Squid, Iptables e Limitador de Velocidade

[Munch]

olá, tenho uma lan house e estou montando um server linux com o Kurumin 5, no meu squid coloquei as configurações:
#######################################
http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 170 MB
maximum_object_size_in_memory 120 KB
maximum_object_size 50 MB
minimum_object_size 0 KB
cache_swap_low 80
cache_swap_high 90
cache_dir ufs /squid 15000 22 300
#cache_access_log /var/log/squid/access.log
visible_hostname virtualzone
cache_mgr [email protected]
ftp_user [email protected]
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
icp_access allow all
acl proibidos dstdom_regex "/etc/squid/proibidos"
http_access deny proibidos
acl proxy src 192.168.0.1
acl doni src 192.168.0.2
acl master1 src 192.168.0.3
acl master2 src 192.168.0.4
acl cyber src 192.168.0.100
acl pc01 src 192.168.0.101
acl pc02 src 192.168.0.102
http_access allow proxy
http_access allow doni
http_access allow master1
http_access allow master2
#http_access allow cyber
http_access allow pc01
http_access allow pc02
http_access deny all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
header_access Accept-Encoding deny all
##################################

para os amigos que entendem esta config está boa para um pc com 512MB de Ram e 20Gb de Hd?
qual das duas opções eu ponho no rc.local?
esta:
########
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j
REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
########
ou esta:
########
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

iptables -t nat -F
iptables -t nat -A POSTROUTING -o ppp0 -d 0/0 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
#########


outra dúvida, quero liberar o acesso da internet (externo) a um pc interno na minha rede em uma determinada porta, pois tenho o programa admin da Lan House e quero entrar nele de qualquer lugar, tentei usar esta regra:
##########
iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 4567 -j DNAT --to
192.168.0.2
iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.2 --sport 4567 -j SNAT
--to 201.2.77.167
##########
mas toda vez que o meu adsl é iniciado o meu ip muda e tenho que mudar o número na regra, como posso fazer apara ser mais automatizado?

Outra pergunta é, como posso limitar máquinas com internet mais rápida que outras na minha rede? Pois quero ter uma net mais barata na minha rede e outra vip.

grato com a colaboração da comunidade, agradeço!

[lacierdias]

1°: Acho que deva adotar uma outra distro pois o Kurumim é esencialmente desktop.
2°: O squid ta legal mas faltou alguns ajustes de segurança
3°: Seu FW não protege nada apenas compartilha a internet, isso não é legal..
4°: A Regra para acesso remoto pode ser melhorada para não precisar ficar trocando ela a cada reboot mas com relação ao ip dinâmico não há oq fazer vc vai ter q saber qual é o seu ip na hora do acesso. Se vc não deligar o modem o ip demora meses para mudar ou vc contrata uma ADSL com um IP válido q hj não é mas tão cara assim.
5°: Controle de banda é facinho olha este artigo q resolve seu problema.
http://www.vivaolinux.com.br/artigos...hp?codigo=1016

Caso queira uma consultoria tendo em vista que é uma aplicação comercial e deve ser montada de maneira profissional entre em comtato através de email ou MSN.
Abraço

[gsiena]

como disse o colega lacierdias, eu tb nao recomendo vc usar o kurumin para esse servidor, uma distro excelente para essa aplicacao seria o Fedora, RedHat ou Conectiva.

eu posso te ajudar no lance do ip dinamico, .. supondo que sua interface externa seja ppp0, crie as variaveis abaixo em seu script:

IFEXT='ppp0'
IPEXT=`=`ifconfig $IFEXT | grep inet | cut -f2 -d: | cut -f2 -d" "`

ai nas suas regras vc usa essa variavel... ex:
iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.2 --sport 4567 -j SNAT
--to $IPEXT

eu uso assim e funciona sem problemas :-)
espero ter ajudado

[gsiena]

desculpe pelo erro nas variaveis... saiu um "="a mais...
a correcao:

IFEXT='ppp0'
IPEXT=`ifconfig $IFEXT | grep inet | cut -f2 -d: | cut -f2 -d" "`

ai nas suas regras vc usa essa variavel... ex:
iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.2 --sport 4567 -j SNAT
--to $IPEXT

amigos, montei o squid em um Fedora Core 4, está funcionando beleza, agora segue umas perguntas:
tem a possibilidade de algumas máquinas estarem sujeitas a regra
"acl proibidos dstdom_regex "/etc/squid/proibidos"
http_access deny proibidos" e outras não? Por exemplo a maquina 01 e 02 não acessam sites do uol e a maquina 03 e 04 acessam normalmente?

Valew ae Galera