LINUX.ORG.RU

аналог керио под линукс


0

1

Привет.

Установлен debian без графического интерфейса. Нужен аналог керио, в консольном режиме. ну или если средствами iptables возможно блокировать определенные сайты и т. д. Подскажите как? Спасибо.


Лучше всего поставить прозраный сквид и для него налепить правил

xorik ★★★★★ ()

Как тут уже сказали можно сквид с плагинами поставить. Но если ты спрашиваешь про керио, то лучше всё же Уиндовс.

Othniel ()
Ответ на: комментарий от rext

Ну если у тебя клиенты за натом, не сложно написать правила дропающие трафик к каким-то ресурсам. Ну или таки сквид как более полный аналог.

erfea ★★★★★ ()
Ответ на: комментарий от erfea

список сайтов очень огромный, средствами iptables как-то не очень удобно получается. Такой вопрос. Сквидом можно ограничивать скорость, контролировать торрент и т. д. ?

rext ()
Ответ на: комментарий от rext

Ну да, есть даже возможность подключать внешние средства анализа на потребность резки (как самописные так и имеющиеся готовые).

erfea ★★★★★ ()
Ответ на: комментарий от sin_a

По-моему только связь с трекером. Для соединения с пирами нужно NAT, если таки хочется разрешить торренты получается нужен ещё и iptables ну и что-то дабы шейпить. Хотя если дело доходит до таких потребностей как прокся с огромным список запретов, то в 99% случаев будет желание торренты вырезать вообще как класс.

erfea ★★★★★ ()
Ответ на: комментарий от erfea

В том то и дело, что сквид это только http, https и ftp (и то, последние два только непрозрачный). А толку ограничивать скорость доступа до трекера не очень много.

Надо ли ему ограничивать торренты - он не сказал.

sin_a ★★★★★ ()
Ответ на: комментарий от sin_a

Надо ли ему ограничивать торренты - он не сказал.

В том то и дело, я «контролировать» понял как резать к чертям, это же дефолтно.

Даже почту уже придётся пускать в обход.

Nat для нужного ip-port задача тривиальная, и нужно только если почтовый сервис внешний.

erfea ★★★★★ ()
Ответ на: комментарий от erfea

По крайней мере средствами сквида статистику трафика и ограничение скорости для почты уже не получишь.

sin_a ★★★★★ ()
Ответ на: комментарий от rext

Сквид - прокси сервер для http. А что ты собираешься делать с торрентами? Может выложишь полный и понятный список критериев, будет проще что-то советовать.

erfea ★★★★★ ()
Ответ на: комментарий от sin_a

По крайней мере средствами сквида статистику трафика и ограничение скорости для почты уже не получишь.

А оно вообще надо?! Оо

erfea ★★★★★ ()
Ответ на: комментарий от rext

Насколько мне известно, зарезать торренты задача вообще нетривиальная. Типа, они проходят через любой незакрытый порт и зафлуживают, а выделить именно их пакеты для ограничения скорости в общем случае возможности нет.

sin_a ★★★★★ ()
Ответ на: комментарий от erfea

Ну тут техзадания так и сформулировано, пока :)

sin_a ★★★★★ ()
Ответ на: комментарий от erfea

почтовый сервер внешний.

Торрент не запрещать я хотел а контролировать скорость. У меня юзеры любят качать с трекерав. А рубить торрент на мертво - не красиво. Поэтому, хотел ограничить им всем скорость.

rext ()
Ответ на: комментарий от sin_a

Открыть для них определёный порт для NAT, в клиент сабж обычно можно указывать явно. Дальше шейпить отдельный порт вроде не трудно.

erfea ★★★★★ ()
Ответ на: комментарий от rext

Если есть сквид то разделить www и порренты уже легко, сквид на шлюзе исходящий а порренты проходящий. Если порты почты, например, выделить и пустить без ограничений, то возможно что-то похожее и получится. Но это уже tc.

sin_a ★★★★★ ()
Ответ на: комментарий от rext

Тогда рекомендую iptables + squid. Сквидом контролишь главное (по крайней мере для большинства) http. Для почты или просто сделай маскарад портов (iptables) smtp/imap/pop3 или даже на конкретные узлы. Для торрентов открой какой-то порт и шейпь его, не забуть ограничить максимум коннетов для хоста, если в идеале то лучше нормальный нат и каждому пользователю торрентов выдать свой порт для торрентов.

erfea ★★★★★ ()
Ответ на: комментарий от sin_a

У пользователя только возможность заюзать вполне определённый порт, не хочешь не юзай его, но торрентов ты не получишь :)

erfea ★★★★★ ()
Ответ на: комментарий от erfea

Спасибо.

Что имею

Имею примерно 90 рабочих станций, за ними коммутатор, за коммутатором мой сервер он же(локальный шлюз)(на данный момент установлен win 2003 + керио вин роут). Настроен запрет на сайты, фильтр по фразам, ограничение скорости на скачивание"torrent и проч. файла обменники.

Цель Сделать всё тоже самое на linux. C дистам определился, с iptables разобрался. Остался сквид

rext ()
Ответ на: комментарий от erfea

А, остальные закрыть, да. Но тогда и указывать по идее не надо, само найдёт.

Они, кстати, через порты для http и smtp не полезут?

sin_a ★★★★★ ()
Ответ на: комментарий от rext

Ну сквидом ты только http можешь нормально управлять, зато очень еффективно особенно если в связке со свидгуардом. А для файло-обмеников достаточно определиться со списком используемых протоколов (и портов которые под это открывать), открываем эти порты да шейпим на них скорости.

erfea ★★★★★ ()
Ответ на: комментарий от sin_a

http порт закрыт, а smtp и остальный почтовые можно жосто зашейпить (и то на случай наличия особо умных, на практике такие встречаются редко), сие много скорости не требует. Список портов для фалобмеников тоже шейпить, у них смотрю всё довольно либерально, потому не вижу нужды в тоталитарном контроле куда заюзаны порты, если они зашейпены.

erfea ★★★★★ ()
Ответ на: комментарий от sin_a

ЗЫ я так понимаю почта какя-то вполне определёная, значит можно разрешить маскарад только для вполне определённого списка серверов по почтовым портам.

erfea ★★★★★ ()

Обычно в случае торрентов поступают от противного — загоняют http/pop/smtp-трафик в каналы шейпера с высоким приоритетом, а всё остальное идёт по остаточному принципу. Кури tc.

А блочить неугодное нужно iptables'ом.

post-factum ★★★★★ ()
Ответ на: комментарий от post-factum

Ему надо контролить http, огромными списками. Потому свида таки нужна. В остальном да, я то же самое и предлагаю.

erfea ★★★★★ ()
Ответ на: комментарий от rext

Рискну предположить, что это из-за того, что для ftp нужно два порта.

post-factum ★★★★★ ()
Ответ на: комментарий от rext

Ну точных причин я сейчас не назову, но по факту так. У https вроде что-то там с авторизацией связано, а у ftp даже не помню.

Минус в том, чтобы проходить по всем машинам настраивая. Но можно попробовать указать «брать настройки из сети» (только как это использовать и что для этого надо сделать - я не в курсе).

sin_a ★★★★★ ()
Ответ на: комментарий от sin_a

А если прозрачный нужен для того, что бы пользователи не просекли что их через прокси гонят, то рано или поздно это всё равно всплывёт в любом сообщении об ошибке.

sin_a ★★★★★ ()
Ответ на: комментарий от rext

А, да, по статистике. Применял парсер логов lightsquid, мне понравилось.

sin_a ★★★★★ ()
Ответ на: комментарий от rext

У Калошина мне понравилось то что он приводит ровно столько информации сколько нужно, ничего не упуская и не давая ничего лишнего. Такая подача информации это очень большое достоинство. И далеко не всегда такое есть.

sin_a ★★★★★ ()
Ответ на: комментарий от sin_a

Привет.

такой вопрос. после установки сквида, нужно редактировать сквид.конф а куда там все настройки писать? не имеет значение место расположения?

rext ()
Ответ на: комментарий от rext

Насколько я знаю, например acl обрабатываются по мере прохождения. Лучше найти соответствующее место.

Если править конфиг по умолчанию, с его комментариями, то для его чтения может помочь следующее регулярное выражение:

grep «^[^#]» filename

sin_a ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.