DHCP sunucusunu kurmak için

#pisi it dhcp

komutunu verince çakışma tespit edildi ve bir dizi güncelleme yaptı.

Sonra internetten okuduklarıma göre /etc/dhcp/dhcpd.conf dosyasını düzenledim.

subnet bölümü şöyle;

subnet 192.168.1.0 255.255.255.0 {

range 192.168.1.2 192.168.1.255;
option routers 192.168.1.1;
option subnet-mask 255.0.0.0;
option domain-name-servers 192.168.1.1;
}

ve

#dhcpd start

komutunu verdim ve

***Ignoring request on start,...please write subnet declaration in dhcpd.conf file...

No configured to listen on any interfaces
.....

diye bir yazı okudum. Zaten conf dosyasında subnet tanımlaması var internette gördüğüm örneklerden kopyaladım dosyayı sizce eksik nerede?

Deneyimlerinizi paylaşmanızı sürdürmenizi dilerim.

Evet Sonunda, Pardus 2007.1 Vekil Sunucu hizmetinizde

Yukarıdaki mesajlara baktıysanız bir süredir tırmalıyordum,

-DHCP Sunucu kurulumu ve ayarlamaları
-Ip Yönlendirme
-Netfilter/Iptables ile Firewall kural yazımı

işini halletmiştim. Aşağıda bunları da hatasız derli toplu bulabilirsiniz.

Sırada sunucumuza vekil sunucu (Squid/SquidGuard) kurarak interneti de kontrol altına almak ve HIZLANDIRMAK kalmıştı.
Squid'i kurmayı ve çalıştırmayı başardım (başardım diyorum çünkü 1-2 aylık bir linux tecrübesiyle benim açımdan bakarsanız büyük iş başardım).

Ancak SquidGuard'ı henüz kuramadım, o da elimden kurtulmaz, bekleyin

Bilgisi olmayanlar çok basitçe Squid; açılan web sayfalarının bir kopyasını diske kaydeden, sonra aynı sayfa tekrar istendiğinde internetten değilde bu diskteki kopyasından gönderen bir program. Bu HIZ demek. Squid ayrıca gelişmiş ölçeklendirme yapısına sahip, conf dosyasındaki açıklamalara (açıklamalar gerçekten güzel) bakılırsa örneğin;

http://www.oyunmanyagi.com.tr sayfası sadece Pazartesi ve Salı günleri saat 12:00 - 13:30 arasında açılsın diye bir kural yazabiliyorsunuz. (Umarım yanılmamışımdır)

SquidGuard ise Squid'in bu ölçeklendirme özelliklerini Squid'in conf dosyasına dokunmadan daha rahat ve kolay bir şekilde yapmak için kullanılıyormuş. (Henüz kuramadım)

Her neyse, kurulum şu şekilde; (root olarak)

http://www.squid-cache.org/Versions/ adresinde benim indirdiğimde en son kararlı sürümü 2.6 STABLE13 idi.

#wget http://www.squid-cache.org/Versions/v2/2.6/squid-2.6.STABLE13.tar.gz

komutuyla indirip,

#tar -xvzf squid-2.6.STABLE13.tar.gz

ile paketi açın.

#cd squid-2.6.STABLE13

ile açılan klasöre geçin

#./configure
#make
#make install

ile kurulumu yapın.

#cd /usr/local/squid

ile kurulan klasöre geçin.

#chmod 777 etc
#chmod 777 var/cache
#chmod 777 var/logs

ile klasör yetkilerini ayarlayın. (etc olmasada olur, sadece kwrite ile squid.conf dosyasını değiştirebilmeniz için gerekli, sonra yetkiyi geri alırsanız iyi olur.)

Özellikle cache klasörünün izinlerini bu şekilde ayarlamazsanız squid çalışmayacaktır. Bunu keşfetmek için gogılla baya cebelleştim. Bu yaptığımız, işin pratik yönü ama gerçeği merak edenler için olay şu;

Squid.conf (squid ayar dosyası) dosyasındaki "cache_effective_user" parametresiyle squid'in hangi kullanıcı yetkisiyle cache işlemi yapacağını belirtiyoruz. Bu değer öntanımlı olarak "nobody" şeklinde, bu durumda üç seçeneğimiz oluyor.

1.root kullanıcısı yetkisiyle kullanmak ama tam olarak bilmediğim bir nedenden dolayı squid'i root kullanıcı yetkisiyle kullanamıyoruz.
2.Squid için yeni bir kullanıcı açıp, yukarıdaki klasörlere bu kullanıcı için tam yetki vermek. Ben tercih etmedim siz bilirsiniz.
3.Benim yaptığım gibi değeri öntamlı olarak bırakıp (nobody) klasör yetkisini, allaha emanet (777) olarak ayarlamak.

Evet şimdi gelelim squid.conf dosyasına; Bu dosya squid'in tüm parametrelerinin ayarlandığı bir dosya, aslına bakarsanız bir kitap, son haliyle bendeki 4420 satır Genelde buna bakan insanlar "bu ne yaa" diyip koşarak uzaklaşıyor eminim ama hiç de öyle değil, çok net ve uzun açıklamalı örneklerle hazırlanmış, bölüm bölüm ayrılmış bir döküman. bu devasa conf dosyasının ne kadarı konfigürasyon için kullanılmış diye bakmak için şu komutu verin.

#cat /usr/local/squid/etc/squid.conf | sed '/_/index.html'

Bunu internette buldum çok kullanışlı bir süzgeç, ama nasıl kullanılır inanın bilmiyorum. Komutun çıktısı aşağı yukarı 20-30 satır bir şeydir, yani o kocaman dosyanın hemen hepsi açıklama ve örneklemelerden ibaret, onun için öle korkulacak bi şey yok.

Şimdi kwrite veya istediğiniz bir editörle bu dosyayı açın ve aşağıdaki satırları arayıp değiştirin.

1.
Bulunacak : http_port 3128
Değişecek : http_port 3128 transparent

Bu değişikliğin amacı trasparent olarak kullanmak, inanın bunu bulabilmek için neredeyse 2 gün uğraştım, gogıldaki örnekler sanırım eski versiyon için. Bilmeyenler için Transparent proxy'nin özelliği, vekil sunucuyu istemci makinelerde herhangi bir ayar yapmaya gerek kalmadan kullanmayı sağlıyor. 3128 Squid'in öntanımlı port numarası, 8080 de ekleyebilirsiniz.

2.
Bulunacak : #cache_dir ufs /usr/local/squid/var/cache 100 16 256
Değişecek : cache_dir ufs /usr/local/squid/var/cache 100 16 256

Cache belleğin yerini ve özelliklerini belirtiyoruz, 100 sayısı 100MB anlamında, 5-10 istemcili bir ağ için yeterlidir sanırım, ihtiyacınıza ve diskteki boş yerinize göre ayarlayın, diğerleri ayrıntı, merak eden açıklamalara baksın.

3.
Bulunacak : INSERT YOUR OWN RULE(
(Birkaç satır altında)
Değişecek : acl our_networks src 192.168.1.0/255.255.255.0
http_access allow our_networks

Bu şekilde LAN'a izin vermiş olduk. Önündeki # işaretlerini kaldırın ve local ağınızdaki ip yapılandırmasını tanımlayın. Ayrıntıları merak ediyorsanız "ACCESS CONTROLS" arayın, uzun bir açıklama bölümü bulacaksınız.

4.
Bulunacak : visible_hostname
(# none kısmına bir şeyler yazmak zorundayız)
Değişecek : visible_hostname google.com.tr

Gogıla teşekkürlerimi belirtmek açısından Ama boş bırakamazsınız birşeyler yazmak zorundasınız. Sanırım sunucunun adını istiyor emin değilim.

5.
Bulunacak : #error_directory /usr/local/squid/share/errors/English
Değişecek : error_directory /usr/local/squid/share/errors/Turkish

Hata mesajlarını Türkçe alalım.

Evet, bu kadar, kaydedip çıkalım.

Şimdi çalıştırmak için önce;

#/usr/local/squid/sbin/squid -z

komutu ile önbellekleme klasörlerini açmasını sağlıyoruz. Yukarıdaki 777'leri uygulamadıysanız hata verir.

#/usr/local/squid/sbin/squid

ve proxy çalışıyor olması lazım. Kontrol için aynı komutu tekrar verin "Already running" derse tamamdır. Eğer bur sorun varsa ekrana yazacaktır, bunu conf dosyasından düzeltip tekrar denersiniz. Zaten çalışmakta olan squid'in conf dosyasını tekrar okuması için de şunu kullanın;

#/usr/local/squid/sbin/squid -k reconfigure

Bir örnek olması açısından benim conf dosyasının özeti şu şekilde;

#cat /usr/local/squid/etc/squid.conf | sed '/_/index.html'
_____________________________
http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
cache_dir ufs /usr/local/squid/var/cache 100 16 256
access_log /usr/local/squid/var/logs/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl our_networks src 192.168.1.0/255.255.255.0
http_access allow our_networks
http_access deny all
http_reply_access allow all
icp_access allow all
visible_hostname google.com.tr
error_directory /usr/local/squid/share/errors/Turkish
coredump_dir /usr/local/squid/var/cache
__________________________

Evet, Vekil Sunucumuz çalışyor, şimdi Firewall'a gelelim. Firewall'da sunucunun 80 portuna gelen ip paketlerini 3128'e yönlendirmemiz lazım. Benim şu anda kullandığım firewall scriptini olduğu gibi yazıyorum, scriptte küçük açıklamalar var zaten, netfilter/iptables konusu baya geniş, isteyen araştırsın. Belki yakında bu konuya döner biraz daha iptables çalışırım ve buraya yazarım.

/root/firewall
________________________________________________
#!/bin/etc/bash

#Taboları temizle
iptables -t nat -F
iptables -t nat -X

iptables -F
iptables -X

################################
#NAT KURALLARI

#DNS Yönlendirme
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 53 -j DNAT --to 10.0.0.2
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 53 -j DNAT --to 10.0.0.2

#Kaynak adres gizleme
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 10.0.0.3

#SQUID Proxy için
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

#################################
#FİLTRE KURALLARI

#Öntanımlı kurallar
#Burada henüz çalışma yapmadım, INPUT ACCEPT gibi bir kuralsızlık olmaması lazım, düzenlemek gerekiyor
iptables -P FORWARD DROP
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT

#Yönlendirilmiş paket kuralları

#Geridönüşler açık
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

#DNS Sorgusu
iptables -A FORWARD -i eth1 -o eth0 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 53 -j ACCEPT

#HTTP Kapalı çünkü artık squid var, squid çalışmazsa burdan açılıverir
#iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -j ACCEPT

#HTTPS
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 443 -j ACCEPT

#SSH
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 22 -j ACCEPT

#FTP
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 21 -j ACCEPT

#POP3
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 110 -j ACCEPT

#MSN Baş belası
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 6891 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 6900 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p udp --dport 6900 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 6901 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p udp --dport 6901 -j ACCEPT

_________________________________

Daha önceden DHCP Sunucusunu ayarlamıştım, DHCP ağdaki istemcilere otomatik ip ve diğer adresleri veriyor. Dhcp suncusunun conf dosyası /etc/dhcp/dhcpd.conf içeriği şöyle; Bu dosya hakkında pek fazla bilgim yok. Dhcp sunucusu çalıştırıldığında buradaki bilgilere göre ip dağıtıyor.

________________________
ddns-update-style none;
option domain-name-servers 192.168.1.1;
max-lease-time 36000;
default-lease-time 36000;

subnet 192.168.1.0 netmask 255.255.255.0 {

range 192.168.1.2 192.168.1.64;
option routers 192.168.1.1;
option subnet-mask 255.255.255.0;
}
________________________

Bütün bunları şöyle bir scriptte topluyoruz.

/root/sunucu
___________________________-
#!/bin/bash

#Çekirdeği ip yönlendirmeye açıyoruz
sysctl -w net.ipv4.ip_forward=1

#Ağ kartlarına ip atayıp aktif hale getiriyoruz
ifconfig eth0 down
ifconfig eth0 10.0.0.3 netmask 255.255.255.0 broadcast 10.0.0.16 up
ifconfig eth1 down
ifconfig eth1 192.168.1.1 netmask 255.255.255.0 broadcast 192.168.1.64 up

#Dhcpd suncusunu başlatıyoruz
dhcpd start eth1

#Yönlendirme adresini tanımlıyoruz
route add default gw 10.0.0.2

#Firewall kurallarını çalıştırıyoruz
bash /root/firewall

#Vekil Sunucuyu çalıştırıyoruz
/usr/local/squid/sbin/squid

_________________________

Son olarak, sistem açıldığında her şeyin hazır olması için "/etc/confd/local.start" dosyasını açıp en altına,

bash /root/sunucu

eklemeniz yeterlidir. Bu dosya açılışta Pardus tarafından çalıştırılır.

Aslında bunları squid kurmadan önce yapmıştım, fark edermi bilmiyorum, deneyen yazsın.

Birde tüm bu işlemlerde kullandığım program Midnight Commander (mc komutuyla çalışır). Eskiden çok sevdiğim Norton Commander vardı, Windows yüzünden unutmuştum, onun Linux versiyonu, bilen bilir, konsolda çok rahat hareket etmenizi sağlıyor. Benim gibi vi kullanamayan yeni Linuxçular için basit bir editörü de var.

Geçen hafta işyerinde 2-3 saatliğine elektrikler kesildiğinde sunucuyu kapattım, tekrar açtığımda squid adresleri çözümleyemez haldeydi, yani dns sorunu vardı.

Bunu biraz araştırdım, squid'in log dosyasında yazdığına göre, squid dns adreslerini meşhur /etc/resolv.conf dosyasından alıyor, oysa benim istediğim sistemdeki dns sunucusu olarak modemi kullanmaktı, bunun için resolv.conf dosyasını düzenleyip "nameserver 10.0.0.2" satırını ekledim ama sistem yeniden başladığında bu dosya eski haline geri geliyor.

squid.conf dosyasındaki dns bölümünü biraz kurcalayınca dns-nameservers başlığını buldum ve bunu;

dns-nameservers 10.0.0.2

olarak değiştirdim, squid'i başlattığım "sunucu" scriptinde de çalıştırırken "squid - D" parametresini ekledim, bu parametre squid'e açılırken dns sorgulaması yapmamasını söylüyor, çünkü bu dns sorgusunda bir sorun olursa mesela internet kesik olabilir squid çalışmayacaktır, bunu engellemiş oluyoruz.

Böylece bu sorunu hallettim ama kafama şu resolv.conf dosyasındaki adresler takıldı, onuda biraz araştırınca /sbin/dhclient-script dosyasına ulaştım, sanırım bu script dhcp sunucu tarafından tetikleniyor ve resolv.conf dosyasını yeni baştan oluşturuyor her açılışta, resolv.conf dosyasına sabit ip vermek için sanırım bu dosyanın uygun bölümüne bir

echo nameserver 10.0.0.2>/etc/resolv.conf

satırı eklemek gerekecek, ben denemedim ama deneyen varsa yazsın, veya daha kolay bir çözüm...

Noldu bu kadar seni sevindiren nedir?

Ayrıca merak etmeyin 2008 versiyonunda bu işler kolaylaşacak umarım.