В двух словах, что мы тут будум делать:

• Запретим юзерам ходить на [список сайтов] в рабочее время;
• Реализуем статистику посещений пользователями ресурсов;

Начнем с запретов. Для начала нам нужно будет создать файл, в котором будут перечислены в столбик слова, которые у нас запрещены в http-запросах. Возможно использование регулярных выражений, однако ваш покорный слуга пока только пытается в них разобраться. Гуглим, это интересно (=

У меня файл называется deny_hosts_access и лежит в /etc/squid. Вот его содержимое:

odnoklassniki
vkontakte

Собственно, здесь может быть что угодно – вы хозяин!

Далее, в squid.conf после строчек, декларирующих безопасные порты (Safe_ports), добавляем строки

acl deny_hosts_access url_regex "/etc/squid/deny_hosts_access"
acl morning time MTWHF 08:00-12:30
acl evening time MTWHF 13:30-17:00

В первой строке мы указали путь к файлу, содержащему запрещенные строки. В следующих двух определили отрезки времени «morning» и «evening», которые являются «рабочим временем».

Теперь же нужно это самое рабочее время сделать наиболее продуктивным. (= Добавляем перед строчками

http_access allow full_access
http_access allow lim_access

строки

http_access deny deny_hosts_access morning
http_access deny deny_hosts_access evening

Итак, мы запретили лазить по одноклассникам и вконтакту утром (до обеда) и вечером (после обеда и до конца рабочего дня). Какие же мы злые ]:->

Однако, на этом мы не остановимся. Возможно следующее будет реализовано через Ж, однако оно работает. Итак, мы будем показывать нашим бедным пользователям определенную страницу/картинку если они лезут на запрещенные нами сайты. Сделаем эдакое перенаправление.

Что же нам для этого потребуется? А потребуется нам своя страничка ошибки!

Для начала, укажем какую папку с ошибками мы используем (разница в языках и кодировках). В squid.conf добавим строку

error_directory /usr/share/squid/errors/Ukrainian-utf8

(в самой папке errors можно посмотреть доступные Вам варианты)

Ну и в конце концов, отредактируем файл ошибки. Для начала бекапните его, потому что потому. В случае невыполнения правил http_access, вызывается ошибка ERR_ACCESS_DENIED. Заменим ее содержимое на перенаправление (или просто заменим стандартный текст; мне по душе первое)

$ sudo nano /usr/share/squid/errors/Ukrainian-utf8/ERR_ACCESS_DENIED

Перенаправление выглядит так:

<meta HTTP-EQUIV="REFRESH" content="0; url=http://mysite.com.ua/image.gif">

(Ссылку укажите свою, желаемую)

Всё! Перезапускаем сквид!

$ sudo /etc/init.d/squid restart

Ждем немножко и наслаждаемся примененными правилами. Теперь НИКТО не лазит на одноклассников в рабочее время (=

Ну, и второй пункт нашей статьи – статистика посещений ресурсов. Для этого я использую программу sarg. Установим её:

$ sudo apt-get install sarg

Она потянет за собой целую братию пакетов, и немудрено, ибо для показа результатов ему необходим веб-сервер.

Подгоняем конфигурацию (/etc/squid/sarg.conf) под себя. Вот главные строчки, на которые следует обратить внимание:

access_log /var/log/squid/access.log
...
output_dir /var/www/squid-reports

Создаем последний каталог, ежели его нет.

Запускаем сарж (неплохо б было его запуск пихануть в крон, здесь я не буду это описывать… пока что)

$ sudo sarg

Ура! Заходим изнутри сети на наш сервер, любуемся отчетами по адресу http://server/squid-reports/

P.S. Всё вышеизложенное писалось почти по памяти, ибо проделывалось месяц назад. Если Вы найдете ошибки, или недописки – укажите, я исправлю и буду благодарен! Удачи Вам в администрировании!

Теперь приступим к файрволу.

Для ознакомления и изучения, рекомендую почитать здесь.  Тогда вы будете вносить осмысленные изменения в систему, а не повторять мои ошибки (=

Включим в системе форвардинг. В файле /etc/sysctl.conf раскомментируем строчку
net.ipv4.ip_forward=1

Итак, на текущий момент мы имеем полностью сброшенные настройки файрвола (iptables).

Сбрасываем цепочки:
$ sudo iptables -F
$ sudo iptables -F -t nat
Запрещаем все входящие и разрешаем все исходящие и форвардинг:
$ sudo iptables -P INPUT DROP
$ sudo iptables -P OUTPUT ACCEPT
$ sudo iptables -P FORWARD ACCEPT
Разрешаем принимать ответ на УЖЕ установленный соединени:
$ sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Разрешаем loopback-трафик:
$ sudo iptables -A INPUT -i lo -j ACCEPT
Разрешаем весь трафик с нашей внутренней сети (возьмем подсеть 222):
$ sudo iptables -A INPUT -s 192.168.222.0/24 -i eth1 -j ACCEPT
И, залог прозрачности! Перенапрявляем весь исходящий http-трафик (на порт 80) на порт сквида 3128:
$ sudo iptables -t nat -A PREROUTING -s 192.168.222.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
$ sudo iptables -t nat -A POSTROUTING -s 192.168.222.0/24 -o eth0 -j SNAT --to-source 192.168.56.39
Проверяем на клиенте интернет. Напомню, что если прокси указывать не обязательно, шлюз выставить необходимо!
Однако, после первой же перезагрузки, мы поймем, что все наши старания ушли впустую.
Научим же их выживанию!
Итак, сохраним всё то, чем мы тут занимались:
$ sudo iptables-save > /etc/firewall.conf
У меня с судо этот финт не получился (хотя в теории вроде должен…), потому можно сделать влогинившись в рута полностью (su) и запустив команду, но без sudo.
А теперь создадим скрипт, заставляющий ifupdown воскрешать наш файрвол:
$ sudo nano /etc/network/if-up.d/00-iptables
Впишем в него следующее:
#!/bin/sh
iptables-restore < /etc/firewall.conf
Выставим права на исполнение:
$ sudo chmod +x /etc/network/if-up.d/00-iptables
Не забываем перекреститься и перезапускаем сеть/перезагружаемся. Должно работать ^_^
В принципе у нас есть рабочий файрвол с прозрачным прокси!
В последней статье просто добавим пару фич (которыми я пользуюсь) в сквид…

Теперь приступим к установке и настройке кеширующего прокси-сервера Squid (в дальнейшем – сквид). Чтоб установить его, выполните команду
$ sudo apt-get install squid

и дождитесь пока программа установки скачает сквид и все его зависимости и установит их.

Примечание: установится сквид стабильной второй версии. Если вы хотите установить третий сквид, указывайте squid3. У меня были с ним некоторые проблемы, однако, полагаю, что дело было или в кривизне моих рук (чего у вас, возможно, нет), либо в криво собранном пакете (что вскоре могут исправить).

На этом этапе нам было бы очень полезно (читай – необходимо) иметь еще один компьютер, который можно бы было подключить к внутреннему интерфейсу сервера и на котором мы бы могли проверить соединение с интернетом.

После окончания установки, начинаем редактировать файл конфигурации сквида. Не знаю как вам, лично мне удобнее когда в файле конфига нет ничего лишнего, то есть присутствуют только непосредственно параметры конфигурации. Для этого бекапнем оригинальную конфигурацию сквида (чтоб было где искать описания всех параметров):
$ sudo cp /etc/squid/squid.conf /etc/squid/squid.conf.original

и выжмем из оригинальной конфигурации всё, не закоментированное:
$ sudo cat /etc/squid/squid.conf.original | grep -v '^\(#\|$\)' > /etc/squid/squid.conf

В итоге заимеем дефолтный конфигчик без ничего нишнего. Но всё же очень советую кинуть взор в оригинальный конфиг и почитать его на досуге – там очень много интересного!

Ну, наконец, приступим к редактированию:
$ sudo nano /etc/squid/squid.conf

Редактировать начинаем со строк с такими комментариями: # RFC1918 possible internal network

Заменяем указанные сети (сеть) на свои внутренние сети, которые мы будем выпускать. У меня это выглядит так:
# обычные пользователи с ограниченной скоростью
acl lim_access src 192.168.222.0-192.168.223.0/255.255.255.0
# необычные пользователи =)
acl full_access src 192.168.222.38/255.255.255.255

Теперь разрешим ходить им на http. Ищем последнюю строчку http_access deny all и добавляем перед ней такие строчки:
http_access allow full_access
http_access allow lim_access

Не забываем сделать то же самое и для icmp_access. Меняем localnet на наши сети:
icmp_access allow full_access
icmp_access allow full_access
Следующим шагом будет установка порта прокси и указание его прозрачности. Редактируем строчку http_port 3128 к следующему виду (порт можете указать и свой, но этот стандартен и желателен):
http_port 3128 transparent

Что такое прозрачность прокси? Это когда пользователи не обязаны явно указать прокси сервер в своих приложениях, чтоб выйти в интернет. То есть сервер сам перенаправляет запросы с 80 порта  (и других указанных) на свой 3128. Так вот, следует заметить, что прозрачность у нас появится не сразу, а только после того как мы соответствующим образом настроим файрвол. Пока что пускай будет так как есть – не прозрачно.

Затем, после «hierarchy_stoplist cgi-bin ?» добавляем настройки кеша (о параметрах почитайте оригинальный squid.conf, забекапленный нами ранее):
cache_mem 64 MB
cache_dir ufs /var/spool/squid 1024 16 256
cache_mgr admin@mail.ua

После строчек с refresh_pattern начинаем настраивать пулы (по сути ограничения на ранее созданные группы сетей; помните acl?):
# указываем количество правил
delay_pools 2
# регистрируем 2 пула 3 класса (о классах читаем знаете где - в комментах исходного конфига)
delay_class 1 3
delay_class 2 3
# указываем кто есть кто и указываем доступ
delay_access 1 allow full_access
delay_access 1 deny all
delay_access 2 allow lim_access
delay_access 2 deny all
# указываем параметры скорости для первого пула (нет ограничений)
delay_parameters 1 -1/-1 -1/-1 -1/-1
# второго пула (это у нас lim_access) - режем скорость примерно до 10 кбайт/с после первого Мб
delay_parameters 2 -1/-1 -1/-1 10000/1024000

Всё! Сохраняем файл и перезапускаем сквид:
$ sudo /etc/init.d/squid restart

Однако, не спешим радоваться, ибо мы еще не настроили файрвол.