Сервер с NAT+QoS+Squid

[DarkStar]

Хочется поднять сервер со  следующего характера:
1. NAT (SNAT-статические айпи)
2. Привязка mac-адреса к ip-адресу (говорят ARP нынче не в моде и рекомендуют юзать ip из iproute)
Пример:

Код: [Выделить]

$ sudo ip neighbour replace 192.168.0.1 dev eth0 lladdr 00:01:02:03:04:05 nud permanent
$ ip n | grep 00:01:02
192.168.0.1 dev eth0 lladdr 00:01:02:03:04:05 PERMANENT3. Squid прозрачный исключительно для кеширования
4. Биллинг,что посоветуете смотрю в сторону Netams
5. QoS

Немного покурил манов и набросал скрипт для iptables, а также список команд для Qos.
Прошу посмотреть мне кажется там куча ошибок iptables и QoS

[XSER]

Да ошибок там не мало...

Лучше давай соберем собственный скрипт, опиши свою сеть по подробнее и конкретно что тебе от нее нужно.

[DarkStar]

есть Арч линукс и 2 интерфейса:
1. eth0 - реальный айпи,eth1 - локальный.
2.  Нужно раздать интернет средствами iptaibles , а точнее SNAT т.к. айпи адреса будут статическими.
3. Весь трафик пускать по иптаблес но http трафик еще проходил через squid (для экономии).Думаю Squid должен быть прозрачным.
4. Юзеры выходили в инет без аутенфикации,поэтому должна быть привязка айпи адресов к мак адресам.
5. Присутствовал небольшой QoS чтобы можно было на небольшом канале и в торренте покачать,и в онлайн игры поиграть,не мешаю друг другу.
6. Присутствовал биллинг легкий и гибкий в настройках,а так же можно было без труда юзера из одной группы переместить в другую.
7. Ограничение скорости с помощью iptables если возможно или iproute

[XSER]

Ну начнем 

1) Привязка

Сначала осуществляешь привязку методом arp вот по этой статье :

http://www.lug.am/index.php?action=articles&do=single&id=621

далее контрольно привязываешь с помощью iptables

Код: [Выделить]

iptables -P INPUT DROP
iptables -A INPUT -s 192.168.0.x -m mac --mac-source xx:xx:xx:xx:xx:xx  -j ACCEPTи так для каждого ip.

2) Раздаем инет сети методом SNAT

Код: [Выделить]

iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j SNAT --to-source $EXT_IP
где $EXT_IP это твой реальный ip.

3) Перенаправления на прозрачный squid

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j REDIRECT --to-ports 3128
4) Биллинг

В качестве биллинга советую использовать SAMS или Traffpro.

[DarkStar]

1.Контрольно привязывать  с помощью iptables конечно хорошо,это я учту 
Но вот делать привязку методом ARP как то не хочется,мне сказали что ARP,ifconfig,route давно устарели и рекомендовали для привязки юзать ip из пакета iproute2.Насколько существенна  разница?
2. Ок,спасибо.А можно указывать подсеть и маску не сокращенно 24, а 255.255.255.0 ?
3. Ок.
4. Они считают трафик только который через Squid или всё?
5.Как Скорость жестко ограничить?
6.Что скажете насчет QoS

[XSER]

Все что тебе надо реализовано в биллинге Traffpro.

Вот их сайт:  http://www.traffpro.ru/
Очень удобный веб интерфейс конфигурации.

Готовый дистрибутив можешь скачать с нашего сервера:
http://lug.am/pub/Distributives/TraffPro/


Установив TraffPro, вы получаете:

1)Шейпер высокой точности
2)Жёсткий контроль по всем портам и протоколам.
3)Мгновенную блокировку по окончанию положительного баланса (ни одной копейки не будет потрачено сверх лимита).
4)Гибкие тарифные планы.

5)Маршрутизацию по нескольким каналам входящего трафика.
6)Активный контроль состояния каналов интернет, поставляемых от вышестоящих провайдеров.
7)Аварийный переход на резервный(резервные) каналы, при отсутствия связи по одному из каналов.

8 )Блокировку по портам от нежелательного трафика.
9)Систему антифлуд (блокировка вирусной активности).
10)Защиту от сканирования портов.
11)Защиту сервера от внешних атак

[DarkStar]

Ну думаю в таком случае тему можно закрыть,хотя после окончательного поднятия сервера только  Благодарю XSER

[DarkStar]

Код: [Выделить]

iptables -P INPUT DROP
iptables -A INPUT -s 192.168.0.x -m mac --mac-source xx:xx:xx:xx:xx:xx  -j ACCEPTА можно так делать?

Код: [Выделить]

iptables -P INPUT REJECT --reject-with
iptables -A INPUT -s 192.168.0.x -m mac --mac-source xx:xx:xx:xx:xx:xx  -j ACCEPT

[DarkStar]

iptables а теперь много ошибок?

[DarkStar]

Установив TraffPro, вы получаете:

1)Шейпер высокой точности
2)Жёсткий контроль по всем портам и протоколам.
3)Мгновенную блокировку по окончанию положительного баланса (ни одной копейки не будет потрачено сверх лимита).
4)Гибкие тарифные планы.

5)Маршрутизацию по нескольким каналам входящего трафика.
6)Активный контроль состояния каналов интернет, поставляемых от вышестоящих провайдеров.
7)Аварийный переход на резервный(резервные) каналы, при отсутствия связи по одному из каналов.

8 )Блокировку по портам от нежелательного трафика.
9)Систему антифлуд (блокировка вирусной активности).
10)Защиту от сканирования портов.
11)Защиту сервера от внешних атак

И всё это стоит 8 000 руб. Русские совсем зажрались  А в бесплатной версии почти нечего нету (минимум мне нужен учёт трафика и шейпер)

[XSER]

бесплатная часть биллинговой системы позволяет:

* контролировать потребление трафика пользователями внутренней сети
* получение отчётов по трафику пользователей общий
* получение отчётов по трафику пользователей общий по дням
* получение отчётов по трафику пользователей с разбивкой по портам
* получение отчётов по трафику пользователей с разбивкой по портам и по дням
* получение отчётов по трафику пользователей по подключениям (ip+порт и если определяется домен)
* защитить от несанкционированного доступа в интернет (контроль по Ip, mac адресу, логину и паролю)
* Использовать систему как простую систему учёта трафика без авторизации, только контроль доступа по IP или по IP+MAC
* Использовать авторизацию пользователей через web-интерфейс для получения доступа в интернет
* ограничивать доступа пользователей к ресурсам внешней сети по портам и адресам
* возможность пользователю просмотреть объём использованного трафик через web-интерфейс
* защитить сервер от атак извне (встроенный файрвол)
* контролировать трафик сервера
* использовать систему совместно с DHCP сервером
* использовать систему совместно с прокси сервером
* использовать распределённое вычисление трафика (использование нескольких шлюзов доступа в интернет при одной БД и единой административной консоли)

[DarkStar]

Придется поднимать ручками NAT+прозрачный SQUID,для ограничения скорости воспользоваться шейпером HTB (htb.init),а на Traffpro оставить учёт трафика и привязку mac-ip

P.S. возможно кто нибудь выложит на торрент трекер или возьмут меня в бетатестеры и у меня будет коммерческая версия

[DarkStar]

Здесь описано как ограничить скорость в бесплатной версии
http://traffpro.ru/forum/topic_1124