insyo
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Камрады, подскажите. Решил в офисе поднять Ubuntu Server для раздачи интернета, доступов и тд (до этого стояла Винь7 с Kerio ) Настроил интерфейсы, NAT, прописал необходимый минимум правил в IPTABLES. Установил Dnsmasq, настроил DNS, DHCP, установил и настроил прозрачный прокси-сервер Squid. Пока минимум сделан - интернет на клиентах работает. Сейчас возникло несколько вопросов: 1. Как настроить DHCP в Dnsmasq на резервирование IP-адресов клиентам (чтобы у каждой машины был один IP и он не менялся). Увеличить Leases-time или же вручную привязывать каждый по MAC (dhcp-host=xx:xx:xx:xx:xx:xx,yyy.yyy.yyy.yyy) а машин в офисе штук 60) это вариант, но может есть что-то проще? Для чего это нужно - при настройке доступа в Squid необходимо указывать IP-адреса тех машин, доступ которым разрешен, а если они будут постоянно меняться, то какой смысл в таком запрете? 2. В файле /etc/dnsmasq.conf задается диапазон, выдаваемых IP командной dhcp-range=192.168.0.100,192.168.0.199,255.255.255.0,12h Как задать несколько диапазонов в пределах одной подсети? Например мне нужно раздать с 0.20 по 0.100, и далее с о.120 по 0.200, ибо в этих промежутках адреса заняты другими устройствами. 3. Мне нужно разрешить в офисе только http/s и pop/smtp/imap, все остальное запретить (P2P в первую очередь) и добавлять по мере необходимости (icq, mail agent). Правильно ли я понимаю, что в данном случае мне нужно ковырять IPTABLES настроек NAT, ибо это трафик к Squid отношения не имеет, ибо последнее есть прокси, через которую идет http трафик. Как вообще это выглядит? 4. Какой парсер логов лучше выбрать? Sarg, Lightsquid. Или же вообще SAMS поставить? В голове все перемешалось, много новых терминов, названий и тд, ибо первое знакомство с Linux (разве что стоит поднятый NAS на N4F в офисе, но там я все через веб-морду делал) Не могу выстроить логическую цепочку под свои цели. А цели простые: 1. Создать 3 группы пользователей: a) Vip - имеют доступ ко всему, кроме нежелательного контента из squidguard (например), могут смотреть видео, слушать аудио. b) Special - имеют доступ ко всему, кроме соцсетей и нежелательного контента, не могут смотреть/качать видео, слушать/качать аудио, качать большие файлы и тд c) Simple - имеют доступ только к почтовикам (mail.ru, yandex.ru, google.ru и тд). Все остальное запрещено. 2. Разрешить всем пользователям только http/s, pop/smtp/imap, mail.agent. Vip'ам может быть необходимо будет дать доступ к тому же WhatsUp и Skype. 3. Вести статистику, кто где был и сколько накачал. Пока предварительно так. |