» Настройка SmoothWall

2 crep

Да и еще как можно!!!

Медведь и АйПиКоп это два параллельных проекта. Два конкурирующих проекта.Но вот с шейпером 3.х пока отстает.

Рисуете себе любую схему (IP или группу IP) присваиваете приоритеты. При грамотном прописывании правил можно даже назначать разную скорость каждого порта, для одного АйПи. Во общем, короче говоря, гуглите по слову "htb". Там все описано как грамотно шейпить!

Если еще добавить tcar то Вы получите трафик шейпер + авторизация по связке IP+MAC

P.S. Как по мне то Медведь конечно лучше, но я буду переходить на него после того как напишут шейпер (как минимум такой же как и Копа).

Shadow_of_Time
Спасибо.
Пойду гуглить и ставить повторно IPCOP.
Ставил на виртуалку IPCOP и smoothwall, но второй больше приглянулся , да форум у них как то понятнее сделан, новичку проще разобраться с настройками и с аддонами. Вот и остановился на smoothwall.

dbelokursky

Цитата:

Что значит слеш обратный? \

В вашем случае это указание на то, что следующая строка является продолжением текущей. То есть это банальное разделение одной команды на несколько строк для лучшей читаемости

urodliv

Цитата:

В вашем случае это указание на то, что следующая строка является продолжением текущей. То есть это банальное разделение одной команды на несколько строк для лучшей читаемости

Спасибо. Т.е. можно и так:
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.11 --dport 80 -j SNAT --to-source 192.168.1.200 И так:
iptables -t nat -A POSTROUTING \
-p tcp --dst 192.168.1.11 --dport 80 \
-j SNAT --to-source 192.168.1.200
это правило записать?(т.е. хочется понять есть ли какое то ограничение на количество \)

Цитата:

это правило записать?

Да, всё верно. Ограничений нет. Главное чтобы читалось всё удобно

urodliv



Цитата:

Да, всё верно. Ограничений нет. Главное чтобы читалось всё удобно

Got it.

А почему после перезагрузки правило слетает? Его наверно как то сохранить нужно.

dbelokursky
Самый простой способ это прописать правило в etc\rc.d\rc.firewall.up где то в конце. Но когда будет обновляться SW или устанавливаться моды меняющие rc.firewall.up то правило надо будет прописывать заново.

Помогите разобраться в чем засада. Недавно заметил, что SARG довольно своеобразно считает статистику. Вот, например, ежедневная.

Обратите внимание на количество байт полученных за период «11May2010-11May2010» или «06May2010-06May2010». При всем желании мы не смогли бы скачать такой объем при нашей скорости – 512 кбит. Но если посмотреть детальную статистику по 11 мая, то там уже совсем другие цифры (Total: 524.347.824) и они, хотя бы совпадают с суммарным количеством по столбцу «Bytes».

Идем дальше. Хочу посмотреть статистику по одному из пользователей за этот же день (например, пользователь под номером 24).

Слегка озадачивает значение «Total Connect»=255. Может я чего не понимаю, но тут даже в уме нетрудно посчитать, что должно быть 48 вообще-то (и так по каждому пользователю). С «Total Bytes» точно такая же песня (у меня получается 2.186.062 но никак не 3.962.860). И с какого перепугу он мне в статистике конкретного пользователя показывает «Average» значения всех пользователей за этот день?

Добрый вечер.
Установил SW3+Advanced Proxy+UrlFilter+Calamaris+SARG. Поставил прозрачное проксирование (чтобы на каждой машине не настраивать). Смотрю отчёт по трафику SARG'ом и Calamaris'ом. Проблема в том, что их показания не совпадают с отчётами у провайдера. Разница метров в 60-100. В чём может быть проблема ? И ещё такой вопрос: можно ли при прозрачном проксирования как то следить за трафиком по протоколу pop3, ftp ? И есть ли вообще какие нибудь моды, который показывают отчёт по трафику по портам, откуда и сколько было закачано ?

Цитата:

Проблема в том, что их показания не совпадают с отчётами у провайдера. Разница метров в 60-100. В чём может быть проблема ?

Все эти вещи показывают ЧИСТЫЙ трафик, то есть полученные данные. Провайдер же считает трафик брутто, то есть со всей адресной, служебной информацией, повторной передачей и т.д.

Цитата:

Смотрю отчёт по трафику SARG'ом и Calamaris'ом. Проблема в том, что их показания не совпадают с отчётами у провайдера.

Уверяю вас, что они не совпадут НИКОГДА. Ибо провайдер считает весь ip-трафик, а вы считаете только проксируемый (http и некоторые другие), то есть только часть ip-трафика.
Цитата:

И ещё такой вопрос: можно ли при прозрачном проксирования как то следить за трафиком по протоколу pop3, ftp ? И есть ли вообще какие нибудь моды, который показывают отчёт по трафику по портам, откуда и сколько было закачано ?

Вам бы для начала неплохо почитать теорию о проксировании и подсчёте трафика. Тогда на данные вопросы сможете ответить сами.

А по моему вопросу никто ничего не может посоветовать? Может быть есть какие-то нюансы в настройках?

Вам бы для начала неплохо почитать теорию о проксировании и подсчёте трафика. Тогда на данные вопросы сможете ответить сами.

Да не, я знаю, что при прозрачной прокси, всё автоматом заворачивается на порт самого прокси. И чтобы пахал ftp, https и т.д. нуно трансляцию ip-адресов организовывать. Просто директор, мать его, не хочет чтобы я на каждой машине настраивал браузер и другие приложения. Говорит, что он якобы когда то видел, как всё это делали на самой прокси, не ходя по клиентам. Мол тогда весь трафик учитывался.
Просто интересно, есть ли прога, наподобие SARG'а, которая бы показывала, что допустим по ftp порту скачано столько, по порту 110(pop3) столько. Ведь помоему SARG не показывает. Или я не прав ? Просто очень нуно учитывать трафик по почте и ftp. Мона как то это сделать, не ходя к каждому клиенту настраивать машину ?

2 Areol85

Зачем трансляцию?
При возникновении таких вопрос говорити чтоб "пасивный режим" включали. Это проблема ихнего не знания!!! А не ваших не умений!

возникла проблемма при установке SmoothWall Extended Defense Basic PLUS-Custom Iso
не просит установки пароля в итоге после установки учетка root без пароля а вот учетка admin с каким то неизвестным паролем и под админом зайти немогу. помогите что делать или дайте ссылку на нормальный дистрибутив

bigsmoke88
А кто мешает сделать passwd root и passwd admin для установки и смены пароля соответственно?

а как это сделать я не знаю скажи по подробнее

bigsmoke88

Цитата:

а как это сделать я не знаю скажи по подробнее

Выполнить вышеуказанные команды из консоли (командной строки). На запрос пароля ввести свой пароль.

Здравствуйте. Я опять со своими странными проблемами. Есть прокси со статистическим ip xx.xx.105.6 (локальный ip 192.168.1.200). Настроен форвардинг с xx.xx.105.6:8080 на 192.168.1.11:80(сервер в на котором бежит приложение). Из локальной сети это не работает(из интернета работает). Т.е. запрос вида http://xx.xx.105.6:8080/cgi-bin/.../Search.exe? из локальной сети результата не дает, но если обратиться по локальному ip http://192.168.1.11/cgi-bin/.../Search.exe? все ок.

Добавлено:
Таблица nat


Код: Chain PREROUTING (policy ACCEPT 23924 packets, 1625K bytes)
pkts bytes target prot opt in out source destination
30413 1955K portfw 0 -- * * 0.0.0.0/0 0.0.0.0/0
27044 1705K jmpsquid 0 -- eth0 * 0.0.0.0/0 0.0.0.0/0
20965 1404K jmpim 0 -- eth0 * 0.0.0.0/0 0.0.0.0/0
20965 1404K jmpp3scan 0 -- eth0 * 0.0.0.0/0 0.0.0.0/0
20965 1404K jmpsip 0 -- eth0 * 0.0.0.0/0 0.0.0.0/0
2959 221K MINIUPNPD 0 -- ppp0 * 0.0.0.0/0 0.0.0.0/0
0 0 MINIUPNPD 0 -- ippp0 * 0.0.0.0/0 0.0.0.0/0
0 0 MINIUPNPD 0 -- eth1 * 0.0.0.0/0 0.0.0.0/0

Chain POSTROUTING (policy ACCEPT 305 packets, 24029 bytes)
pkts bytes target prot opt in out source destination
11141 678K MASQUERADE 0 -- * ppp0 0.0.0.0/0 0.0.0.0/0
0 0 MASQUERADE 0 -- * ippp0 0.0.0.0/0 0.0.0.0/0
0 0 MASQUERADE 0 -- * eth1 0.0.0.0/0 0.0.0.0/0
146 7113 SNAT 0 -- * eth0 0.0.0.0/0 0.0.0.0/0 MARK match 0x1 to:192.168.1.200

Chain OUTPUT (policy ACCEPT 10059 packets, 611K bytes)
pkts bytes target prot opt in out source destination

Chain MINIUPNPD (3 references)
pkts bytes target prot opt in out source destination

Chain im (1 references)
pkts bytes target prot opt in out source destination

Chain jmpim (1 references)
pkts bytes target prot opt in out source destination
112 6125 RETURN 0 -- * * 0.0.0.0/0 10.0.0.0/8
61 8138 RETURN 0 -- * * 0.0.0.0/0 172.16.0.0/12
2872 208K RETURN 0 -- * * 0.0.0.0/0 192.168.0.0/16
0 0 RETURN 0 -- * * 0.0.0.0/0 169.254.0.0/16
17920 1182K im 0 -- * * 0.0.0.0/0 0.0.0.0/0

Chain jmpp3scan (1 references)
pkts bytes target prot opt in out source destination
112 6125 RETURN 0 -- * * 0.0.0.0/0 10.0.0.0/8
61 8138 RETURN 0 -- * * 0.0.0.0/0 172.16.0.0/12
2872 208K RETURN 0 -- * * 0.0.0.0/0 192.168.0.0/16
0 0 RETURN 0 -- * * 0.0.0.0/0 169.254.0.0/16
17920 1182K p3scan 0 -- * * 0.0.0.0/0 0.0.0.0/0

Chain jmpsip (1 references)
pkts bytes target prot opt in out source destination
112 6125 RETURN 0 -- * * 0.0.0.0/0 10.0.0.0/8
61 8138 RETURN 0 -- * * 0.0.0.0/0 172.16.0.0/12
2872 208K RETURN 0 -- * * 0.0.0.0/0 192.168.0.0/16
0 0 RETURN 0 -- * * 0.0.0.0/0 169.254.0.0/16
17920 1182K sip 0 -- * * 0.0.0.0/0 0.0.0.0/0

Chain jmpsquid (1 references)
pkts bytes target prot opt in out source destination
112 6125 RETURN 0 -- * * 0.0.0.0/0 10.0.0.0/8
61 8138 RETURN 0 -- * * 0.0.0.0/0 172.16.0.0/12
2872 208K RETURN 0 -- * * 0.0.0.0/0 192.168.0.0/16
0 0 RETURN 0 -- * * 0.0.0.0/0 169.254.0.0/16
23999 1483K squid 0 -- * * 0.0.0.0/0 0.0.0.0/0

Chain p3scan (1 references)
pkts bytes target prot opt in out source destination

Chain portfw (1 references)
pkts bytes target prot opt in out source destination
261 13144 DNAT tcp -- * * 0.0.0.0/0 xx.xx.105.6 tcp dpt:53137 to:192.168.1.128:53137
136 14421 DNAT udp -- * * 0.0.0.0/0 xx.xx.105.6 udp dpt:53137 to:192.168.1.128:53137
13 676 DNAT tcp -- * * 0.0.0.0/0 xx.xx.105.6 tcp dpt:8080 to:192.168.1.11:80
0 0 DNAT tcp -- * * 0.0.0.0/0 xx.xx.105.6 tcp dpt:5901 to:192.168.1.112:5901
0 0 DNAT tcp -- * * 0.0.0.0/0 xx.xx.105.6 tcp dpt:8081 to:192.168.1.112:80

Chain sip (1 references)
pkts bytes target prot opt in out source destination

Chain squid (1 references)
pkts bytes target prot opt in out source destination
6079 301K REDIRECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 800

dbelokursky
Неужели ссылка на статью Действие DNAT не помогла, попробуй сделать как там написано

/sbin/iptables -t nat -A PREROUTING --dst xx.xx.105.6 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.11

/sbin/iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.11 --dport 80 -j SNAT --to-source внутренний_IP_SW

/sbin/iptables -t nat -A OUTPUT --dst xx.xx.105.6 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.11

/sbin/iptables -A FORWARD -p tcp -i $RED_DEV -o $GREEN_DEV -d 192.168.1.11 --dport 80 -j ACCEPT

/sbin/iptables -A FORWARD -p tcp -o $RED_DEV -i $GREEN_DEV -s 192.168.1.11 --sport 80 -j ACCEPT

если я с FORWARD ничего не напутал то должно сработать. Проверить к сожалению не могу - я сейчас в отпуске.

dbelokursky
Почитайте это и ваша проблема перестанет таковой быть.

Доброго времени суток,подскажи кто может! поставил SmoothWall Express 3.0 SP1 после последнего обновления на обоих машинах отвалился веб интерфейс, не удается зайти на страницу, ssh работает. за ранее спасибо!

может попробывать на 441 порт постучаться?

xamazedx
Тогда может лучше на 443?

orhan_mikailov
netstat -ant в командной строке и будет вам счастье.

так я и пробую на 441 на нем всегда и был,когда работал. ext2
и команда не помогает вот что выдает netstat -ant
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:222 0.0.0.0:* LISTEN
tcp 0 284 91.194.xxx.xxx:222 79.140.78.xx:4371 ESTABLISHED

Цитата:

на обоих машинах отвалился веб интерфейс, не удается зайти на страницу

Да веб-сервер на смусе накрыло.
Что выдадут, если выдадут, команды chkconfig --list | grep apa или chkconfig --list | grep htt

orhan_mikailov

Цитата:

так я и пробую на 441 на нем всегда и был,когда работал.

Apache на нем никогда не был. Или 80, или 443 порт.
Проверьте запущен ли демон httpd: ps -ax | grep http

ext2 я всегда заходил через этот порт,через другие тоже не получается и команд таких нет(

orhan_mikailov
Как нет таких команд? В командной строке набирайте команду ps с указанными параметрами.