Mô hình mình hiểu như thế này. Đường cáp quang của mình sẽ cắm vào modem. Từ modem sẽ cắm vào 1 card mạng của Server( trên server sẽ cài ISA). Card mạng còn lại sẽ cắm vào Switch. Từ Switch sẽ chia cho các máy PC ?


Như vậy trên server của mình cần cài ISA? Cấu hình ra sao để chặn và kiểm soát được các máy vào những website không mong muốn.

 

LAN (switch)<-----------------> ISA <-----------------> modem <------------> Internet

Mô hình mình hiểu như thế này. Đường cáp quang của mình sẽ cắm vào modem. Từ modem sẽ cắm vào 1 card mạng của Server( trên server sẽ cài ISA). Card mạng còn lại sẽ cắm vào Switch. Từ Switch sẽ chia cho các máy PC ?


Như vậy trên server của mình cần cài ISA? Cấu hình ra sao để chặn và kiểm soát được các máy vào những website không mong muốn.

 

LAN (switch)<-----------------> ISA <-----------------> modem <------------> Internet

Ý em là muốn hỏi các anh quản trị web server kinh nghiệm thì phải cấu hình những rules cơ bản gì cho web server chạy 1 site, ví dụ: policy cho các chain để là gì?, open port 80, allow ssh v.v... cấu hình nên tạo file sh hay là gõ từng rules? còn kho sách của hva link là gì ạ? 

zinxu wrote:

Theo tôi, ISA Server sẽ đáp ứng được yêu cầu của bạn.

Các máy tính trong công ty sẽ truy cập internet theo sơ đồ: PCs -> [ISA Server] -> MODEM -> Internet.

Bạn sẽ cần thêm: 01 Windows Server 2003 & Phần mềm ISA Server 2006 http://www.microsoft.com/en-us/download/details.aspx?id=15244#overview)

Tại ISA Server, bạn sẽ xây dựng các Rule (luật truy cập) để thực hiện các yêu cầu chặn ở trên.
Tham khảo ví dụ: http://www.youtube.com/watch?v=yF1st4mhZ2g 

Cảm ơn bác. Bác cho em hỏi thêm
Mạng của em bây giờ đang là mạng ngang hàng. tất cả các máy cắm dây mạng vào modem. Nếu kết nối mô hình Server như vậy. Có cần thêm thiết bị nào không. Xây dựng như thế nào ? 

lion1102: nếu iptables đã làm được thì tại sao lại cần có phần mềm này? . bạn đọc kỹ hơn sẽ thấy lý do. cơ bản là nếu bạn dùng -j REDIRECT thì bạn sẽ bị mất cái địa chỉ IP mà bạn muốn kết nối đến. redsocks giúp bạn lấy lại cái địa chỉ đó. bạn không cần phải cấu hình SQUID thành transparent proxy nữa, mà chỉ cần dùng redsocks đứng giữa là đủ, theo sơ đồ này:

client <-> iptables <-> redsocks <-> SQUID <-> server

-m 

iptables -A FORWARD -i $INTIF -o $DMZIF -s 192.168.1.160 -d $SQUID -p tcp --sport $HI_PORTS --dport 8181 -j ACCEPT
iptables -A FORWARD -i $DMZIF -o $INTIF -s $SQUID -d 192.168.1.160 -p tcp --sport 8181 --dport $HI_PORTS -j ACCEPT
iptables -t nat -A PREROUTING -i $INTIF -s 192.168.1.160 -p tcp --sport $HI_PORTS --dport 443 -j DNAT --to $SQUID:8181
iptables -t nat -A POSTROUTING -o $DMZIF -s 192.168.1.160 -d $SQUID -j SNAT --to $DMZIP
iptables -t nat -A POSTROUTING -o $EXTIF -s $SQUID -d $EXTNET -j SNAT --to $EXTIP

Cái tool này có thể giúp bạn: darkk.net.ru/redsocks/. 

lion1102 wrote:

Code:

acl localnet src 192.168.3.0/29
acl Safe_ports port 80
acl Safe_ports port 443
http_access deny !Safe_ports
acl Working_mor time MTWHFA 08:00-12:00
acl Working_aft time MTWHFA 13:00-18:30
acl BlockSites url_regex "/etc/squid/deny_site.acl"
acl BlockIP dstdom_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+$
http_access deny localnet BlockSites
http_access deny localnet BlockIP
acl AcceptSites url_regex "/etc/squid/deny_tempo_site.acl"
http_access deny localnet Working_mor AcceptSites
http_access deny localnet Working_aft AcceptSites
http_access allow localnet
http_access allow localhost
http_access deny all
[color=red]http_port 8181 transparent ssl-bump cert=/etc/squid/key/cert.pem key=/etc/squid/key/cert.pem[/color]
always_direct allow all
ssl_bump allow all

! 

http thì cần gì certificate, chỗ ở trên bạn bỏ cái cert đi.
Bạn muốn cache https thì thêm vào https_port [port number] transparent [path/to/cert] 

TCP_MISS/000 0 GET http://login.yahoo.com/favicon.ico - DIRECT/login.yahoo.com -
TCP_MISS/000 0 GET http://login.yahoo.com/config/login_verify2? - DIRECT/login.yahoo.com
TCP_MISS/504 3953 GET http://login.yahoo.com/config/login_verify2? - DIRECT/66.163.169.186 text/html

squidclient -p 8181 https://www.mail.google.com

client: ERROR: Cannot connect to [::1]:8181: Connection refused

Khi một người trong mạng kéo Bittorrent thì băng thông to đến mấy cũng bị nó hút sạch sẽ, không chậm mới là lạ.

QoS thì bạn đọc các hướng dẫn trong quyền Linux Advance Routing and Traffic Control, nhưng việc chống Bit cũng rất khó nếu không áp dụng kiểm soát cả ở mức application. Lý do là ở lớp 4 trở xuống, GW không thể "limit" luồng down (từ Internet về GW), chỉ có thể delay data lại không chuyển cho client và client sẽ không ack và phía nguồn sẽ giảm bớt việc đẩy dữ liệu về. Một số proxy, ví dụ squid, có delay pool và có thể giảm bớt tác hại của torrent (điều kiện là mọi thứ phải qua squid). 

lion1102 wrote:

Xin chào mọi người,

Mình có mô hình mạng như sau:


LAN ------------- (eth0) Linux FW (eth1) -------------- Internet


Linux FW này mình xét pppoe lấy IP từ ISP trên interface ppp0, còn interface eth1 thì không set (mình làm theo 1 hướng dẫn ở trên mạng), còn modem ADSL thì mình để ở chế độ Bridge.

LAN có 60 máy tính kết nối ra Internet, có lúc đồng thời cả 60 máy kết nối, có lúc không. Mình đã set rules chặn các port chỉ mở port 80, 443, 5050, 25, 110, 995, 465 ra ngoài Internet. Mọi người truy cập ra vẫn bình thường, thỉnh thoảng có hơi chậm 1 chút và download cực chậm, có lúc voice call qua skype lại bị disconnect, phải connect lại. Chỉ khoảng 20KB/s.
Các dịch vụ mà mình sử dụng: duyệt web, sử dụng Google Apps, Skype, Mail offline.
Mạng mình dùng ADSL gói cao nhất của VNPT là 10Mbps.

Nhờ mọi người giải đáp vài thắc mắc của mình

- Việc mình set như vậy có đúng không? Nếu đúng sao thỉnh thoảng lại vào chậm, và skype thỉnh thoảng bị disconnect?
- Liệu vấn đề này có liên quan gì tới MTU & QoS không? Vì MTU thì trên interface eth0 mình vẫn để mặc định là 1500, trên interface ppp0 thì set tự động là 1492 & QoS mình cũng chưa set (mình biết là nên set QoS nhưng mình đọc tài liệu ở trên trang http://lartc.org/ mà chưa hiểu )
- 1 câu hỏi nữa liên quan đến QoS: mọi người có thể phân tích sự khác nhau của các classes trong iproute2 và các trường hợp khi nào dùng classes nào thì phù hợp được không?

Hơi ngoài lề ở đây 1 chút: thấy bác conmale nói rằng không nên dùng linux làm firewall NAT 2 lần nếu modem đã NAT rồi. Lý do vì sao mà lại không nên NAT 2 lần?

Xin cám ơn vì đã đọc bài và cho mình ý kiến 

Giá trị MTU và QoS đứng dưới góc độ end-user thì không cần quan tâm vì phần này là do ISP cung cấp, thiết lập. Tinh chỉnh, điều chỉnh chúng phụ thuộc vào cổng uplink kết nối đến ISP, xem lại thuật ngữ "thắt nút cổ chai" .
Không nên NAT 2 lần vì như thế giảm thiểu rất rõ rệt tốc độ của đường truyền.