Внимание!!! Форум глючный, поэтому НИКАКОГО КОПИПАСТИНГА! В текстах конфигов и прочих местах возможны артефакты в виде слэшей и прочей непотребщины, так что будьте бдительны!!!

Вместо предисловия

Если вы новичок в Linux, то могу предугадать какие ответы вы получите от сообщества, заяви вы что у вас что-то не работает:

1. Кривые руки
2. Кривое железо
3. Дистрибутив не тот

Эти три фразы покрывают 90% всех проблем с которыми пользователи сталкиваются при использовании Linux.
*с сайта stoplinux.org.ru*

Небольшое вступление :-)

Данные заметки не претендуют на звание какой-либо официальной документации и т.д. :-) Официальное руководство по установке и настройке имеется на сайте, более того – оно ОБЯЗАТЕЛЬНО к прочтению, а моя статья ни в коем случае не является его заменой или альтернативой, тем более что кое-где я буду даже на него ссылаться. Также разработчики заранее  и неоднократно предупреждают что нормальная работа под другими, «не заявленными», дистрибутивами НЕ  ГАРАНТИРОВАНА! Т.е. она не то чтобы невозможна, но и в то же время никто ничего не обещает -  вот так вот хитро! :-) А «заявленных» дистрибутивов по сути всего два - это Fedora и Centos,  естественно, я не говорю про коммерческие. Чем же чревато использование других  дистрибутивов? Да элементарно хотя бы тем, что в случае кривой работы Траффпро разработчик  вам вежливо скажет у вас «дистрибутив не тот» (одна из трёх отмазок линугсойдов на все случаи  жизни!) и придётся самостоятельно бороться с глюками, либо же ставить «тот» дистрибутив. Ну а  если проблема Ваша повторится и на «том» дистрибутиве - тогда уже это будут «кривые руки»  %). Так что тут решать только Вам стоит ли вообще связываться с «не заявленным»  дистрибутивом.

Зачем это надо было мне? Сложно сказать :-) Ну наверное прежде всего потому что сузя - это мой любимый дистрибутив, тут никакой религии, просто симпатии. Потом, я придерживаюсь мнения что нормальный, правильный продукт должен работать под любыми дистрибутивами без привязки к каким-то конкретным их особенностям (а ТраффПро ведь такой продукт, верно?) Да и если всё легко и сразу установится и заработает - тогда это будет уже не линугз, но ведь мы же не ищем лёгких путей, верно? :-)

Ну да ладно, с философией и религией закончили, теперь немного лирики. В данной заметке будет описана одна из самых распространенных примитивных конфигураций, если чего-то того, что Вам необходимо я не описал - значит я этого не реализовывал и соответственно как это делается я скорее всего не знаю. К примеру, pppd, vpn и прочее я не настраивал за ненадобностью. Также перед тем как обращаться ко мне с вопросами типа «у меня не работает траффпро под сузей, как быть?» убедительная просьба ещё раз внимательно перечитать предисловие - скорее всего в нем содержатся ответы на все Ваши вопросы :-)

Я описываю лишь то, что делал я. А мои действия ни в коем случае не являются единственно возможными правильными и безошибочными, особенно если учесть что мы заведомо работаем под «не заявленной» ОС. Но тем не менее оно у меня как-то работает и работает скорее стабильно, чем нет ;-)

Я не ставлю перед собой цель создать хауту для ленивых, которые думают что всё сделается само по себе, а они лишь закопипастят строчки и будут потом всем говорить что они ниипатса крутые линугсойды :-) Прежде всего - должно быть хотя бы какое-то _элементарное_ представление и понимание своих действий, а также умение читать и АНАЛИЗИРОВАТЬ логи! Обычно последнее - это залог самостоятельного решения 90% всех возможных проблем. Если всего этого нету, то тут одно из двух: либо читать и  изучать (тут обычно линугсойды высокомерно отсылают в man и гугль), либо таки не мучить себя и окружающих и  юзать win-решения, которые понятны любому дауну и настраиваются в два-три щелчка мыши. Но  стоят денег - палка о двух концах, однако ;-)

Таким образом, в данной заметке я постараюсь лишь указать основные моменты, на которых стоит заострить внимание при установке под этим дистрибутивом. Пошаговых действий с разжевываниями  (типа как открыть файл, отредактировать, сохранить и т.д.) не будет. Я в основном буду  указывать лишь направление действий, а какие инструменты использовать - это личное дело каждого. Можно, например, настраивать всё это из «голой» консоли, даже не используя mc, а  можно запустить «иксы» и делать всё под графикой - тут исключительно дело вкуса и религии.  Как так? «Иксы» на сервере? Фи, да это ж моветон - скажут настоящие прожженые линугсойды. Тут не буду спорить или что-то советовать, скажу лишь что Траффпро успешно работает как с  графикой на сервере, так и без неё.
И ещё раз: так устанавливал и настраивал систему лично я, но это не значит что необходимо повторять всё за мной в точности! ;-)

Исходные данные

Переходим наконец-то к техническим деталям :-) Примерная схема нашего окружения вполне типична: шлюз с двумя сетевыми интерфейсами, интернет приходит по обычному Ethernet и никаких дополнительных соединений (PPoE, VPN и т.д.) не поднимается. Один интерфейс смотрит в Интернет, другой - в локальную сеть. В локальной сети (адресация 192.168.0.0/24) находятся собственно клиенты Интернета и почтовый сервер (его ip 192.168.0.220), принимающий почту из внешнего мира и туда же её отправляющий. Все внешние адреса в примере вымышленные :-) Аутентификация клиентов происходит по связке ip+mac. AD, dhcp и прочие клиенты отсутствуют.

Реквизиты, которые дал нам провайдер:

Все внешние адреса в примере вымышленные. Для удобства пользования моим руководством, а также чтобы не возникало проблем типа «я прописал всё 100% как там, а оно не работает», рекомендую скопировать весь текст в редактор и произвести там сквозную замену этих данных на свои, актуальные. :-)
IP-адрес шлюза в локальной сети 192.168.0.1

Аппаратная конфигурация моего «сервера» :-)

E2180 - это какой-то самый дохлый DualCore, лучшее из того что попало под руку на момент установки :-)
1024Mb RAM
250Gb HDD
На 40-50 юзеров работает без нареканий, но я думаю это далеко не предел его возможностей. Это я к тому что можно смело подымать и на куда более худшем гуане :-)

Подготовка и установка

Итак, начнём с установки системы. OpenSuse 11.1 х64, установка с DVD-носителя на чистый диск.
При разметке диска отдельный большой раздел я смонтировал на /var. Под / (корневой раздел) у меня выделено порядка 15-20гб при объёме жесткого диска в 250гб. Своп в два раза больше объёма физически установленной памяти, ну и остальное на /var. Зачем? Потому что именно там по умолчанию будут лежать базы mysql, самая «тяжёлая» составляющая.
При выборе пакетов на этапе установки ОС я намеренно не ставил apache, php, mysql, squid, named и т.д. Это можно сделать позже из онлайн-репозитариев, где доступны самые свежие версии. Про squid тема вообще отдельная, но об этом будет позже.
Также я бы посоветовал не ставить ничего лишнего, только самое необходимое. Не стоит засорять систему всяким мусором типа вебминов и прочих гуёвых и веб конфигураторов. Дабы потом не искать причины возникающих проблем, которые могут оказаться до банальности простые. Всего лишь потому что «я вот там вот ткнул эту галку, зачем - не помню» :-)

Настройки сети

Их можно произвести как на этапе установки, так и позже любыми доступными способами - это не критично. В моём случае это было сделано так:
NetworkManager отключен, брэндмауэр отключен, IPv6 отключен Ну и параметры интерфейсов:
eth0 - внешний, ip 12.34.56.78/30 (т.е. с маской 255.255.255.252)
eth1 - внутренний, ip 192.168.0.1/24 (маска 255.255.255.0)
Также здесь необходимо указать шлюз провайдера (в моём примере 12.34.56.77), ну и хотя бы один провайдерский DNS, пока у нас ещё не сконфигурирован свой named (в моём примере - 23.45.67.89).

Установка необходимых сервисов

После установки системы подключаем следующие репозитарии сообщества:
Основной репозитарий (OSS) - нужен чтобы поставить iptables-devel
OpenSuse BuildService: Базы данных - отсюда мы возьмём последнюю версию mysql
OpenSuse BuildService: PHP - а отсюда последний PHP5
Updates for 11.1 - обновления

Ну и потом, когда все репы подключены, устанавливаем apache2, apache2-mod_php5, php5, php5-mysql, libmysqlclient15, mysql-client, mysql-tools, named, squid и т.д.

И конечно же -devel и -source пакеты, если будем сами собирать демонов - это libmysqlclient-devel,  iptables-devel, kernel-source и linux-kernel-headers. Некоторых из перечисленных пакетов на установочном DVD я не нашёл. По поводу сборки - лично я  собирал, а не использовал уже собранные, поэтому мне эти пакеты таки понадобились.

Все работы с репозитариями и установкой пакетов лично я выполнял через центр управления Yast, что на мой взгляд является самым удобным вариантом, даже при работе в текстовом режиме без графики. Ведь при наличии нескольких подключенных репозитариев (как в моём случае) он автоматически определяет в каком из них есть последняя версия нужного пакета и предлагает по умолчанию ставить именно оттуда.

Веб-сервер Apache

С пакетами закончено, теперь проведём лёгкий тюнинг Apache :-)
Внесём небольшие изменения в /etc/apache2/default_server.conf:
Тут надо в теге <Directory> для /srv/www заменить Options None на Options FollowSymLinks (иначе не будет работать веб-морда!)

Тюнинг MySQL

В принципе, mysql можно и не трогать - работать будет и так. Однако в целях оптимизации производительности, а также удобства зачистки базы, лучше его немного «подпилить». Для этого открываем файлик /etc/my.cnf и смотрим что у нас там в секции mysqld. Вот выдержка из моего файла:

Тут, если сравнивать с дефолтными настройками, увеличены различные буфера, выставлена кодировка по умолчанию в utf-8 и т.д. Однако особое внимание следует обратить на последние два параметра.
innodb_file_per_table - непременно необходимо указать чтобы не получить через какое-то время один огромный файл с неуменьшающимся размером. Это в случае чего заметно облегчит высвобождение места на диске в дальнейшем.
innodb_buffer_pool_size - значение этого параметра рекомендуется выставлять в размере 50-80% от объёма физической памяти. В моём случае он равен 512Мб, т.е. половина от 1Гб.

Ну и в завершении стартуем сервис:

Если сервис не поднялся (вывод последней строки отличен от вышеприведенного), разбираемся почему, чиним и идём дальше.

Установка ТраффПро.

Считаем что сервис MySQL в предыдущем пункте мы успешно подняли, однако это не помешает лишний раз проверить.

Всё отлично, запускаем установку ТраффПро из shell-скрипта.

Тут предстоит ответить на ряд вопросов:

Дальше интересный момент с базой, если она вдруг по каким-то непонятным причинам не создастся (а у меня такое вроде было), то это лечится повторным запуском установки - так, для справки, на всякий случай.

Тут очень интересный момент. Дело в том, что в сузе по умолчанию в скриптах запуска должны присутствовать некие теги, в которых содержится информация о сервисе, такая как его название, описание, зависимости от других сервисов итд. Поскольку мы работаем под «не заявленной» ОС, то и получаем тут (да и в дальнейшем теперь при каждом вызове chkconfig) какую-то матерную непотребщину типа:

Это не критично, на работоспособность не влияет и лечится путём добавления в скрипты запуска соответствующих недостающих строчек, но об этом позже.

Теперь, как и обещал, привожу конфиги траффпро, необходимые для работы:
traffpro.cfg

Здесь сразу в глаза бросается то, что с базой mysql система работает от root и пароль у него пустой. Как показала практика последней установки – это лучше оставить именно так, как предлагают по умолчанию. Да, это не правильно, да, это не безопасно, но геммороя с работой от другого юзера будет гораздо больше. Последний раз пытался дать юзеру права на базу - так и не понял чего ему надо, но GRANT ALL PRIVILEGES WITH GRANT OPTION, с которым работают практически все приложения, явно не даёт достаточных полномочий и демон от такого юзера с базой не работает. Если есть желание - потом на досуге можно поиграться с этим и сообщить мне о результатах в случае успеха, пока же оставим как есть. Но это всё при условии опять же что пароль root для mysql у нас пустой (т.е. по умолчанию и его никто не менял), в противном случае тут надо указать пароль.

traffpro_rule.cfg

Будем считать что сама система ТраффПро у нас установлена и настроена.

Работа Traffpro со Squid.

Как и обещал, отмечу эту тему особо. Ибо в различных вариациях и комбинациях параметров поведение системы может быть самым разным и зачастую непредсказуемым :-) Можно, скажем, настроить так чтобы в отчётах учитывался только трафик, идущий через сквид, а весь остальной по прочим портам банально игнорировался. Вам такой вариант учёта нужен? :-) Лично мне не особо он приглянулся. Или, например, можно сделать так чтобы демон постоянно падал в связке со сквид – тоже малопривлекательная тема :-). Но тем не менее, в результате многочисленных экспериментов, заставить его работать как надо мне всё же удалось.
По поводу версии - тут пожалуй снова вопрос религиозно-философский. По большому счёту нет разницы какой сквид мы будем использовать - 2.хх или 3.0. Работают и тот, и этот, моменты их настройки тоже идентичны, так что особой разницы какую версию использовать нет. У меня вот разве что возникла мысль о преимуществах 3.0, если прикрутить к нему проверку всего проходящего трафика на вирусы (например с использованием clamav), благо дело это там вроде как доступно чуть ли не «из коробки», но пока я это не реализовал, соответственно как оно будет работать, насколько увеличит нагрузку на сервер и т.д. я сказать не могу. Пока это лишь на уровне идеи, над которой есть смысл подумать. :-)

Так вот собственно о самой настройке. В дефолтном конфиге надо проверить и поменять в случае необходимости ряд параметров. Отмечу сразу что в нашей конфигурации сквид работает самостоятельно, т.е. независимо от траффпро. Следовательно к нему можно прикручивать всё что угодно: различные сторонние парсеры логов, «режики» и т.д. Единственное условие – это не отключать прозрачный прокси.

Прежде всего:

Далее надо обратить внимание на acl’ы. В моем примере имеет место быть блокировка некоторых нежелательных сайтов и запрет на загрузку некоторых типов файлов по расширению. Также присутствуют пользователи, которым открыт полный доступ без ограничений.

Итак, для начала добавим следующие списки acl:

Затем создадим acl, в котором перечислим ip-адреса клиентов, которым мы хотим открыть полный доступ без ограничений:

Ну и теперь разруливаем уровни доступа (последовательность http_access важна!)

Все остальные настройки сквида я не трогал, они остались по умолчанию.
С конфигом вроде всё, теперь создадим в /etc/squid собственно сами файлы с условиями для блокировок.

blocked.files:

В этот файл можно добавить любое другое расширение по аналогии.

blocked:

Однако если там забиты ещё и DNS провайдера, то их можно на всякий случай оставить, но первым всё равно должен идти 127.0.0.1.

Приступаем к работе

Пора бы уже и посмотреть как оно работает. :-)
Проверим сперва работу веб-морды для администрирования. Для этого убедимся что у нас запущены mysql, apache2, ну и сам traffpro, и попытаемся открыть в браузере: http://localhost/traffpro/index.php/admin_login (если мы сидим в «иксах» с самого сервера), либо http://192.168.0.1/traffpro/index.php/admin_login с любого компьютера в локальной сети. 
Если всё было сделано правильно, то должна появиться форма для авторизации. Логинимся туда как admin:admin, либо же используя иные реквизиты, если они были заданы во время установки траффпро.
Начиная с версии 1.1.6.х клиентская и админская часть веб-морды лежат в одной директории, что в какой-то степени на мой взгляд стало менее удобным. Хотя бы потому что теперь появилась километровая ссылка для логина на админскую консоль. Я решил эту проблему при помощи виртуалхостов, чего и всем советую. Об этом будет сказано ниже в примечаниях.

Далее один из самых важных моментов - предварительная настройка. Её я расписывать не буду, поскольку этот процесс подробно и со скриншотами описан в официальной документации. Дублировать её лишний раз смысла не вижу. Пройдусь лишь коротко по основным моментам. Итак, нам необходимо:
1. Создать и настроить наш сервер в разделе Система\\Серверы админской веб-морды. Что там и как – разобраться, я думаю, труда не составит. Единственное что, тут есть ряд «мутных» моментов. Во-первых, в документации на скриншоте MAC сервера – это все нули. Не знаю на что это влияет, но у меня лично там указан реальный MAC внешнего интерфейса. Во-вторых, самый нелогичный здесь момент – это доступ по портам. Какой логике подчиняется эта настройка я так и не понял, ясно лишь что какой-то очень не стандартной :-) Кстати, начиная с версии 1.2 (если я ничего не путаю) были несколько изменены обозначения и 0 – это теперь не полный доступ без ограничений по всем портам, а лишь пинги и всякая прочая хрень, не относящаяся к TCP и UDP. Для открытия же полного доступа по всем портам в последней версии нужно просто оставлять поле пустым, либо указывать диапазон 0-65535. Но это так, к слову, на случай если кто уже имел опыт общения со старыми версиями. Так вот в новой модной версии нам в настройках сервера предлагаются два поля – это порты из внешней сети и порты, доступные с сервера. Казалось бы всё просто как два пальца: указываем в первом поле то, что хотим сделать доступным извне, а второе поле оставляем пустым (а зачем нам ограничивать доступ с сервера?) И получаем при такой настройке в результате полностью открытый ВОВНЕ сервер – грандиозно! И где тут логика? Ладно, причины искать не буем, просто пропишем там что-нибудь. Благо дело хоть в официальном руководстве крупными буквами предупредили, и на том спасибо.
2. Создать и настроить группы и пользователей – тут ничего сложного и в документации это расписано. Единственное на что обратить внимание – статус пользователя (группы, сервера) должен нормально меняться, т.е. при создании он будет «Новый», после правки – «Редактирование», но в любом случае если через несколько секунд обновить страницу – должен быть уже «Работа». Если статус в течении минуты (дольше думаю ждать нет смысла) не меняется – это значит что демон не работает нормально. Как возможная причина – проблемы с базой, у меня такое было, например, при недостаточных правах, о чём я уже писал выше. Однако, кроме этого может быть всё что угодно. После того как мы всё верно настроили, можно проверить наличие интернета на самом сервере, например, вот так:

У правильных линугсойдов не бывает кривых и глючных дистрибутивов! Дистрибутив может быть "не тот", но никак не кривой или глючный   

Добрый день 

Я поставил все ок 

но после установки у меня выдает 

 ping ya.ru

ping: unknown host ya.ru

Вопрос что не так и где править я думаю это с iptables проблема когда ост trafpro все ок  

усли не вулючать траффпро то все окей

как его настроить правельно ????

точно ли ВСЁ делалось именно так и именно в такой последовательности? сервер на админской веб-морде заведён? маки/ип его внешнего интерфейса верно прописаны? если да, то тут либо неверно настроен ДНС (маловероятно), либо (вероятнее) порты могут блокироваться на сервере. надо проверить в система\\серверы есть ли в списках портов 53-й порт? рекомендую добавить его в оба поля для начала чтобы не гадать, потом уже можно поэкспериментировать (ибо о том какой логике там эта настройка подчиняется я писал) и оставить в одном, если оно конечно так будет работать. в официальном руководстве этого момента нету чтоль? тут всё логично по идее, если мы серверу зарезаем все порты, а на нём крутится кэширующий днс, то как он будет рекурсивные запросы то выполнять? 53 порт на сервере вовне должен быть открыт в таком случае. если это поможет - отпишитесь, я отмечу этот момент в своём посте.

�

вот это немного смущает :-) какой бы не казалась их близость и схожесть, но всё же open и sles - это два РАЗНЫХ продукта. соответственно в последнем могут присутствовать заморочки, которых нет в первом и наоборот. по сути этой проблемы - лучше спросить разработчика веб-морды, т.к. это видимо что-то связанное с настройкой apache/php: либо нехватка компонентов, либо особенности их дефолтной настройки именно в SLES (почему я и говорю что это разные системы).

�

ну и не могу сдержать любопытство: а на какого хрена вам, простите, SLES? во-первых, это вроде как коммерческий продукт, если я не ошибаюсь. у вас он легально закуплен? или торренты - \"нашефсё\"? ;-) в случае последнего, что будете делать при проверке на легальность? :-) во-вторых, какие именно его специфичные фичи (которых нету в open я имею ввиду) вы планируете использовать? или это просто windows-like привычка что на сервере обязательно должен стоять \"сервер\"-дистрибутив?

короче, если данный сервер будет использоваться исключительно как шлюз с траффпро, то зачем там SLES?

уверен? я бы всё же уточнил это ;-) руководствуясь этой логикой и венду можно юзать более 30 пробных дней, не покупая её...

а в чём это самое \"лучше\" то? факты какие-нибудь имеются или рабинович напел? :-) у меня вот, например, и open шикарно на серверах крутится. расскажи чтоль чем именно sles ловчее, может я тоже прикуплю его :-D

кстати, а как там дела с обновлениями и репозиториями обстоят если не покупать? ;-)

не понятно как связаны почта и прокси. если речь идёт о pop/smtp то прокси не при чём тут вообще. для начала необходимо разобраться и понять что именно всё же вы хотите получить, ну а там может и вопрос сам исчезнет :-)