Использование SkyDNS Agent вместе с прокси-сервером Ideco ICS

В ряде случаев необходимо настроить единые настройки фильтрации на уровне прокси-сервера в составе шлюза Ideco ICS, но при этом предоставить индивидуальные настройки фильтрации отдельным пользователям. В этих случаях необходимо на такие компьютеры установить программу SkyDNS Agent с отдельным профилем фильтрации и исключить IP-адреса этих компьютеров из обработки прокси-сервером Ideco ICS.

Чтобы включить исключение IP-адресов на уровне прокси-сервера Ideco ICS, сделайте следующее:

Подготовка сервера Ideco ICS

Для того чтобы вносить правки в пользовательские скрипты сначала загрузите сервер в режиме удаленного помощника и получите доступ к консоли linux с помощью ssh (вам поможет ssh-клиент putty для windows или любой терминал linux).

Исключение трафика по адресу источника

При помощи mcedit создайте в консоли сервера в директории /mnt/rw_disc/ пустой текстовый файл и назовите его freenet.txt:

mcedit /mnt/rw_disc/freenet.txt

Этот файл нужно наполнить IP-адресами пользователей или сетей, которые должны быть исключены из обработки прокси-сервером. Формат файла простой: в каждой строке указывается IP-адрес или подсеть адресов, которую необходимо исключить из обработки прокси-сервером. Допускаются комментарии после символа "#". Пример:

172.16.0.0/255.255.255.0
192.168.0.0/24 #WiFI пользователи
10.128.0.10/255.255.255.255
10.0.0.15/32 #Иван Иванович

(в конце текста обязательно оставьте пустую строку нажатием клавиши Enter)

Внимание:
•IP-адреса отдельных хостов записываются с маской 255.255.255.255 (/32). Например 172.16.0.5/32. IP-адреса сетей записываются как адрес сети с маской сети. Например, 172.16.0.0/24.
•IP-адрес должен соответствовать IP-адресу пользователя в базе. Например, если пользователь авторизуется на сервере по VPN, то и исключать нужно адрес, получаемый пользователем при установлении VPN соединения. По умолчанию для таких пользователей используются адреса из "простого пула", описываемого сетью 10.128.0.0/16.

После этого выполните в консоли следующую команду:

mcedit /usr/local/ics/bin/ics_tune.sh

В открывшемся текстовом редакторе напишите текст приведенный ниже и сохраните при выходе из него клавишей "escape" или "f10". При работе с консолью linux через программу putty, советуем скопировать текст во избежании получения ошибок при перепечатывании кода.

#!/bin/bash

if [ "$1" = "firewall_custom.sh" ]; then
 while read subnet trash; do
 /sbin/iptables -t nat -I fw_custom_dnat -p tcp --dport 80 -s "$subnet" -j ACCEPT;
 done < "/mnt/rw_disc/freenet.txt"
fi

Перезагрузите сервер мягкой перезагрузкой.
Либо выполните команду:

/usr/local/ics/bin/ics_tune.sh firewall_custom.sh

Исключение трафика по адресу назначения

При помощи mcedit создайте в консоли сервера в директории /mnt/rw_disc/ пустой текстовый файл и назовите его freenet.txt:

mcedit /mnt/rw_disc/freenet.txt

Этот файл нужно наполнить IP-адресами конкретных хостов в интернете. Допускаются комментарии после символа "#". Пример содержимого файла:

217.16.18.124 #mama.ru
217.107.214.2 #auto.ru

После этого выполните в консоли следующую команду:

mcedit /usr/local/ics/bin/ics_tune.sh

В открывшемся текстовом редакторе напишите текст приведенный ниже и сохраните при выходе из него клавишей "escape" или "f10". При работе с консолью linux через программу putty, советуем скопировать текст во избежании получения ошибок при перепечатывании кода.

#!/bin/bash

if [ "$1" = "firewall_custom.sh" ]; then
 while read subnet trash; do
 /sbin/iptables -t nat -I fw_custom_dnat -p tcp --dport 80 -d "$subnet" -j ACCEPT;
 done < "/mnt/rw_disc/freenet.txt"
fi

Перезагрузите сервер мягкой перезагрузкой.
Либо выполните команду:

/usr/local/ics/bin/ics_tune.sh firewall_custom.sh

Внимание: Все операции, производимые вами в консоли linux, выполняются от имени системного пользователя root, обладающего неограниченными правами в системе. Пожалуйста, следуйте предписаниям инструкции максимально точно, особенно если не имеете достаточного опыта работы с linux, так как можно легко нанести непоправимый вред системе, совершив ошибку в написании команд.

Смотрите также:

Настройка Ideco ICS для фильтрации трафика с помощью SkyDNS