Установка, настройка и демонстрация работы прокси-сервера IPCOP 2.0.6

ipcop

Блин… сколько же времени уходит на подготовку подобного рода материала :) Сегодня мы поговорим об прокси-серверах. Я опишу установку, настройку и работу – одного прокси, который лично мне очень нравится. Он практичен, надежен и эфективен. Это – IPCOP v2.

 

Зачем нужен прокси-сервер?

В организации, он служит для раздачи Интернета, фильтрации доступа в сеть по клиентам, запрета доступа к определенным сайтам, кэшированием трафика (для ускорения загрузки страниц), кэшированием DNS запросов (ускорение ‘отклика’ после запроса страницы), закрытие определенных портов и тд и тп. Тут думаю все понятно. Мало просто настроить обычный роутер и раздать всем Интернет… пользователи начнут злоупотреблять им, будут качать/слушать музыку/смотреть видео (нужно подчеркнуть), ходить по порно-сайтам в конце концов (в рабочее то время!) :D  Вот для этого нам и нужен прокси-сервер, он на страже нашего Интернета. Вот! Вещь необходимая.

 

Почему именно IPCOP? Что это вообще такое?

IPCOP – это готовое решение. Т.е. это сама система, которая собрана на базе ядра Linux 2.6 с интегрированными в нее необходимыми пакетами. Я не любитель ‘класть все яйца в одну корзину’, к тому же, монстрить один сервер для интернет-шлюза и баз данных – ересь (с точки зрения элементарной безопасности). Поэтому для IPCOP необходимо выделить отдельное машину. Об этом мы поговорим позже.

 

Предисловие

Мне нравится гибкость данного ПО и его интегрируемость в уже работающие системы (мне нравится версия 2, она вышла относительно недавно.. некоторые предпочитают 1.4, для него присутствует больше всевозможных модификаций). На данном примере, мы используем следующую схему подключения: у нас работает ADSL-модем (настроенный в режиме роутера). Схема такова:

ADSL модем (роутером) >>> IPCOP (RED), IPCOP (GREEN) >>> сетевой коммутатор.

Для прокси-сервера подойдет в общем то любая машина. Проц не так уж важен, более важна оперативная память (для работы squid). Итого, нам подойдет камень выше 1 ГГц, памяти желательно выше 512 MB, две сетевые карты (физически две). Сетевухи стоят копейки, не думаю что в этом будет проблема (достаточно 100-тки). Одна сетевая карта будет называться интерфейсом RED (вход с внешней сети, в нашем случае – подключение модема), вторая интерфейсом GREEN (выход на внутреннюю сеть, в нашем случае – коммутатор – свич). В IPCOP предусмотрены еще дополнительные интерфейсы (например, для публичного wifi спота). Но они мне нужны и я их не использую. Если вас это интересует, обратитесь к сопроводительной документации проекта. Вот сопсно и все, перейдем к установке.

 

Установка

Заходим на официальный сайт IPCOP (ipcop.org), качаем оттуда последнюю версию дистрибутива (на данный момент это 2.0.3), заливаем ее на болванку – и приступаем к установке (все обновления присядут сами, после).

Первое, что мы увидим:

ipcop1Далее, делаем все как на картинках:

ipcop2ipcop3ipcop4

ipcop5ipcop6ipcop7ipcop8ipcop9Установка завершена. Достаньте диск, сейчас приступим к настройке.

ipcop10Выбираем название машины в сети:

ipcop12Пропускаем, в моем случае:

ipcop13У меня модем, которые подключается к RED сетевой карте (об этом написано выше) настроен роутером (на нем поднят DHCP и сетевые настройки он раздает автоматически). Тут я и выбираю, что IP и прочие настройки RED будет получать от модема по DHCP, который к нему подключен.

ipcop15Назначаем сетевые карты на интерфейсы. Драйвера на дискретные и встроенные карты, обычно определяются и устанавливаются автоматически (в версии 2, которую мы ставим, этот момент был значительно улучшен). Если что-то не определится, советую – проще пойдите купите сетевую карточку в магазине за 150 рублей, d-link 100 MB и поставьте ее. Итак:

ipcop16Можно даже заставить помигать индикаторами определенную сетевую карту, чтобы было проще определить, какая именно сейчас настраивается:

ipcop17Далее, мы настраиваем сетевую карту на GREEN (это и будет IP адресом нашего прокси сервера в нашей локальной сети. Запомните данный IP, по нему мы будем подключатся к серверу через веб-интерфейс):

ipcop19Указываем имя нашего прокси сервера, которое будет в видно на RED интерфейсе для нашего модема и его DHCP сервера:

ipcop20

Указываем настройки нашего DHCP сервера (для автоматической раздачи сетевых настроек всем компам в сети). Диапазон выделенных для него IP-адресов и аренда, на срок которой выдается адрес (я указал на неделю):

ipcop21Пароль от ‘root’. Нужен, чтобы в будущем можно было авторизоваться на сервере. К нему можно будет подключится через SSH (к консоли или файловой системе), либо физически, с этой учетной записью:

ipcop22А это уже учетка ‘admin’. Она нужна будет для администрирования нашего сервера через веб-интерфейс:

ipcop23Следующая учетка ‘backup’, для безопасного создания бэкапов в будущем (с веб-интерфейса). Не особо нужна, т.к. это же самое можно сделать и с учетки ‘admin’:

ipcop24Все! Установка завершена! Чтобы вновь вернуться к изменениям настроек нужно войти под «root»-ом и набрать команду «setup». Перенастроить можно абсолютно все пункты, что были при первой загрузке.

ipcop25Это стандартный экран, который будет показан перед загрузкой IPCOP (аналог GRUB в Ubuntu):

ipcop26А это стандартный экран работающего IPCOP:

ipcop27

 

Настройка

Далее мы рассмотрим настройку нашего прокси-сервера через веб-интерфейс. Для этого, вбиваем в адресною строку браузера IP нашего прокси-сервера (мы указывали его выше, при настройке GREEN интерфейса, в нашем примере это IP: 10.0.0.1):

https://10.0.0.1:8443/

Вот так выглядит наш веб-интерфейс:

proxy31

proxy32proxy33proxy34proxy35proxy36proxy37

Мониторинг работы системы:

proxy38

Графики загрузки железа сервера:

proxy39

proxy40

Графики использованного трафика со статистикой (с подробностями):

proxy41proxy42

proxy43

Настройки самого прокси-сервера (показано не полностью):

proxy44

Настройки DHCP сервера:

proxy45

Логи (можно сортировать по IP выбрать, за период, экспортировать в .txt файл):

proxy46

proxy47

На странице ‘Proxy’ (настройка работы прокси сервера), рекомендую обратить внимание на следующие парамерты:

Transparent on GREEN – прокся будет работать в ‘прозрачном’ режиме (авторизация не требуется, доп. настройки на компах пользователей не требуются). По сути, весь трафик будет проходить через прокси-сервер, а пользователи даже могут не знать о его существовании. Чисто технически: squid перехватывает трафик на порту 80 и заворачивает его на указанный порт (8080).

Memory cache size (MB) – размер оперативки, выделяемый под нужны кэша squid. По умолчанию, значение установлена 50 мб. Все зависит от размера вашей оперативной памяти, пробуйте сами.

Обратите внимание (one per line) – означает, что одна строка = одна запись.

Allowed standard ports (one per line) – открытые порты (по дефолту открыто почти все).

Allowed SSL ports (one per line) – открытые порты для SSL подключений.

Unrestricted IP/MAC addresses (one per line) – IP/MAC адреса в локальной сети, на которые не распространяются ограничения в пользовании Интернетом.

Banned IP/MAC addresses (one per line) – IP/MAC адреса в локальной сети, доступ к Интернету на которых будет полностью заблокирован.

Time restrictions – всем, кроме Unrestricted разрешить / заблокировать доступ по времени и дням.

Transfer limits – ограничения по размеру загружаемого и выгружаемого в Интернет одного файла (на Unrestricted не влияет).

Download throttling – срезание трафика всем, кроме Unrestricted (можно указать скорость). Обратите внимание! Опытным путем установлено, что это общая скорость на всех пользователей, кроме Unrestricted (а не на клиента, как написано).

MIME type filter – полезнейшая вещь. Позволяет блокировать доступ к определенному контенту в Интернете всем, кроме Unrestricted. Работает очень грамотно. Можно, например, разрешить доступ пользователям к сайту youtube, но заблокировать сами видео (пользователям будет попросту написано, что видео не доступно). Либо, можно оставить пользователям доступ на форумы торрент-трекеров, но заблокировать возможность скачать torrent файл (и что-либо сказать, соответственно) – у юзверей будет качаться html файл, а не .torrent. Именно эта опция позволяет сделать проксю очень гибкой и хитрой. Вот мой список заблокированного контента, по MIME типам:

video/mpeg
video/quicktime
video/vnd.vivo
video/x-msvideo
video/x-sgi-movie
video/mp4
video/x-flv
video/x-ms-asf
audio/3gpp
audio/amr
audio/mid
audio/midi
audio/mp4
audio/mpeg4
audio/mpeg
audio/sp-midi
audio/x-mid
audio/x-midi
application/x-bittorrent

С этим разобрались, остальные опции советую посмотреть самостоятельно. Думаю, вы найдете там много интересного :)  Далее, самый интересный момент…

 

Блокировка доступа к определенным веб-сайтам
(по списку, по ключевым словам в названии домена, по зонам и тд)

Увы, но в базовом функционале IPCOP – эта важнейшая функция, почему то, не реализована. В старой версии IPCOP 1.4 это побеждали с помощью специальных модов (urlfilter и прочие). Мы используем новую версию IPCOP 2.0.6 и обрасти хорошими модификациями она еще не успела. Есть конечно некоторые… но они кривые и использовать их я не советую.

Тем не менее. Что такое IPCOP? Это дистрибутив, который состоит из множества интегрированных в него пакетов (таких, как: acpid, apache httpd, bash, coreutils, conntrack-tools, DBD-SQLite, diffutils, freetype, gmp, grep, iproute2, iptables, iw, kbd, kernel, libnetfilter_conntrack, libnl, libpcap, libpng, lzo, ntp, openldap, openssl, openvpn, pciutils, psmisc, rrdtool, rsyslog, smartmontools, Solos PCI, sqlite, squid, tcpdump, usbutils, usb-modeswitch, usb-modeswitch-data, zlib и тд). Сквид! Дальнейшие манипуляции мы будем проводить с ним.

Настройки SSH доступа, можно посмотреть тут (system >> ssh access):

ipcop44Нам необходимо подключится к серверу. Если есть необходимость подключится к консоли по SSH, то используйте putty (логин и пароль от root). Но нам нужно подключится непосредственно к его файловой системе. Для этого, из Ubuntu это можно сделать через ‘Krusader’, вбив адресную строку (SFTP – SSH File Transfer Protocol):

sftp://root@10.0.0.1:8022/

В винде нужно использовать специальную прогу, например WinSCP.

Далее будем править конфиги. Они уложены в .acl файлы. Ниже я приведу пример моих файлов.

Основной файл – /var/ipcop/proxy/acls/include.acl:

acl blocklist url_regex "/etc/squid/blocklist.acl"
http_access deny blocklist

acl tag dstdom_regex "/etc/squid/block_tag.acl"
http_access deny tag

acl domain dstdom_regex .tv$
http_access deny domain

Что он делает…

Первыми двумя строками, он подключает “черный список сайтов”, к которым будет запрещен доступ. Третей и четвертой, мы подключаем “черный список тегов”, к которым будет запрещен доступ (например, любой домен со словом porn, sex и тд). Пятой и шестой, мы запрещаем доступ по всем сайтам, которые находятся в зоне .tv

Архив с моими файлами include.aclblock_tag.acl и blocklist.acl можете скачать тут (acl files).

Файлы block_tag.acl и blocklist.acl, как вы уже наверное догадались, нужно скопировать в папку /etc/squid/

После этого, squid необходимо перезапустить. Для этого, в веб-интерфейсе ‘services >> proxy’, уберите одну из первых галок – ‘Enabled’ и нажмите SAVE. Потом поставьте ее обратно и нажмите SAVE. Прокси-сервер будет работать с новыми настройками.

Единственный минус этого метода блокировки сайтов на IPCOP, это то, что содержимое ‘черного списка’ по сайтам / тегам / зонам блокируется для всех без исключения (в том числе и для Unrestricted). Поэтому, если у вас присутствует необходимость кому то этот доступ приоткрыть, то далее вам нужно изучать документацию и мануалы по squid (на тему авторизации), либо хитрить и обходить нашу прокси с помощью внешних источников (других прокси).

 

В заключение…

… хотелось бы сказать, что IPCOP меня радует свой стабильностью и надежностью, гибкостью. Его гибкость заключается в том (если рассматривать наш пример), что даже если он откажет (например, в результате аппаратной поломки), интернет всеравно будет поставлен пользователям без перебоя. Для этого достаточно лишь нашу связку подключения ‘модем >> IPCOP >> коммутатор’ заменить на ‘модем >> коммутатор’ и интернет, в его базовой связке – будет работать (максимум что потребуется – так это пользователям перезагрузить свои машины, чтобы получить новые настройки DHCP). Учитывая этот факт, я считаю, что данное ПО является идеальным решением для небольших организаций (до 200 пользователей).

У меня, на текущей работе, IPCOP стоит уже полтора года и обеспечивает бесперебойным и стабильным доступом в Интернет ~50 пользователей (а скорость Интернета, по тарифу – 2,6 мб). За все это время, я подходил к серверу всего пару раз (и то из-за того, что отключали свет). Быстрый, стабильный, надежный, удобный в работе, экономичный – прекрасное решение.

Надеюсь, что вам понравилась эта статья :)  Я старался. Удачи во внедрении СПО, вы делаете благое дело ;)

Установка, настройка и демонстрация работы прокси-сервера IPCOP 2.0.6: 69 комментариев

  1. Отличная статья!
    Всё просто и понятно описано.
    Настроил “черный список сайтов” на 2.06 – всё работает как часики!
    Огромное спасибо!

    • Очень рад, что этот “талмуд” оказался востребованным) Несколько дней писал! :D

    • Думаю, да. Но я не пробовал. Подключаясь через Krusader или WinSCP получаешь тоже самое (по протоколу SFTP — SSH File Transfer Protocol), т.е. почти тоже самое, что FTP.

      Если же вам нужен FTP для других задач, кроме управления самой проксей, рекомендую разместить его на отдельном сервере. IPCOP – это шлюз и на нем не стоит держать никакой более-менее важной информации.

  2. Прекрасная статья , я не давно начал изучать IPcop c 1.4.20 и мороки было на 3 недели (впервые сел за дистрибьюты Linux и настройки всей этой кухни) , а в v2 все понятно и Ваш мануал понятен и удобен (за час все настроил)

  3. Здравствуйте еще раз!) у меня вопрос , как настроить интернет соединение , что бы оно было на прямую через прокси настроиваемого в браузере

    • То есть , как сделать что бы нет работал через настройки прокси сервера в браузере

  4. Все сам разобрался , убра галочку c “Прозрачный прокси” : Сервис – Прокси – прозрачный прокси . В браузере все настроил

  5. Доброго времени суток !Как настроить Ipcop что бы интернет соединение было через прокси сервер , но без настройки основного шлюза со стороны windows

    • Немного не понял вопрос, уточните пожалуйста. У вас стоит еще один сервер на windows, который выполняет роль интернет-шлюза? (что конкретно он делает, раздает Интернет, стоит ли на нем DHCP?)

      Если же у вас никакого другого сервера нет, то просто настраиваете IPCOP по инструкции, а все виндовые машины-клиенты получат все настройки автоматически.

    • Вы имеете в виду, чтоб не надо было прописывать настройки proxy на машинах? Поставьте в настройках прокси галочку “Transparent on …”.

  6. Так , мне надо настроить так что бы , в настройках браузера , я прописал прокси и порт . Но при этом не надо было настраивать основной шлюз в “Сетевых подключениях” .Красным интерфейсом является DHCP

    • Для этого, как я описывал выше в комментах, нужно убрать галочку ‘transparent on GREEN‘ в графе Proxy. Тогда прокся будет работать только если вы дополнительно настроите браузер (IP, порт) на каждой машине.

      А так, в ‘сетевых подключениях’ ничего настраивать не нужно (если вы имеете ввиду виндовые машины, клиенты) т.к. все настройки они получат автоматически от DHCP прокси-сервера.

    • Фаервола IPCOPa? В теории да, но практике у меня так и не получилось этого сделать.

  7. Доброго времени суток! Вопрос такой , можно ли настроить в нем несколько зеленых интерфейсов на случай если надо один сбросить (причина любая) и включать резервный?

  8. Спасибо за статью.Только вот не понял,Можно ли в IP cop использовать в качестве маршрутизатора несколько внутренних подсетей.Если да то как это сделать?Заранее благодарен

    • Можно и не сколько сетей. Но тогда нужно определится, по какому принципу они будут на эти подсети разделятся. Возможно, в таком случае нужно будет отключить DHCP сервер и прописать все сетевые настройки ручками. Зависит от обстоятельств.

  9. Здарова. У меня хоть прокси включен хоть выключен, хоть прозрачный хоть нет все равно интернет у пользователей работает без каких либо настроек в их браузерах. Будто ipcop просто натит их во внешку и все …

    З.Ы. Установлено все по дефолту, включал только проксю.

    • Ну, а вы шлюзом его сделали у всех пользователей? Через DHCP, например (или ручками).

    • Не, вы убедитесь, что клиенты получают раздачу от DHCP сервера именно от IPCOP + чтобы никакие другие DHCP в сети были не включены. В настройках DHCP на IPCOP главное укажите, чтобы IPCOP был Gateway для всех юзеров (и чтобы юзеры получали IP автоматически). Тогда все должно быть нормально.

  10. Здравствуйте. Очень помогла статья.
    Но есть 1 минус который не могу решить- я завел блок_лист, запустил прокси.
    Все бы ничего сайты которые есть в списке блокируются.Но так же блокируются через раз все сайты. даже поисковики Google и т.д.
    ——————————————–

    ERROR
    The requested URL could not be retrieved

    При получении URL http://www.google.ru/ произошла следующая ошибка

    Невозможно определить IP-адрес по имени узла “www.google.ru”

    Сервер DNS ответил:

    Refused: The name server refuses to perform the specified operation.

    Это означает, что кэш не смог распознать имя узла в URL. Проверьте адрес на корректность.

    Администратор Вашего кэша: webmaster.
    ————————————————
    не понимаю почему так ? убрал уже блок по тегам и все равно, первые минуты работало потом опять.
    Раньше стояла версия 1.4 на ней были настроенны блокировки, обновили до версии 2.0.0 и тут нет таких плагинов. что можете посоветовать?
    и еще при включенном прокси инет очень сильно тупит.

    • Приветствую, давайте по пунктам:

      1) Как вы обновлялись с 1.4 до 2.0?
      2) Как именно вы завели блок_лист? Так как указано выше 1 в 1?
      3) Какие именно DNS сервера стоят в настройках вашего IPCOP и его DHCP?
      4) Посмотрите также параметры самого squid, сколько вы выделили ему памяти и сколько памяти доступно в целом.

  11. 1)как обновлялись сказать не могу, потому что до этого был другой админ.
    2)да, сделал все так. единственное добавлял еще в лист свои сайты.( анонимайзеры)
    3) Динамический DNS no-ip.com
    Сервер DHCP остановлен
    4) 4mb кэш

  12. Лучше переустановите все заново и настройте сами… так хоть понимать будете, что вы делаете в целом.

    1) Динамические DNS… это как вообще? Я знаю сервис no-ip, но он служит абсолютно для другого.
    2) Кэша очень мало.
    3) Если DHCP не работает, какие сетевые настройки тогда стоят у всех клиентов? Они явно идут мимо прокси, вот и все.

    • ну вот так настроенно. сколько поставить кэш? переустанавливать пока не буду,потому что сеть важна сейчас конец года.
      топология такая-линия через модем проходит в машину с IPcop,далее заходит в свитч,затем в сервер. паралельно зацепленно 3 свитча.
      DHCP отключен потому что сервер отвечает за это.
      ну стоит такой сервис.все объедененно в домен.

    • главный сервер. отвечает за все можно сказать.OS Windows server 2008. как файловый сервер и домен.

    • вопрос то стоит в том почему через некоторое время работы начинаються такие глюки ? я не думаю что это изза кэша

  13. Ну если проблемы с DNS, то это нужно копать в сторону вашего виндового сервера.

    Итак, как я понял – у вас виндовый сервер является контроллером домена, у него статические настройки + он же является DHCP сервером в сети, из-за домена настройки DNS – тоже его привилегия.

    Попробуйте поставить настройки DNS у этого сервера 8.8.8.8 и 8.8.4.4.

    • Спасибо большое.Все не было времени отписаться. Вроде все стало работать стабильно.Можно поинтересоваться,на будущее, почему такие настройки ?
      как считаете стоит ли поставить кэш больше?и на сколько ?

    • День добрый. Рад что у вас все нормально работает. Насчет кэша – это целая философия :) Более подробно можно почитать в соседней статье: http://darkfess.ru/squid-3-1-на-ubuntu-server-12-04-webmin-базовая-настройка/

      А вообще, скажите сколько у вас оперативки на сервере свободно? Исходя из этого, можно будет решить насчет увеличения/уменьшения кэша.

  14. Здравствуйте!
    Подскажите, пожалуйста, можно ли сделать так, чтобы DHCP давал ip только компьютерам из списка с фиксированной арендой по mac-адресам?

    • Вроде нет, так я не извращался :) А какой смысл тогда от DHCP?

  15. Доброе время суток.
    Надеюсь в этот раз опять сможете помочь =)
    в общем проблем вот в чем:
    раньше стоял днс-фильтр NetPolice, сейчас его прикрыли.Я настроил блокировку сайтов по списку, все почти работает.Но! Например через Google Chrome все так же можно зайти на запрещенные сайты. При этом опять таки не на все. например vk.com открывает а одноклассники нет.В чем может быть проблема ?

    • Примерно я понял,дело в доступе, vk.com использует https доступ, почему то прокси его не фильтрует

  16. Доступ по протоколу https осуществляется с помощью шифрованного SSL канала, поэтому прокси его профильтровать не может. Чтобы бороться с этим, нужно не использовать режим ‘прозрачного прокси’ и отключить для всех возможность использовать этот протокол в фаерволе.

    • Правильно ли я понял,
      -мне следует отключить режим прозрачного зеленого? Следовательно мне на всех клиентах придется вручную прописывать настройки ?
      -Где отключить протокол можно? Как тогда будет осуществляться доступ на сайты где нужен SSL ?
      p.s. сори за глупые вопросы,но все только изучаю =)

    • пробовал отключить прозрачный,тогда трафик вообще не фильтруется

  17. Вот тут такая случилась у меня беда.Старого админа уволили а он назло не оставил Логин и Пароль к IPCop. Подскажите как восстановить пароль.???

  18. Добрый день. Очень нужна и интересует штука блокировка к порносайтам. Сделал, как описано здесь у Вас. По начало неплохо работала, пусть не 100 %, но большей частью блокировала. Затем выполнил загрузку blacklist-а на странице url-filter и ещё разрешил в whitelist сайт: kinozal.tv и после этого всего работать перестала. Подскажите, пожалуйста, где и в чём я был не прав? Пробовал заново всё выполнить, предварительно удалив, но тщетно…

  19. Доброго времени суток! Такая ситуация есть около 90 машин один ADSL модем нужно настроить прокси и DHCP и разделить всю эту сеть на 5 подсетей. В unixe новичок буду очень признателен.

  20. Спасибо за статью. Добавлю своего дегтя, вдруг кому пригодится. Я ставил Копа на Vmware и он напрочь отказывался видеть SCSI диск, который я ему подсунул. Зато IDE прекрасно увидел.

  21. Добрый день!
    Спасибо за статью. Впервые ставил такое ПО и ваша статья помогла.
    И еще… подскажите, пожалуйста, есть ли возможность определенным пользователям назначить разный лимит скорости. Например: 192.168.1.1 – 2 мб/с , а 192.168.1.2 – 1 мб/с?

    • Честно говоря, не помню такого. Под рукой IPCOP`a нету чтобы проверить. Нужно смотреть.

  22. Здравствуйте, может сталкивались с такой проблемой. Вопрос по proxy. Включил MIME type filter и открыл доступ некоторым пользователям в URL-filter: Unrestricted IP addresses и это работает. А сегодня попробовал добавить ещё одного пользователя и к нему это правило исключения не применяется никак и перезагружать полностью ipcop пробовал, пока не отключишь MIME type filter просмотр видео ему запрещён.

    • А пробовали другим браузером? Может быть кэш старый остался…

  23. Привет, сегодня буду устанавливать в свою сеть сие прокси
    Есть вопрос – у меня еще есть wi-fi юзеры и принтер сетевой – сейчас сервера в сети никакого нет – только роутер asus rtn-16 который раздает Мегафон 3G

    Планируется перейти на йоту – те от модема, который раздает йоту линк подвести к RED интерфейсу для передачи инета, а как правильнее организовать раздачу wi-fi и сетевого принтера через сервер? подключать к нему asus роутер в режиме повторителя (моста?)

    • По поводу вайфай – посмотрите в офф.доках еще BLUE-интерфейс. Желательно, чтобы физически вай-фай точка стояла за проксей, а не перед ней.

  24. Здраствуйте у вшколу установил ipcop 2.1.8 мне надо запретит сайты по ключевым словам например экстремизм порно и.т.д по сети 17 комп трафик ограничение не надо только закрыт сайты как это делается подкскажите пожалуйста я как новичок установил по этом странице

    • День добрый. Посмотрите внимательно, там у меня это реализовано через справочники – acl-файлы. Целые и обновленные справочники можно скачать на просторах интернета.

  25. Добрый день! Сайты по ключевым словам не все блокирует например викепедию, а как можно заблокироват по слова выражению у меня по гугле список пойска выдает и некоторых не блокирует чтобы по пойску тоже не выходило веденный слово в черный список спасибо Вам.

  26. Добрый день! Не все блокирует например викепедию, а как можно заблокироват по слова выражению у меня по гугле список пойска выдает и некоторых не блокирует чтобы по пойску тоже не выходило веденный слово в черный список спасибо Вам. или ссылку по настройкам

  27. Добрый день! Не все блокирует например викепедию, а как можно заблокироват по слова выражению у меня по гугле список пойска выдает и некоторых не блокирует чтобы по пойску тоже не выходило веденный слово в черный список спасибо Вам. или ссылку по настройкам

    • А какой протокол в вики не блокирует, https наверное же? А так чтобы блокировать результаты поиска, то тут тогда этой компоненты не хватит. Это нужно что-то вроде “K-7” ставить непосредственно на пользовательскую машину.

  28. Хорошо что есть такие статьи для чайников, типа меня. ) Сейчас утановил копа. Про заблокирование сайтов, кстате парень верно сказал выше, я сейчас по логике сделал у меня получилось, закрыть url через файервол, для rosrabota.ru правило сделал Источник>green Назначение>red ип 89.108.87.175 действие reject, сейчас на росработу не входит :) Ну вот с контактом и одноклассникаме чето не работает, видимо ип другие )

    • Там видимо дело в протоколе https. Он позволяет обходить блокировки, его можно заблокировать только полностью (протокол), что и рекомендуется в организации. С этим же вопросом, к примеру, сталкиваются и регулирующие органы. Вот пример новости: http://lenta.ru/news/2015/03/10/rknlurk/ (протокол https). Это, конечно, неправильно с точки зрения сетевой безопасности. Но если нужно ограничить доступ к чему то (например к соц.сетям), то только так.

  29. А подскажите плиз, задача такая, у меня 2 внешние линии интернета (1 по dhcp, 2я статика (adsl модем)), и при отвале одной надо чтобы инет раздавался с другой. Как лучше сделать? В голову приходит 2 варианта, 1ый – не очень красивый – перетыкать провод, и через setup перебивать ip адреса. 2-й вариант – 3 сетевухи, вот тут непонятно, я два интерфеса RED делаю, или один можно назвать к примеру Blue – что цвета дают? Сейчас все попробую, или есть лучше решение? )

    • Лучше такое реализовывать на железке (роутере), а уже после него чтобы шел один RED интерфейс для прокси-сервера.

  30. Здравствуйте
    У меня такой вопрос … Сквид Блок не работает некоторых пользователях … установили расширения для Хрома такие как Я Пират и им подобные … и шарят по инету без ограничений … хотелось бы получить совет … как ограничить доступ к определенным сайтам … ацл сквида не работают:( как ограничение для закачки так и для ограничения по скорости :( Эти экстеншены вообще все отрубают :(

Добавить комментарий