Lexazp

С етим я разобрался - спсибо всем кто откликнулся... Но теперь я уперся еще в одну проблему В чем может быть заховста настройки что у мну с компа клиента инет пингуеться - но в него зайти незя! А клиен работает отключает и отключает все хорошо... Был скрипт взят с етого ворума...Но у мну он не пашет! #!/bin/sh # # Copyright © 2006 Evgeniy Murashkin, NVUTC; # IPTABLES="/sbin/iptables" # сбрасываем все рулесы в таблицах filter, nat и mangle. $IPTABLES -F $IPTABLES -t nat -F $IPTABLES -t mangle -F # очищаем все недефолтные (пользовательские) цепочки в таблицах. $IPTABLES -X $IPTABLES -t nat -X $IPTABLES -t mangle -X # устанавливаем политики в таблице filter $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -P OUTPUT DROP # устанавливаем политики в таблице nat $IPTABLES -t nat -P PREROUTING ACCEPT $IPTABLES -t nat -P POSTROUTING ACCEPT $IPTABLES -t nat -P OUTPUT ACCEPT # устанавливаем политики в таблице mangle $IPTABLES -t mangle -P PREROUTING ACCEPT $IPTABLES -t mangle -P INPUT ACCEPT $IPTABLES -t mangle -P FORWARD ACCEPT $IPTABLES -t mangle -P OUTPUT ACCEPT $IPTABLES -t mangle -P POSTROUTING ACCEPT # 1. Конфигурация. # 1.1 Internet . INET_IP="x.x.x.x" # ваш внешний интерфейс INET_BROADCAST="x.x.x.x" # ваш бродкаст INET_IFACE="eth1" # 1.2 Local . LAN_IP="192.168.1.8" LAN_IP_RANGE="192.168.1.0/24" LAN_BROADCAST="192.168.1.255" LAN_IFACE="eth0" # 1.3 Localhost Configuration. LO_IFACE="lo" LO_IP="127.0.0.1" ########################################################################### # # 2. Подгружаем модули. # # /sbin/depmod -a # 2.1 Нужные модули /sbin/modprobe ip_tables /sbin/modprobe iptable_filter /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp #/sbin/modprobe ip_conntrack_irc /sbin/modprobe iptable_mangle /sbin/modprobe iptable_nat /sbin/modprobe ipt_LOG /sbin/modprobe ipt_limit /sbin/modprobe ipt_REJECT #/sbin/modprobe ip_queue /sbin/modprobe ipt_state ############################################################ # 3. /proc set up. # 3.1 Устанавливаем флаг форвардинга в 1 (включаем NAT) echo "1" > /proc/sys/net/ipv4/ip_forward ############################################################ # # 4. Устанавливаем Рулесы. ###### # 4.1 таблица Filter # # 4.1.1 Создаем пользовательские цепочки. # $IPTABLES -N all2all $IPTABLES -N common $IPTABLES -N eth0_fwd $IPTABLES -N eth0_in $IPTABLES -N eth1_fwd $IPTABLES -N eth1_in $IPTABLES -N fw2loc $IPTABLES -N fw2net $IPTABLES -N loc2fw $IPTABLES -N loc2net $IPTABLES -N logdrop $IPTABLES -N net2all $IPTABLES -N net2fw $IPTABLES -N newnotsyn $IPTABLES -N reject $IPTABLES -N rfc1918 # 4.1.2 INPUT chain $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A INPUT -p ! icmp -m state --state INVALID -j DROP $IPTABLES -A INPUT -p tcp -m state --state NEW -m tcp ! --syn -j newnotsyn $IPTABLES -A INPUT -i eth0 -j eth0_in $IPTABLES -A INPUT -i eth1 -j eth1_in $IPTABLES -A INPUT -j common $IPTABLES -A INPUT -j LOG --log-level info --log-prefix "Firewall:INPUT:REJECT:" $IPTABLES -A INPUT -j reject # 4.1.3 FORWARD chain $IPTABLES -A FORWARD -p ! icmp -m state --state INVALID -j DROP $IPTABLES -A FORWARD -p tcp -m state --state NEW -m tcp ! --syn -j newnotsyn $IPTABLES -A FORWARD -i eth0 -j eth0_fwd $IPTABLES -A FORWARD -i eth1 -j eth1_fwd $IPTABLES -A FORWARD -j common $IPTABLES -A FORWARD -j LOG --log-level info --log-prefix "Firewall:FORWARD:REJECT:" $IPTABLES -A FORWARD -j reject # 4.1.4 OUTPUT chain $IPTABLES -A OUTPUT -o lo -j ACCEPT $IPTABLES -A OUTPUT -p ! icmp -m state --state INVALID -j DROP $IPTABLES -A OUTPUT -p tcp -m state --state NEW -m tcp ! --syn -j newnotsyn $IPTABLES -A OUTPUT -o eth0 -j fw2loc $IPTABLES -A OUTPUT -o eth1 -j fw2net $IPTABLES -A OUTPUT -j common $IPTABLES -A OUTPUT -j LOG --log-level info --log-prefix "Firewall:OUTPUT:REJECT:" $IPTABLES -A OUTPUT -j reject # 4.2.1 Создаем правила в цепочках # eth0_in chain $IPTABLES -A eth0_in -j loc2fw # eth0_fwd chain $IPTABLES -A eth1_fwd -p tcp -m state --state NEW -m tcp --tcp-flags SYN,ACK SYN,ACK -j reject $IPTABLES -A eth0_fwd -o eth1 -j loc2net # eth1_in chain $IPTABLES -A eth1_in -p tcp -m state --state NEW -m tcp --tcp-flags SYN,ACK SYN,ACK -j reject $IPTABLES -A eth1_in -m state --state NEW -j rfc1918 $IPTABLES -A eth1_in -j net2fw # eth1_fwd chain $IPTABLES -A eth1_fwd -p tcp -m state --state NEW -m tcp --tcp-flags SYN,ACK SYN,ACK -j reject $IPTABLES -A eth1_fwd -m state --state NEW -j rfc1918 $IPTABLES -A eth1_fwd -o eth0 -j net2all # loc2fw chain (доступ из локалки на этот сервер: Squid и т.д.) # Доступ к Squid открывается скриптом OnDisconnect $IPTABLES -A loc2fw -p icmp -m icmp --icmp-type 8 -j ACCEPT # разрешаем ping $IPTABLES -A loc2fw -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT # DNS $IPTABLES -A loc2fw -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT # DNS $IPTABLES -A loc2fw -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT # SSH $IPTABLES -A loc2fw -p udp -m state --state NEW -m udp --dport 5555 -j ACCEPT # avtorizator stargazera $IPTABLES -A loc2fw -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT #FTP $IPTABLES -A loc2fw -p udp -m state --state NEW -m udp --dport 123 -j ACCEPT #time ntpd $IPTABLES -A loc2fw -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT # web на этом сервере $IPTABLES -A loc2fw -m state --state RELATED,ESTABLISHED -j ACCEPT # разрешаем открытые соединения $IPTABLES -A loc2fw -j all2all # loc2net chain # Тут те - кому можно собирать почту и т.д. через NAT $IPTABLES -A loc2net -p icmp -m icmp --icmp-type 8 -j ACCEPT $IPTABLES -A loc2net -p tcp -m state --state NEW -m tcp -s 192.168.1.224 --dport 21 -j ACCEPT #ftp $IPTABLES -A loc2net -p tcp -m state --state NEW -m tcp -s 192.168.1.224 --dport 23 -j ACCEPT $IPTABLES -A loc2net -p tcp -m state --state NEW -m tcp -s 192.168.1.224 --dport 25 -j ACCEPT $IPTABLES -A loc2net -p tcp -m state --state NEW -m tcp -s 192.168.1.224 --dport 110 -j ACCEPT $IPTABLES -A loc2net -p tcp -m state --state NEW -m tcp -s 192.168.1.224 --dport 5190 -j ACCEPT #ICQ $IPTABLES -A loc2net -p tcp -m state --state NEW -m tcp -s 192.168.1.224 --dport 2802 -j ACCEPT #webmoney $IPTABLES -A loc2net -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -A loc2net -j common $IPTABLES -A loc2net -j LOG --log-level info --log-prefix "Firewall:loc2net:DROP:" $IPTABLES -A loc2net -j DROP # fw2loc chain (пакеты с сервера в локалку) $IPTABLES -A fw2loc -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -A fw2loc -p icmp -m icmp --icmp-type 8 -j ACCEPT $IPTABLES -A fw2loc -j ACCEPT # fw2net chain (пакеты с сервера в интернет) $IPTABLES -A fw2net -p icmp -m icmp --icmp-type 8 -j ACCEPT $IPTABLES -A fw2net -p udp -m state --state NEW -j ACCEPT $IPTABLES -A fw2net -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT # разрешаем www $IPTABLES -A fw2net -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT #dns $IPTABLES -A fw2net -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT $IPTABLES -A fw2net -p udp -m state --state NEW -m udp --dport 123 -j ACCEPT #ntp $IPTABLES -A fw2net -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT $IPTABLES -A fw2net -p tcp -m state --state NEW -m tcp --dport 23 -j ACCEPT $IPTABLES -A fw2net -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -A fw2net -j common $IPTABLES -A fw2net -j LOG --log-level info --log-prefix "Firewall:fw2net:DROP:" $IPTABLES -A fw2net -j DROP # net2fw chain $IPTABLES -A net2fw -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -A net2fw -p icmp -m icmp --icmp-type 8 -j ACCEPT $IPTABLES -A net2fw -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT #ftp на серваке извне $IPTABLES -A net2fw -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT #ssh #$IPTABLES -A net2fw -j LOG --log-level info --log-prefix "Firewall:net2fw:DROP:" $IPTABLES -A net2fw -j net2all # net2all chain $IPTABLES -A net2all -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -A net2all -j common #$IPTABLES -A net2all -j LOG --log-level info --log-prefix "Firewall:net2all:DROP:" #можно вкл. но слишком большие логи $IPTABLES -A net2all -j reject # all2all chain $IPTABLES -A all2all -j common $IPTABLES -A all2all -j LOG --log-level info --log-prefix "Firewall:all2all:REJECT:" $IPTABLES -A all2all -j reject # logdrop chain $IPTABLES -A logdrop -j LOG --log-level info --log-prefix "Firewall:logdrop:DROP:" $IPTABLES -A logdrop -j DROP # newnotsyn chain $IPTABLES -A newnotsyn -j LOG --log-level info --log-prefix "Firewall:newnotsyn:DROP:" $IPTABLES -A newnotsyn -j DROP # reject chain $IPTABLES -A reject -p tcp -j REJECT --reject-with tcp-reset $IPTABLES -A reject -p udp -j REJECT --reject-with icmp-port-unreachable $IPTABLES -A reject -p icmp -j REJECT --reject-with icmp-host-unreachable $IPTABLES -A reject -j REJECT --reject-with icmp-host-prohibited # common chain $IPTABLES -A common -p udp -m multiport --dports 135,137,138,139,445 -j reject $IPTABLES -A common -p tcp -m multiport --dports 113,139,445,135 -j reject $IPTABLES -A common -p udp --dport 1900 -j DROP $IPTABLES -A common -d 255.255.255.255 -j DROP $IPTABLES -A common -d 224.0.0.0/4 -j DROP $IPTABLES -A common -d $INET_BROADCAST -j DROP $IPTABLES -A common -d $LAN_BROADCAST -j DROP # rfc1918 chain $IPTABLES -A rfc1918 -s 255.255.255.255 -j RETURN $IPTABLES -A rfc1918 -m conntrack --ctorigdst 255.255.255.255 -j RETURN $IPTABLES -A rfc1918 -s 169.254.0.0/16 -j DROP $IPTABLES -A rfc1918 -m conntrack --ctorigdst 169.254.0.0/16 -j DROP $IPTABLES -A rfc1918 -s 172.16.0.0/12 -j DROP $IPTABLES -A rfc1918 -m conntrack --ctorigdst 172.16.0.0/12 -j DROP $IPTABLES -A rfc1918 -s 192.0.2.0/24 -j DROP $IPTABLES -A rfc1918 -m conntrack --ctorigdst 192.0.2.0/24 -j DROP $IPTABLES -A rfc1918 -s 192.168.0.0/16 -j DROP $IPTABLES -A rfc1918 -m conntrack --ctorigdst 192.168.0.0/16 -j DROP $IPTABLES -A rfc1918 -s 0.0.0.0/7 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 0.0.0.0/7 -j logdrop $IPTABLES -A rfc1918 -s 2.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 2.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 5.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 5.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 7.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 7.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 10.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 10.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 23.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 23.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 27.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 27.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 31.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 31.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 36.0.0.0/7 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 36.0.0.0/7 -j logdrop $IPTABLES -A rfc1918 -s 39.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 39.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 41.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 41.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 42.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 42.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 49.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 49.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 50.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 50.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 58.0.0.0/7 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 58.0.0.0/7 -j logdrop $IPTABLES -A rfc1918 -s 60.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 60.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 70.0.0.0/7 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 70.0.0.0/7 -j logdrop $IPTABLES -A rfc1918 -s 72.0.0.0/5 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 72.0.0.0/5 -j logdrop $IPTABLES -A rfc1918 -s 83.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 83.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 84.0.0.0/6 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 84.0.0.0/6 -j logdrop $IPTABLES -A rfc1918 -s 88.0.0.0/5 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 88.0.0.0/5 -j logdrop $IPTABLES -A rfc1918 -s 96.0.0.0/3 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 96.0.0.0/3 -j logdrop $IPTABLES -A rfc1918 -s 127.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 127.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 197.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 197.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 198.18.0.0/15 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 198.18.0.0/15 -j logdrop $IPTABLES -A rfc1918 -s 201.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 201.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 240.0.0.0/4 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 240.0.0.0/4 -j logdrop ######## # 5 таблица NAT # # 5.1 Создаем польз. цепочки $IPTABLES -t nat -N eth1_masq # POSTROUTING chain $IPTABLES -t nat -A POSTROUTING -o eth1 -j eth1_masq # 5.2 Создаем правила в польз. цепочках # eth1_masq chain $IPTABLES -t nat -A eth1_masq -s $LAN_IP_RANGE -j SNAT --to-source $INET_IP

С етим я уже определился.. От биллинг требуеться снятие абонку ежемесячно, резать скорость инета в зависимости от выбранного пакета, траффик не какой считать не надо. И есть пару сатов, на которые скорость резать не надо.

Народ, нужна еще помощь. Старгайзер стоит работает, но не настроеный нулячий.Что дальше натсроивать где мона взять нормальную инструкцию, ба на их сайте они для старых версий, а в новых там конфиг по другому. И как надо настраивать саму систему айпитаблес и все такое... Дайте ссылочкий на инфу или раскажите.. Плис, срочно надо. Вдолгу не остануся За рание огромные сенкс..

А что за залет с /usr/sbin? - По етому поводу прогнал все норма)) А с автозапуском ща покавыряюся...

/usr/sbin/stargazer и /usr/lib/stg/* Вот ето опвилося Тока что попробывал запустить его через /usr/sbin/stargazer Запустился, вроде как работает. Щас буду ковырять конфигги и др. Но вот его в автозапуске нету Как его туда запихнуть? И в чем залет с /usr/sbin?

Ну оп иструкции.. Поставил Експат поставил г++ ПОтом ln -s /usr/bin/make /usr/bin/gmake Ну а потом ./build make install

Почитал я мануал, где смог разобрался. И в итоге у мну не появляеться бинарный фаил в каталоге /usr/sbin Что делать и как быть?

Спасибо, почетаю, бо сразу как то и не заметил)) А еще вопросик. Как можно проверить поставился ли сервер или нет?

Люди, помогите разобраться!Есть локалка, и есть билиннгл на основе СТГ и убунты. Стоит две сетевые - одна смотри в мир с белым айпи, вторая в сеть 192.168.10.0-255 с таким вот диапазоном. У абонентов исключительно безлимитные пакеты. Поставил убунту, поставил туда стг - вроде стало все без глюков, ну а вот что делать дальше после установки не как не могу разобраться! Нужна помощь по дальнейще настройки биллинга. Что надо делать сразу после инсталяции.... Зарание огромное спасибо!