The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Помогите организовать интернет-шлюз на CentOS 5.2"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Изначальное сообщение [ Отслеживать ]

"Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от nops email(ok) on 04-Мрт-09, 22:18 
Суть проблемы:
Есть машина на CentOS 5.2, две сетевые.
eth0 - 192.168.0.1 - локальная
eth1 - 80.x.x.x - внешняя интернет

Необходимо поднять шлюз со сквозным кешированием.
т.е. пользователь выходит в инет через NAT, без указания прокси с авторизацией по IP и MAC или по VPN. в это время весь трафик кешировался на сервере.
Так же нужно установить биллинговую систему, например UTM5 можно другую.
В первую очередь необходимо настроить шлюз а уже всё остальное потом.
Заранее спасибо.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от angra (ok) on 04-Мрт-09, 22:29 
"кеширование трафика" и "авторизация по vpn" это какие-то новые термины, сами придумали?
Ну и закономерный вопрос, если не хотите сами все изучать, то сколько готовы заплатить специалисту и почему вопрос не в рубрике "Поиск и предложение работы, доска объявлений."
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от nops email(ok) on 04-Мрт-09, 23:11 
>"кеширование трафика" и "авторизация по vpn" это какие-то новые термины, сами придумали?
>
>Ну и закономерный вопрос, если не хотите сами все изучать, то сколько
>готовы заплатить специалисту и почему вопрос не в рубрике "Поиск и
>предложение работы, доска объявлений."

Блин, ну я неправильно выразился. Авторизация должна быть по ip и mac, а так же нужна возможность подключаться пользователям по VPN
Я не имею возможности заплатить за работу, я для своей локальной сети. К тому же мне самому интересно, и разобраться, и сделать...
Но помощь нужна. Я новичёк в *NIX системах

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от angra (ok) on 04-Мрт-09, 23:37 
Ну так начинайте изучение и пытайтесь что-то сделать. Есть большая разница между "сделайте за меня мою работу" и "помогите в преодолении сложного/непонятного/недокументированного момента", пока что ваш вопрос попадает под первое, а здесь помогают со вторым. Также если плаваете в терминах, то лучше описывайте задачу в терминах пользователя. Если про VPN я еще могу догадаться что именно вы имели ввиду, то кеширование трафика идущего через NAT вообще ни в какие ворота не лезет. Есть прокси сервера под определенные протоколы уровня приложений, например http или imap. Прокси умеет в той или иной степени кешировать данные или просто поддерживать пул логинов или открытых соединений, причем _только_ для известного ему протокола. Для ряда протоколов кеширование данных невозможно в принципе. NAT же в свою очередь вообще не заглядывает на уровень приложения, он просто подменяет адреса источника и назначения, содержимое пакета его не волнует. При помощи NAT можно принудительно часть трафика завернуть на какой-нибудь прокси, но это уже не будет доступ к инету по NAT ибо запросы в дальнейшем будут исходить от прокси.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от nops email(??) on 05-Мрт-09, 00:24 
>[оверквотинг удален]
>в какие ворота не лезет. Есть прокси сервера под определенные протоколы
>уровня приложений, например http или imap. Прокси умеет в той или
>иной степени кешировать данные или просто поддерживать пул логинов или открытых
>соединений, причем _только_ для известного ему протокола. Для ряда протоколов кеширование
>данных невозможно в принципе. NAT же в свою очередь вообще не
>заглядывает на уровень приложения, он просто подменяет адреса источника и назначения,
>содержимое пакета его не волнует. При помощи NAT можно принудительно часть
>трафика завернуть на какой-нибудь прокси, но это уже не будет доступ
>к инету по NAT ибо запросы в дальнейшем будут исходить от
>прокси.

Сделал по аналогии(один человек поделился своим конфигом):
# Generated by iptables-save v1.2.7a on Thu Nov 20 23:44:08 2003
*nat
:PREROUTING ACCEPT [15:1651]
-I PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-ports 3128
-I PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 488 -j REDIRECT --to-ports 3128
-I PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 591 -j REDIRECT --to-ports 3128
-I PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 77 -j REDIRECT --to-ports 3128
-A PREROUTING -d 213.х.х.х -s 82.х.х.х -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.99
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -j SNAT --to-source 213.х.х.х
COMMIT
# Completed on Thu Nov 20 23:44:08 2003
# Generated by iptables-save v1.2.7a on Thu Nov 20 23:44:08 2003
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:DIRECTLINK - [0:0]
#palm mail
-A INPUT -i eth1 -p tcp --dport 25 -s 83.х.х.х -j ACCEPT
#ssh
#stel_la
-A INPUT -i eth1 -p tcp --dport 22 -s 87.х.х.х -j ACCEPT
#mail
-A INPUT -i eth1 -d 213.х.х.х -p tcp --dport 25 -j ACCEPT
-A OUTPUT -o eth1 -s 213.х.х.х -p tcp --sport 25 -j ACCEPT
-A INPUT -i eth1 -d 213.х.х.х -p tcp --sport 25 -j ACCEPT
-A OUTPUT -o eth1 -s 213.х.х.х -p tcp --dport 25 -j ACCEPT
#
-A INPUT -i eth1 -d 213.х.х.х -p tcp --dport 110 -j ACCEPT
-A OUTPUT -o eth1 -s 213.х.х.х -p tcp --sport 110 -j ACCEPT
#
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT
-A INPUT -s 213.х.х.х -i lo -j ACCEPT
-A INPUT -s 192.168.0.254 -i lo -j ACCEPT
-A INPUT -d 213.х.х.х -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -d 213.х.х.х -p icmp -j ACCEPT
-A FORWARD -o eth1 -p tcp --dport 3389 -s 85.х.х.х -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -d 192.168.0.99 --dport 3389 -j ACCEPT
-A FORWARD -j DIRECTLINK
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-net-unreachable
-A OUTPUT -s 127.0.0.1 -j ACCEPT
-A OUTPUT -s 213.х.х.х -j ACCEPT
-A OUTPUT -s 192.168.0.254 -j ACCEPT
-A DIRECTLINK -s 192.168.0.0/255.255.255.0 -p tcp --dport 21 -j DROP
-A DIRECTLINK -s 192.168.0.0/255.255.255.0 -j ACCEPT
COMMIT
# Completed on Thu Nov 20 23:44:08 2003

Я сделал по аналогии, не хочет работать.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от reader (ok) on 05-Мрт-09, 23:21 
-A FORWARD -j DIRECTLINK - это уберите, когда заработает тогда и будите ограничения вводить.
упростите правила и добейтесь работы, потом уж добавляйте условия.

echo 1 > /proc/sys/net/ipv4/ip_forward

у клиентов DNS и шлюз прописан?
какой адрес и порт слушает прокси?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от nops (ok) on 05-Мрт-09, 23:58 
>у клиентов DNS и шлюз прописан?
>какой адрес и порт слушает прокси?

Прокси слушает 3128, локальный интерфейс

я пробовал по этим правилам, поменял только на свои апишники и суеувые интерфейсы. пробовал на своей машине, прописал шлюз и днс, не пускает. Неповерите, но сервак просто стал тормозить, а потом совсем завис. После перезагрузки, загрузга остановилась "Запускается фаервол"(У меня установлена графика, сам не понял как она умудрилась встать, я удалял все пакеты, касаемые графики). спустя минут 30-40 всё-таки серв загрузился. Наткнулся тут на статейку:
http://traffpro.ru/index.php?do=forum&showtopic=50
Думаю сделать всё так, как там описано. Для начала попытаюсь заставить работать NAT, а потом уже и squid
Если можете что-нить уточнить по этой статье, будет здорово.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от reader (ok) on 06-Мрт-09, 00:07 
если не понимаете как строятся правила и не сильно разбираетесь в работе сети , то лучше это
https://www.opennet.ru/docs/RUS/iptables/
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от reader (ok) on 06-Мрт-09, 00:14 
>>у клиентов DNS и шлюз прописан?
>>какой адрес и порт слушает прокси?
>
>Прокси слушает 3128, локальный интерфейс

локальный - 192.168.0.1, а 127.0.0.1?


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от nops email(ok) on 08-Мрт-09, 13:11 
Вообщем!
Уважаемые форумчане, есть статья http://traffpro.ru/index.php?do=forum&showtopic=50
Посмотрите её и скажите своё компетентное мнение, стоит по ней настраивать или нет?

Учитывая то, что я новичёк в линуксах.

И ещё вопрос, выше описанное, я руками записывал в /etc/sysconfig/iptables правильно сделал? или надо было прописывать так примерно:
iptables ...... и далее по тексту, само правило.
?
Спасибо!

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от bill (ok) on 08-Мрт-09, 20:23 
>[оверквотинг удален]
>Посмотрите её и скажите своё компетентное мнение, стоит по ней настраивать или
>нет?
>
>Учитывая то, что я новичёк в линуксах.
>
>И ещё вопрос, выше описанное, я руками записывал в /etc/sysconfig/iptables правильно сделал?
>или надо было прописывать так примерно:
>iptables ...... и далее по тексту, само правило.
>?
>Спасибо!

Предварительно выполнить iptables -F , ввести правила вручную (может наступит просветление), а затем сделать service iptables save.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от Andrew (??) on 08-Мрт-09, 13:22 
>-I PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-ports 3128
>
>-I PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 488 -j REDIRECT --to-ports 3128
>
>-I PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 591 -j REDIRECT --to-ports 3128
>
>-I PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 77 -j REDIRECT --to-ports 3128

прокси в режиме транспарент?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

12. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от nops (ok) on 09-Мрт-09, 13:52 
>>-I PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-ports 3128
>>
>>-I PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 488 -j REDIRECT --to-ports 3128
>>
>>-I PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 591 -j REDIRECT --to-ports 3128
>>
>>-I PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 77 -j REDIRECT --to-ports 3128
>
>прокси в режиме транспарент?

Давайте сначала прокси опустим. Забудем о том, что он есть у будет работать. Для начала нужно заставить работать FireWall

Что касаемо статьи? по ней стоит писать правила?
И ещё вопрос, нужно правила обязательно писать с коммандной строки? Типа iptables и_правило
или достаточно отредактировать файл /etc/sysconfig/iptables
???

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от Andrew (??) on 09-Мрт-09, 15:10 
>Давайте сначала прокси опустим. Забудем о том, что он есть у будет
>работать. Для начала нужно заставить работать FireWall

Это правильно, от простого к сложному

>Что касаемо статьи? по ней стоит писать правила?

Для новичка статья полезная, но незадумываясь почему именно так человек сделал а не иначе делать нестоит. Лично от себя посоветую оганизовать логирование пакетов которые фаервол отбросил. Пример;
eth0 - традиционно интерфейс в инет
eth1 - традиционно интерфейс в локалку

#Дропаем все правила
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F RH-Firewall-1-INPUT

#(для того чтобы проходили все пакеты по дефолту, это нам надо для логирования)
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

#открываем порты которые нам нужны, например 53 для dns
iptables -A INPUT -i eth0 -p tcp -s XXXXXXXX(ip dns провайдера) --sport 53 -j ACCEPT

#разрешаем lo интерфес
iptables -A INPUT -i lo -j ACCEPT

#пакеты которые явно не разрешены идут в лог
iptables -A INPUT -i eth0 -j LOG --log-level debug
#все пакеты которые неразрешены непроходят - дропаются
iptables -A INPUT -i eth0 -j DROP

#маскарадинг для вашего ип
iptables -A POSTROUTING -s 192.168.1.2 -o eth0 -j MASQUERADE

В итоге мы получаем следующее, все пакеты приходящие по дефолту проходят через цепочку INPUT потом пакеты либо "разрешаются" либо идут в лог и в конце дропаются. Также необходимо настроить syslog чтобы логировались события debug. После этого смотрим логи и настраиваем фаерволл. Потом можно удалить правила для логов сделать по дефолту DROP (iptables -P INPUT DROP). ЭТО НЕГОТОВЫЙ ФАЕРВОЛЛ ЭТО ЧТО-ТО ВРОДЕ СКЕЛЕТА ДЛЯ ПОСТРОЕНИЯ СВОЕГО ФАЕРВОЛЛА.

>И ещё вопрос, нужно правила обязательно писать с коммандной строки? Типа iptables
>и_правило
>или достаточно отредактировать файл /etc/sysconfig/iptables
>???

можно и редактировать /etc/sysconfig/iptables потом соответственно iptables restart
или можно создать скрипт со всеми командами, кому как нелениво :)))


Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от Gennadi email(??) on 09-Мрт-09, 15:23 

В первую очередь необходимо настроить шлюз а уже всё остальное потом.


Ну, как вариант, шлюз можно так настроить.:-)))


http://gennadi.dyndns.org/21.html


... а потом подкрутить как надо!

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от Andrew (??) on 09-Мрт-09, 15:31 
>[оверквотинг удален]
>В первую очередь необходимо настроить шлюз а уже всё остальное потом.
>
>
>Ну, как вариант, шлюз можно так настроить.:-)))
>
>
>http://gennadi.dyndns.org/21.html
>
>
>... а потом подкрутить как надо!

Да у меня практически такой же скрипт, я сознательно недавал скриптов чтобы человек минимально догнал принцип работы, ну а потом уже догнал сам какие статьи читать и готовые скрипты брать итд :))))

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от Gennadi email(??) on 09-Мрт-09, 18:50 
>Да у меня практически такой же скрипт, я сознательно недавал скриптов чтобы
>человек минимально догнал принцип работы, ну а потом уже догнал сам
>какие статьи читать и готовые скрипты брать итд :))))

Хм... :-)))

Улыбаюсь и согласен!

Но, всё-таки...

Есть два способа научится езде на лошаде!

1. Запрыгнуть на лошадь и скакать, упасть и снова запрыгнуть и упасть, запрыгнуть... и наконец научится...!!!

2. Сидя на заборе смотреть как кто-то учится, падая и падая, езде на лошаде и мотать на ус все ошибки наездника, а потом сеть на лошадь и вперёд!!!

.............................

Мне вот по душе вариант - сначала получить работающую систему, а потом уже экспериментировать, всегда имея возможность откатится к рабочему варианту.

С уважением.


Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от Andrew (??) on 09-Мрт-09, 19:27 
>Мне вот по душе вариант - сначала получить работающую систему, а потом
>уже экспериментировать, всегда имея возможность откатится к рабочему варианту.
>
>С уважением.

Все зависит от человека, либо он хочет научится (что лично я приветствую), либо сидеть с работающей системой получать бабло на работе и читать анекдоты ничего нового не стараясь узнать.:) ИМХО зарплата это бонус к твоим умениям и знаниям, а не цель ради которой стоит получать знания. К сожалению у меня оч много знакомых которые придерживаются мнения "лишбыработало" а как хз, но видать правильно раз работает :))))Один знакомый когда меня на работе повысили и я ему передавала дела и показывал что-то по администрированию вообще заявил что читать не любит, типа показать ему приемы которые он записал :)))

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от Andrew (??) on 09-Мрт-09, 19:28 
>>передавала

передавал

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от nops (ok) on 10-Мрт-09, 18:20 
вообщем! суть до дела!
правила я настроил по примеру:

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 80.х.х.х
COMMIT
# Completed on Thu Nov 20 23:44:08 2003
# Generated by iptables-save v1.2.7a on Thu Nov 20 23:44:08 2003
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:DIRECTLINK - [0:0]
#ssh
-A INPUT -i eth0 -p tcp --dport 22 -s 192.168.0.0/255.255.255.0 -j ACCEPT
#http
-A INPUT -i eth0 -d 80.х.х.х -p tcp --dport 80 -j ACCEPT
-A OUTPUT -o eth0 -s 80.х.х.х -p tcp --sport 80 -j ACCEPT
#dns
-A INPUT -i eth0 -d 80.х.х.х -p udp --dport 53 -j ACCEPT
-A OUTPUT -o eth0 -s 80.х.х.х -p udp --sport 53 -j ACCEPT
#
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT
-A INPUT -s 80.х.х.х -i lo -j ACCEPT
-A INPUT -s 192.168.0.2 -i lo -j ACCEPT
-A INPUT -d 80.х.х.х -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -d 80.х.х.х -p icmp -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-net-unreachable
-A OUTPUT -s 127.0.0.1 -j ACCEPT
-A OUTPUT -s 80.х.х.х -j ACCEPT
-A OUTPUT -s 192.168.0.2 -j ACCEPT
COMMIT

Инет работает, у всех абсолютно.
Далее пытаюсь заставить работать utm5 Запустилась, но с какой-то ошибкой:

[root@novour]# service utm5_core start
Starting utm5_core
Starting utm5_core
?Debug : Mar 10 19:58:17 Rehash: Rehash manager started
Notice: Mar 10 19:58:17 ModMap: Sub-Module 'rehash' inserted...
Notice: Mar 10 19:58:17 UTM5 Config: Processing config file: /netup/utm5/utm5.cfg
?Debug : Mar 10 19:58:17 ModMap: Module <rehash> exist
Notice: Mar 10 19:58:17 ModMap: Sub-Module 'config' inserted...
?Debug : Mar 10 19:58:17 ModMap: Module <config> exist
?Debug : Mar 10 19:58:17 ModMap: Module <rehash> exist
Notice: Mar 10 19:58:17 ModMap: Sub-Module 'logger' inserted...
[root@novour]#

Ну явно что-то не так.
До этого пытаюсь поставить ng_netflow:

[root@novour ng_netflow-0.2.5]# make
Makefile:8: *** пропущен разделитель.  Останов.
[root@novour ng_netflow-0.2.5]#

пытаюсь поставить NDSAD, пишет:

[root@novour ndsad-1.33]# ./preconf
[root@novour ndsad-1.33]#
[root@novour ndsad-1.33]# ./configure
checking build system type... i686-pc-linux-gnu
checking host system type... i686-pc-linux-gnu
checking for a BSD-compatible install... /usr/bin/install -c
checking whether build environment is sane... yes
checking for gawk... gawk
checking whether make sets $(MAKE)... yes
checking for a BSD-compatible install... /usr/bin/install -c
checking for g++... g++
checking for C++ compiler default output file name... a.out
checking whether the C++ compiler works... yes
checking whether we are cross compiling... no
checking for suffix of executables...
checking for suffix of object files... o
checking whether we are using the GNU C++ compiler... yes
checking whether g++ accepts -g... yes
checking for style of include used by make... GNU
checking dependency style of g++... gcc3
checking for gcc... gcc
checking whether we are using the GNU C compiler... yes
checking whether gcc accepts -g... yes
checking for gcc option to accept ANSI C... none needed
checking dependency style of gcc... gcc3
checking whether ln -s works... yes
checking for pcap_loop in -lpcap... no
checking for pthread_mutex_init in -lpthread... yes
checking how to run the C preprocessor... gcc -E
checking for egrep... grep -E
checking for ANSI C header files... yes
checking for sys/types.h... yes
checking for sys/stat.h... yes
checking for stdlib.h... yes
checking for string.h... yes
checking for memory.h... yes
checking for strings.h... yes
checking for inttypes.h... yes
checking for stdint.h... yes
checking for unistd.h... yes
checking for int64_t... yes
configure: creating ./config.status
config.status: creating Makefile
config.status: creating config.h
config.status: config.h is unchanged
config.status: executing depfiles commands
[root@novour ndsad-1.33]#
[root@novour ndsad-1.33]# make
make  all-am
make[1]: Entering directory `/distrib/ndsad/ndsad-1.33'
if g++ -DHAVE_CONFIG_H -I. -I. -I.     -O0 -fno-inline -g -ftemplate-depth-32 -g  -MT ndsad-config.o -MD -MP -MF ".deps/ndsad-config.Tpo" -c -o ndsad-config.o `test -f 'config.cc' || echo './'`config.cc; \
        then mv -f ".deps/ndsad-config.Tpo" ".deps/ndsad-config.Po"; else rm -f ".deps/ndsad-config.Tpo"; exit 1; fi
In file included from handlers.h:13,
                 from config_ndsad.h:19,
                 from config.cc:27:
pcap.local.h:12:18: error: pcap.h: Нет такого файла или каталога
handlers.h:47: ошибка: ‘pcap_handler’ does not name a type
config_ndsad.h:75: ошибка: нет декларации ‘pcap_addr’ в этой области видимости
config_ndsad.h:75: ошибка: нет декларации ‘addresses’ в этой области видимости
config_ndsad.h:75: ошибка: expected primary-expression before ‘*’ token
config_ndsad.h:75: ошибка: нет декларации ‘cfl’ в этой области видимости
config_ndsad.h:75: ошибка: initializer - списое выражений рассматривается как составное выражение
config.cc:297: ошибка: нет декларации ‘pcap_addr’ в этой области видимости
config.cc:297: ошибка: нет декларации ‘addresses’ в этой области видимости
config.cc:297: ошибка: expected primary-expression before ‘const’
config.cc:297: ошибка: initializer - списое выражений рассматривается как составное выражение
config.cc:298: ошибка: expected ‘,’ or ‘;’ before ‘{’ token
make[1]: *** [ndsad-config.o] Ошибка 1
make[1]: Leaving directory `/distrib/ndsad/ndsad-1.33'
make: *** [all] Ошибка 2
[root@novour ndsad-1.33]#

Пытаюсь ставить flow-tools:

[root@novour flow-tools-0.68]# ./configure
checking for a BSD-compatible install... /usr/bin/install -c
checking whether build environment is sane... yes
checking for gawk... gawk
checking whether make sets $(MAKE)... yes
checking for gcc... gcc
checking for C compiler default output... a.out
checking whether the C compiler works... yes
checking whether we are cross compiling... no
checking for suffix of executables...
checking for suffix of object files... o
checking whether we are using the GNU C compiler... yes
checking whether gcc accepts -g... yes
checking for gcc option to accept ANSI C... none needed
checking for style of include used by make... GNU
checking dependency style of gcc... gcc3
checking for a BSD-compatible install... /usr/bin/install -c
checking whether make sets $(MAKE)... (cached) yes
checking for bison... bison -y
checking for ranlib... ranlib
checking for flex... flex
checking for yywrap in -lfl... yes
checking lex output file root... lex.yy
checking whether yytext is a pointer... yes
checking for main in -ly... no
checking for zlibVersion in -lz... yes
checking for allow_severity in -lwrap... yes
checking for dirent.h that defines DIR... yes
checking for library containing opendir... none required
checking how to run the C preprocessor... gcc -E
checking for egrep... grep -E
checking for ANSI C header files... yes
checking for sys/types.h... yes
checking for sys/stat.h... yes
checking for stdlib.h... yes
checking for string.h... yes
checking for memory.h... yes
checking for strings.h... yes
checking for inttypes.h... yes
checking for stdint.h... yes
checking for unistd.h... yes
checking fcntl.h usability... yes
checking fcntl.h presence... yes
checking for fcntl.h... yes
checking features.h usability... yes
checking features.h presence... yes
checking for features.h... yes
checking limits.h usability... yes
checking limits.h presence... yes
checking for limits.h... yes
checking malloc.h usability... yes
checking malloc.h presence... yes
checking for malloc.h... yes
checking for string.h... (cached) yes
checking for strings.h... (cached) yes
checking sys/time.h usability... yes
checking sys/time.h presence... yes
checking for sys/time.h... yes
checking syslog.h usability... yes
checking syslog.h presence... yes
checking for syslog.h... yes
checking for unistd.h... (cached) yes
checking for sin_len in sockaddr_in ...
no
checking for an ANSI C-conforming const... yes
checking for off_t... yes
checking for pid_t... yes
checking for size_t... yes
checking for struct stat.st_rdev... yes
checking whether time.h and sys/time.h may both be included... yes
checking whether struct tm is in sys/time.h or time.h... time.h
checking for stdlib.h... (cached) yes
checking for unistd.h... (cached) yes
checking for getpagesize... yes
checking for working mmap... yes
checking for working alloca.h... yes
checking for alloca... yes
checking return type of signal handlers... void
checking for gethostbyname in -lnsl... yes
checking for socket in -lsocket... no
checking for gethostname... yes
checking for gettimeofday... yes
checking for select... yes
checking for socket... yes
checking for strdup... yes
checking for strtoul... yes
checking for timelocal... yes
checking for sigaction... yes
checking for strsep... yes
checking for strerror... yes
checking for strtoull... yes
checking strtoul returns 64 bits... no
configure: creating ./config.status
config.status: creating lib/Makefile
config.status: creating src/Makefile
config.status: creating bin/Makefile
config.status: creating Makefile
config.status: creating docs/Makefile
config.status: creating lib/ftpaths.h
config.status: creating configs/Makefile
config.status: creating docs/flow-capture.1
config.status: creating docs/flow-capture.html
config.status: creating docs/flow-nfilter.1
config.status: creating docs/flow-nfilter.html
config.status: creating docs/flow-print.1
config.status: creating docs/flow-print.html
config.status: creating docs/flow-report.1
config.status: creating docs/flow-report.html
config.status: creating docs/flow-receive.1
config.status: creating docs/flow-receive.html
config.status: creating docs/flow-tag.1
config.status: creating docs/flow-tag.html
config.status: creating docs/flow-mask.1
config.status: creating docs/flow-mask.html
config.status: creating docs/flow-fanout.1
config.status: creating docs/flow-fanout.html
config.status: creating docs/flow-xlate.1
config.status: creating docs/flow-xlate.html
config.status: creating docs/flow-rpt2rrd.1
config.status: creating docs/flow-rpt2rrd.html
config.status: creating docs/flow-rptfmt.1
config.status: creating docs/flow-rptfmt.html
config.status: creating docs/flow-log2rrd.1
config.status: creating docs/flow-log2rrd.html
config.status: creating lib/ftconfig.h
config.status: lib/ftconfig.h is unchanged
config.status: executing depfiles commands

Please subscribe to the flow-tools mailing list by sending a message to
flow-tools-request@splintered.net

Now type make to continue the build process

[root@novour flow-tools-0.68]#
[root@novour flow-tools-0.68]# gmake
Making all in lib
gmake[1]: Entering directory `/distrib/flowtools/flow-tools-0.68/lib'
gmake  all-am
gmake[2]: Entering directory `/distrib/flowtools/flow-tools-0.68/lib'
source='ftio.c' object='ftio.o' libtool=no \
        depfile='.deps/ftio.Po' tmpdepfile='.deps/ftio.TPo' \
        depmode=gcc3 /bin/sh ../depcomp \
        gcc -I. -I./lib -I. -I. -I.    -g -Wall -g -Wall -c `test -f 'ftio.c' || echo './'`ftio.c
ftio.c: In function ‘readn’:
ftio.c:2270: ошибка: некорректная левая часть в присваивании
ftio.c: In function ‘writen’:
ftio.c:2295: ошибка: некорректная левая часть в присваивании
gmake[2]: *** [ftio.o] Ошибка 1
gmake[2]: Leaving directory `/distrib/flowtools/flow-tools-0.68/lib'
gmake[1]: *** [all] Ошибка 2
gmake[1]: Leaving directory `/distrib/flowtools/flow-tools-0.68/lib'
gmake: *** [all-recursive] Ошибка 1
[root@novour flow-tools-0.68]#


Всё делаю как в инструкции, и не хотит...
Если просто запускаю уже готовый(Скачаный из инета и откомпилированный) ndsad:

[root@novour ndsad-1.33-linux.static]# ./ndsad
ndsad[16002]: Session opened on Tue Mar 10 20:17:27 2009
ndsad[16002]: binary version `1.33'
ndsad[16002]: Creating NFC for <ulog_iface> family. dev <ulog_iface0>
ndsad[16002]: NFC created <0x8ca1860>.
ndsad[16002]: Starting worker thread for linux ulog socket.
ndsad[16002]: `peth0': new device
ndsad[16002]: Starting worker thread for device <peth0>
ndsad[16002]: `virbr0': new device
ndsad[16002]: Starting worker thread for device <virbr0>
ndsad[16005]: Creating NFC for <default> family. dev <peth0>
ndsad[16005]: NFC created <0x8ca4c90>.
ndsad[16005]: `peth0' thread started successfully.
ndsad[16005]: `peth0' thread is preparing for dummy loop call
ndsad[16006]: `virbr0' thread started successfully.
ndsad[16006]: `virbr0' thread is preparing for dummy loop call
ndsad[16002]: `vif0.0': new device
ndsad[16002]: Starting worker thread for device <vif0.0>
ndsad[16002]: `eth0': new device
ndsad[16002]: Starting worker thread for device <eth0>
ndsad[16002]: `xenbr0': new device
ndsad[16002]: Starting worker thread for device <xenbr0>
ndsad[16002]: `eth1': new device
ndsad[16002]: Starting worker thread for device <eth1>
ndsad[16002]: `lo': new device
ndsad[16002]: Starting worker thread for device <lo>
ndsad[16007]: `vif0.0' thread started successfully.
ndsad[16007]: `vif0.0' thread is preparing for dummy loop call
ndsad[16008]: Creating NFC for <eth> family. dev <eth0>
ndsad[16008]: NFC created <0x8cb6368>.
ndsad[16008]: `eth0' thread started successfully.
ndsad[16009]: `xenbr0' thread started successfully.
ndsad[16009]: `xenbr0' thread is preparing for dummy loop call
ndsad[16010]: `eth1' thread started successfully.
ndsad[16011]: Creating NFC for <lo> family. dev <lo>
ndsad[16011]: NFC created <0x8cb7840>.
ndsad[16011]: `lo' thread started successfully.
ndsad[16002]: `ulog_iface0': new device
ndsad[16008]: `eth0' thread is preparing for PCAP loop call
ndsad[16008]: pcap_datalink(eth0) = 1
ndsad[16008]: Set ppp offset = 4
ndsad[16010]: `eth1' thread is preparing for PCAP loop call
ndsad[16010]: pcap_datalink(eth1) = 1
ndsad[16010]: Set ppp offset = 4
ndsad[16011]: `lo' thread is preparing for PCAP loop call
ndsad[16011]: pcap_datalink(lo) = 1
ndsad[16011]: Set ppp offset = 4


и после того как нажимаю Ctrl-с:

Signal SIGINT cought...
ndsad[16012]: Unable to unlink pid file of another process
Signal SIGINT cought...
ndsad[16010]: Unable to unlink pid file of another process
Signal SIGINT cought...
ndsad[16009]: Unable to unlink pid file of another process
Signal SIGINT cought...
ndsad[16008]: Unable to unlink pid file of another process
Signal SIGINT cought...
ndsad[16007]: Unable to unlink pid file of another process
Signal SIGINT cought...
ndsad[16006]: Unable to unlink pid file of another process
Signal SIGINT cought...
ndsad[16005]: Unable to unlink pid file of another process
[root@novour ndsad-1.33-linux.static]#

Помагите попробовать решить эту проблему.
P.S. кстати, забыл, UTM5 считает трафик, но не правильно, и не отображает пока


service utm5_core stop
service utm5_core start

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от Andrew (??) on 10-Мрт-09, 19:17 
>pcap.local.h:12:18: error: pcap.h: Нет такого файла или каталога

libpcap поставь, или libpcap-devel
вообщем libpcap нужен всем этим считалкам
я кстати не так давно ставил вот эту http://traffpro.ru/, вприниципе кроме лицензии понравилось

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от nops (ok) on 11-Мрт-09, 14:47 
>>pcap.local.h:12:18: error: pcap.h: Нет такого файла или каталога
>
>libpcap поставь, или libpcap-devel
>вообщем libpcap нужен всем этим считалкам
>я кстати не так давно ставил вот эту http://traffpro.ru/, вприниципе кроме лицензии
>понравилось

У меня стоит и libpcap, и libpcap-devel. Но от этого ничего не меняется.
Собрать статистику и привязать к UTM всё равно не могу.
А что касаемо TraffPro, дык там гемор один есть, последняя версия требует лицензии, а предыдущая не разрабатывалась для анлимных тарифов.
Т.е. нет там возможности реализовать безлимитный тариф с абаненской платой и ограничением скорости.

Ну до биллинга мы ещё доберёмся, сейчас проблема в том, что не считает трафик.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от nops (ok) on 12-Мрт-09, 14:28 
Сейчас вообще проблема появилась.
Переустановил линя, оборудование померло, снёс CentOS 5.2 и поставил ASPLinux 11.2
Все правила прописал так же, точную копию, только интерфейсы местами поменял. И нифига не работет. причину понять не могу.
Вроде всё везде прописано правильно, но не пускает в инет и всё тут.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от ALex_hha (??) on 12-Мрт-09, 14:54 
>Сейчас вообще проблема появилась.
>Переустановил линя, оборудование померло, снёс CentOS 5.2 и поставил ASPLinux 11.2
>Все правила прописал так же, точную копию, только интерфейсы местами поменял. И
>нифига не работет. причину понять не могу.
>Вроде всё везде прописано правильно, но не пускает в инет и всё
>тут.

Найми сисадмина

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от nops (ok) on 14-Мрт-09, 13:43 
>Найми сисадмина

Не, никого я нан7имать не буду.
На CentOS у меня всё работает, с правилами iptables разобрался. до squid ещё доберусь. Сейчас проблема есть и не решилась, что касаемо сбора статистики. Как я описывал ранее, тут: https://www.opennet.ru/openforum/vsluhforumID1/84356.html#10
У меня не ставятся netflow-коллекторы. Спецы utm говорят, что типа возможно у меня уже используется в системе какой-то коллектор.
Может тогда ктонить подскажет, каким образом можно собирать статистику в CentOS с UTM5

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от nops (ok) on 20-Мрт-09, 23:29 
Вообщем я настроил NAT. Всё хорошо. Поставил UTM5 - тоже работает. Всё считает корректно. Вопрос в следующем.
пробовал настроить прозрачный прокси, мне выдаёт ошибку:

ERROR
The requested URL could not be retrieved

While trying to process the request:
GET / HTTP/1.1
User-Agent: Opera/9.62 (Windows NT 5.1; U; ru) Presto/2.1.1
Host: ya.ru
Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
Accept-Language: ru-RU,ru;q=0.9,en;q=0.8
Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1
Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0
If-Modified-Since: Sun, 11 Jan 2009 11:50:37 GMT
If-None-Match: "2065176078"
Connection: Keep-Alive

The following error was encountered:
Invalid Request

Some aspect of the HTTP Request is invalid. Possible problems:
Missing or unknown request method
Missing URL
Missing HTTP Identifier (HTTP/1.0)
Request is too large
Content-Length missing for POST or PUT requests
Illegal character in hostname; underscores are not allowed

Your cache administrator is root.
Generated Fri, 20 Mar 2009 08:09:45 GMT by novour.com (squid/2.6.STABLE6)

Что с этим делать?
Попробовал взять squid.conf с другой линуксовой машины. Там прозрачный прокси работает.
Взял, скопировал, остановил squid, попробовал запустить, написал:


[root@novour sysconfig]# service squid start
Запускается squid:                                         [ СБОЙ ]
[root@novour sysconfig]#

Что это может быть?

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "Помогите организовать интернет-шлюз на CentOS 5.2"  +/
Сообщение от Akell on 27-Окт-12, 01:29 
>[оверквотинг удален]
> ни в какие ворота не лезет. Есть прокси сервера под определенные
> протоколы уровня приложений, например http или imap. Прокси умеет в той
> или иной степени кешировать данные или просто поддерживать пул логинов или
> открытых соединений, причем _только_ для известного ему протокола. Для ряда протоколов
> кеширование данных невозможно в принципе. NAT же в свою очередь вообще
> не заглядывает на уровень приложения, он просто подменяет адреса источника и
> назначения, содержимое пакета его не волнует. При помощи NAT можно принудительно
> часть трафика завернуть на какой-нибудь прокси, но это уже не будет
> доступ к инету по NAT ибо запросы в дальнейшем будут исходить
> от прокси.

УВ. К Вам за помощью обратились???? так ответьте нормально!! есть люди у которых не 2-3 образования как у Вас!!! это никсы и если вам впадлу оказать помощь валите к виндожникам! вы по повадкам как раз под них катите!!!!!!!!!!

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру