Ключевые слова: squid, acl, time, (найти похожие документы)
_ RU.UNIX (2:5077/15.22) _____________________________________________ RU.UNIX _
From : Yar Tikhiy 2:5020/118 Sat 11 Jul 98 10:32
Subj : Re: Вееpное подключение к Инетy
________________________________________________________________________________
From: Yar Tikhiy <yar@comp.chem.msu.su>
Pete Procenko wrote:
PP> Возникла такая пpоблема: есть пpиличных pазмеpов сетка (около 150 машин, 7
PP> сегметов коаксиала), и есть не очень пpиличная для таких масштабов
выделенная
PP> линия (38.4 К)
PP> Есть также 15 pеальных IP-адpесов. Часть компyтеpов сгpyппиpована по
yчебным
PP> аyдитоpиям (мы - вyз). Вопpос - как оpганизовать (желательно софтвеpное
PP> pешение)
PP> такой pежим pаботы: с 9-12 (yсловно) интеpнет есть в одном классе, с 12-14
- в
PP> дpyгом, плюс к этомy - несколько машин (отдельных, не классов) с постояным
PP> достyпом
2. Hа машине, являющейся gateway во внешний мир, или за ней ставится Squid
(http://squid.nlanr.net) и конфигурируется так, чтобы адреса класса #1
пускать с 9 до 12, а адреса #2 - с 12 до 14:
acl all src 0.0.0.0/0.0.0.0
acl CLASS1 src 192.168.1.0/255.255.255.0
acl CLASS2 src 192.168.2.0/255.255.255.0
acl CLASS1TIME time 9:00-12:00
acl CLASS2TIME time 12:00-14:00
acl PRIVILEGED_LUSERS 192.168.3.3 192.168.4.4 192.168.5.5
Хотя, как я подозреваю, такая политика задумывалась из-за недостатка
адресов. Все обращение к ftp, www, gopher и wais идет через Squid.
Очевидно, у этой машины должно быть 2 адреса - реальный и приватный.
3. Вся почта ходит через эту машину с 2 адресами. Кстати, почту могут
посылать все подключенные, а не только люди из "acl PRIVILEGED_LUSERS" ;-)
Если не принять соотв. мер...
4. DNS работает через нее же. Желательно завести свою приватную зону
и назвать машинки, а главное - сделать реверс, чтобы всякие демоны
типа sendmail и popd были довольны.
Вариант 2:
Включить на маршрутизаторе NAT. Как - зависит от платформы и п/o.
Для видимых снаружи сервисов (mail relay, www, ftp, dns etc) прописать
статические соответствия адресов, а всех остальных свалить в несколько
(а то и в 1 адрес).
Если уж захочется классы по времени ограничивать - по cron IP фильтры
ставить/убирать.
Хотя и в случае с NAT недурно поставить Squid, а уж локальный DNS завести -
просто обязательно.
Замечание о классах.
Если там бегает IPX между какими-нибудь Win'XX в MS domain, то на выходе
можно поставить MS Proxy и включить remote winsock. Тогда a) не надо
ставить внутри классов TCP/IP б) можно разрешать/запрещать выход
в инет по именам/группам пользователей.