http://www.astalavista.ru
Тематические форумы для компьютерных клубов
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 

IPTABLES + SQUID шейпер для прокси на DEBIAN

 
Начать новую тему   Ответить на тему    Список форумов http://www.astalavista.ru -> Клубные проблемы
Предыдущая тема :: Следующая тема  
Автор Сообщение
STALKERUA



Зарегистрирован: 30.09.2004
Сообщения: 847
Откуда: Украина

СообщениеДобавлено: Чт Янв 10, 2013 1:45 pm    Заголовок сообщения: IPTABLES + SQUID шейпер для прокси на DEBIAN Ответить с цитатой

Задача была кешировать трафик, и резать в зависимости от тарифа, так как все завязано на Debian, хотелось максимально упростить и все сделать на 1 сетевой карте.
Решение получилось таким, весь игровой трафик пропускается на маршрутизатор в полном обьеме так как трафик игр на сервер не заходит, а ограничиваем только порт 3128 в прокси.

Создаем правила и цепочки по количеству машин к примеру:

iptables -N 1 #Цепочка правил для 1 машины.
iptables -I INPUT -j 1


и так далее по количеству машин.

Сохраняем дефолтные цепочки.

iptables-save > /etc/network/rules-save

Так Debian при ребуте не запоминает правил дефолтные цепочки сохраняем 1 раз в ручную, строкой выше.

Для автозагрузки цепочек прописуем в настройки сетевой карты строку такого вида.
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo
iface lo inet loopback
pre-up iptables-restore < /etc/network/rules-save

Блокировка трафика к прокси по порту 3128, онлайн игры есть.

iptables -F %N%
iptables -I %N% -p tcp -s %IP% --dport 3128 -j DROP


Неограниченый трафик к прокси по порту 3128, онлайн игры есть.

iptables -F %N%
iptables -I %N% -p tcp -s %IP% --dport 3128 -j ACCEPT


Ограниченый трафик примерно 50 кб/с к прокси по порту 3128, ограничение выставляется пакетами в секунду 20 пакетов примерно 50-60 кб/с.

iptables -F %N%
iptables -A %N% -p TCP -s %IP% --dport 3128 -m limit --limit 20/second --limit-burst 20 -j ACCEPT
iptables -A %N% -p TCP -s %IP% --dport 3128 -j DROP


Вот, что пока не могу понять поведение сервера асты или сервера Debian, непонятно на что грешить, если ребутнуть сервер Debian, все норм команды уходят, а вот если ребутнуть сервер асты, не всегда конектится по SSH вернее в консоли пишет, что приконектилась, но не всегда отправляет команды в консоли бывает пусто. Возможно остается сесии от асты и при рестарте, аста как то по другому авторизируется, может тыкнет кто носом в чем может быть причина.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
STALKERUA



Зарегистрирован: 30.09.2004
Сообщения: 847
Откуда: Украина

СообщениеДобавлено: Чт Янв 10, 2013 8:08 pm    Заголовок сообщения: Ответить с цитатой

В добавок к правилам можно добавить команды, и в консоли оператора можно получать инфу по памяти температуре дисков и т.д.
uptime
free -m
ifconfig eth0

Примерно такого содержания.
root@debian:~#
18:58:46|546 =SSH_SEND=> iptables -F 2;iptables -A 2 -p TCP -s 192.168.0.2 --dport 3128 -m limit --limit 20/second --limit-burst 20 -j ACCEPT;iptables -A 2 -p TCP -s 192.168.0.2 --dport 3128 -j DROP;free -m;hddtemp /dev/sda;hddtemp /dev/sdb;hddtemp /dev/sdc;hddtemp /dev/sdd;uptime;ifconfig eth0;
18:58:46|546 >>>RAW_SSH>>>
iptables -F 2;iptables -A 2 -p TCP -s 192.168.0.2 --dport 3128 -m limit --limit 20/second --limit-burst 20 -j ACCEPT;iptables -A 2 -p TCP -s 192.168.0.2 --dport 3128 -j DROP;free -m;hddtemp /dev/sda;hddtemp /dev/sdb;hddtemp /dev/sdc;hddtemp /dev/sdd;uptime;ifconfig eth0; echo "TblRulezToIPFWStart"
18:58:46|593 <<<RAW_SSH<<<
iptables -F 2;iptables -A 2 -p TCP -s 192.168.0.2 --dport 3128 -m
limit --limit 20/second --limit-burst 20 -j ACCEPT;iptables -A 2 -p TCP -s 192.
168.0.2 --dport 3128 -j DROP;free -m;hddtemp /dev/sda;hddtemp /dev/
18:58:46|593 <<<RAW_SSH<<<
s
18:58:46|593 <<<RAW_SSH<<<
db;hddtemp /
dev/sdc;hddtemp /dev/sdd;uptime;ifconfig eth0; echo "TblRulezToIPFWStart"

18:58:46|609 <<<RAW_SSH<<<
total used free shared buffers cached
Mem: 16051 15963 88 0 6326 7597
-/+ buffers/cache: 2038 14012
Swap: 19999 17 19982

18:58:46|937 <<<RAW_SSH<<<
/dev/sda: WDC WD3000HLFS-01G6U0: 20В°C

18:58:47|203 To: [192.168.0.2] SessionData Info. MS:[ User:Administrator Domain: ]
18:58:47|281 <<<RAW_SSH<<<
/dev/sdb: WDC WD3000HLFS-01G6U0: 20В°C

18:58:47|312 <<<RAW_SSH<<<
/dev/sdc: OCZ-VERTEX3: 30В°C

18:58:47|390 <<<RAW_SSH<<<
/dev/sdd: SAMSUNG HD103SI: 15В°C
18:58:44 up 10:54, 2 users, load average: 0.05, 0.20, 0.14
eth0 Link encap:Ethernet HWaddr 48:5b:39:3b:32:89
inet addr:192.168.0.101 Bcast:192.168.0.255 Mask:255.255.255.0

18:58:47|390 <<<RAW_SSH<<<
inet6 addr: fe80::4a5b:39ff:fe3b:3289/64 Scope:Link

18:58:47|390 <<<RAW_SSH<<<
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:82841239 errors:0 dropped:0 overruns:0 frame:0
TX packets:132969904 errors:0 dropped:104 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:63716932254 (59.3 GiB) TX bytes:160454461604 (149.4 GiB)
Interrupt:27 Base address:0xc000


18:58:47|390 <<<RAW_SSH<<<
TblRulezToIPFWStart
root@debian:~#
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
STALKERUA



Зарегистрирован: 30.09.2004
Сообщения: 847
Откуда: Украина

СообщениеДобавлено: Пн Янв 14, 2013 1:31 pm    Заголовок сообщения: Ответить с цитатой

Может ктонить выложить конфиг ssh со своего сервера на линуксе?.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов http://www.astalavista.ru -> Клубные проблемы Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Rambler's Top100 Яндекс цитирования