Перейти к содержимому

ALeX_mel

Маглы
 Просмотреть профиль  Активность

  • Публикации

    29

  • Зарегистрирован

  • Посещение

 Активность

 Тип публикации 

Все публикации пользователя ALeX_mel

  1. ALeX_mel

    Kaspersky FTP в UA-IX...

    тему ответил в Злой ТаракаН пользователя ALeX_mel в Софт

    ftp://ftp.univ.kiev.ua/ смотри тут :loop:
  2. ALeX_mel

    Привязка IP к MAC

    тему ответил в ALeX_mel пользователя ALeX_mel в Для людей

    Требуеться чтоб некоторые люди те что меняют свой ИП на ИП соседа, не смогли иметь доступ к серваку, поскольку к каждому ИП прописан был Мак-адрес. Проблема в том что я не то что-то делаю, потому что не получаеться.
  3. ALeX_mel

    Привязка IP к MAC

    тему ответил в ALeX_mel пользователя ALeX_mel в Для людей

    Люди что ничё никто не может сказать...
  4. ALeX_mel

    Привязка IP к MAC

    тему ответил в ALeX_mel пользователя ALeX_mel в Для людей

    и что ты после этого делал??? service network restart я делал по другому создавал файл типа #!/bin/bash arp -s айпи мак а все пустые ипы arp -s айпи 00:00:00:00:00:00 #!/bin/bash #192.168.1.9 arp -s 192.168.1.2 00:60:97:2A:25:xx arp -s 192.168.1.50 00:80:C8:38:D1:xx #192.168.1.21 arp -s 192.168.1.16 00:80:48:13:93:xx arp -s 192.168.1.1 00:A1:B0:00:93:xx #192.168.1.12 #192.168.1.3 #192.168.1.22 #192.168.1.10 arp -s 192.168.1.15 00:0E:2E:2A:DE:xx #192.168.1.6 arp -s 192.168.1.4 00:50:FC:D7:58:xx arp -s 192.168.1.19 00:0B:6A:A4:BB:xx #192.168.1.11 вот мой файл, и на запуск его он пишет SIOCSARP: Network is unreachable bash: SIOCSARP:: command not found
  5. ALeX_mel

    Привязка IP к MAC

    тему ответил в ALeX_mel пользователя ALeX_mel в Для людей

    и что ты после этого делал???
  6. ALeX_mel
    Подскажите, может я неверно делаю: инструкция с opennet.ru Я сделал так (идею тоже нашел на этом сайте): 1. Создал файл б/д привязки IP к MAC (например /etc/ethers.local) Пример строк из файла: 192.168.0.11 00:0c:6e:3f:cd:e5 #kasa2 192.168.0.12 00:0d:88:82:da:a2 #mobil и т. д. 2. Написал скрипт такого содержания: (например /etc/static.arp): #!/bin/sh # обнуляем всю таблицу arp arp -ad > null # к каждому компу в локальной сети привязываем несуществующий (нулевой) # MAC адрес I=1 while [ $I -le 254 ] do arp -s 192.168.0.${I} 0:0:0:0:0:0 I=`expr $I + 1` done # к реально существующему компу в сети из базы данных в файле # /etc/ethers.local привязываем # правильный MAC адрес arp -f /etc/ethers.local после запуска static.arp просто идёт еррор и сервак пропадает с сети! может кто подскажет другие методы для привязки ИП к Мак заранее спасибо
  7. ALeX_mel

    Отключение мира!

    тему ответил в ALeX_mel пользователя ALeX_mel в Для людей

    DEN Громадное спасибо! :loop:
  8. ALeX_mel

    Отключение мира!

    тему ответил в ALeX_mel пользователя ALeX_mel в Для людей

    Sorry Den всё-таки ты чётко сказал этой строчкой получилось терь осталось чтоб сквид пускал... если закоментировать в фаере #redirect squid iptables -t nat -A PREROUTING -i eth2 -d ! 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT........ то норма, а если пускать через сквид то: ERROR The requested URL could not be retrieved While trying to retrieve the URL: http://hub.ru/modules.php? The following error was encountered: Connection Failed The system returned: (111) Connection refused The remote host or network may be down. Please try the request again. Your cache administrator is root. Generated Thu, 25 Aug 2005 22:05:41 GMT by proxy.lan.com.ua (squid/2.5.STABLE5) а в сквиде прописаны: squid.conf acl shara dst "/etc/squid/acl/local.ip" acl shara dst "/etc/squid/acl/ua-ix.ip" : : http_reply_access allow all # ----------------------------------------------------------------------------- icp_access allow all # ----------------------------------------------------------------------------- #miss_access allow all # ----------------------------------------------------------------------------- httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on visible_hostname proxy.lan.com.ua # ----------------------------------------------------------------------------- always_direct allow shara # ----------------------------------------------------------------------------- never_direct deny shara never_direct allow all
  9. ALeX_mel

    Отключение мира!

    тему ответил в ALeX_mel пользователя ALeX_mel в Для людей

    eth1- Internet eth2- Lan Ту строчку которую вы мне и тогда давали: iptables -I UA_IX 1 -s 192.168.0.111 -j RETURN я сделал как сказали, а результата не получил
  10. ALeX_mel

    Отключение мира!

    тему ответил в ALeX_mel пользователя ALeX_mel в Для людей

    У меня прописано чтоб полностью отрезать мир, а теперь хотелось бы чтоб отдельным людям открыть а отдельным чтоб был закрыт мир! Вот : $IPTABLES -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 3128 -j ACCEPT #UA-IX $IPTABLES -X UA_IX $IPTABLES -X UA_IX_S $IPTABLES -N UA_IX $IPTABLES -N UA_IX_S ############ grep "^" $IPFILE | while read ip; do if [ $ip <> NULL ] then $IPTABLES -A UA_IX -d $ip -j RETURN fi done $IPTABLES -A UA_IX -j REJECT ############# grep "^" $IPFILE | while read ip; do if [ $ip <> NULL ] then $IPTABLES -A UA_IX_S -s $ip -j RETURN fi done $IPTABLES -A UA_IX_S -j REJECT ############# $IPTABLES -I INPUT 1 -i eth1 -j UA_IX_S $IPTABLES -I OUTPUT 1 -o eth1 -j UA_IX $IPTABLES -I FORWARD 1 -s 192.168.1.0/24 -j UA_IX но повторяю это отключает всем а у меня не получаеться сделать чтоб отдельным IP включать или отключать
  11. ALeX_mel
    Люди, вы не подскажите как кто отключает мир конкретному IP. Чтоб при этом UA-IX у всех оставался! Linux
  12. ALeX_mel
    Вот провайдер дает мне домен Например @fogmedical.com.ua. А мне требуеться настроить внутренюю виртуальную почту.
  13. ALeX_mel

    Помогите! cbq нарезка на интерфейсы

    тему ответил в ZVER пользователя ALeX_mel в Софт

    Мне потребоволось также порезать канал... У меня не был установлен cbq, я просто скачал в rc.d файлик cbq.init и твои примеры в sysconfig/cbq У меня eth1 это Инет, eth2 - сеть такие файлы: cbq-0006.smb_lim DEVICE=eth1,100Mbit RATE=26Kbit WEIGHT=2Kbit PRIO=5 LEAF=sfq RULE=192.168.1.111,192.168.1.0/24 PARENT=0004 и cbq-112.lan DEVICE=eth1,100Mbit RATE=26Kbit WEIGHT=2Kbit PRIO=5 RULE=:80,192.168.1.0/24 RULE=:3128,192.168.1.0/24 RULE=:8080,192.168.1.0/24 RULE=:20/0xfffe,192.168.1.0/24 RULE=:25,192.168.1.0/24 RULE=:110,192.168.1.0/24 RULE=:443,192.168.1.0/24 BUFFER=3000 LIMIT=5000 LEAF=sfq запуск произвожу ./cbq.init start после чего просто происходит переход на новую строку и ничего с каналом не происходит, всё уходит под 1 человека который качает! Что у меня не то???
  14. ALeX_mel
    Вопрос: Есть домен @.......net - предположим! Есть сервак с Линуксом Федора 3. Приходит почта конкретному абоненту сети пример: asd@......net, sdf@.....net чтоб сервак розрулил почту... может я не то чуть-чуть написал, если чё то исправте и подскажите, про что почитать или поделитесь опытом...
  15. ALeX_mel
    Какого можете посоветовать провайдера, иль какой провайдер может подключить к Инету по ул.Двинская,19??? Рассмотрю любые варианты, но хотелось бы что-то с анлимом украины... Спасибо! :loop:
  16. ALeX_mel

    rules

    тему ответил в ALeX_mel пользователя ALeX_mel в Вопросы по Stargazer

    правильно. Сетка полюбому должна набегать потому что служебная инфа между сервером и клиентом ходит. Как минимум авторизатор подключённый к серверу у меня кушает 3-4 мб в час.... вот и считай..... если у тебя дхцп (у меня аренда 10 минут) то это тоже трафик.... Точно!!! Спасибо! вот так спокойней :loop:
  17. ALeX_mel

    rules

    тему ответил в ALeX_mel пользователя ALeX_mel в Вопросы по Stargazer

    не имеет значения. А что нельзя например с конкретного фтп стянуть файлик определённого размера и посмотреть как он посчитался? У меня у людей у кого мир закрыт, за месяц набегает чуток мира.... это нормально.... это исходящие....(запросы). А бывают попадаются такие "пропатченые" тазики у людей что там только на запросах 50 Мб мира в месяц улетает Сам был в шоке.... пересмотрел детальную статистику.... и правда... машина постоянно ломится и так по 1-3 кб в минуту набегает нормально... Тобеж можна оставить только ALL 0.0.0.0/0 DIR2 а остальное не трогать... TCP 0.0.0.0/0:80 DIR2 -убрать UDP 0.0.0.0/0:80 DIR2 -убрать TCP 0.0.0.0/0:21 DIR2 -убрать UDP 0.0.0.0/0:21 DIR2 -убрать Сначала провериться сетка ли это! Потом Украина ли это А потом эсли не то и ни другое то просто МИР! У меня толком роутер только ж роздает инет! Почему же часть мб рубит в DIR1, с него ж нечё не качают! Так и делаю(качаю с фтп и сравниваю), но меня смущает чего он рулит и откуда тот траф лезит на 192,168,1,0/24 DIR1
  18. ALeX_mel

    rules

    тему ответил в ALeX_mel пользователя ALeX_mel в Вопросы по Stargazer

    уникально нужно привыкать что Воля дурит..... С правилами всё ок Но на этих рулсах оно гонит трафф в DIR1 и DIR2 хотя DIR2 не обращаються - мир закрыт DIR0 - Украина, которую все смотрят DIR1- Lan , но также её ж не задевают(развечто я, и то немного) Ден, а что уникального, что-то не так??
  19. ALeX_mel

    rules

    тему ответил в ALeX_mel пользователя ALeX_mel в Вопросы по Stargazer

    это не помогло, просто летит траф, не понятно чего если есть возможность дайте свои рулсы
  20. ALeX_mel

    rules

    тему добавил ALeX_mel в Вопросы по Stargazer

    Вот это мой rules: #LAN ALL 10.0.0.0/8 DIR1 ALL 192.168.1.0/24 DIR1 #----------------------------------------- #Ukraine ALL 195.123.0.0/16 DIR0 ALL 85.202.0.0/16 DIR0 ALL 212.1.64.0/18 DIR0 :::::::::::::::::::::::::::::::: :::::::::::::::::::::::::::::::: ALL 80.70.74.0/24 DIR0 ALL 80.70.77.0/24 DIR0 ALL 80.70.78.0/24 DIR0 ALL 80.70.80.0/24 DIR0 ALL 80.90.239.0/24 DIR0 ###WORLD ALL 0.0.0.0/0 DIR2 TCP 0.0.0.0/0:80 DIR2 UDP 0.0.0.0/0:80 DIR2 TCP 0.0.0.0/0:21 DIR2 UDP 0.0.0.0/0:21 DIR2 Оно считает, но такое ощущение что не то.... Потому что мир у меня недоступен а он рулит часть трафа в мир... А если сравнить украину старгейзера и статистики инета то расходство!!!
  21. ALeX_mel
    Вот rc.firewall #!/bin/sh PATH=/sbin:/bin:/usr/bin # Binaries IPTABLES="/sbin/iptables" SYSCTL="/sbin/sysctl" MODPROBE="/sbin/modprobe" # Set to blank for no debug. Default to on for now. DEBUG="1" # Shorthand ALLIP="0.0.0.0/0" IPFILE="/etc/rc.d/ua-ix.ip" $IPTABLES -t nat -F $IPTABLES -t mangle -F $IPTABLES -t filter -F $IPTABLES -F ######################################################################### # # G A T E W A Y F I R E W A L L # ######################################################################### # Enable IP Forwarding, not really required for standalone mode $SYSCTL -w net.ipv4.ip_forward=1 >/dev/null # Enable TCP SYN Cookie protection: $SYSCTL -w net.ipv4.tcp_syncookies=1 >/dev/null # Enabling dynamic TCP/IP address hacking. $SYSCTL -w net.ipv4.ip_dynaddr=1 >/dev/null # IPsec 2.x now handles this... # $SYSCTL -w net.ipv4.conf.all.rp_filter=0 >/dev/null # $SYSCTL -w net.ipv4.conf.eth0.rp_filter=0 >/dev/null 2>/dev/null # $SYSCTL -w net.ipv4.conf.ppp0.rp_filter=0 >/dev/null 2>/dev/null # Log spoofed, source-routed, and redirect packets $SYSCTL -w net.ipv4.conf.all.log_martians=0 >/dev/null # Disable ICMP Re-directs $SYSCTL -w net.ipv4.conf.all.accept_redirects=0 >/dev/null $SYSCTL -w net.ipv4.conf.all.send_redirects=0 >/dev/null # Ensure that source-routed packets are dropped $SYSCTL -w net.ipv4.conf.all.accept_source_route=0 >/dev/null # Disable ICMP broadcast echo protection $SYSCTL -w net.ipv4.icmp_echo_ignore_broadcasts=1 >/dev/null # Enable bad error message protection $SYSCTL -w net.ipv4.icmp_ignore_bogus_error_responses=1 >/dev/null ############################################################################### ############# # # SetPolicyToDrop # ############################################################################### ############# $IPTABLES -P INPUT ACCEPT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD DROP ############################################################################### ############# # # LoadKernelModules # ############################################################################### ############# $MODPROBE ipt_LOG # Add LOG target. $MODPROBE ipt_REJECT # Add REJECT target. $MODPROBE ipt_MASQUERADE # Add MASQUERADE target. $MODPROBE ipt_owner # Allows you to match for the owner. $MODPROBE ip_conntrack_ftp # Connection tracking for FTP. $MODPROBE ip_conntrack_irc # Connection tracking for IRC. $MODPROBE ip_nat_ftp # Active FTP $MODPROBE ip_nat_irc # IRC stuff # PPTP and dependencies don't always auto-load... # Office Edition only. $MODPROBE ppp_generic > /dev/null 2>&1 $MODPROBE ppp_mppe > /dev/null 2>&1 $MODPROBE ip_conntrack_proto_gre > /dev/null 2>&1 $MODPROBE ip_conntrack_pptp > /dev/null 2>&1 $MODPROBE ip_nat_proto_gre > /dev/null 2>&1 ############################################################################### ############# # # RunCommonRules # ############################################################################### ############# # Allow everything on the loopback #--------------------------------- $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A OUTPUT -o lo -j ACCEPT #DNS $IPTABLES -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p tcp --sport 53 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p udp --sport 53 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --dport 53 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p udp --dport 53 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 53 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p udp --sport 53 -j ACCEPT #Autorizator $IPTABLES -A INPUT -i eth1 -p tcp --dport 4444 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p udp --dport 4444 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p tcp --sport 4444 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p udp --sport 4444 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --dport 4444 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p udp --dport 4444 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 4444 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p udp --sport 4444 -j ACCEPT #Konfigurator $IPTABLES -A INPUT -i eth1 -p tcp --dport 5555 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p udp --dport 5555 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p tcp --sport 5555 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p udp --sport 5555 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --dport 5555 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p udp --dport 5555 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 5555 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p udp --sport 5555 -j ACCEPT #SSH $IPTABLES -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 22 -j ACCEPT #FTP $IPTABLES -A INPUT -i eth1 -p tcp --dport 20 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 20 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 21 -j ACCEPT #Gateway $IPTABLES -I INPUT 1 -i eth0 -j ACCEPT $IPTABLES -I OUTPUT 1 -o eth0 -j ACCEPT # Block IPs that should never show up on our external interface #-------------------------------------------------------------- $IPTABLES -A INPUT -i eth0 -s 192.168.222.0/24 -j REJECT # Allow some ICMP (ping) #----------------------- # 0 Needed to ping hosts outside the network. # 3 Needed by all networks. # 11 Needed by the traceroute program. $IPTABLES -A INPUT -p icmp -j ACCEPT # Allow DHCP client to respond #----------------------------- $IPTABLES -A INPUT -i eth0 -p udp --dport bootpc --sport bootps -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport bootpc --sport bootps -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport bootpc --dport bootps -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p udp --sport bootpc --dport bootps -j ACCEPT ############################################################################### ############# # # RunIncomingAllowed # ############################################################################### ############# # Standard ports and port ranges #------------------------------- $IPTABLES -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 81 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 1875 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 6666 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 10000 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 21 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 81 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 443 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 1875 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 6666 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 10000 -j ACCEPT ############################################################################### ############# # # RunIncomingAllowedDefaults # ############################################################################### ############# # Allow high ports #----------------- $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 1024:65535 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p udp --sport 1024:65535 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p udp --dport 1024:65535 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT ############################################################################### ############# # # RunIncomingDeniedDefaults # ############################################################################### ############# # $IPTABLES -A INPUT -i eth0 -s $ALLIP -d $ALLIP -j DROP # $IPTABLES -A OUTPUT -o eth0 -s $ALLIP -d $ALLIP -j DROP ############################################################################### ############# # # PortForwardRules # ############################################################################### ############# ############################################################################### ############# # # RunOutgoingDeniedDefaults # ############################################################################### ############# $IPTABLES -A FORWARD -j DROP -o eth0 -p tcp --dport 111 # RPC stuff $IPTABLES -A FORWARD -j DROP -o eth0 -p udp --dport 111 # RPC stuff $IPTABLES -A FORWARD -j DROP -o eth0 -p tcp --dport 137:139 # Samba $IPTABLES -A FORWARD -j DROP -o eth0 -p udp --dport 137:139 # Samba $IPTABLES -A FORWARD -j DROP -o eth0 -p tcp --dport 635 # Mountd $IPTABLES -A FORWARD -j DROP -o eth0 -p udp --dport 635 # Mountd # Enable masquerading #-------------------- $IPTABLES -A POSTROUTING -t nat -j MASQUERADE -o eth0 ############################################################################### ############# # # RedirectToSquid # ############################################################################### ############# $IPTABLES -t nat -A PREROUTING -i eth1 -d ! 192.168.222.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 ############################################################################### ############# # # ACCEPTing FORWARD # ############################################################################### ############# $IPTABLES -I FORWARD 1 -s 192.168.222.102 -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.222.102 -j ACCEPT $IPTABLES -I FORWARD 1 -s 192.168.222.103 -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.222.103 -j ACCEPT $IPTABLES -I FORWARD 1 -s 192.168.222.104 -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.222.104 -j ACCEPT $IPTABLES -I FORWARD 1 -s 192.168.222.105 -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.222.105 -j ACCEPT $IPTABLES -I FORWARD 1 -s 192.168.222.106 -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.222.106 -j ACCEPT ############################################################################### ############# # # UA_IX Chains # ############################################################################### ############# $IPTABLES -X UA_IX $IPTABLES -X UA_IX_S $IPTABLES -N UA_IX $IPTABLES -N UA_IX_S ############# grep "^" $IPFILE | while read ip; do if [ $ip <> NULL ] then $IPTABLES -A UA_IX -d $ip -j RETURN fi done $IPTABLES -A UA_IX -j REJECT ############# grep "^" $IPFILE | while read ip; do if [ $ip <> NULL ] then $IPTABLES -A UA_IX_S -s $ip -j RETURN fi done $IPTABLES -A UA_IX_S -j REJECT ############# $IPTABLES -I INPUT 1 -i eth0 -j UA_IX_S $IPTABLES -I OUTPUT 1 -o eth0 -j UA_IX ############################################################################### ############# # # DROPing BAD SITES # ############################################################################### ############# $IPTABLES -I FORWARD 1 -s 192.168.222.0/24 -j UA_IX Вот скрипт OnConnect: #!/bin/bash ip=$2 iptables -t filter -A INPUT -s $ip -j ACCEPT iptables -t filter -A FORWARD -s $ip -j ACCEPT iptables -t filter -A FORWARD -d $ip -j ACCEPT iptables -t filter -A OUTPUT -d $ip -j ACCEPT #!/bin/bash #Login LOGIN=$1 #user IP echo $2 IP=$2 #cash CASH=$3 #user ID ID=$4 echo "Connect login='$LOGIN' ip=$IP cash=$CASH" >> /tmp/users скрипт OnDisconnect: #!/bin/bash ip=$2 iptables -t filter -D INPUT -s $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D INPUT -s $ip -j ACCEPT done ################################## iptables -t filter -D FORWARD -s $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D FORWARD -s $ip -j ACCEPT done ################################## iptables -t filter -D FORWARD -d $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D FORWARD -d $ip -j ACCEPT done ################################## iptables -t filter -D OUTPUT -d $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D OUTPUT -d $ip -j ACCEPT done #!/bin/bash # Login LOGIN=$1 #user IP echo $2 IP=$2 #cash CASH=$3 #user ID ID=$4 #echo "Connect login='$LOGIN' ip=$IP cash=$CASH" >> /tmp/users stargazer.conf : rules=/etc/stargazer/rules WorkDir=/var/stargazer/ LogFile=/var/log/stargazer.log UserTimeout=60 UserDelay=10 FreeMb=cash StatTime=1/6 Password=123456 adminPort=5555 userPort=4444 MaxUsers=15 TurnTraff=no Kilo=1000 DayFee=1 DayResetTraff=1 DirName0=Ukr DirName1= SpreadFee=no StatOwner=root StatGroup=stg_stat StatMode=640 ConfOwner=root ConfGroup=root ConfMode=640 UserLogOwner=root UserLogGroup=root UserLogMode=640 AdminOrder=allow,deny AdminAllowFrom=192.168.1.1 AdminDenyFrom=all UserOrder=allow,deny UserAllowFrom=192.168.1.0/24 FloodControl=yes Если делать выкл авторизатор то отрубает всё кроме сайтов и закачки, из-за того что прозрачный сквид! Но ладно, если потом сделать подключение по авторизатору то подключаеться как онлайн, но нету того что было! Ну также если использовать правила для отрубки сайтов и закачки: iptables -I INPUT -i eth1 -s $ip -j DROP iptables -I OUTPUT -o eth1 -d $ip -j DROP то рубит напрочь потом нельзя даже выйти на конфигуратор, сервак вообще не видно! В чём тут ошибка всё-таки!
  22. ALeX_mel
    Маленький нюанс: Вот это обрубает полностью, даже не видно сервак(а я ж редактирую конфигуратор)! Но потом когда пополняешь деньгу то нету инета(как будто не выполняеться OnConnect)! Это выполняеться всё в режиме Всегда Онлайн! А если сделать по конфигуратору то как только сделаю Отключение, я уже не подключусь, поскольку сервака невижу!!! On Connect: #!/bin/bash ip=$2 iptables -t filter -A INPUT -s $ip -j ACCEPT iptables -t filter -A FORWARD -s $ip -j ACCEPT iptables -t filter -A FORWARD -d $ip -j ACCEPT iptables -t filter -A OUTPUT -d $ip -j ACCEPT # Login LOGIN=$1 #user IP echo $2 IP=$2 #cash CASH=$3 #user ID ID=$4 echo "C `date +%Y.%m.%d-%H.%M.%S` $IP $CASH" >> /var/stargazer/users/$LOGIN/connect.log Называеться рано обрадовался :mrrr: :-/
  23. ALeX_mel
    Пасибо!!! Роздуплился малость... Теперь мелочь осталось и всё ОК P.S. Спасибо всем кто принял участие в моей проблеме Особая благодарнасть Дену БОЛЬШОЕ СПАСИБО!!
  24. ALeX_mel
    Почта закрываеться и некоторые порта.... Но по страницам и качать всё на УРА! Блин недоганяю!
  25. ALeX_mel
    фаераол: #!/bin/sh PATH=/sbin:/bin:/usr/bin # Binaries IPTABLES="/sbin/iptables" SYSCTL="/sbin/sysctl" MODPROBE="/sbin/modprobe" # Set to blank for no debug. Default to on for now. DEBUG="1" # Shorthand ALLIP="0.0.0.0/0" IPFILE="/etc/rc.d/ua-ix.ip" $IPTABLES -t nat -F $IPTABLES -t mangle -F $IPTABLES -t filter -F $IPTABLES -F ######################################################################### # # G A T E W A Y F I R E W A L L # ######################################################################### # Enable IP Forwarding, not really required for standalone mode $SYSCTL -w net.ipv4.ip_forward=1 >/dev/null # Enable TCP SYN Cookie protection: $SYSCTL -w net.ipv4.tcp_syncookies=1 >/dev/null # Enabling dynamic TCP/IP address hacking. $SYSCTL -w net.ipv4.ip_dynaddr=1 >/dev/null # IPsec 2.x now handles this... # $SYSCTL -w net.ipv4.conf.all.rp_filter=0 >/dev/null # $SYSCTL -w net.ipv4.conf.eth0.rp_filter=0 >/dev/null 2>/dev/null # $SYSCTL -w net.ipv4.conf.ppp0.rp_filter=0 >/dev/null 2>/dev/null # Log spoofed, source-routed, and redirect packets $SYSCTL -w net.ipv4.conf.all.log_martians=0 >/dev/null # Disable ICMP Re-directs $SYSCTL -w net.ipv4.conf.all.accept_redirects=0 >/dev/null $SYSCTL -w net.ipv4.conf.all.send_redirects=0 >/dev/null # Ensure that source-routed packets are dropped $SYSCTL -w net.ipv4.conf.all.accept_source_route=0 >/dev/null # Disable ICMP broadcast echo protection $SYSCTL -w net.ipv4.icmp_echo_ignore_broadcasts=1 >/dev/null # Enable bad error message protection $SYSCTL -w net.ipv4.icmp_ignore_bogus_error_responses=1 >/dev/null ############################################################################### ############# # # SetPolicyToDrop # ############################################################################### ############# $IPTABLES -P INPUT ACCEPT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD DROP ############################################################################### ############# # # LoadKernelModules # ############################################################################### ############# $MODPROBE ipt_LOG # Add LOG target. $MODPROBE ipt_REJECT # Add REJECT target. $MODPROBE ipt_MASQUERADE # Add MASQUERADE target. $MODPROBE ipt_owner # Allows you to match for the owner. $MODPROBE ip_conntrack_ftp # Connection tracking for FTP. $MODPROBE ip_conntrack_irc # Connection tracking for IRC. $MODPROBE ip_nat_ftp # Active FTP $MODPROBE ip_nat_irc # IRC stuff # PPTP and dependencies don't always auto-load... # Office Edition only. $MODPROBE ppp_generic > /dev/null 2>&1 $MODPROBE ppp_mppe > /dev/null 2>&1 $MODPROBE ip_conntrack_proto_gre > /dev/null 2>&1 $MODPROBE ip_conntrack_pptp > /dev/null 2>&1 $MODPROBE ip_nat_proto_gre > /dev/null 2>&1 ############################################################################### ############# # # RunCommonRules # ############################################################################### ############# # Allow everything on the loopback #--------------------------------- $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A OUTPUT -o lo -j ACCEPT #DNS $IPTABLES -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p tcp --sport 53 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p udp --sport 53 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --dport 53 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p udp --dport 53 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 53 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p udp --sport 53 -j ACCEPT #SSH $IPTABLES -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 22 -j ACCEPT #FTP $IPTABLES -A INPUT -i eth1 -p tcp --dport 20 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 20 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 21 -j ACCEPT #Gateway $IPTABLES -I INPUT 1 -i eth0 -j ACCEPT $IPTABLES -I OUTPUT 1 -o eth0 -j ACCEPT # Block IPs that should never show up on our external interface #-------------------------------------------------------------- $IPTABLES -A INPUT -i eth0 -s 192.168.x.x/24 -j REJECT # Allow some ICMP (ping) #----------------------- # 0 Needed to ping hosts outside the network. # 3 Needed by all networks. # 11 Needed by the traceroute program. $IPTABLES -A INPUT -p icmp -j ACCEPT # Allow DHCP client to respond #----------------------------- $IPTABLES -A INPUT -i eth0 -p udp --dport bootpc --sport bootps -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport bootpc --sport bootps -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport bootpc --dport bootps -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p udp --sport bootpc --dport bootps -j ACCEPT ############################################################################### ############# # # RunIncomingAllowed # ############################################################################### ############# # Standard ports and port ranges #------------------------------- $IPTABLES -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 81 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 1875 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 6666 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 10000 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 21 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 81 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 443 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 1875 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 6666 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 10000 -j ACCEPT ############################################################################### ############# # # RunIncomingAllowedDefaults # ############################################################################### ############# # Allow high ports #----------------- $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 1024:65535 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p udp --sport 1024:65535 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p udp --dport 1024:65535 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT ############################################################################### ############# # # RunIncomingDeniedDefaults # ############################################################################### ############# # $IPTABLES -A INPUT -i eth0 -s $ALLIP -d $ALLIP -j DROP # $IPTABLES -A OUTPUT -o eth0 -s $ALLIP -d $ALLIP -j DROP ############################################################################### ############# # # PortForwardRules # ############################################################################### ############# ############################################################################### ############# # # RunOutgoingDeniedDefaults # ############################################################################### ############# $IPTABLES -A FORWARD -j DROP -o eth0 -p tcp --dport 111 # RPC stuff $IPTABLES -A FORWARD -j DROP -o eth0 -p udp --dport 111 # RPC stuff $IPTABLES -A FORWARD -j DROP -o eth0 -p tcp --dport 137:139 # Samba $IPTABLES -A FORWARD -j DROP -o eth0 -p udp --dport 137:139 # Samba $IPTABLES -A FORWARD -j DROP -o eth0 -p tcp --dport 635 # Mountd $IPTABLES -A FORWARD -j DROP -o eth0 -p udp --dport 635 # Mountd # Enable masquerading #-------------------- $IPTABLES -A POSTROUTING -t nat -j MASQUERADE -o eth0 ############################################################################### ############# # # RedirectToSquid # ############################################################################### ############# $IPTABLES -t nat -A PREROUTING -i eth1 -d ! 192.168.x.x/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 ############################################################################### ############# # # ACCEPTing FORWARD # ############################################################################### ############# $IPTABLES -I FORWARD 1 -s 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 1 -s 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 1 -s 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 1 -s 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 1 -s 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.x.x -j ACCEPT ############################################################################### ############# # # UA_IX Chains # ############################################################################### ############# $IPTABLES -X UA_IX $IPTABLES -X UA_IX_S $IPTABLES -N UA_IX $IPTABLES -N UA_IX_S ############# grep "^" $IPFILE | while read ip; do if [ $ip <> NULL ] then $IPTABLES -A UA_IX -d $ip -j RETURN fi done $IPTABLES -A UA_IX -j REJECT ############# grep "^" $IPFILE | while read ip; do if [ $ip <> NULL ] then $IPTABLES -A UA_IX_S -s $ip -j RETURN fi done $IPTABLES -A UA_IX_S -j REJECT ############# $IPTABLES -I INPUT 1 -i eth0 -j UA_IX_S $IPTABLES -I OUTPUT 1 -o eth0 -j UA_IX ############################################################################### ############# # # DROPing BAD SITES # ############################################################################### ############# $IPTABLES -I FORWARD 1 -s 192.168.x.x/24 -j UA_IX #--------------------------------------------------- скрипты я брал с документации: OnDisconnect #!/bin/bash ip=$2 iptables -t filter -D INPUT -s $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D INPUT -s $ip -j ACCEPT done ################################## iptables -t filter -D FORWARD -s $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D FORWARD -s $ip -j ACCEPT done ################################## iptables -t filter -D FORWARD -d $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D FORWARD -d $ip -j ACCEPT done ################################## iptables -t filter -D OUTPUT -d $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D OUTPUT -d $ip -j ACCEPT done #---------------------------------------- OnConnect #!/bin/bash ip=$2 iptables -t filter -A INPUT -s $ip -j ACCEPT iptables -t filter -A FORWARD -s $ip -j ACCEPT iptables -t filter -A FORWARD -d $ip -j ACCEPT iptables -t filter -A OUTPUT -d $ip -j ACCEPT # , #.. stargazer # , FW # # ipchains -D input -s $2 -j REJECT # # ipchains -A input -s $2 -j ACCEPT # Login LOGIN=$1 #user IP echo $2 IP=$2 #cash CASH=$3 #user ID ID=$4 echo "C `date +%Y.%m.%d-%H.%M.%S` $IP $CASH" >> /var/stargazer/users/$LOGIN/connect.log Проблема таже: хоть у юзера закончились мб или деньги то он спокойно сидит и качает с инета!!! :bue:
×
×
  • Создать...