insyo
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Камрады, подскажите.
Решил в офисе поднять Ubuntu Server для раздачи интернета, доступов и тд (до этого стояла Винь7 с Kerio )
Настроил интерфейсы, NAT, прописал необходимый минимум правил в IPTABLES.
Установил Dnsmasq, настроил DNS, DHCP, установил и настроил прозрачный прокси-сервер Squid.
Пока минимум сделан - интернет на клиентах работает.
Сейчас возникло несколько вопросов:
1. Как настроить DHCP в Dnsmasq на резервирование IP-адресов клиентам (чтобы у каждой машины был один IP и он не менялся). Увеличить Leases-time или же вручную привязывать каждый по MAC (dhcp-host=xx:xx:xx:xx:xx:xx,yyy.yyy.yyy.yyy) а машин в офисе штук 60) это вариант, но может есть что-то проще?
Для чего это нужно - при настройке доступа в Squid необходимо указывать IP-адреса тех машин, доступ которым разрешен, а если они будут постоянно меняться, то какой смысл в таком запрете?
2. В файле /etc/dnsmasq.conf задается диапазон, выдаваемых IP командной
dhcp-range=192.168.0.100,192.168.0.199,255.255.255.0,12h
Как задать несколько диапазонов в пределах одной подсети?
Например мне нужно раздать с 0.20 по 0.100, и далее с о.120 по 0.200, ибо в этих промежутках адреса заняты другими устройствами.
3. Мне нужно разрешить в офисе только http/s и pop/smtp/imap, все остальное запретить (P2P в первую очередь) и добавлять по мере необходимости (icq, mail agent). Правильно ли я понимаю, что в данном случае мне нужно ковырять IPTABLES настроек NAT, ибо это трафик к Squid отношения не имеет, ибо последнее есть прокси, через которую идет http трафик. Как вообще это выглядит?
4. Какой парсер логов лучше выбрать? Sarg, Lightsquid. Или же вообще SAMS поставить?
В голове все перемешалось, много новых терминов, названий и тд, ибо первое знакомство с Linux (разве что стоит поднятый NAS на N4F в офисе, но там я все через веб-морду делал) Не могу выстроить логическую цепочку под свои цели.
А цели простые:
1. Создать 3 группы пользователей:
a) Vip - имеют доступ ко всему, кроме нежелательного контента из squidguard (например), могут смотреть видео, слушать аудио.
b) Special - имеют доступ ко всему, кроме соцсетей и нежелательного контента, не могут смотреть/качать видео, слушать/качать аудио, качать большие файлы и тд
c) Simple - имеют доступ только к почтовикам (mail.ru, yandex.ru, google.ru и тд). Все остальное запрещено.
2. Разрешить всем пользователям только http/s, pop/smtp/imap, mail.agent. Vip'ам может быть необходимо будет дать доступ к тому же WhatsUp и Skype.
3. Вести статистику, кто где был и сколько накачал.
Пока предварительно так. |
