $COUNTDOWN - 1 ]
     if [ $COUNTDOWN -le 0 ] ; then
       $SQUIDCMD -k interrupt 2> /dev/null
       sleep 1
       break
     fi
  done
}

squid_restart() {
  squid_stop
  sleep 1
  squid_start
}

squid_reload() {
   $SQUIDCMD -k reconfigure 2> /dev/null
}

case "$1" in
'start')
  squid_start
  ;;
'stop')
  squid_stop
  ;;
'restart')
  squid_restart
  ;;
'reload')
  squid_reload
  ;;
*)
  echo "usage: $0 start|stop|restart|reload"
esac


___________________________________


cache.log после перезагрузки


2008/10/17 12:09:48| Done reading /usr/local/squid/var/cache swaplog (25092 entries)
2008/10/17 12:09:48| Finished rebuilding storage from disk.
2008/10/17 12:09:48|     24035 Entries scanned
2008/10/17 12:09:48|         0 Invalid entries.
2008/10/17 12:09:48|         0 With invalid flags.
2008/10/17 12:09:48|     24035 Objects loaded.
2008/10/17 12:09:48|         0 Objects expired.
2008/10/17 12:09:48|      1037 Objects cancelled.
2008/10/17 12:09:48|         0 Duplicate URLs purged.
2008/10/17 12:09:48|         0 Swapfile clashes avoided.
2008/10/17 12:09:48|   Took 0.3 seconds (93488.3 objects/sec).
2008/10/17 12:09:48| Beginning Validation Procedure
2008/10/17 12:09:49|   Completed Validation Procedure
2008/10/17 12:09:49|   Validated 22998 Entries
2008/10/17 12:09:49|   store_swap_size = 282004k
2008/10/17 12:09:49| storeLateRelease: released 0 objects
2008/10/17 12:10:02| CACHEMGR: <unknown>@127.0.0.1 requesting 'storedir'
2008/10/17 12:10:03| CACHEMGR: <unknown>@127.0.0.1 requesting 'counters'
2008/10/17 12:10:03| CACHEMGR: <unknown>@127.0.0.1 requesting 'counters'
2008/10/17 12:15:02| CACHEMGR: <unknown>@127.0.0.1 requesting 'storedir'
2008/10/17 12:15:03| CACHEMGR: <unknown>@127.0.0.1 requesting 'counters'
2008/10/17 12:15:03| CACHEMGR: <unknown>@127.0.0.1 requesting 'counters'

>>>