kroc

->g00dwinu Зачем включаешь доступ на порт 3128 в цепочки OUTPUT и FORWARD ? надо втыкать только в INPUT.

после окончания средств на счете пользователя сервак на порту 3128 с его машины перестал пинговаться. Вроде все как и положено. Только в это время качался файлик 6 метров. Файл благополучно докочался при удаленном правиле.Пинги после дисконекта не шли - файл качался. Уже говорил что никуда не пускает и все замечательно , за исключением того что файл продолжал качаться. (Жаль не 6 гигов) Политики все DROP. Может кто подскажет что за хрень такая

политики стоят DROP $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -P OUTPUT DROP

Существует такая же проблема. Не пойму откуда ноги растут, но думаю дело не в прокси и скриптах. У меня скрипт дисконект отрабатывает и строчку с которой юзер пускается в интернет типа -A loc2fw -s 192.168.1.224 -d 192.168.1.8 -p tcp -m state --state NEW -m tcp --dport 3128 -m mac --mac-source 00:A0:C9:3E:40:C8 -j ACCEPT удаляет точно. Но установленное соединение не рвется, как качал файлик 50 мегов так и продолжил качать, хотя денег дал на 2 мега. Новые соединения не происходят как и должно быть. Обновить страничку не получится. но вот почему старые , уже установленные соединения не прерываются - вопрос. И при чем тут сквид я не понимаю , когда доступ рубится айпитаблами. скрипт лежит на форуме \\ http://local.com.ua/forum/index.php?showtopic=2020 #---------------------------------------------------------------# Проблему решил, поэтому вопрос снимается. Действительно, утечка была в скрипте при проверке статуса соединения. Переделанный скрипт выложу в том же месте

Думаю что должен считаться (хотябы опционально) Считаю что правильно ибо как вы узнаете о проблеме. Если этого нет то тогда в такой системе однозначно не будет уверенности что нет утечек трафика и надо будет придумывать что то еще для контроля и сверки с СТГ. Лепить еще какой нибудь счетчик. Насчет Васи Пупкина - если пускает только айпи без паролей - значит это дыра и кто ей пользовался - неизвестно.Ты или Вася. А если не Ты то ты увидишь что твой трафик почемуто больше чем надо и сразу к админу. Получиться быстрое реагирование. Вобщем если это принципиальная позиция разработчика то плиз подумайте над тем - может действительно сделать это опцией ? Спасибо за ответы З.Ы. С опцией "Всегда онлайн" тоже непонятки опция сама за себя говорит и причем тут деньги на счету - считаю что конфигуратор должен показывать такого юзверя и считать ему траф. Можно было бы и денег на счет какой нибудь там Анжеле кинуть в подарок- рублёв 30 и пущай чуток полазает. А так получаеться дал юзеру доступ и че там он творит - фиг знает.

Странно это как то все звучит ИМХО если есть утечка трафика то она должна считаться и при чем тут надувательство когда байты бегут реально. а если не бегут то и считаться ничего не будет. Про затуп админа я конечно согласен но ни в чем никогда нельзя быть уверенным до конца - мало ли где дыра образовалась .И лучше увидеть это сразу чем потом выглядеть тупым админом. я пока настраивал СТГ много чего через него потерял. Хорошо что хоть базы с логами от сквида есть.

Хочется услышать мнение авторов на сей счет и с чем это связано, что при нулевом балансе СТГ не считает и не показывает что юзер онлайн. К примеру вылезет такая бяка , как несработавшее или неудаленное скриптом по каким то причинам правило Iptable . Что мы увидим в конфигураторе ? Ничего . типа юзер сидит играет в игрушки , а на самом деле он качает млин с инета все подряд, пока статистика не считает и инэт работает. Лично я хотел бы видеть такие нестыковки как говориться в лицо и сразу принимать какие нибудь действия. Пущай бы СТГ считал задолженность и показывал цветом. Всетаки в жизни всякое бывает. Идет трафик - считаем , не идет - не считаем. Или я не прав ?

Вот решил нарисовать как я использую STG и iptables с проверкой по мак адресу (через поле UserData0) . Система ASPLinux 10 две сетевухи: eth0-локал, eth1 - интернет прокси Squid - непрозрачный NAT -не для всех Основной скрипт Firewall при загрузке. #!/bin/sh # # Copyright © 2006 Evgeniy Murashkin, NVUTC; # IPTABLES="/sbin/iptables" # сбрасываем все рулесы в таблицах filter, nat и mangle. $IPTABLES -F $IPTABLES -t nat -F $IPTABLES -t mangle -F # очищаем все недефолтные (пользовательские) цепочки в таблицах. $IPTABLES -X $IPTABLES -t nat -X $IPTABLES -t mangle -X # устанавливаем политики в таблице filter $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -P OUTPUT DROP # устанавливаем политики в таблице nat $IPTABLES -t nat -P PREROUTING ACCEPT $IPTABLES -t nat -P POSTROUTING ACCEPT $IPTABLES -t nat -P OUTPUT ACCEPT # устанавливаем политики в таблице mangle $IPTABLES -t mangle -P PREROUTING ACCEPT $IPTABLES -t mangle -P INPUT ACCEPT $IPTABLES -t mangle -P FORWARD ACCEPT $IPTABLES -t mangle -P OUTPUT ACCEPT $IPTABLES -t mangle -P POSTROUTING ACCEPT # 1. Конфигурация. # 1.1 Internet . INET_IP="x.x.x.x" # ваш внешний интерфейс INET_BROADCAST="x.x.x.x" # ваш бродкаст INET_IFACE="eth1" # 1.2 Local . LAN_IP="192.168.1.8" LAN_IP_RANGE="192.168.1.0/24" LAN_BROADCAST="192.168.1.255" LAN_IFACE="eth0" # 1.3 Localhost Configuration. LO_IFACE="lo" LO_IP="127.0.0.1" ########################################################################### # # 2. Подгружаем модули. # # /sbin/depmod -a # 2.1 Нужные модули /sbin/modprobe ip_tables /sbin/modprobe iptable_filter /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp #/sbin/modprobe ip_conntrack_irc /sbin/modprobe iptable_mangle /sbin/modprobe iptable_nat /sbin/modprobe ipt_LOG /sbin/modprobe ipt_limit /sbin/modprobe ipt_REJECT #/sbin/modprobe ip_queue /sbin/modprobe ipt_state ############################################################ # 3. /proc set up. # 3.1 Устанавливаем флаг форвардинга в 1 (включаем NAT) echo "1" > /proc/sys/net/ipv4/ip_forward ############################################################ # # 4. Устанавливаем Рулесы. ###### # 4.1 таблица Filter # # 4.1.1 Создаем пользовательские цепочки. # $IPTABLES -N all2all $IPTABLES -N common $IPTABLES -N eth0_fwd $IPTABLES -N eth0_in $IPTABLES -N eth1_fwd $IPTABLES -N eth1_in $IPTABLES -N fw2loc $IPTABLES -N fw2net $IPTABLES -N loc2fw $IPTABLES -N loc2net $IPTABLES -N logdrop $IPTABLES -N net2all $IPTABLES -N net2fw $IPTABLES -N newnotsyn $IPTABLES -N reject $IPTABLES -N rfc1918 # 4.1.2 INPUT chain $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A INPUT -p ! icmp -m state --state INVALID -j DROP $IPTABLES -A INPUT -p tcp -m state --state NEW -m tcp ! --syn -j newnotsyn $IPTABLES -A INPUT -i eth0 -j eth0_in $IPTABLES -A INPUT -i eth1 -j eth1_in $IPTABLES -A INPUT -j common $IPTABLES -A INPUT -j LOG --log-level info --log-prefix "Firewall:INPUT:REJECT:" $IPTABLES -A INPUT -j reject # 4.1.3 FORWARD chain $IPTABLES -A FORWARD -p ! icmp -m state --state INVALID -j DROP $IPTABLES -A FORWARD -p tcp -m state --state NEW -m tcp ! --syn -j newnotsyn $IPTABLES -A FORWARD -i eth0 -j eth0_fwd $IPTABLES -A FORWARD -i eth1 -j eth1_fwd $IPTABLES -A FORWARD -j common $IPTABLES -A FORWARD -j LOG --log-level info --log-prefix "Firewall:FORWARD:REJECT:" $IPTABLES -A FORWARD -j reject # 4.1.4 OUTPUT chain $IPTABLES -A OUTPUT -o lo -j ACCEPT $IPTABLES -A OUTPUT -p ! icmp -m state --state INVALID -j DROP $IPTABLES -A OUTPUT -p tcp -m state --state NEW -m tcp ! --syn -j newnotsyn $IPTABLES -A OUTPUT -o eth0 -j fw2loc $IPTABLES -A OUTPUT -o eth1 -j fw2net $IPTABLES -A OUTPUT -j common $IPTABLES -A OUTPUT -j LOG --log-level info --log-prefix "Firewall:OUTPUT:REJECT:" $IPTABLES -A OUTPUT -j reject # 4.2.1 Создаем правила в цепочках # eth0_in chain $IPTABLES -A eth0_in -j loc2fw # eth0_fwd chain $IPTABLES -A eth1_fwd -p tcp -m state --state NEW -m tcp --tcp-flags SYN,ACK SYN,ACK -j reject $IPTABLES -A eth0_fwd -o eth1 -j loc2net # eth1_in chain $IPTABLES -A eth1_in -p tcp -m state --state NEW -m tcp --tcp-flags SYN,ACK SYN,ACK -j reject $IPTABLES -A eth1_in -m state --state NEW -j rfc1918 $IPTABLES -A eth1_in -j net2fw # eth1_fwd chain $IPTABLES -A eth1_fwd -p tcp -m state --state NEW -m tcp --tcp-flags SYN,ACK SYN,ACK -j reject $IPTABLES -A eth1_fwd -m state --state NEW -j rfc1918 $IPTABLES -A eth1_fwd -o eth0 -j net2all # loc2fw chain (доступ из локалки на этот сервер: Squid и т.д.) # Доступ к Squid открывается скриптом OnDisconnect $IPTABLES -A loc2fw -p icmp -m icmp --icmp-type 8 -j ACCEPT # разрешаем ping $IPTABLES -A loc2fw -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT # DNS $IPTABLES -A loc2fw -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT # DNS $IPTABLES -A loc2fw -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT # SSH $IPTABLES -A loc2fw -p udp -m state --state NEW -m udp --dport 5555 -j ACCEPT # avtorizator stargazera $IPTABLES -A loc2fw -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT #FTP $IPTABLES -A loc2fw -p udp -m state --state NEW -m udp --dport 123 -j ACCEPT #time ntpd $IPTABLES -A loc2fw -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT # web на этом сервере $IPTABLES -A loc2fw -m state --state RELATED,ESTABLISHED -j ACCEPT # разрешаем открытые соединения $IPTABLES -A loc2fw -j all2all # loc2net chain # Тут те - кому можно собирать почту и т.д. через NAT $IPTABLES -A loc2net -p icmp -m icmp --icmp-type 8 -j ACCEPT $IPTABLES -A loc2net -p tcp -m state --state NEW -m tcp -s 192.168.1.224 --dport 21 -j ACCEPT #ftp $IPTABLES -A loc2net -p tcp -m state --state NEW -m tcp -s 192.168.1.224 --dport 23 -j ACCEPT $IPTABLES -A loc2net -p tcp -m state --state NEW -m tcp -s 192.168.1.224 --dport 25 -j ACCEPT $IPTABLES -A loc2net -p tcp -m state --state NEW -m tcp -s 192.168.1.224 --dport 110 -j ACCEPT $IPTABLES -A loc2net -p tcp -m state --state NEW -m tcp -s 192.168.1.224 --dport 5190 -j ACCEPT #ICQ $IPTABLES -A loc2net -p tcp -m state --state NEW -m tcp -s 192.168.1.224 --dport 2802 -j ACCEPT #webmoney $IPTABLES -A loc2net -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -A loc2net -j common $IPTABLES -A loc2net -j LOG --log-level info --log-prefix "Firewall:loc2net:DROP:" $IPTABLES -A loc2net -j DROP # fw2loc chain (пакеты с сервера в локалку) $IPTABLES -A fw2loc -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -A fw2loc -p icmp -m icmp --icmp-type 8 -j ACCEPT $IPTABLES -A fw2loc -j ACCEPT # fw2net chain (пакеты с сервера в интернет) $IPTABLES -A fw2net -p icmp -m icmp --icmp-type 8 -j ACCEPT $IPTABLES -A fw2net -p udp -m state --state NEW -j ACCEPT $IPTABLES -A fw2net -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT # разрешаем www $IPTABLES -A fw2net -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT #dns $IPTABLES -A fw2net -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT $IPTABLES -A fw2net -p udp -m state --state NEW -m udp --dport 123 -j ACCEPT #ntp $IPTABLES -A fw2net -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT $IPTABLES -A fw2net -p tcp -m state --state NEW -m tcp --dport 23 -j ACCEPT $IPTABLES -A fw2net -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -A fw2net -j common $IPTABLES -A fw2net -j LOG --log-level info --log-prefix "Firewall:fw2net:DROP:" $IPTABLES -A fw2net -j DROP # net2fw chain $IPTABLES -A net2fw -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -A net2fw -p icmp -m icmp --icmp-type 8 -j ACCEPT $IPTABLES -A net2fw -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT #ftp на серваке извне $IPTABLES -A net2fw -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT #ssh #$IPTABLES -A net2fw -j LOG --log-level info --log-prefix "Firewall:net2fw:DROP:" $IPTABLES -A net2fw -j net2all # net2all chain $IPTABLES -A net2all -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -A net2all -j common #$IPTABLES -A net2all -j LOG --log-level info --log-prefix "Firewall:net2all:DROP:" #можно вкл. но слишком большие логи $IPTABLES -A net2all -j reject # all2all chain $IPTABLES -A all2all -j common $IPTABLES -A all2all -j LOG --log-level info --log-prefix "Firewall:all2all:REJECT:" $IPTABLES -A all2all -j reject # logdrop chain $IPTABLES -A logdrop -j LOG --log-level info --log-prefix "Firewall:logdrop:DROP:" $IPTABLES -A logdrop -j DROP # newnotsyn chain $IPTABLES -A newnotsyn -j LOG --log-level info --log-prefix "Firewall:newnotsyn:DROP:" $IPTABLES -A newnotsyn -j DROP # reject chain $IPTABLES -A reject -p tcp -j REJECT --reject-with tcp-reset $IPTABLES -A reject -p udp -j REJECT --reject-with icmp-port-unreachable $IPTABLES -A reject -p icmp -j REJECT --reject-with icmp-host-unreachable $IPTABLES -A reject -j REJECT --reject-with icmp-host-prohibited # common chain $IPTABLES -A common -p udp -m multiport --dports 135,137,138,139,445 -j reject $IPTABLES -A common -p tcp -m multiport --dports 113,139,445,135 -j reject $IPTABLES -A common -p udp --dport 1900 -j DROP $IPTABLES -A common -d 255.255.255.255 -j DROP $IPTABLES -A common -d 224.0.0.0/4 -j DROP $IPTABLES -A common -d $INET_BROADCAST -j DROP $IPTABLES -A common -d $LAN_BROADCAST -j DROP # rfc1918 chain $IPTABLES -A rfc1918 -s 255.255.255.255 -j RETURN $IPTABLES -A rfc1918 -m conntrack --ctorigdst 255.255.255.255 -j RETURN $IPTABLES -A rfc1918 -s 169.254.0.0/16 -j DROP $IPTABLES -A rfc1918 -m conntrack --ctorigdst 169.254.0.0/16 -j DROP $IPTABLES -A rfc1918 -s 172.16.0.0/12 -j DROP $IPTABLES -A rfc1918 -m conntrack --ctorigdst 172.16.0.0/12 -j DROP $IPTABLES -A rfc1918 -s 192.0.2.0/24 -j DROP $IPTABLES -A rfc1918 -m conntrack --ctorigdst 192.0.2.0/24 -j DROP $IPTABLES -A rfc1918 -s 192.168.0.0/16 -j DROP $IPTABLES -A rfc1918 -m conntrack --ctorigdst 192.168.0.0/16 -j DROP $IPTABLES -A rfc1918 -s 0.0.0.0/7 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 0.0.0.0/7 -j logdrop $IPTABLES -A rfc1918 -s 2.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 2.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 5.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 5.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 7.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 7.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 10.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 10.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 23.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 23.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 27.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 27.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 31.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 31.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 36.0.0.0/7 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 36.0.0.0/7 -j logdrop $IPTABLES -A rfc1918 -s 39.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 39.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 41.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 41.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 42.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 42.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 49.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 49.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 50.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 50.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 58.0.0.0/7 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 58.0.0.0/7 -j logdrop $IPTABLES -A rfc1918 -s 60.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 60.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 70.0.0.0/7 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 70.0.0.0/7 -j logdrop $IPTABLES -A rfc1918 -s 72.0.0.0/5 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 72.0.0.0/5 -j logdrop $IPTABLES -A rfc1918 -s 83.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 83.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 84.0.0.0/6 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 84.0.0.0/6 -j logdrop $IPTABLES -A rfc1918 -s 88.0.0.0/5 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 88.0.0.0/5 -j logdrop $IPTABLES -A rfc1918 -s 96.0.0.0/3 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 96.0.0.0/3 -j logdrop $IPTABLES -A rfc1918 -s 127.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 127.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 197.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 197.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 198.18.0.0/15 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 198.18.0.0/15 -j logdrop $IPTABLES -A rfc1918 -s 201.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 201.0.0.0/8 -j logdrop $IPTABLES -A rfc1918 -s 240.0.0.0/4 -j logdrop $IPTABLES -A rfc1918 -m conntrack --ctorigdst 240.0.0.0/4 -j logdrop ######## # 5 таблица NAT # # 5.1 Создаем польз. цепочки $IPTABLES -t nat -N eth1_masq # POSTROUTING chain $IPTABLES -t nat -A POSTROUTING -o eth1 -j eth1_masq # 5.2 Создаем правила в польз. цепочках # eth1_masq chain $IPTABLES -t nat -A eth1_masq -s $LAN_IP_RANGE -j SNAT --to-source $INET_IP Скрипт OnConnect. #!/bin/sh # # IPTABLES="/sbin/iptables" # Login LOGIN=$1 #user IP IP=$2 #cash CASH=$3 #user ID ID=$4 LAN_IP="192.168.1.8" # свой адрес сервера с стг usercfg="/var/stargazer/users/$LOGIN/conf" mac=`cat "$usercfg" | grep "Userdata0=" | cut -d"=" -f2` $IPTABLES -D loc2fw -p tcp -m tcp -s $IP -d $LAN_IP --dport 3128 -j DROP if [ -z "$mac"]; then $IPTABLES -I loc2fw 1 -p tcp -m state --state NEW -m tcp -s $IP -d $LAN_IP --dport 3128 -j ACCEPT else $IPTABLES -I loc2fw 1 -p tcp -m state --state NEW -m tcp -s $IP -d $LAN_IP --dport 3128 -m mac --mac-source $mac -j ACCEPT #если надо , добавляем другие правила fi mac адрес берется из строки файла conf если его нет то добавляется правило без mac адреса Скрипт OnDisconnect #!/bin/sh # # IPTABLES="/sbin/iptables" # Login LOGIN=$1 #user IP IP=$2 #cash CASH=$3 #user ID ID=$4 LAN_IP="192.168.1.8" # свой адрес сервера с стг usercfg="/var/stargazer/users/$LOGIN/conf" mac=`cat "$usercfg" | grep "Userdata0=" | cut -d"=" -f2` $IPTABLES -D loc2fw -p tcp -m state --state NEW -m tcp -s $IP -d $LAN_IP --dport 3128 -j ACCEPT $IPTABLES -D loc2fw -p tcp -m state --state NEW -m tcp -s $IP -d $LAN_IP --dport 3128 -m mac --mac-source $mac -j ACCEPT $IPTABLES -I loc2fw 1 -p tcp -m tcp -s $IP -d $LAN_IP --dport 3128 -j DROP Два правила для удаления для того чтобы не получилось граблей типа: при добавлении мак-адреса в поле UserData0 в конфигураторе , когда пользователь включен, правило без мак-адреса может остаться и зависнуть при дисконекте юзера. если какоето из правил удаления не совпадает то оно просто не срабатывает. Есть конечно некоторая шняга при обратном событии - когда админ удаляет юзеру мак-адрес а юзер в онлайне. Тогда из строки файла conf при дисконекте юзера ничего не возьметься и правило с мак-адресом зависнет и будет пускать юзера. на этот случай надо или вырубать юзера перед удалением(изменением) мак адреса, либо в cкрипт OnChange загнать основной скрипт для FW (в начале). Это не есть законченное решение поэтому нельзя использовать это как есть, все надо подгонять под себя. Для прозрачного прокси необходимо кое что добавить и немного переделать 4.1.3 FORWARD chain :-) Если кто захочет обсудить, поправить или уточнить данный скрипт пишите на kroc@newmail.ru или стучитесь в асю 158167510 :loop: :loop:

Смотрел по открытым портам - все идет только по 5555 До этого в Рулесах стояло TCP_UDP 192.168.1.8:5555 NULL было тоже самое поэтому и пробовал разные варианты И причем интересно то, что от конфигуратора не считает а начинаеться только при вкл. авторизатора на этой же машине где и конфигуратор. На других не пробовал . Может баг в том что обе проги используют один порт и сервак чета проглючивает ??? //Большая просьба -> egor2fsys - дай ссылку на скомпиленную версию 2.402 (если есть такая). Прошлый раз оказалась версия 2.401 //

Странно как то вылезла одна проблема После включения авторизатора на компе пользователя начинается подсчет трафика от него (или к нему). Хотя в Рулесах есть строка 'TCP_UDP 0.0.0.0/0:5555 NULL' Раньше этого не было, потому что все были онлайн и никто авторизатором не пользовался.Просто велся подсчет - кто сколько налазил на предприятии. Теперь надоело отрубать через iptables вручную решил приучить всех к авторизатору. То что начинает считать от авторизатора - точно (проверено). Что не так ? Может это в новых версиях исправлено ? У меня версия ... сервер - 2.016.7.6 RC3 ..авторизатор - 2.47.6 ...rules... #Протокол Адрес Направление #ICMP считать не будем ICMP 0.0.0.0/0 NULL # и обращения к серверу считать не будем TCP_UDP 192.168.1.8:21 NULL TCP_UDP 192.168.1.8:22 NULL TCP_UDP 192.168.1.8:53 NULL TCP_UDP 192.168.1.8:80 NULL TCP_UDP 192.168.1.8:123 NULL TCP_UDP 192.168.1.8:10000 NULL TCP_UDP 0.0.0.0/0:5555 NULL # Направление eth0 (Internet WWW) TCP_UDP 192.168.1.8:3128 DIR0 # Направление eth0 (NAT) TCP_UDP 0.0.0.0/0:23 DIR1 TCP_UDP 0.0.0.0/0:25 DIR1 TCP_UDP 0.0.0.0/0:110 DIR1 TCP_UDP 0.0.0.0/0:5190 DIR1 # Направление (непонятное все остальное) ALL 0.0.0.0/0 DIR2

:-) Я конечно не альтруист и тоже люблю наличность в кошельке. Но было бы странно видеть к примеру тот же Линукс - бесплатный но какой-то кривоватый и его рекламу типа выбирайте эту бесплатную платформу и пользуйтесь, но если захотите избавиться от проблем с нею и разного рода нестыковок , то заплатите ......... И мы доработаем и сделаем как надо. Понятно что это разработки миллионов человек по всему миру ... Но ребята , взявшись за дело , впору тянуть его до конца. Пусть это будет армянский обрезной, без красивых штучек-дрючек и разных бонусов типа вэб-морды и пр. и др. , но зато стабильное и в меру красивое решение. Пользы от этого в плане комерции будет много. Может быть как то в этом плане привлекать пользователей стг. Ну если честно на веб статистику смотреть горько - ну очень все скудно и некрасиво. ( Без обид) P.S Ну и на дорожку - желаю вам того же задора и рвения как это было, когда только начинался проект -

Возникло несколько проблем с новой версией сервера, которую поставил уже в скомпиленном виде. Ссылку дал egor2fsys. Во первых она оказалась 2.401 а не 2.402 1.После запуска не смог установить пользователей в онлайн. Вернее они в настройках устанавливались, но считать и рисовать что user в онлайне конфигуратор не хотел (конфигуратор был последней версии). И как то странно на одном юзере режим онлайн заработал после того как я подключился авторизатором. 2.Пинг ни на ком вообще не показывал. 3.Решил удалить юзверя и создать нового (такогоже) - получил ошибку при создании нового. Что это - глюк скомпиленной на другой машине версии или что то еще ? Как говорится - кто виноват и что делать ? Напомню что версия системы - Linux version 2.6.9-1.667asp gcc-4.0.2-8.fc4.i386.rpm gcc-c++-4.0.2-8.fc4.i386.rpm Но установить стг с нуля не получилось. На данный момент откатился назад на версию - server/2.016.7.6/stargazer-2.016.7.6-RC3.i386.rpm

Извиняюсь но у меня без этих параметров не стартуется логи вот такие: [root@ns stargazer]# /etc/rc.d/init.d/stargazer start Запускается stargazer: DOTCONF++: required option 'DayFeeIsLastDay' not specified [ СБОЙ ] [root@ns stargazer]# /etc/rc.d/init.d/stargazer start Запускается stargazer: DOTCONF++: required option 'WriteFreeMbTraffCost' not specified [ СБОЙ ]

Очень нужны файлы конфигурации к stg 2.402 Люди помогите ведь в новом стг конфига имеет совсем другую структуру Установить с нуля не получилось. По описалову *.pdf тоже не выходит - нет описаний некоторых параметров. Наверно потому что описалово от версии 2.401 Дайте плиз файл stargazer.conf и rules тоже можно на мыло kroc2@newmail.ru

подскажите куда модули копировать и где брать файл конигурации и рулесов структура у них , как я понимаю изменилась

При старте система показывает вот это : Linux version 2.6.9-1.667asp (build@pylesos.asp-linux.com.ua) (gcc version 3.3.3 20040412 (ASPLinux 3.3.3-7)) #1 Fri Nov ................ но дело в том что я устанавливал gcc и если смотреть установленные пакеты то пишет вот это : ......... gamin-devel-0.0.15-1.i386.rpm gawk-3.1.3-7asp.i386.rpm gcc-4.0.2-8.fc4.i386.rpm gcc-c++-4.0.2-8.fc4.i386.rpm gcc-gfortran-4.0.2-8.fc4.i386.rpm gcc-gnat-3.3.3-7asp.i386.rpm gcc-java-4.0.2-8.fc4.i386.rpm gcc-objc-4.0.2-8.fc4.i386.rpm GConf-1.0.9-13.1.i386.rpm GConf2-2.8.1-1.i386.rpm GConf2-devel-2.8.1-1.i386.rpm GConf-devel-1.0.9-13.1.i386.rpm gd-2.0.28-1.30.1.i386.rpm gda-mysql-1.0.4-2.i386.rpm ...............

Не получаеться поставить новый stg переустановил gcc, expat - вообще процесс встал раньше при компиляции выдавало ------------------------------------------------------- Makeing stg_logger.lib ../Makefile.in:74: deps: No such file or directory g++ -g -Wall -I ../../include/ -I ./ -DLINUX -DSTG_TIME -c stg_logger.cpp ar rc libstg_logger.a stg_logger.o ranlib libstg_logger.a cp stg_logger.h ../../include/ cp libstg_logger.a ../../lib/ Makeing crypto.lib ../Makefile.in:74: deps: No such file or directory g++ -g -Wall -I ../../include/ -I ./ -DLINUX -DSTG_TIME -c ag_md5.c g++ -g -Wall -I ../../include/ -I ./ -DLINUX -DSTG_TIME -c blowfish.cpp ar rc libcrypto.a ag_md5.o blowfish.o ranlib libcrypto.a cp ag_md5.h blowfish.h ../../include/ cp libcrypto.a ../../lib/ Makeing common.lib ../Makefile.in:74: deps: No such file or directory g++ -g -Wall -I ../../include/ -I ./ -DLINUX -DSTG_TIME -c debug.c g++ -g -Wall -I ../../include/ -I ./ -DLINUX -DSTG_TIME -c stg_error.c g++ -g -Wall -I ../../include/ -I ./ -DLINUX -DSTG_TIME -c common.cpp ar rc libstg_common.a debug.o stg_error.o common.o ranlib libstg_common.a и т.д. ------------------------------------------------------------------- а теперь только это [root@ns stargazer]# ./build ############################################################################# Building STG 2.4 for Linux ############################################################################# Makeing stg_logger.lib ../Makefile.in:74: deps: No such file or directory g++ -g -Wall -I ../../include/ -I ./ -DLINUX -DSTG_TIME -c stg_logger.cpp In file included from stg_logger.cpp:5: stg_logger.h:5:18: error: string: No such file or directory stg_logger.h:29: error: expected ',' or '...' before '&' token stg_logger.h:29: error: ISO C++ forbids declaration of 'string' with no type stg_logger.h:35: error: 'string' does not name a type stg_logger.cpp: In constructor 'STG_LOGGER::STG_LOGGER()': stg_logger.cpp:19: error: 'fileName' was not declared in this scope stg_logger.cpp: At global scope: stg_logger.cpp:28: error: expected ',' or '...' before '&' token stg_logger.cpp:28: error: ISO C++ forbids declaration of 'string' with no type stg_logger.cpp: In member function 'void STG_LOGGER::SetLogFileName(int)': stg_logger.cpp:31: error: 'fileName' was not declared in this scope stg_logger.cpp:31: error: 'fn' was not declared in this scope stg_logger.cpp: In member function 'void STG_LOGGER::operator()(const char*, ...)': stg_logger.cpp:46: error: 'fileName' was not declared in this scope gmake: *** [stg_logger.o] Ошибка 1 в чем трабла ? За ранее спасибо подскажите где лежат файлы под Линукс скомпиленные по ссылке http://shareua.com/files/5e410f/stg_2.402.tar.bz2.html- ничего нет