Налаштування сервера доступу в Internet
В цьому розділі описана настройка сервера, призначеного для доступу в глобальну мережу Інтернет.
Приклад файлу localhost.zone (в більшості випадків, вам нічого в ньому змінювати не доведеться):
Приклад файлу named.local (в більшості випадків, вам нічого в ньому змінювати не доведеться):
Приклад файлу office.local:
Приклад файлу office.rev:
Примітка: імена файлів можуть бути довільними.
Далі займемося IP-маршрутизацією.
Ми не будемо тут зупинятися на описі того, що таке NAT і маськарадінг (Masquerading), а просто звернемо увагу на конкретні настройки. Відзначимо, що під час налаштування таблиць ip-маршрутизації використовується утиліта iptables. застосовувана в ядрах Linux, починаючи з версії 2.4. Приклади налаштувань з використанням ipchains (ядра версії менше, ніж 2.4) є в Інтернеті у великій кількості.
Отже, скрипт для настройки маськарадінг:
Після запуску цього скрипта, машини в локальній мережі (в настройках мережевих з'єднань яких необхідно вказати шлюз (gateway) 192.168.0.254), повинні мати доступ в мережу Інтернет.
Тепер розглянемо настройку проксі-сервера.
Найкращим проксі-сервером (proxy-server) для UNIX-систем на сьогоднішній день є пакет Squid. Він володіє величезними можливостями по маніпуляції http-трафіком (і не тільки). Ми тут опишемо тільки мінімальну його конфігурацію, необхідну для кешування трафіку, а також для обмеження доступу до різних ресурсів.
Приклад змісту файлу блокування певних доменів:
Приклад змісту файлу блокування певних розширень файлів:
Отже, проксі-сервер налаштований, можна запускати його командою:
# /etc/rc.d/init.d/squid start
Залишилося тільки або прописати в налаштуваннях браузерів користувачів роботу через проксі-сервер 192.168.0.254 (порт 3128), або налаштувати так званий "прозорий проксі", тобто не помітний для кінцевого користувача. Для цього необхідно перенаправити звістку http-трафік в локальній мережі з порту 80 на порт 3128. За допомогою iptables це робиться так:
# Iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128