Mainstas

"Пока противник изучает карту местности мы меняем ландшафт..причем вручную... во время боя противник теряется на незнакомой местности и проигрывает. Так мы выигравали все войны" (Дикий Прапор...фильм ДМБ) :tongue: Нет файла rc.firewall так создай его := ну или если лень создавать просто сделай копию файла rc и переименуй эту копию в rc.firewall ..попутно стерев все ее содержимое кроме первой строки #!/bin/bash -<!--emo&--><!--endemo--> З.Ы. не забудь что созданый тобой файл должен быть executable for owner вобщем запускабелен для владельца ;-)

Зачем тебе такие сложности :loop: установи webmin который идет у тебя в комплекте с твоим линухом (полюбому на одном из дисков найдешь rpm пакет)

Вобще-то эти строки там уже есть...просто они заремлены (перед ними стоит символ "#") то-есть достаточно их найти и разремить (убрать этот значек). (в mc редактирование F4 поиск F7) Единственное что в первой строке по умолчанию нет слова virtual его нужно дописать вручную rc.firewall в СТУДИЮ!!! А вобще ручное удаление всех явнозаданных правил iptables -F (удаляет только правила но не политику по умолчанию...так что осторожно если рулишь сервером через ssh и политика INPUT DROP выполнение этой команды просто обрубит твою сессию) так что лучше ее выполнять или локально на серваке или в rc.firewall совместно с последующим открытием необходимых портов

Можешь поставить себе WEBMIN Тогда тебе будет легче намного...в нем и настройка сквида в графичексом виде есть и добавление/изменение/удаление служб в автозагрузке и еще вагон и маленькая тележка графических средств управления разными линуховскими приблудами :-) И все это с помощью обычного браузера.

Командой iptables -L по умолчанию если файерволл не настроен тебе выдаст примерно такое: Chain INPUT (policy ACCEPT) Chain FORWARD (policy ACCEPT) Chain OUTPUT (policy ACCEPT) надпись в скобках означает политику по умолчанию..(в данном случае политика АССЕРТ что означает "разрешено все, что не запрещено явно") Ну тут уж полет для фантазии..кто как хочет так и настраивает. Я лично сразу перевожу цепочки INPUT и FORWARD в политику DROP (тем самым закрывая все входящие и проходящие для сервера пакеты). Настраивается это все обычными правилами которые прописываются в файле /etc/rc.d/rc.firewall Политика по умолчанию прописывается такими правилами: IPTABLES -P INPUT DROP IPTABLES -P FORWARD DROP затем обязательно открываются порты авторизатора конфигуратора, ssh и других служб которые необходимы независимо от того находится юзер в ОНЛАЙН или нет iptables -A INPUT -i eth0 -p tcp --dport (нужный порт) -j ACCEPT Также в этом файле прописываешь цепочки NAT

Ничего он не забыл

1) Почему не получится..получится очень даже Stargazer считает трафик на юзерском интерфейсе..просто не забудь что rules у тебя трафик к 3128 порту сервера должен считаться как инетовский. 2) Зачем выкидывать проксю..это ж экономия денег и оптимизация..сделай просто ее прозрачной.. В файле /etc/squid/squid.conf: разремливаешь (прописываешь): httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on проверяешь чтобы у тебя в настройках файерволла (iptables) по умолчанию нацепочку INPUT была политика DROP (не забудь только открыть порты конфигуратора, авторизатора..ну и ssh :-)) Вобщем главное чтобы порт 3128 был недоступен по умолчанию... (иначе народ и без авторизатора просекет фишку и полезет нахаляву в инет) 3) в скрипте ONConnect прописываешь: iptables -A INPUT -i eth0 -p tcp --dport 80 -s $ip -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 3128 -s $ip -j ACCEPT iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -s $ip -j REDIRECT --to-port 3128 где eth0 интерфейс пользователей. Вот и все :-) З.Ы. Не забудь прописать те же правила в скрипте ONDisconnect только "-А" замени на "-D" iptables -D INPUT -i eth0 -p tcp --dport 80 -s $ip -j ACCEPT iptables -D INPUT -i eth0 -p tcp --dport 3128 -s $ip -j ACCEPT iptables -t nat -D PREROUTING -i eth0 -p tcp --dport 80 -s $ip -j REDIRECT --to-port 3128 З.З.Ы. Да совсем забыл..в случае прозрачного проксирования не забудь убрать авторизацию в самом сквиде... потому как иначе работать не будет (броузер клиента ведь думает что работает напрямую а не через сквид). Да кстати в описанном случае пользователи могут работать как с прозрачным прокси так и напрямую прописывая его в браузере

Эт хорошо..значит есть шанс... сменил тазик на Селерон 400, 192 Озу. Кроме старгазера только wu-ftp да squid. Правда строчек аж 959 нужно прописывать.. (UA-IX и UKRTEL-IX). Посмотрю вытянет или нет :tongue:

- Вот уже и здравые мысли начали выплывать. Для сёрферов по Украине особой разницы не будет.. ( Вы планировали 30 грн за нее брать) 300 метров на месяц хватит, а вот качков явно охладит...0.1х700мб=70 грн за фильм фиг кто согласится платить :-) а вот за 30 грн в месяц качали бы не переставая... Кстати как вариант если канал жирный и Украина анлим можно немножко подсластить пилюлю(платный пометровый уа-iх) пользователям. Поскольку ночью канал практически всегда свободен можно устроить практику, когда юзеры на внутреннем форуме быдыт оставлять "заказы" с линками на большие файлы которые находятся в пределах уа-iх, ну а Вы по мере возможности выкачивали их в периоды когда канал не занят(ночью) и выкладывали бы на локальном сервере... Конечно есть для Вас определенный гемморой, но поскольку пока энтузиазма много думаю не так уж и сложно такое сделать... З.Ы. опять же это можно делать как бесплатно так и за деньги..выбор за вами. :tongue:

В рамках хобби хорошо раздавать инет нескольким друзьям в сети. Только вот если Вам Валерий действительно удастся предоставить доступ в UA-IX за фиксированую умеренную плату (ну хотя бы 50-60 грн) да еще и запад будете по 25 копеек продавать, то НАРОД К ВАМ ПОТЯНЕТСЯ. Только вот ничего хорошего в этом нет!!! Начнут подключаться "друзья друзей" "знакомые друзей друзей" "знакомые знакомых...." И вот тут вашему хобби прийдет конец..потому что качественно поддержать услугу в рамках "хобби" у Вас не получиться... Нужно будет или превращать ваше хобби в вашу РАБОТУ или нанимать на эту работу целую команду людей... Для начала хотя бы сисадмина и бухгалтера...потом отдел поддержки потребителей... ...только вот денег у вас не будет...потому как вы "не наживаетесь на пользователях".... Ну и как у любой истории у этой может быть несколько вариантов развития: 1) Вы превращаете "хобби" в бизнес...при этом пересматривая конечные тарифы (наценка думаю будет минимум 33%) набираете команду и предоставляете качественную услугу 2)вы оставляете все в рамках "хобби" выясняете отношения с "проблемными" клиентами (а они всегда появляются и "послать" вы их не можете...люди вроде как деньги вам платят..хоть вы ничего и не зарабатываете на них). И тогда все чаще и чаще вы начнете задумываться "А какого черта я горбатюсь и порчу нервы стараясь сделать дешевый инет для совсем незнакомых мне людей...и при этом в благодарность они начинают "качать права" при любом возникшем перебое" Вобщем конечно есть еще сказочный вариант..где все станут друзьями и будут помагать друг другу...только ИМХО уж очень это по-детски верить в такие сказки

С этого места хотелось бы поподробнее... Думаю рулез в котором около 900 подсетей сделает работу моего Р-133/64RAM невозможным, а покупать для инет-сервака 2ггц проц и гиг озу честно очень не хочется... Хотя наверное другого способа отделить UA-IX с помощью Stargazera нет...или есть?

Вопрос в том "Хочешь ли ты продавать "запад"?" А также почем у тебя будет 1 мб западного трафика. Если эта цена 25 коп и больше то можешь быть уверенным, что пользователи начнут искать левые прокси на территории UA-IX и ходить на запад через них, а не через тебя. В этом случае минимум что тебе нужно это продать хотя бы сколько-то запада и чем больше ты его "довесишь" к анлимитной "Украине" тем лучше для тебя. З.Ы. Хотя если тебя устраивает то количество денег которое ты получишь с продажи "Украины" и тебя не напрягает твой провайдер у которого ты берешь канал (обычно они не любят когда запад у них мало "кушают") тогда можешь и вобще не давать "запад" в нагрузку, а просто предлагать его пометрово. З.З.Ы. Готовься резать ширину канала для "качков" иначе они тебе его весь забьют...А вобще ИМХО "анлим Украины для конечного юзера" это гарантированые "хлеб и вода" для тебя... А хочется ведь "водочки и икорочки" -

"Ребята..давайте жить дружно" (Кот Леопольд) Довольно неприятно видеть подобные топики на сайте, претендующем быть лицом сообщества сетевиков Украины. Так уж вышло, что я немного знаком с предисторией этого топика. (Хотя не имею чести быть знакомым лично ни с одним из его участников). Думаю непосвещенным зрителям стоит поподробнее узнать почему же Powerlan и Civilizator устраивают тут "Разбор полетов". Окунемся в историю: Про то, что в Киеве существует компьютерная сеть "Ифрит" я знал уже достаточно давно (не хочу называть точные цифры т.к. боюсь соврать, но речь идет о нескольких годах ;-) Насколько я мог судить из новостей и слухов, бегающих по просторам интернета, сеть жила и развивалась, сталкивалась с трудностями и преодолевала их, участвовала в интересных проектах типа "ДоСКи", страдала от воровства свитчей....вобщем жила обычной жизнью. Не знаю насколько действительность совпадает с данными в интернете, но могу сказать одно...до "оптики" дорастает далеко не каждая локалка и это тоже можно считать показателем успешности проекта. Про "КиевLANин" я узнал сравнительно недавно. Как я понял сетка сформировалась как и сотни других домашних сетей силами энтузиастов, что подразумевает как высокую мотивацию создателей ...так и как обычно скромные финансовые возможности. Но как известно на первых порах можно и с небольшими затратами поддерживать небольшую сеть на должном уровне... Главное желание.. И вот это желание у организаторов "КиевLANин"-а судя повсему есть. Далеко не у каждой сети в первый год ее существования появляется свой сайт, а тем более форум. (Тут я хочу предупредить о том, что с историей"КиевLANин"-а я не знаком, но "засветилась" в инете эта сетка точно меньше года назад). Естественно краеугольный камень всех домашних сетей это "Совместный высокоскоростной доступ в интернет".... И вот тут начинается САМОЕ ИНТЕРЕСНОЕ Что такое интернет для создателей(владельцев, участников) домашних сетей? Интернет это возможность привлечь новых пользователей, возможность заработать, возможность развивать свою сеть. Интернет это основная "дойная корова" локальных сетей, без которой любая сетка обречена навсегда остаться десятком-другим друзей и не более.... Вполне естественно желание создателей домашних сетей привлечь как можно большее число пользователей в свою сеть. Как это сделать? Можно расклеивать рекламу, раскидывать листовки, ходить по квартирам выскивая людей с компьютерами, НО легче всего "отобрать" пользователей у соседей!!! Почему? Да потому что: 1) эти люди уже прекрасно знают, что такое "сеть" и уже не могут жить без нее 2)с ними не нужно возиться как с новичками, которым "комп" купили только вчера. 3) Эти люди потенциальные "потребители интернета", а значит они залог дальнейшего развития сети. И вот примерно по такой дорожке "отбора" пользователей и пошла сеть "Ифрит" Подробности тут: http://kievlanin.org.ua/modules.php?name=F...74d3288a5531b3f Конечно с одной стороны понять "Ифрит" можно...вроде и руководствуются они "благими целями".. типа "обеспечить пользователя КАЧЕСТВЕННОЙ услугой"... и вроде бы предлагают "объединиться" (правда не на равных, а "под их началом"). НО с другой стороны они фактически задавливают конкурента даже не дав ему толком развиться....!!!! При этом рекламируя себя НА ФОРУМАХ и в ТОПИКАХ конкурентов!!!! Неужели бизнес домашних сетей Украины становится таким жестоким.."убей ты пока не убили тебя" ??? И не лучше ли для пользователей (о которых так "заботится" "Ифрит") будет наличие не 1, а 2 домашних сетей. По-моему конкуренция всегда лучше монополии...только давайте не будем использовать "ГРЯЗНЫХ приемов". З.Ы. Сорри за длинный пост. Желаю "КиевLANин"-у продолжать идти семимильными шагами и развиваться, а "Ифрит"-у поддерживать (а может и улучшать) уровень сервиса. Глядишь тогда и не прийдется зазывать пользователей из чужих сетей. ...О хорошей сети где любят пользователей, сами пользователи друзьям и соседям рассказывают ;-)

Ну а чего странного... просто сайт делала девушка... поэтому и очепятка... Форум закрыт наверное чтобы "благодарные пользователи" не писали...вдруг эта девушка у них и сетку админит Ну а с фильмами все естественно..они открыты только изнутри сети...авторские права знаете ли :-)

http://svnet.kiev.ua/

Так то оно так...только вот юзеры бывают неразумными например используют 1 пароль для всего подряд... или ловят троянов и кейлогеров. Вобщем ясное дело что ты будешь понимать что юзер виноват в том, что его пароль выудили и "накрутили" ему трафик. но юзер то конечно во всем будет винить тебя..(иногда доходит до утверждений типа "этовы сами накрутили" я не качал) вот потом и разбирайся то ли правда пользователь жертва злоумышленников то ли просто даун который считает, что трафик кушает только качание МП3, а серфинг по сайтам трафик не кушает...... иногда хочется сделать скин для ИЕ где для перехода на сайт нужно будет нажать кнопку СКАЧАТЬ

Слева это "чудо инженерой мысли"..:-) может кто его знает еще под каким именем кроме Каньйон и ГетНет.

стоят несколько таких 8-рок и 1 16-нарик... Ну что сказать нонейм нонеймом....Есть такие же только под маркой Canyon. Работают нормально вроде не виснут. Правда одна восьмерка сошла с ума и стала выдавать 50% потерь при пинге. Заменили по гарантии. А вобще дешево и сердито. Блоки питания 12 вольт. Удаленно питаются достаточно херово (на 45 метрах тускло горели лампочки и не было реально линка) (8-ка планет заработала там на Ура). Но то что 12 вольт делает их удобными для использования с самодельными УПСами на 12 вольтовых аккумуляторах коих дофига можно найти в убитых УПСах.

Отрубить клиенту руки А вобще запретить смену айпи ты сможешь только забрав у пользователя права администратора на его собственой машине. Другое дело что можно сделать так, чтобы пользователь сам не был заинтересован в смене ай пи.. Вобще игры с статическими привязками эт хорошо, только по-моему нужно идти по принципу кнута и пряника. Лично я в договор с клиентов включил пункт Сетевые настройки.. там указан его ай пи и указано что смена айпи это наказуемый поступок. А играть с пользователями "кто кого перехитрит" по-моему утомительно....1-2 показательных "расстрела" "нарушителей гос границы" остудят пыл других "хацкеров".

..Хаб..15 $ вот его красная цена Наклейка 3СОМ на таком доисторе не оправдsвает такой дурной цены хаб так и останется хабом... фактически за эти деньги можно и 16 портовый свитч начнать искать...новый.

Значит так: авторизация по МАС+АйПи всеми сетевиками признана как ненадежная и взламывающаяся за 5 секунд. Убеждение что поменять МАС сложно под Окнами ошибочно. Это под силу даже ребенку. После 5 минут поиска в гугле я нашел программку SMAC которая успешно подменила МАС у сетевой Realtek 8139 (думаю не стоит говорить как они распространены) под 2000 Окнами. Теперь зная айпи и МАС жертвы (выясняется обычным сканером ресурсов типа LnetScan-a) злоумышленник может спокойно пользоватся ее реквизитами во время отсутствия жертвы в сети. Если злоумышленник не дурак он не будет наглеть и использовать реквизиты жертвы когда ее комп включен, а также будет менять айпи+МАС предварительно отключаясь от сети (чтобы смену айпи МАСа нельзя было запротоколировать) Так что в биллинговой системе типа Stargazer остается надеятся на пароль пользователя, хотя честно и на него надежды не очень большие. Кому нужно отснифит.

ИМХО жестоко как-то выходит...... не заплатил за инет нет и внутренних ресурсов.. А вобще возможно такое решение С <- фтп-сервер В <- Шлюз (ПК+Линух+Stargazer) <- Абоненты И <- Гейм-сервер (ПК+Линух) Ч Грубо говоря вынести серваки в отдельную сеть и гнать трафик к серверам через роутер поднятый на твоем инет серваке.. при этом прописать в старгазере тариф для их айпишников 0.0 конечно неудобно, но работать будет..

В нашем Linux-е все есть, только отжирать лишние ресурсы графикой на сервере, которому графика не нужна вовсе это неправильно. А вы случаем не мазохист??? Легкие, то они легкие...легче и пешком ходить только вот лучше научится автомобилем управлять и ездить в разы быстрее... не вставляйте ссылки которые абсолютно не в тему. Как я уже писал в домашней сети очень редки пользователис достаточным уровнем знаний для взлома *nix-подобных систем и практически нет вирусов под эту платформу. И напротив под Win огромное количество вирусов и куча программ для взлома которіми даже обезьяну можно научить пользоваться... Вот и выходит что в локальной сети линукс машина намного менее подвержена вирусным и хакерским атакам чем Окна.

Ну хочется тебе серваки под "Окнами" ставить ....ставь на здоровье. Есть деньги на то, чтобы "Автоматическое обновление" качало с мелкософт.ком все что надо и не надо...ставь окна. Только давай рассмотрим вариант сервера внутри локальной сети без выхода в инет. Тут уже нужно винду ручками обновлять и патчики ставить, а иначе какой-то новомодный BLASTили LSASS уложит ваш сервак. Я не говорю, что *nix подобные системы не имеют дыр, НО... В домашней локальной сети где фактически 100% машин под "окнами" даже при отсутствии выделенного инета вирусня появляется с завидной регулярностью. Вот и выходит, что имея ВИН-сервак нужно чуть ли не каждый день сидеть и новости читать на мелкософте и заплаты качать. А установленный под не самым свежим линухом (мандрака 8) КС-сервер работает стабильно.... А вобще тут скорее вопрос желания "админа" изучать новую платформу.... никто не спорит "на кнопочку нажать легче", чем подружиться с командной строкой. З.Ы. Если все-таки решитесь изучать юниха то лучше сразу забудьте о всяких графических оболочках. Консоль + MC :-)

Дык а я тебе что по "Окна" что ли говорю.. Исходники КС 1.5 для Линухов. Самолично проверены на 8 Мандраке.. Кстати Добро то именно под Линуха :-) там в отличии от ДЛЛ СО-шки...