Использование SkyDNS Agent вместе с прокси-сервером Ideco ICS
В ряде случаев необходимо настроить единые настройки фильтрации на уровне прокси-сервера в составе шлюза Ideco ICS, но при этом предоставить индивидуальные настройки фильтрации отдельным пользователям. В этих случаях необходимо на такие компьютеры установить программу SkyDNS Agent с отдельным профилем фильтрации и исключить IP-адреса этих компьютеров из обработки прокси-сервером Ideco ICS.
Чтобы включить исключение IP-адресов на уровне прокси-сервера Ideco ICS, сделайте следующее:
Подготовка сервера Ideco ICS
Для того чтобы вносить правки в пользовательские скрипты сначала загрузите сервер в режиме удаленного помощника и получите доступ к консоли linux с помощью ssh (вам поможет ssh-клиент putty для windows или любой терминал linux).
Исключение трафика по адресу источника
При помощи mcedit создайте в консоли сервера в директории /mnt/rw_disc/ пустой текстовый файл и назовите его freenet.txt:
mcedit /mnt/rw_disc/freenet.txt
Этот файл нужно наполнить IP-адресами пользователей или сетей, которые должны быть исключены из обработки прокси-сервером. Формат файла простой: в каждой строке указывается IP-адрес или подсеть адресов, которую необходимо исключить из обработки прокси-сервером. Допускаются комментарии после символа "#". Пример:
172.16.0.0/255.255.255.0 192.168.0.0/24 #WiFI пользователи 10.128.0.10/255.255.255.255 10.0.0.15/32 #Иван Иванович
(в конце текста обязательно оставьте пустую строку нажатием клавиши Enter)
Внимание:
•IP-адреса отдельных хостов записываются с маской 255.255.255.255 (/32). Например 172.16.0.5/32. IP-адреса сетей записываются как адрес сети с маской сети. Например, 172.16.0.0/24.
•IP-адрес должен соответствовать IP-адресу пользователя в базе. Например, если пользователь авторизуется на сервере по VPN, то и исключать нужно адрес, получаемый пользователем при установлении VPN соединения. По умолчанию для таких пользователей используются адреса из "простого пула", описываемого сетью 10.128.0.0/16.
После этого выполните в консоли следующую команду:
mcedit /usr/local/ics/bin/ics_tune.sh
В открывшемся текстовом редакторе напишите текст приведенный ниже и сохраните при выходе из него клавишей "escape" или "f10". При работе с консолью linux через программу putty, советуем скопировать текст во избежании получения ошибок при перепечатывании кода.
#!/bin/bash if [ "$1" = "firewall_custom.sh" ]; then while read subnet trash; do /sbin/iptables -t nat -I fw_custom_dnat -p tcp --dport 80 -s "$subnet" -j ACCEPT; done < "/mnt/rw_disc/freenet.txt" fi
Перезагрузите сервер мягкой перезагрузкой.
Либо выполните команду:
/usr/local/ics/bin/ics_tune.sh firewall_custom.sh
Исключение трафика по адресу назначения
При помощи mcedit создайте в консоли сервера в директории /mnt/rw_disc/ пустой текстовый файл и назовите его freenet.txt:
mcedit /mnt/rw_disc/freenet.txt
Этот файл нужно наполнить IP-адресами конкретных хостов в интернете. Допускаются комментарии после символа "#". Пример содержимого файла:
217.16.18.124 #mama.ru 217.107.214.2 #auto.ru
После этого выполните в консоли следующую команду:
mcedit /usr/local/ics/bin/ics_tune.sh
В открывшемся текстовом редакторе напишите текст приведенный ниже и сохраните при выходе из него клавишей "escape" или "f10". При работе с консолью linux через программу putty, советуем скопировать текст во избежании получения ошибок при перепечатывании кода.
#!/bin/bash if [ "$1" = "firewall_custom.sh" ]; then while read subnet trash; do /sbin/iptables -t nat -I fw_custom_dnat -p tcp --dport 80 -d "$subnet" -j ACCEPT; done < "/mnt/rw_disc/freenet.txt" fi
Перезагрузите сервер мягкой перезагрузкой.
Либо выполните команду:
/usr/local/ics/bin/ics_tune.sh firewall_custom.sh
Внимание: Все операции, производимые вами в консоли linux, выполняются от имени системного пользователя root, обладающего неограниченными правами в системе. Пожалуйста, следуйте предписаниям инструкции максимально точно, особенно если не имеете достаточного опыта работы с linux, так как можно легко нанести непоправимый вред системе, совершив ошибку в написании команд.
Смотрите также: