白蛇传电视剧鞠婧祎全集视频,床戏视频赵丽颖

公司老闆想掌握員工上網(wǎng)情況? 家長(zhǎng)想瞭解孩子們都在逛哪些網(wǎng)站?

一臺(tái) Linux 電腦, 加上Transparent Proxy 機(jī)制與SARG 報(bào)表, 當(dāng) Client PC 透過 Linux NAT 上網(wǎng)時(shí), 即可記錄每個(gè)使用者的上網(wǎng)瀏覽狀況.

環(huán)境需求

Linux NAT (以下三種環(huán)境皆可應(yīng)用, 本文以 Fedora Linux 為例)

雙網(wǎng)卡, eth0 接 Hub, eth1 接 ADSL Router 單網(wǎng)卡, eth0 接 Hub, ADSL Router 接入 Hub, Linux pppoe 上網(wǎng) 單網(wǎng)卡, eth0 接 Hub, IPSharing WAN Port 接 ADSL Router (並於 IPSharing 設(shè)定禁止 Client PC 直接透過 IPSharing 上網(wǎng))

Linux NAT 基本設(shè)定:

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s your.local-area.network/netmask -j MASQUERADE

Client PC 基本設(shè)定:

Gateway 指向 Linux LAN IP 即可

架設(shè)Transparent Proxy

安裝Squid (以 yum 安裝為例)

yum install squid

設(shè)定 Squid

vi /etc/squid/squid.conf

http_access deny all → 改成 → http_access allow all

#以下是 Squid 2.5 以前的做法

httpd_accel_host your.host.name

httpd_accel_port 80

httpd_accel_with_proxy on

httpd_accel_uses_host_header on

#以下是 Squid 2.6 以後的做法

http_port 3128 transparent

設(shè)定 iptables

iptables -t nat -A PREROUTING -s your.local-area.network/netmask -p tcp --dport 80 -j REDIRECT --to-ports 3128

安裝分析報(bào)表

安裝SARG (以 sarg-2.0.8 source install 為例)

wget http://nchc.dl.sourceforge.net/sourceforge/sarg/sarg-2.0.8.tar.gz

tar -zxf sarg-2.0.8.tar.gz

cd sarg-2.0.8

./configure

make

make install

建立 SARG 報(bào)表目錄

mkdir /var/www/html/sarg

設(shè)定 SARG

vi /usr/local/sarg/sarg.conf

access_log /var/log/squid/access.log

output_dir /var/www/html/sarg

resolve_ip yes

overwrite_report yes

設(shè)定每小時(shí)更新報(bào)表資料

vi /etc/cron.hourly/sarg

#!/bin/sh

/usr/bin/sarg > /dev/null 2>&1

chmod a+x /etc/cron.hourly/sarg

選擇性的其他相關(guān)設(shè)定

編輯 /etc/hosts IP hostname 對(duì)照表, 例如:

192.168.1.100 Mary

192.168.1.101 Jack

192.168.1.102 David

設(shè)定每日 23:59 清除 Proxy Cache 資料

vi /etc/squid/squid.freshcache

#!/bin/sh

/usr/bin/sarg

sleep 5s

sync

service squid stop

sleep 5s

true > /var/log/squid/access.log

true > /var/log/squid/cache.log

true > /var/log/squid/store.log

true > /var/log/squid/squid.out

sleep 5s

sync

rm -rf /var/spool/squid/*

sleep 5s

sync

service squid start

chmod a+x /etc/squid/squid.freshcache

vi /etc/crontab

59 23 * * * root /etc/squid/squid.freshcache

參考資料:鳥哥的 Linux 私房菜 - 簡(jiǎn)易 Proxy Server 架設(shè)

延伸閱讀:

網(wǎng)路監(jiān)控套件

BandwidthD MRTG Nagios ntop OpenNMS SARG

網(wǎng)站流量分析套件

AWStats Webalizer

Jamyy‘s Weblog 相關(guān)文件

Fedora Core Sendmail 開放遠(yuǎn)端收發(fā)信件 Netmeeting 目錄伺服器 (ILS) on Linux Replication in MySQL proftpd.conf 設(shè)定備忘 PHP@Linux vs MS-SQL Server database (using FreeTDS)Sendmail + MailScanner + ClamAV 安裝實(shí)錄讓 AWStats 顯示 UTF-8 繁體中文使用 mgetty 建立 Linux Fax Server Building Linux NAT with MRTG network monitoring iptables / route command notes Samba-vscan 安裝實(shí)錄從 Linux 發(fā)送訊息到 Windows 作業(yè)系統(tǒng)解決 Linux NAT ip_conntrack: table full 的方法

--- 2005.11.26 補(bǔ)充

Linux NAT + Transparent Proxy 的 CBQ 頻寬限制設(shè)定備忘:

環(huán)境: eth0 對(duì)內(nèi), eth1 對(duì)外, TCP Port: 3128

iptables -t mangle -A OUTPUT -p tcp --sport 3128 -d 192.168.0.0/24 -j MARK --set-mark=80

file: /etc/sysconfig/cbq/cbq-0080.tcp80

DEVICE=eth0,100Mbit,10Mbit

RATE=200Kbit

WEIGHT=10Kbit

PRIO=5

MARK=80

相關(guān)網(wǎng)頁:cbq.init 設(shè)定手札

--- 2005.12.27 補(bǔ)充

嫌 SARG 報(bào)表不夠 "即時(shí)" 嗎? 這裡還有兩款不錯(cuò)的 Squid Logfile 分析軟體喔!

Posted by Jamyy at 2005年06月28日 15:03

Trackback Pings

TrackBack URL for this entry:

http://cha.homeip.net/cgi-bin/mt/mt-tb.cgi/95

Comments

請(qǐng)教站長(zhǎng):

原本環(huán)境是上網(wǎng)統(tǒng)一由一臺(tái)硬體式防火牆連出去，

如果要用squid 做Transparent Proxy ,

該如何和這臺(tái)防火牆做搭配呢?

Posted by: aven at 2006年04月15日 00:18

假設(shè)原環(huán)境如下:

Internet

↑

Firewall (192.168.0.254)

↑

LAN PCs (IP Range=192.168.0.[100-199], Gateway=192.168.0.254)

方式(1):

Internet

↑

Firewall (192.168.0.254, 針對(duì) 192.168.0.1 控管即可)

↑

Linux NAT with Transparent Proxy (eth0=192.168.1.254, eth1=192.168.0.1)

↑

LAN PCs (IP Range=192.168.1.[100-199], Gateway=192.168.1.254)

優(yōu)點(diǎn): 可在 Linux NAT 進(jìn)行各種封包蒐集、過濾、管制、監(jiān)控

缺點(diǎn): Linux NAT 使用之網(wǎng)卡會(huì)影響區(qū)域網(wǎng)路的效能與品質(zhì)

方式(2):

Internet

↑

Firewall (192.168.0.254, 只允許 192.168.0.253 對(duì)外連結(jié) tcp 80 port)

↑

Linux Proxy Server (eth0=192.168.0.253)

↑

LAN PCs (IP Range=192.168.0.[100-199], Gateway=192.168.0.254, Proxy=192.168.0.253)

優(yōu)點(diǎn): 不影響原網(wǎng)路架構(gòu)

缺點(diǎn): 需在 LAN PCs 瀏覽器設(shè)定使用 Proxy

Posted by: Jamyy at 2006年04月15日 09:46

我現(xiàn)在是用第二種方式,因?yàn)槊總€(gè)user都要去設(shè)定proxy所以才想改成Transparent Proxy,看了您的回覆,已瞭解該怎麼改了,謝謝.

Posted by: aven at 2006年04月15日 16:47

請(qǐng)問一下

文章中的squid + CBQ是指上傳還是下載

我現(xiàn)在已經(jīng)有架設(shè)squid

CBQ我也有用過

但是沒用過squid + cbq

可否舉個(gè)例子來說明squid + cbq的上下載做法

謝謝

Posted by:akong at 2007年04月18日 15:51

文中 cbq 設(shè)置是針對(duì) HTTP 下載限制

若要限制上載速度:

iptables -t mangle -A OUTPUT -p tcp --dport 80 -j MARK --set-mark 10

vi /etc/sysconfig/cbq/cbq-0010.http_upload

DEVICE=eth0,100Mbit,512Kbit

RATE=50Kbit

WEIGHT=5Kbit

PRIO=5

MARK=10

其中, mark number 與 cbq-xxx filename 可隨意設(shè)置

上例是假設(shè)總上載頻寬 512Kbit, 限制上載頻寬為 50Kbit

Posted by: Jamyy at 2007年04月19日 10:35

感謝大大的教學(xué)

那假如我想限制某個(gè)User對(duì)某個(gè)網(wǎng)站的上傳頻寬

例如無名小站的上傳

iptables -t mangle -A OUTPUT -p tcp -d pic.wretch.cc --dport 80 -j MARK --set-mark 10

是這樣改嗎

那cbq那有需要?jiǎng)訂?div style="height:15px;">

謝謝

Posted by:akong at 2007年04月19日 11:39

例外想請(qǐng)問一下

您範(fàn)例中的eth0

是對(duì)client的user對(duì)吧

就是虛擬IP的User對(duì)吧

不好意思一次問了那麼多問題

謝謝

Posted by:akong at 2007年04月19日 11:45

您的做法是可行的

不過若要針對(duì) "某個(gè)使用者" 還要加上 -s 參數(shù)搭配內(nèi)部 user ip

如:

針對(duì)內(nèi)部 IP: 192.168.1.100

iptables -t mangle -A OUTPUT -p tcp -s 192.168.1.100 -d pic.wretch.cc --dport 80 -j MARK --set-mark 10

當(dāng)然 cbq 設(shè)定檔案也要設(shè)定 MARK=10 才能對(duì)上 iptables 的 mark number

至於要限制使用多少頻寬, 也是在 cbq 設(shè)定檔中調(diào)整就行了

我覺得編寫 iptables rule 與 cbq 設(shè)定檔需要有點(diǎn) "想像力", 以 linux host 為中心, 想像封包行進(jìn)的方向, 什麼時(shí)候應(yīng)該設(shè)在 eth0? eth1? 還真的有點(diǎn)傷腦筋~

設(shè)定好後最好測(cè)試一下:

cbq stats

iptables -t mangle -L -n -v

查看是否有符合條件的封包流過

一開始設(shè)錯(cuò)了也沒關(guān)係, 多試幾次總會(huì)成功的 :)

Posted by: Jamyy at 2007年04月19日 11:52

您好

我測(cè)試了一下午

有一個(gè)很奇怪的問題

我用iptables -A OUTPUT -t mangle -s 192.168.2.4 -p tcp -d www.wretch.cc --dport 80 -j MARK --set-mark 240

不管我怎麼去連無名

都沒有任何封包進(jìn)出

可是我用iptables -A PREROUTING -t mangle -s 192.168.2.4 -p tcp -d www.wretch.cc --dport 80 -j MARK --set-mark 240

就有封包進(jìn)出

另外

在CBQ這裡

DEVICE=dev1804289383,100Mbit,10Mbit

RATE=32Kbit

WEIGHT=3Kbit

MARK=240

PRIO=5

RULE=192.168.2.4

這是我的設(shè)定

但是我也是不論怎麼RUN

cbq stats的結(jié)果都是沒封包

class cbq 1:2 parent 1: leaf 2: rate 32000bit (bounded) prio 5

Sent 0 bytes 0 pkt (dropped 0, overlimits 0 requeues 0)

rate 0bit 0pps backlog 0b 0p requeues 0

borrowed 0 overactions 0 avgidle 2.12805e+07 undertime 0

class tbf 2:1 parent 2:

是我的設(shè)定有問題嗎

以下是我的網(wǎng)路

LAN(192.168.2.0)--Gateway+squid(192.168.2.254)--Internet

eth0連Internet

dev1804289383連LAN

Posted by:akong at 2007年04月19日 17:02

封包主要流程分兩段:

LAN User:dynamic_port → Linux:3128 (dev=dev1804289383)

Linux:dynamic_port (dev=eth0) → Internet:80

依您的環(huán)境可設(shè)定如下

(使用者不透過 squid 上網(wǎng)的設(shè)置) --> LAN PC 預(yù)設(shè)網(wǎng)關(guān)為 Linux 內(nèi)部 IP

iptables -t mangle -A FORWARD -s 192.168.1.101 -d www.wretch.cc -p tcp --dport 80 -i dev1804289383 -j MARK --set-mark 240

(透過 squid 上網(wǎng)的設(shè)置) --> LAN PC 瀏覽器 Proxy 指向 Linux 內(nèi)部 IP, 或 Linux 當(dāng) Transparent Proxy

iptables -t mangle -A OUTPUT -p tcp -d www.wretch.cc --dport 80 -j MARK --set-mark 240

以上設(shè)置完成後, cbq 不需使用 RULE 參數(shù)即可作用

Posted by: Jamyy at 2007年04月20日 00:14

感謝大大的指導(dǎo)

不知大大有沒有研究過一套軟體

叫Dansguardian這個(gè)軟體

小弟在公司的環(huán)境

有用這套軟體來加強(qiáng)Proxy的功能

他是必須搭配squid的軟體

走的port也有些不同

但是他是必須啟動(dòng)好squid才能用

也就是squid+dansguardian=Proxy

squid是走3128

Dansguardian是走8080

這個(gè)會(huì)不會(huì)是影響iptables及cbq呢

另外若搭配L7 filter有沒有什麼要注意的呢

Posted by:akong at 2007年04月20日 10:02

Squid 和 Dansguardian 主要負(fù)責(zé)網(wǎng)頁內(nèi)容的 cache、log、filter

iptables 加上 l7-filter 主要針對(duì)網(wǎng)路封包做條件限制

cbq 則配合 iptables 的 set-mark 進(jìn)行頻寬管制

以這個(gè)規(guī)則來說:

iptables -t mangle -A OUTPUT -p tcp -d www.wretch.cc --dport 80 -j MARK --set-mark 240

無關(guān) 3128 或 8080 port (proxy 使用的 port)

反正只要從本機(jī) (proxy) 出去, 目的地是 web server 的封包, 通通打上 240 的 mark, 讓 cbq 去限速

這張圖清楚說明 iptables 對(duì)網(wǎng)路封包的管制流程

http://linux-ip.net/nf/nfk-traversal.html

我已經(jīng)供奉很久了 :)

Posted by: Jamyy at 2007年04月20日 11:50

謝謝哦

那以我現(xiàn)在的環(huán)境

有兩個(gè)LAN

一個(gè)是192.168.2.0/24(PC)

另一個(gè)是192.168.1.0/24(Server)

那如果我不要CBQ檔到PC-->Server的流量

我該怎麼做呢

因?yàn)槲視?huì)多用一行指令

設(shè)定所有的PC總上傳速度

但因?yàn)槭侵付ǖ?.0.0.0

所以PC-->Server的速度就會(huì)被管制到了

可以設(shè)定內(nèi)部網(wǎng)路不受CBQ控制嗎

謝謝

Posted by:akong at 2007年04月20日 12:56

您可以用 -d ! 192.168.1.0/24 排除往 server 網(wǎng)段的封包

Posted by: Jamyy at 2007年04月20日 13:45

from: http://cha.homeip.net/blog/archives/2005/06/linux_nat_squid.html

国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看