Chinaunix

标题: linux+squid+iptables企业方案征集 [打印本页]

作者: szkingrose 时间: 2004-05-28 17:34
标题: linux+squid+iptables企业方案征集
同版主原来曾商量过为Proxy服务器版写一个企业应用的代理服务器解决方案：

原来任务需求如下：

01、允许部分人可以访问Internet，但是不能下载；

02、允许部分人可以下载；

03、允许部分人完全没有限制；

04、允许全体人员在固定时间，有部分限制，不在此时间之内，撤除限制；

05、不允许下载的特定url字符：exe/zip等等；

06、不允许访问特定的站点；

07、透明代理与用户认证共存；

08、允许部分人员只能浏览指定网站；

09、只允许收发邮件（所有域名邮件（smtp,pop3））和只能收某域名收发某域名邮件；

10、IP/MAC绑定用户名认证上网；

      11、三种认证方式（mysql,samba,ncsa）；

实施环境：
   PII350 ， 512MB ， 40GB  ，S3 765 VGA  ，Inter 服务器专用网卡(双网卡)

   ADSL 512K  ，Modem不带路由（拨号上网，无固定IP）

   子网： 192.168.0.0 192.168.1.0 ，网关  192.168.0.201  192.168.1.201

   软件：RedHat Enterprise AS 3，光盘自定义安装方式。没有安装防火墙及XWINDOW

   所有软件以自带方式，没有patch。SOCKS代理方式不在此次方案之内。

现诚征：

   1、如果CU网友及更好的想法及补充，请后续贴上；

   2、因没有三层交换机，所以VLAN代理无法实现。如果网友可以提供网络环境，请贴出相关资料及时间，谢谢。
   3、欢迎有固定IP的网友，提供一个固定IP进行测试。

   4、后续补充......

   希望CU的网友，能够参与进来，谢谢。（有效期：06/10/2004）。

   06/11/2004将所有需求整理出来，预计6月底将会有实施文档出来。

作者: szkingrose 时间: 2004-05-31 11:39
标题: linux+squid+iptables企业方案征集
没有人要加点东西上去吗？

版主请置顶看看，行不？

作者: xmyjm 时间: 2004-05-31 20:32
标题: linux+squid+iptables企业方案征集
好像这里大部分人都是用SQUID＋SOCKS5
俺们企业上网电脑不多，帮不上忙喽

作者: liuty2006 时间: 2004-06-02 12:55
标题: linux+squid+iptables企业方案征集
不错的想法！！

作者: yjc2688 时间: 2004-06-03 18:09
标题: linux+squid+iptables企业方案征集
如果有可能我将采用以上的全部方式但要怎样实现只有靠大家（当然是有能力的人员）

作者: 硬-盘 时间: 2004-06-05 17:37
标题: linux+squid+iptables企业方案征集
坚决支持。可惜我很菜。帮不上忙

作者: we2002 时间: 2004-06-07 10:54
标题: linux+squid+iptables企业方案征集
3,4,5,6,7,10,11比较容易实现吧

作者: we2002 时间: 2004-06-07 10:56
标题: linux+squid+iptables企业方案征集
1,2

要是指ftp下载，应该可以实现，

要是指普遍意义上的下载，我看悬，毕竟浏览网页也算下载了呀

作者: we2002 时间: 2004-06-07 10:59
标题: linux+squid+iptables企业方案征集
8,9也该也差不多，

作者: szkingrose 时间: 2004-06-07 11:00
标题: linux+squid+iptables企业方案征集
[quote]原帖由 "we2002"]3,4,5,6,7,10,11比较容易实现吧[/quote 发表：

能不能将你的第 10 个解决方法告诉我？

我现在还有一点小问题需要调整呢。

作者: we2002 时间: 2004-06-07 11:04
标题: linux+squid+iptables企业方案征集
我是用iptables通过mac地址和ip地址绑定的

作者: we2002 时间: 2004-06-07 11:08
标题: linux+squid+iptables企业方案征集
接入可以选择 dhcp＋web portal
控制可以用iptables，
规则可以用squid的acl

作者: we2002 时间: 2004-06-07 11:12
标题: linux+squid+iptables企业方案征集
认证用mysql，在进行web portal认证的时候，取出用户端ip和mac，从而到达绑定功能

作者: we2002 时间: 2004-06-07 11:18
标题: linux+squid+iptables企业方案征集
最好能做个ntop似的东西，我自己只能做到流量实时监控，访问日志，

作者: yjc2688 时间: 2004-06-07 11:21
标题: linux+squid+iptables企业方案征集
我想要的要求

01、允许全部可以访问Internet；

02、允许部分人有权限的人可以下载；

03、允许部分人完全没有限制（管理员组、经理组）；

04、允许全体人员在固定时间，有部分限制，不在此时间之内，撤除限制；

05、不允许下载的特定url字符：exe/zip/mp3等等；

06、不允许访问特定的站点；

07、透明代理与用户认证共存可提供选择；

08、允许部分人员只能浏览指定网站；

09、允许收发邮件（所有域名邮件（smtp,pop3））和只能收某域名收发某域名邮件；

10、IP/MAC绑定用户名认证上网；

11、三种认证方式（mysql,samba,ncsa）；

12、管理员能实现监控、查询、统计网络流量的功能以便于打印出来交给经理察看最好能监控qq及msn的使用情况

实施环境：
PII350 ， 512MB ， 40GB ，双网卡

固定IP 1M带宽

子网： 192.168.168.0 192.168.1.0 ，网关 192.168.168.201 192.168.1.201

软件：RedHat9，光盘自定义安装方式。

所有软件以自带方式，

作者: we2002 时间: 2004-06-07 11:22
标题: linux+squid+iptables企业方案征集
给企业用这个东西，员工会急的，我们公司只是做一个认证，大家都跳脚了，何况限制？

作者: szkingrose 时间: 2004-06-07 11:24
标题: linux+squid+iptables企业方案征集
[quote]原帖由 "we2002"]我是用iptables通过mac地址和ip地址绑定的[/quote 发表：

我所指的是一个认证用户只能在某一台电脑上上网。
如指定帐户 zs ，他只能在 ip为 192.168.0.200上面上网。

不能在 192.168.0.201上面上网。 (192.168.0.200,192.168.0.201需要用户认证)

作者: yjc2688 时间: 2004-06-07 11:24
标题: linux+squid+iptables企业方案征集
我想要的要求

01、允许全部可以访问Internet；

02、允许部分人有权限的人可以下载；

03、允许部分人完全没有限制（管理员组、经理组）；

04、允许全体人员在固定时间，有部分限制，不在此时间之内，撤除限制；

05、不允许下载的特定url字符：exe/zip/mp3等等；

06、不允许访问特定的站点；

07、透明代理与用户认证共存可提供选择；

08、允许部分人员只能浏览指定网站；

09、允许收发邮件（所有域名邮件（smtp,pop3））和只能收某域名收发某域名邮件；

10、IP/MAC绑定用户名认证上网；

11、三种认证方式（mysql,samba,ncsa）；

实施环境：
PII350 ， 512MB ， 40GB ，双网卡

固定IP 1M带宽

子网： 192.168.168.0 192.168.1.0 ，网关 192.168.168.201 192.168.1.201

软件：RedHat9，光盘自定义安装方式。

所有软件以自带方式。

作者: we2002 时间: 2004-06-07 11:34
标题: linux+squid+iptables企业方案征集

原帖由 "szkingrose" 发表：

我所指的是一个认证用户只能在某一台电脑上上网。
如指定帐户 zs ，他只能在 ip为 192.168.0.200上面上网。

不能在 192.168.0.201上面上网。 (192.168.0.200,192.168.0.201需要用户认证)

原来是用户名和ip地址绑定呀，也可以通过数据库实现,

作者: szkingrose 时间: 2004-06-07 11:36
标题: linux+squid+iptables企业方案征集
当然，你的做法用mysql认证也行。
但如果换成了ncsa那就不行了。

作者: we2002 时间: 2004-06-07 15:10
标题: linux+squid+iptables企业方案征集
你是三种认证方式都要做？

为什么不只用一种？

作者: szkingrose 时间: 2004-06-07 15:34
标题: linux+squid+iptables企业方案征集
呵呵，我只不过想尽量让别人能够采取各种方法来实现而已。
有时一个简单的设置，可以换取少走更多的弯路。
何乐而不为呢？

作者: wujianpengjj 时间: 2004-06-07 19:52
标题: linux+squid+iptables企业方案征集
加LDAP认证，rdius认证。

作者: wujianpengjj 时间: 2004-06-07 20:10
标题: linux+squid+iptables企业方案征集
我觉的开始的时候写出完整的需求是很重要的，因为很多东西单靠squid是不能完成的，比如所有的上网功能都通过代理，如果是要实现好多功能那么iptables是个重点，但是如果用他了，那么squid那些认证计费有要有所取舍，所以我认为搞清楚要实现什么功能，再有目的的去做，才能做的比较完整，不会做着做着发现squid根本就完成不了，然后打击降低开发的积极性。呵呵可能说的不对，请大侠们指点。

作者: szkingrose 时间: 2004-06-09 07:43
标题: linux+squid+iptables企业方案征集
[quote]原帖由 "wujianpengjj"]我觉的开始的时候写出完整的需求是很重要的，因为很多东西单靠squid是不能完成的，比如所有的上网功能都通过代理，如果是要实现好多功能那么iptables是个重点，但是如果用他了，那么squid那些认证计费有要有所取舍，..........[/quote 发表：

当然是这样。否则很难做的。

作者: yjc2688 时间: 2004-06-22 22:40
标题: linux+squid+iptables企业方案征集
置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！置顶！

作者: yanyp 时间: 2004-06-29 08:50
标题: linux+squid+iptables企业方案征集
偶现在用的是openbsd+pf
不过linux iptables偶也用过,很不错滴

作者: 段誉 时间: 2004-06-30 12:11
标题: linux+squid+iptables企业方案征集
sorry，这几天瞎转悠，失职。

szkingrose和我的最初想法是：

我们提出来一个解决方案，并有具体的实很施方案；然后大家不断的补充，最终为大家在各自的企业中应用提供基础。

作者: szkingrose 时间: 2004-07-02 17:23
标题: linux+squid+iptables企业方案征集
需求才是最重要的。
不管说名字取错了也好，很搞笑也好。
对于可笑之事，一笑而过。
对于非可笑之事，苦笑而过。

作者: 清水飘萍 时间: 2004-07-07 17:06
标题: linux+squid+iptables企业方案征集
斑主提出的很好。但是現在也沒有相關的方案出來呀!
對於一些想入門的新手來說這個是很需要的。

作者: nibo 时间: 2004-07-07 21:44
标题: linux+squid+iptables企业方案征集
看到标题把我高兴死拉!看完才知道还没有人解决!!!

作者: stuas400 时间: 2004-07-16 14:07
标题: linux+squid+iptables企业方案征集
学习中，期待有高手给一个解决方案。

作者: szkingrose 时间: 2004-07-16 14:20
标题: linux+squid+iptables企业方案征集
正在写，不过进度不快，慢得出奇啊．

作者: nbaman 时间: 2004-07-19 16:52
标题: linux+squid+iptables企业方案征集
我的要求是
1。部分人可以在任何时间上网，没有限制
2。其余人只有在下班时间上网
3。不要求透明代理，只用squid
4。屏蔽部分网站
5。疲敝部分下载

作者: yjc2688 时间: 2004-07-22 13:12
标题: linux+squid+iptables企业方案征集
相信会写好的

作者: pupie 时间: 2004-07-25 13:16
标题: linux+squid+iptables企业方案征集
用Smoothwall 吧，功能强大，稳定性也很好，我用Smoothwall express做我LAN 代理，400个用户应付自如，免费版本可以在
www.smoothwall.org下载
还有一个针对企业级应用的smoothwall corporate server 3.0
这个功能比免费版更强大，这个光盘镜像我也有，就这个LINUX软件要300多美金列，不过我没有安装序列号，谁有兴趣我可以把光盘镜像拿出来分享，只要能跳过安装时候的序列号

作者: jinxingvenus 时间: 2004-08-17 22:13
标题: linux+squid+iptables企业方案征集
[quote]原帖由 "szkingrose"]正在写，不过进度不快，慢得出奇啊．[/quote 发表：

楼主是及大家之所急啊，严重支持中。。。。
限定一个账号在一台电脑上用在ms中比较好实现。
iptables,我刚起步，帮不上忙，只有帮你打气了。

作者: fxyabc 时间: 2004-09-06 23:27
标题: linux+squid+iptables企业方案征集
呵呵呵呵！！

作者: panwj 时间: 2004-09-16 14:47
标题: linux+squid+iptables企业方案征集
ding

作者: 我菜我怕谁 时间: 2004-09-18 13:17
标题: linux+squid+iptables企业方案征集
难道服务器上的双网卡一定要用专用的吗？？
普通网卡不可以吗？？
下面是我做服务器出现的问题，期待高手解决！！！

我用的linux9,双网卡。按理说我的双网卡一个接外网一个接内网不会有错
可是我发现，(我在我的linux下建立apache服务器，并且挂上自己的网站）1〉在内网能访问到这个网站
2〉从内网能能ping通apache服务器（内网有dns服务器）
3〉从外网有时能ping通apache服务器，有时ping不通（当然也访问不了apache服务器上的网站）
4〉apache服务器能ping通外网机器，也能ping通内网机器
5〉如果我去掉一块网卡，将一个网卡绑定两个ip，那么从内网和外网
都能ping通,当然也能访问到我得网站。
6〉我换了一台机器从新做实验，发现结果一样。网卡我也换过，发现没什么变化！
7〉我又给外网的网卡换了一个ip地址，发现结果还是一样的！
请教各位大虾，这到底是什么原因？？
我感觉网卡原因占多数，但是到底怎么解决，还请各位高手解决，谢谢！！！

作者: szkingrose 时间: 2004-09-18 13:32
标题: linux+squid+iptables企业方案征集
你的网卡什么品牌型号的？

作者: harrietluo 时间: 2004-09-22 09:58
标题: linux+squid+iptables企业方案征集
最好能写出各种方式实现的完整例子。

作者: whoissimon 时间: 2004-09-23 16:34
标题: linux+squid+iptables企业方案征集
01、允许部分人可以访问Internet，但是不能下载；
－－－－是不是这一部分人只允许访问网页内容？下载是不是包括FTP和HTTP下载。
02、允许部分人可以下载；
－－－－允许他们访问FTP和HTTP？？
09、只允许收发邮件（所有域名邮件（smtp,pop3））和只能收某域名收发某域名邮件；
－－－－这是对一部分人进行限制吗？

呵呵，这几个问题弄不清楚，想试试自己的水平！！！

作者: 段誉 时间: 2004-09-23 22:18
标题: linux+squid+iptables企业方案征集
[quote]原帖由 "whoissimon"]09、只允许收发邮件（所有域名邮件（smtp,pop3））和只能收某域名收发某域名邮件； [/quote 发表：

就不前来说，这个从理论上可以实现。但是，还没有研究明白是如何实现的，呵呵。

关键是利用squid能够代理用户请求指定端口的这个特性来做的。

作者: unixli 时间: 2004-10-08 18:33
标题: linux+squid+iptables企业方案征集

原帖由 "我菜我怕谁" 发表：
难道服务器上的双网卡一定要用专用的吗？？
普通网卡不可以吗？？
下面是我做服务器出现的问题，期待高手解决！！！

我用的linux9,双网卡。按理说我的双网卡一个接外网一个接内网不会有错
可是我发现，(我在?.........

应和网卡没什么关联，你先看看你的路有没问题吧！

作者: 夏秋风 时间: 2004-10-12 17:02
提示: 作者被禁止或删除内容自动屏蔽

作者: haohaoo 时间: 2004-10-29 17:11
标题: linux+squid+iptables企业方案征集
全部做好可以做个计费服务器啦，好像国内有N多计费服务器就是用squid做的

作者: 天才※樱木 时间: 2004-11-05 14:51
标题: linux+squid+iptables企业方案征集
支持，可惜我比较菜，这阵子正在弄这个呢，希望楼主能早日　写出来，可以借鉴一下

作者: jacy.wu 时间: 2004-12-03 08:37
标题: linux+squid+iptables企业方案征集
希望早点出来，让我学一学，现在公司的SquiD做得不是很好呢

作者: mwAwm 时间: 2004-12-08 13:28
标题: linux+squid+iptables企业方案征集
一般是这样的，简单胜过一切

作者: chris_wan 时间: 2004-12-15 17:17
标题: linux+squid+iptables企业方案征集
现在我正在为一个问题郁闷呢.就是充许一部分人上指定的网页(用squid.conf调用其它的文件),试了很多方法也不行,希望楼主早日出结果,我们也好学习学习!

http://bbs.chinaunix.net/forum/viewtopic.php?t=466025&show_type=

作者: tianfuming 时间: 2004-12-17 01:34
标题: linux+squid+iptables企业方案征集
申明，本人脚本禁止转载，请尊重本人劳动成果：
试试：
首先本人认为01 是不可能实现的，而11我又不会SQL和SAMBA认证只会基本认证，除此之外其余均能实现
假设子网192.168.1.0/24,某个域名为www.163.com通过PING 的其IP为202.108.36.196，通过其IP限制收发该域名邮件（可在iptables中实现）
外网网卡为eth0内网网卡为eht1,为eth1绑定192.168.1.201和192.168.0.201
cp eth1 eth1:1
修改eht1:1
没有限制的用户为192.168.0.201以后的IP用MAC标志
由于AS3没有安装GCC而本身的SQUID里又没有NCSA文件，固重新安装GCC和SQUID，
tar zxvf squid-2.5.STABLE7.tar.gz
cd squid-2.5.STABLE7
./configure --prefix=/usr/local/squid
--sysconfdir=/etc/squid                                  #配置文件位置
--enable-arp-acl                                        #客户端的MAC地址进行管理
--enable-linux-netfilter                               #允许使用Linux的透明功能
--enable-pthreads
--enable-err-language="Simplify_Chinese"
--enable-default-err-language="Simplify_Chinese"
#上面两个选项告诉Squid编入并使用简体中文错误信息
--enable-storeio=ufs,null                               #可以不用缓冲
--enable-auth="basic"                               #认证方式
--enable-baisc-auth-helpers="NCSA"                   #认证程序为
--enable-underscore                                  #允许解析的URL中出现下划线
make
make install
开始配置squid.conf
##################################################################################################
# 服务器配置
icp_port 0
cache_store_log none
cache_access_log /dev/null
cache_log /dev/null
http_port 3128
cache_mem 128 MB
cache_dir null /tmp

pid_filename none
client_netmask 255.255.255.255
half_closed_clients on

#用户分类
auth_param basic program /usr/bin/ncsa_auth /usr/etc/passwd
auth_param basic children 5
auth_param basic realm Tianfuming proxy-caching server
auth_param basic credentialsttl 2 hours
acl normal proxy_auth REQUIDE             #用户认证
acl advance arp 00:01:02:1f:2c:3e 00:01:02:3c:1a:8b ... #10 IP/MAC绑定用户名认证上网；
acl lana src 192.168.1.0/24
acl lanb src 192.168.0.1-192.168.0.200/32

#行为分类
acl download urlpath_regex -i \.mp3$ \.exe$ \.avi$ \.rar$ \.rvmb$ \.jpg  #禁止下载
#acl conncount maxconn 5             #最大连接数
acl worktime MTWHF 8:00-18:00       # 04、允许全体人员在固定时间，有部分限制，
#不在此时间之内，撤除限制(在http_access中限制）
acl qq dstdomain .snnu.edu.cn
acl badwords url_regex sex

acl localhost src 127.0.0.1/32
acl all src 0.0.0.0/0.0.0.0

http_access allow advance                # 03 允许部分人完全没有限制；
http_access allow localhost
#http_access deny conncount normal
http_access deny !
http_access deny badwords worktime       # 不允许访问特定url字符网站
http_access deny qq worktime             # 06 不允许访问特定的站点
http_access allow lana                   # 02 允许部分人可以下载
http_access deny download  worktime       # 05 不允许下载的特定url字符：exe/zip等等；
http_access allowd lanb homepage          #08、允许部分人员只能浏览指定网站；
http_access allow normal
http_access deny all                   #除这些，禁止所有
#结合透明代理 07、透明代理与用户认证共存
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
####################################################################################
iptables脚本
####################################################################################
#! /bin/sh

UPLINK="eth0"
UPIP="a.b.c.d"
LANLINK="eth1"
ROUTER="yes"
#NAT="UPIP/dynamic"
NAT="UPIP"
INTERFACES="lo eth0 eth1"
SERVICES="80 22 25 110 "
deny=""
case "$@" in
start)
      echo -n "Starting firewall..."
      modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
iptables -P INPUT DROP
      iptables -A INPUT -i ! ${UPLINK} -j  ACCEPT
      iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
      iptables -A FORWARD DROP
      iptables -A FORWARD -p tcp -m multiport --dport 25 80 110 -j ACCEPT
      iptables -A FORWARD -d !202.108.36.196 -p tcp -m multiport --dprot 25 110 -j DROP  ##09、只允许收发邮件（所有域名邮件
      iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT    #（smtp,pop3））和只能收某域名收发某域名邮件
#iptables -P OUTPUT DROP
      #enable public access to certain services
      for x in ${SERVICES}
      do
            iptables -A INPUT -p tcp --dport ${x} -m state --state NEW -j ACCEPT
      done

for y in ${deny}
do
iptables -A OUTPUT -p tcp --dport ${y} -j DROP
iptables -A OUTPUT -p udp --dport ${y} -j DROP
done

#enable system-log
#iptables -A INPUT -j LOG --log-prefix "bad input:"

      iptables -A INPUT -p tcp -i ${UPLINK} -j REJECT --reject-with tcp-reset
      #iptables -A INPUT -p udp -i ${UPLINK} -j REJECT --reject-with icmp-port-unreachable

      #explicitly disable ECN
      if [ -e /proc/sys/net/ipv4/tcp_ecn ]
      then
            echo 0 >; /proc/sys/net/ipv4/tcp_ecn
      fi

      #disable spoofing on all interfaces
      for x in ${INTERFACES}
      do
            echo 1 >; /proc/sys/net/ipv4/conf/${x}/rp_filter
      done

      if [ "$ROUTER" = "yes" ]
      then
            #we're a router of some kind, enable IP forwarding
            echo 1 >; /proc/sys/net/ipv4/ip_forward
            if [ "$NAT" = "dynamic" ]
            then
                     #dynamic IP address, use masquerading
                     iptables -t nat -A POSTROUTING -o ${UPLINK} -j MASQUERADE
            elif [ "$NAT" != "" ]
            then
                     #static IP, use SNAT
                     iptables -t nat -A PREROUTING -i ${LANLINK} -d ! ${UPIP} -j DNAT --to-ports 3128
                     iptables -t nat -A POSTROUTING -o ${UPLINK} -j SNAT --to ${UPIP}
            fi
      fi
      echo "OK!"
      exit 0
;;
stop)
      echo -n "Stopping firewall..."
      iptables -F INPUT
      iptables -P INPUT ACCEPT
      iptables -F OUTPUT
iptables -P OUTPUT ACCEPT
#turn off NAT/masquerading, if any
      #iptables -t nat -F POSTROUTING
      echo "OK!"
      exit 0
;;
restart)
      $0 stop
      $0 start

;;
show)
clear
echo ">;-------------------------------------------------------------------"
iptables -L
echo ">;-------------------------------------------------------------------"
iptables -t nat -L POSTROUTING
exit 0
;;
*)
      echo "Usage: $0 {start|stop|restart|show}"
      exit 1
esac

本人QQ 153647452 欢迎各位朋友来和我共同探讨LINUX问题，如上面有不对的地方请朋友通过QQ告诉我，谢谢，本贴禁止转载，谢谢！

作者: 无心细语 时间: 2004-12-29 16:14
标题: linux+squid+iptables企业方案征集
偶是新手，没有经验~

作者: lxy1220 时间: 2005-01-05 14:05
标题: linux+squid+iptables企业方案征集
UP 精彩！

作者: samhui 时间: 2005-02-03 09:18
标题: linux+squid+iptables企业方案征集
想出来了吗？方案？

作者: xieweihua 时间: 2005-03-10 10:47
标题: linux+squid+iptables企业方案征集
我是新手，正在建设公司的防火墙，希望对我有帮助！

作者: mafa 时间: 2005-03-11 11:11
提示: 作者被禁止或删除内容自动屏蔽

作者: baienkai 时间: 2005-05-31 11:18
标题: linux+squid+iptables企业方案征集
我可以提供相关的硬件 ip等物质

6379333联络我

作者: luo1110 时间: 2005-06-02 18:48
标题: linux+squid+iptables企业方案征集
02、允许部分人可以下载；

03、允许部分人完全没有限制；

02和03重复表述了吧？　如果只允许部分人可以下载的话，很显然不是这“部分”的人肯定就完全没有权限下载了，对不对？

02可以表述为
允许部分人可以下载部分内容。部分人可以下载全部内容;其他人完全没有权限下载！

作者: zhangweibo 时间: 2005-07-17 22:18
标题: linux+squid+iptables企业方案征集
我觉得应该加上log日志管理，类似mrtg，能随时看到哪个用户的网络使用量，我想这也是网管所关心，其实实现方案是一方面，最重要的工作还是管理。

作者: ccthzm 时间: 2005-07-18 15:32
标题: linux+squid+iptables企业方案征集
偶也来凑凑热闹　顺便顶一下

作者: ilikeqdi 时间: 2005-07-20 10:56
标题: linux+squid+iptables企业方案征集
等待结果学习学习

作者: wyihua 时间: 2005-07-21 11:01
标题: linux+squid+iptables企业方案征集
汗一个，这个帖子发了一年了，还没有解决吗？？？？？？？？

作者: msshangke 时间: 2005-07-29 19:40
标题: linux+squid+iptables企业方案征集
也许我不能回复,不过斑竹给个面子,让我说两句，
这个答案正是我非常想要的,如果谁知道,请联系我,
EMAIL:msshangke@126.com

作者: cbchen 时间: 2005-08-28 15:55
标题: linux+squid+iptables企业方案征集
用用icc3000认证计费系统看看.
除了第7条和第11条不同外,其他均可以
http://202.196.160.24/icc3000/down

作者: zhuzhzh 时间: 2005-09-12 15:46
标题: linux+squid+iptables企业方案征集
晕，到现在还没有一点头绪

没人试试首实现一些功能吗？

作者: qdwmail 时间: 2005-09-23 19:05
标题: linux+squid+iptables企业方案征集
090C091B1注册

作者: xbbtzhao 时间: 2005-10-15 16:21
标题: linux+squid+iptables企业方案征集
请教一下，Proxy的用户认证能不能用计算机认证？

作者: xbbtzhao 时间: 2005-10-15 16:22
标题: linux+squid+iptables企业方案征集
请教一下，Proxy的用户认证能不能用计算机认证？

作者: qdwmail 时间: 2005-10-20 14:02
标题: linux+squid+iptables企业方案征集
项目停止了吗，有过程吗

作者: qdwmail 时间: 2006-01-08 00:47
什么时候结束啊，/还没看到结果呢，
有人搞私活吗，关于SQUID 带认证方面的开发？
、、
可以联系我，。谢谢

作者: howch 时间: 2006-01-09 15:18
提示: 作者被禁止或删除内容自动屏蔽

作者: srun 时间: 2006-02-15 12:00
提示: 作者被禁止或删除内容自动屏蔽

作者: xifengzi 时间: 2006-08-07 15:54
标题: 很切合企业需求的帖
很切合企业需求的帖子。本人是linux新手。也想知道关于这一方面的设置。。。。所以顶一下

作者: 刘五十三 时间: 2006-08-07 19:22
2年了都没做出来

作者: wendaozhe 时间: 2009-08-27 19:39
很有意思！

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)