Андрей Гревцов

Описание задачи. Есть сервис, который банит IP за очень активную работу с ним. К нему обращается некая программа. Есть пул IP-адресов, которые можно использовать для исходящих соединений на сервис. Программа-клиент умеет использовать прокси-сервера, авторизуясь на них. Нужно настроить свой прокси, чтобы он принимал входящие соединения от программы и отправлял их с разных IP, которые настроены на сетевом интерфейсе сервера.

Используется сервер с Linux, дистрибутив Centos 7.

Установка squid проста:

yum install squid -y
systemctl enable squid
systemctl start squid

Есть несколько способов настройки squid. Опишу пару.

Первый способ - это использование авторизации на прокси.

Второй - без авторизации, входящие соединения клиентов принимаются на разных портах Squid.

Итак, первый способ.

Пусть у нас будет только 2 пользователя: user1 и user2, то есть им нужно иметь каждому свой исходящий адрес squid.

Создаём файл с паролями пользователей squid и добавляем пользователя username1 с паролем password1:

htpasswd -bc /etc/squid/passwd.squid username1 password1

В уже созданный файл с паролями пользователей squid добавляем пользователя username1 с паролем password1:

htpasswd -b /etc/squid/passwd.squid username2 password2

Редактируем файлик /etc/squid/squid.conf:

acl SSL_ports port 443
acl Safe_ports port 80# http
acl Safe_ports port 21# ftp
acl Safe_ports port 443# https
acl Safe_ports port 70# gopher
acl Safe_ports port 210# wais
acl Safe_ports port 1025-65535# unregistered ports
acl Safe_ports port 280# http-mgmt
acl Safe_ports port 488# gss-http
acl Safe_ports port 591# filemaker
acl Safe_ports port 777# multiling http
acl CONNECT method CONNECT
 
# Включаем с типом basic. Указываем параметр для это типа аутентификации program и путь к программе, которая выполняет проверку - /usr/lib64/squid/basic_ncsa_auth. Она в свою очередь имеет параметр - файл пользователей и паролей /etc/squid/passwd.squid.
auth_param basic program /usr/lib64/squid/basic_ncsa_auth /etc/squid/passwd.squid
 
# Включаем аутентификацию в конфиге с типом basic. Указываем параметр для это типа аутентификации program и путь к программе, которая выполняет проверку - /usr/lib64/squid/basic_ncsa_auth. Она в свою очередь имеет параметр - файл пользователей и паролей /etc/squid/passwd.squid.
auth_param basic program /usr/lib64/squid/basic_ncsa_auth /etc/squid/passwd.squid
 
#Разруливаем авторизованных пользователей на разные исходящие IP-адреса
acl user1 proxy_auth user1
acl user2 proxy_auth user2
 
#Разрешаем пользователю user1 доступ
http_access allow user1
# Устанавливаем для user1 исходящий адрес 1.2.11.111
tcp_outgoing_address 1.2.11.111 user1
 
http_access allow user2
tcp_outgoing_address 1.2.11.112 user2
 
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access deny all
http_port 1.2.11.111:3128

Перезапускаем squid:

systemctl restart squid или переконфигурируем: squid -k reconfigure

Теперь пользователь user1 выходит в мир с внешним адресом 1.2.11.111, а user2 - 1.2.11.112.

Второй способ не требует авторизации. Доступ к прокси-серверу осуществляется без авторизации из локальной сети с распределением исходящих адресов в зависимости от того, какой порт выбран при обращении к Squid.

Также редактируем /etc/squid/squid.conf:

acl localnet src 10.39.0.0/16# определяем локальную сеть (ограничиваем доступ только ею, так как у нас нет авторизации)

acl SSL_ports port 443
acl Safe_ports port 80# http
acl Safe_ports port 21# ftp
acl Safe_ports port 443# https
acl Safe_ports port 70# gopher
acl Safe_ports port 210# wais
acl Safe_ports port 1025-65535# unregistered ports
acl Safe_ports port 280# http-mgmt
acl Safe_ports port 488# gss-http
acl Safe_ports port 591# filemaker
acl Safe_ports port 777# multiling http
acl CONNECT method CONNECT
 
http_port 1.2.11.111:3128 name=3128 # указываем на каком порту слушать входящие подключения клиентов
http_port 1.2.11.111:3129 name=3129
 
# Создаём правило changeip3128 для обращении на порт 3128 с компьютеров сети localnet  
acl changeip3128 myportname 3128 src localnet
 
# Разрешаем по этому правилу changeip3128 доступ
http_access allow changeip3128
 
# Устанавливаем исходящий адрес запроса будет 1.2.11.111 для правила changeip3128
tcp_outgoing_address 1.2.11.111 changeip3128
 
acl changeip3129 myportname 3129 src localnet
http_access allow changeip3129
tcp_outgoing_address 1.2.11.112 changeip3128
 
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access deny all

Перезапускаем squid:

systemctl restart squid или переконфигурируем: squid -k reconfigure

Получаем, что при обращении клиента на порт 3128 исходящий адрес будет 1.2.11.111, а на 3129 - 1.2.11.111.

Многие руководители не задумываются о том, что за программное обеспечение установлено на компьютерах в их организации, воспринимая системное программное и офисное обеспечение бесплатным приложением к компьютеру. В результате невнимательности или желания сэкономить на компьютеры организации могут быть установлены контрафактные программы, то есть программы на которые не куплены лицензии. А ведь использование контрафактного программного обеспечения может привести к крайне неприятным последствиям для директора.

Новость  с сайта Прокуратуры Архангельской области:

Первым заместителем прокурора г. Архангельска утверждено обвини­тельное заключение по уголовному делу в отношении генерального директо­ра ООО «ТОРН-1» Виктора Голосевича. Он обвиняется в совершении преступления, предусмотренного п. «г» ч. 3 ст. 146 УК РФ (незаконное использование объектов авторского права в крупном размере, с использованием своего служебного положения).
Так, с целью использования в деятельно­сти ООО «ТОРН-1», Голосевич не имея разрешения правообладателей, при­обрел и незаконно установил на компьютерах общества нелицен­зионные (контрафактные) программные продукты «Microsoft Windows XP Professional» в количестве 8 экземпляров и «Microsoft Offlce - профессиональный выпуск версии 2003 года» в количестве 11 экземпляров, а также иных программных продуктов.
Исключительные авторские права на указанные программные продук­ты принадлежат корпорации Microsoft.
Своими действиями Голосевич причинил общий материальный ущерб компании на сумму более 400 тыс.руб.
Уголовное дело направлено в суд для рассмотрения по существу.

Далее...

Как указано на странице приложения, Logonscripter позволяет автоматизировать процесс создания сценариев входа в систему Windows. Далее будет продемонстрировано, каким образом это делается.

Далее...

Наибольшей популярностью на сайте "Архангельский админ" пользуются статьи о записи на приём к врачу через интернет.  Запись по электронной почте уже давно не производится, но можно записаться через онлайн-регистратуры. В связи с этим представляю небольшое пояснение по сервисам, которые можно использовать в настоящее время (июль 2013 года). Обзор неофициальный, сделан по материалам в сети интернет.

Далее...

В качестве альтернативы ежегодно проводящемуся фестивалю всероссийского уровня в честь Дня системного администратора, наши, архангельские системные администраторы, проводят свой слёт, о котором объявили на сайте http://sysadmin29.ru. Желающие участвовать в мероприятии могут зарегистрироваться до 18 июля. Место проведения - г.Северодвинск, о.Ягры, на берегу Белого моря. Дата - 30.07.2011. Сам день системного администратора по традиции отмечается в последнюю пятницу июля, то есть в этом году 29.07.

21 декабря 2010 года в России принят новый государственный стандарт: Формат Open Document для офисных приложений (OpenDocument) v1.0. Действовать стандарт начнёт с 1 июня 2011 года. Уведомление об этом опубликовано на сайте Федерального агентства по техническому регулированию и метрологии.

Считаю принятие стандарта важным шагом к развитию электронного документооборота и улучшению предоставления государственных услуг. В настоящее время "в ходу" как у государственных органов, так и в коммерческих фирмах "зоопарк" офисных форматов: форматы Microsoft Office всех версий, ODF, Microsoft Works и другие. Причём даже в одной организации могут использоваться все форматы и, соответственно, быть проблемы с их совместимостью на компьютерах разных пользователей. Может быть так: у руководства - самый современный Microsoft Office в максимальной комплектации, а у рядовых пользователей - Open Office. Разумеется, Open Office "понимает" документы, выполненные в формате Microsoft Office, но абсолютно корректно обрабатывает их далеко не всегда - "едет форматирование". На государственных сайтах документы обычно публикуются в формате Microsoft Office, что для пользователей Open Office неудобно. С принятием стандарта ресурсы, которые затрачиваются специалистами ИТ на обслуживание "зоопарка форматов" могут быть направлены на другие, более важные направления, а любой пользователь сможет свободно и бесплатно создавать документы, которые будут совместимы с государственной системой документооборота.

Напомню, что Open Document Format в качестве международного стандарта был принят 1 мая 2006 года.

Обычным пользователям Windows достаточно выполнения языковые настроек во время установки операционной системы или после через апплет панели управления. Администраторам часто требуется немного другие параметры и сразу на всех компьютерах домена. Наилучший способ для автоматизации процесса настройки - изменение ключей реестра с использованием групповых политик. В новейших версиях Windows указать значения для ключей реестра компьютера можно непосредственно через оснастку управления групповыми политиками, а в более старых системах можно использовать сценарий vbs. Несколько лет назад я сделал скрипт, используемый мною и по настоящее время, который позволяет сделать следующее:Далее...