Vasilich

ща будем все по очереди пробовать, всем спасиба

спасибо добрый человек однако: вопрос остается открытым

Поделитесь люди добрые init.d скриптом для ASP или Fedora ака Red Hat ибо из предложенных в последней сборке stg-2.405.9.8 для gentoo suse и ubuntu не подходят, а скрипт предложенный cell в http://local.com.ua/forum/index.php?showtopic=2020&st=15 запускает но не убивает процесс по имени stg-exe или он не должен умирать? Запускаю биллинговую систему (Stargazer)..... [ ОК ] [root@ussib init.d]# ps x | grep stargazer 9494 ? S<sl 0:00 /usr/sbin/stargazer 9511 pts/13 R+ 0:00 grep stargazer [root@ussib init.d]# ps x | grep stg-exe 9495 ? S 0:00 stg-exec 9513 pts/13 S+ 0:00 grep stg-exe [root@ussib init.d]# service stargazer stop Останавливаю биллинговую систему (Stargazer)..... [ ОК ] [root@ussib init.d]# ps x | grep stargazer 9569 pts/13 R+ 0:00 grep stargazer [root@ussib init.d]# ps x | grep stg-exe 9495 ? S 0:00 stg-exec 9571 pts/13 R+ 0:00 grep [color=red]stg-exe[/color] а да забыл [root@ussib init.d]# uname -r 2.6.17-1.2157.1asp

Опытным путем было установлено, что старгазер имеет два процесса первый /usr/sbin/stargazer и воторой stg-exec при этом на команду service stargazer stop второй не реагирует и остается в системе init.d скрипт штатный из исходников stg 2.4 #!/bin/bash # # processname: stargazer # config: /etc/stargazer/stargazer.conf # pidfile: /var/run/stargazer.pid # Source function library. . /etc/init.d/functions # Source networking configuration. . /etc/sysconfig/network # Source stargazer configureation. DAEMON=yes QUEUE=1h # Check that networking is up. [ ${NETWORKING} = "no" ] && exit 0 [ -f /usr/sbin/stargazer ] || exit 0 RETVAL=0 prog="stargazer" start() { # Start daemons. echo -n $"Starting $prog: " /etc/stargazer/first 2> /dev/null daemon /usr/sbin/stargazer RETVAL=$? /etc/stargazer/last 2> /dev/null echo [ $RETVAL -eq 0 ] && touch /var/lock/subsys/stargazer return $RETVAL } stop() { # Stop daemons. echo -n $"Shutting down $prog: " killproc stargazer RETVAL=$? echo [ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/stargazer return $RETVAL } # See how we were called. case "$1" in start) start ;; stop) stop ;; restart|reload) stop start RETVAL=$? ;; status) status stargazer RETVAL=$? ;; *) echo $"Usage: $0 {start|stop|restart|status}" exit 1 esac exit $RETVAL таким образом logrotate.d множил stg-exec в системе, а пропажа паролей обнаружилась как раз в тот момент, когда service stargazer stop Как правильно останавливать\перезапускать стг? Ответ: http://local.com.ua/forum/index.php?showto...t=0entry14676 #!/bin/bash case "$1" in start) /usr/sbin/stargazer echo "Запускается Stargazer..." sleep 1 ;; stop) pid=$(ps ax|grep stargazer|grep -v grep | awk '{print $1}') kill ${pid} > /dev/null 2>&1 echo "Останавливается Stargazer..." sleep 1 ;; restart) pid=$(ps ax|grep stargazer|grep -v grep | awk '{preint $1}') kill ${pid} > /dev/null 2>&1 echo "Перезагрузка. Stargazer останавливается" sleep 2 /usr/sbin/stargazer echo "перезагрузка. Stargazer запускается" sleep 1 ;; *) echo "Используйте: `basename $0` { start | stop | restart }" exit 64 ;; esac Помоему нужно выкинуть скрипт /projects/stargazer/inst/linux/etc/init.d/stargazer.suse.9.3 из исходников

Stargazer Configurator v1.88.9 Stargazer 2.4-2007.01.20-13.47.20 без MySQL и патчей Есть 2 админа у обоих полные права, первый всегда держит STGConfigurator подключенным, после не определенного количества времени сервер сообщает: "Сервер сообщает об ошибке: Incorrect login!" с соответствующей записью в логах... Смотрю конфиг админа, а пароля в нем нет! просто отсутствует переменная password... У второго все нормально! Периодичность не установлена, происходит только с админами у которых постоянно подключен SC

ох уже нифига не вижу... все воскресенье втыкал модуль, вытыкал... сасиб те добрый человек, и тот человек что там это написал, то ж спасиб...

Вкладываю не патченный mod_store_mysql_0.66.tar.gz в /usr/src/stg/stg-2.4-2007.01.20-13.47.20/projects/stargazer/plugins/store/mysql/ build deps Makefile mysql_store.cpp mysql_store.h патчу patch -p1 < mysql-0.66_stg-2.4-2007.01.20-13.47.20.patch В /usr/src/stg/stg-2.4-2007.01.20-13.47.20/projects/stargazer/ запускаю ./build Собирается без ошибок но mod_store_mysql.so не появляется. Захожу /usr/src/stg/stg-2.4-2007.01.20-13.47.20/projects/stargazer/plugins/store/mysql/ запускаю ./build копирую /usr/src/stg/stg-2.4-2007.01.20-13.47.20/projects/stargazer/plugins/store/mysql/mod_store_myslq.so в /usr/lib/stg/mod_store_myslq.so запускаю /usr/sbin/stargazer Смотрю лог: 2007-07-29 19:41:29 -- Stg v. Stg 2.403b 2007-07-29 19:41:29 -- Message queue created successfully. msgKey=5555 msgID=229 2007-07-29 19:41:29 -- Timer thread started successfully. 2007-07-29 19:41:29 -- Storage plugin loading failed: /usr/lib/stg/mod_store_myslq.so: cannot open shared object file: No such file or directory 2007-07-29 19:41:29 -- Load StoragePlugin error. 2007-07-29 19:41:32 -- Queue removed successfully. 2007-07-29 19:41:32 -- StgTimer: Stop successfull. 2007-07-29 19:41:32 -- Stg stopped successfully. 2007-07-29 19:41:32 -- --------------------------------------------- Удаляю /usr/src/stg/stg-2.4-2007.01.20-13.47.20/projects/stargazer/plugins/store/mysql/ вставляю mod_store_mysql_0.66(Alf)_FOR_STG-WEB.tar.gz вместо него В /usr/src/stg/stg-2.4-2007.01.20-13.47.20/projects/stargazer/plugins/store/mysql/ запускаю ./build копирую по новой, в логах тоже самое.. пробовал 5 раз. Мысли: или есть какие-то кардинальные различия между фрей на которой большенство собирает это хозяйство и линуксом или я не правильно патчу, как правильно патчить?

Для этого есть опция заморозка, так как если юзер уезжает и ему нужно что бы не списывалась абонка, он пишет заявление, и мы его счёт замораживаем.Я имел ввиду автоматически... каждого тыкать не совсем логично, у мобильных же операторов абонплата по достижению 0 не списывается...

Давно пользуюсь стг, тоже возникла пара дурацких вопросов: 1. Тариф с абонентской платой списывает средства каждый день, как заставить стг при достижении нулевого баланса пользователя автоматически прекратить снимать абонентскую плату? А то ж некрасиво, пользователь уехал в отпуск, приезжает а на счету пцц. 2. Что такое шейпер и зачем он нужен?

в виртуалхосте впиши AddDefaultCharset KOI8-r Когда ж Андрей выложит чт по новее...

ни че не понимаю.. стоял под дефолтым все работало перенес на виртуал хост, перестала.. спрашивает пароль, потом читую страницу в логах: Где копать?Ответ: You must upload these files in forced binary mode before they'll work correctly.

Вот такой вопрос.. Значит что б весь процес автоматизировать дабавляем в OnUserAdd htpasswd -bm /home/www/inet.yandex.ru/.autentif $login $password в OnUserDel htpasswd -D /home/www/inet.yandex.ru/.autentif $login а что нужно добавить в OnChange ? что б при смене пароля юзверь радовался жизни.... Веренее какой из параметров будет $password ?

Я краснею от стыда, все поправил, работает... спасибо Не обратил внимания на права доступа самой директории /var/stargazer/ Дефолтные настройки апача ничего не исправлял в ASPlinux, да и logrotate делает свое черное дело Огромное спасибо автору за прекрастно написанный веб-интерфейс Вопрос: "Планируеться ли управление из веб-статы данными стг?" Не плохо было б организовать графики использования каналов. Ошибка: При нажатии на выскакивает окно с адресом http://192.168.100.2/inet//adm/whois.php?ip=83.217.192.244 потом: Информация об удалённом адресе Ошибка соединения: 110 Connection timed out Поправил SiteURL="192.168.100.2/inte" Однако Connection timed out все равно И иметь возможность полностью отключить блок про данные сети (Название, Юр.Лицо ит.п.) Как поменять цвет фона в шапке? Можно ввести переменную ВАЛЮТА, для отображения в стате... Не увидел где отображаеться количество потраченных денег за месяц, год. Что б поставить этот веб-интерфейс я перечитывал каждый раз весь топик полностью после возникновения какой либо проблемы, нужен FAQ... Вот... Еще раз спасибо

Вот такая проблемка... stargazer.conf StatOwner=root StatGroup=apache StatMode=640 ConfOwner=root ConfGroup=apache ConfMode=640 UserLogOwner=root UserLogGroup=apache UserLogMode=640 делаю: chgrp apache -R /var/stargazer/ И стата не видет папку юзверя Не найден Ваш домашний каталог /var/stargazer/users/. Обратитесь к Вашему системному администратору! захожу в ....../adm/index.php Панель управления есть, а юзверей нет... в логах апача: [Fri Jan 26 00:10:19 2007] [error] [client 192.168.100.1] PHP Notice: Undefined index: cl in /home/www/html/inet/adm/index.php on line 43 [error] [client 192.168.100.1] PHP Notice: Undefined index: cl in /home/www/html/inet/adm/index.php on line 48 [error] [client 192.168.100.1] PHP Notice: Undefined index: cl in /home/www/html/inet/adm/index.php on line 57 [error] [client 192.168.100.1] PHP Notice: Undefined index: view in /home/www/html/inet/adm/index.php on line 59 [error] [client 192.168.100.1] PHP Warning: dir(/var/stargazer1/users/) [<a href='function.dir'>function.dir</a>]: failed to open dir: Permission denied in /home/www/html/inet/adm/userlist.php on line 3 [error] [client 192.168.100.1] PHP Notice: Trying to get property of non-object in /home/www/html/inet/adm/userlist.php on line 7 Делаю: chown apache -R /var/stargazer/ и все начинает замечательно работать, но не запускать же stg от apache? Как быть?

[root@ns stargazer]# gcc -v Using built-in specs. Target: i386-asplinux-linux Configured with: ../configure --prefix=/usr --mandir=/usr/share/man --infodir=/usr/share/info --enable-shared --enable-threads=posix --enable-checking=release --with-system-zlib --enable-__cxa_atexit --disable-libunwind-exceptions --enable-libgcj-multifile --enable-languages=c,c++,objc,java,f95,ada --enable-java-awt=gtk --with-java-home=/usr/lib/jvm/java-1.4.2-gcj-1.4.2.0/jre --host=i386-asplinux-linux Thread model: posix gcc version 4.0.2 20051125 (Red Hat 4.0.2-8) [root@ns stargazer]# ./build ############################################################################# Building STG 2.4 for Linux ############################################################################# Makeing stg_logger.lib ../Makefile.in:74: deps: Нет такого файла или каталога g++ -g -Wall -I ../../include/ -I ./ -DLINUX -DSTG_TIME -c stg_logger.cpp stg_logger.cpp:1:19: error: stdio.h: Нет такого файла или каталога stg_logger.cpp:3:20: error: syslog.h: Нет такого файла или каталога In file included from stg_logger.cpp:5: stg_logger.h:4:21: error: pthread.h: Нет такого файла или каталога stg_logger.h:5:18: error: string: Нет такого файла или каталога stg_logger.h:9: error: ‘time_t’ was not declared in this scope stg_logger.h:17: error: expected `)' before ‘*’ token stg_logger.h:20: error: ISO C++ forbids declaration of ‘pthread_mutex_t’ with no type И так далее в том же духе... ASPLinux11 kernel 2.6.17 Как быть?

ОФТОП мне б так быстро все это настроить... я полныйнуб и ковырял эти спутниги месяца три... пока не родил

Как правильно выставлять опцию SpreadFree в stargazer.conf # "Разамазанное" снятие абонплаты. Каждый день # 1/30 (1/31, 12/28),no часть абонплаты SpreadFee=no меняем на SpreadFree=1/30 и СТГ перестает запускаться P.S. ASPLinux10 Kernel 2.6.12 Stargazer 2.016.7.6 RC3 P.S.S. Спасибо STG за счастливое детство, 1 год без сбоев.

Интереснее было б если была поддержка нескольких баз.

Значит так в OnConnect дописываем echo "$IP/255.255.255.255">> /var/stargazer/online.users а в OnDisconnect while [ -a /var/tmp/stgusers.tmp ]; do { sleep 1 && continue }; done cat /var/stargazer/online.users | grep -v $2/255.255.255.255 >> /var/tmp/stgusers.tmp rm -f /var/stargazer/online.users >/dev/null 2>/dev/null mv /var/tmp/stgusers.tmp /var/stargazer/online.users >/dev/null 2>/dev/null /usr/sbin/squid -k reconfigure >/dev/null 2>/dev/null в squid.conf acl mmm src "/var/stragazer/online.users" http_access allow mmm Огромное спасибо keshaLG

Выложи этот скрипт глянуть.. очень интересно... Как в OnConnect я доганяю, а как в OnDisconnect? И еще вопросик, при стандартных скриптах fw (iptables) по умолчанию все запрещаеться, а прокси должно выпускать на www порты, как выпустить прокси если он на шлюзе? че-то ни че не получаеться... типо так работает iptables -t filter -A INPUT -p tcp -d $server --sport 80 -j ACCEPT iptables -t filter -A FORWARD -p tcp -d $server --sport 80 -j ACCEPT iptables -t filter -A FORWARD -p tcp -s $server --dport 80 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -s $server --dport 80 -j ACCEPT если $server - внешний ip

я его и имел ввиду, получаеться что для того что б сосчитать общюю статистику по одному напровлению для всех пользователей нужно сложить Ux, Dx соответственно, гже х - номер напровления, всех пользователей. Придется писать скрипт для таких монипуляций... Не плохо б иметь такую функцию переключения отображения в (б, кб, мб, гб) общей статистики конфигуратора стг, странно inetaccess имеет такую функцию, ститистику можно отображать в любой единицы, но естественно только для одного пользователя. Мой интернет провайдер продает мне байты, и для того что б посчитать разницу между куплнным и проданным, нужно иметь общюю статистику из стг в байтах, а он отображает эти цифры в плавующем формате...

Как сосчитать общее количиство закаченного трафика по одному напровлению в байтах? В конфигураторе можно получить статистику, но в зависимости от полученного трафика она округляеться до кб, мб, гб, соответственно. Откуда конфигуратор считает эти цифры? detal_stat/stat?

И правила у тебя ОнКоннект и Дисконнект дефолтные? Юзай такие.... http://local.com.ua/forum/index.php?showtopic=3744 ICQ и все что было у юзверей отлетает моментально.

Хотелось бы что б юзвреня не имели без авторизации не DNS ни ICMP. FW тем и отличаеться что не имеет проверок на ликвидность пакетов, это естественно, таким образом фальсифицируя пакеты можно иметь доступ из интернета к узлам моей сети и впринцепе к маршрутизатору на котором и стоит stg. Нет желания платить за лишний трафик... Maclaud если считаешь что я не прав, дай пояснения чайнику...

Да не так вырозился! Мои правила: #!/bin/bash admin=192.168.100.1 server0=192.168.100.2 server1=XXX.XXX.XXX.XXX iface_cli=eth0 iface_world=eth1 conf_port=5555 user_port1=5555 user_port2=5554 echo "1" > /proc/sys/net/ipv4/ip_forward iptables -t filter -F iptables -t filter -X iptables -t nat -F iptables -t nat -X iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT DROP #ICMP iptables -t filter -A INPUT -p icmp -j ACCEPT iptables -t filter -A FORWARD -p icmp -j ACCEPT iptables -t filter -A OUTPUT -p icmp -j ACCEPT iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT iptables -t filter -A INPUT -i $iface_world -j ACCEPT iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT #DNS iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT #SSH iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT #WWW iptables -t filter -A INPUT -p tcp -s 192.168.100.0/24 -d $server0 --dport 80 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d 192.168.100.0/24 -s $server0 --sport 80 -j ACCEPT #Webmin iptables -t filter -A INPUT -p tcp -s 192.168.100.0/24 -d $server0 --dport 10000 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d 192.168.100.0/24 -s $server0 --sport 10000 -j ACCEPT #FTP iptables -t filter -A INPUT -p tcp -s 192.168.100.0/24 -d $server0 --dport 20:21 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d 192.168.100.0/24 -s $server0 --sport 20:21 -j ACCEPT #TCP InetAcces Stargazer iptables -t filter -A INPUT -p tcp -s 192.168.100.0/24 -d $server0 --dport $conf_port -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d 192.168.100.0/24 -s $server0 --sport $conf_port -j ACCEPT #UDP InetAcces Stargazer iptables -t filter -A INPUT -p udp -s 192.168.100.0/24 --sport 5554:5555 -d $server0 --dport 5554:5555 -j ACCEPT iptables -t filter -A OUTPUT -p udp -d 192.168.100.0/24 --dport 5554:5555 -s $server0 -j ACCEPT #TCP Stargazer Congigurator iptables -t filter -A INPUT -p tcp -s 192.168.100.0/24 -d $server0 --dport $conf_port -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d 192.168.100.0/24 -s $server0 --sport $conf_port -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.100.0/255.255.255.0 -j SNAT --to-source XXX.XXX.XXX.XXX ОнКоннект #!/bin/bash # Login LOGIN=$1 #user IP echo $2 IP=$2 #cash CASH=$3 #user ID ID=$4 iptables -A FORWARD -d $2 -j ACCEPT iptables -A FORWARD -s $2 -j ACCEPT iptables -A INPUT -i eth0 -d $2 -j ACCEPT iptables -A INPUT -i eth0 -s $2 -j ACCEPT iptables -A OUTPUT -o eth0 -d $2 -j ACCEPT iptables -A OUTPUT -o eht0 -s $2 -j ACCEPT echo "C `date +%Y.%m.%d-%H.%M.%S` $IP $CASH" >> /var/stargazer/users/$LOGIN/connect.log Ну и ДисКоннект естественно #!/bin/bash # Login LOGIN=$1 #user IP IP=$2 #cash CASH=$3 #user ID ID=$4 iptables -D FORWARD -d $2 -j ACCEPT iptables -D FORWARD -s $2 -j ACCEPT iptables -D INPUT -i eth0 -d $2 -j ACCEPT iptables -D INPUT -i eth0 -s $2 -j ACCEPT iptables -D OUTPUT -o eth0 -d $2 -j ACCEPT iptables -D OUTPUT -o eth0 -s $2 -j ACCEPT echo "D `date +%Y.%m.%d-%H.%M.%S` $IP $CASH" >> /var/stargazer/users/$LOGIN/connect.log Да все работает, все почти хорошо.... Но с точки зрения безопасности не все хорошо... В Iptables tutorial есть набор правил rc.firewall.txt который впринцепе устраивает по безопасности, но будет ли он работать вместо FW, может есть возможность заточить его под stg? я к сожалению в iptables чайник... #!/bin/sh # # 1. Configuration options. # # # 1.1 Internet Configuration. # INET_IP="194.236.50.155" INET_IFACE="eth0" INET_BROADCAST="194.236.50.255" # # 1.2 Local Area Network configuration. # # your LAN's IP range and localhost IP. /24 means to only use the first 24 # bits of the 32 bit IP address. the same as netmask 255.255.255.0 # LAN_IP="192.168.0.2" LAN_IP_RANGE="192.168.0.0/16" LAN_IFACE="eth1" # # 1.4 Localhost Configuration. # LO_IFACE="lo" LO_IP="127.0.0.1" # # 1.5 IPTables Configuration. # IPTABLES="/usr/sbin/iptables" # # 1.6 Other Configuration. # ########################################################################### # # 2. Module loading. # # # Needed to initially load modules # /sbin/depmod -a # # 2.1 Required modules # /sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe iptable_filter /sbin/modprobe iptable_mangle /sbin/modprobe iptable_nat /sbin/modprobe ipt_LOG /sbin/modprobe ipt_limit /sbin/modprobe ipt_state # # 2.2 Non-Required modules # #/sbin/modprobe ipt_owner #/sbin/modprobe ipt_REJECT #/sbin/modprobe ipt_MASQUERADE #/sbin/modprobe ip_conntrack_ftp #/sbin/modprobe ip_conntrack_irc #/sbin/modprobe ip_nat_ftp #/sbin/modprobe ip_nat_irc ########################################################################### # # 3. /proc set up. # # # 3.1 Required proc configuration # echo "1" > /proc/sys/net/ipv4/ip_forward # # 3.2 Non-Required proc configuration # #echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter #echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp #echo "1" > /proc/sys/net/ipv4/ip_dynaddr ########################################################################### # # 4. rules set up. # ###### # 4.1 Filter table # # # 4.1.1 Set policies # $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD DROP # # 4.1.2 Create userspecified chains # # # Create chain for bad tcp packets # $IPTABLES -N bad_tcp_packets # # Create separate chains for ICMP, TCP and UDP to traverse # $IPTABLES -N allowed $IPTABLES -N tcp_packets $IPTABLES -N udp_packets $IPTABLES -N icmp_packets # # 4.1.3 Create content in userspecified chains # # # bad_tcp_packets chain # $IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \ -m state --state NEW -j REJECT --reject-with tcp-reset $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \ --log-prefix "New not syn:" $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP # # allowed chain # $IPTABLES -A allowed -p TCP --syn -j ACCEPT $IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A allowed -p TCP -j DROP # # TCP rules # #$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed #$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed #$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed #$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed # # UDP ports # #$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 53 -j ACCEPT #$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 123 -j ACCEPT $IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 2074 -j ACCEPT $IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 4000 -j ACCEPT # # In Microsoft Networks you will be swamped by broadcasts. These lines # will prevent them from showing up in the logs. # $IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d $INET_BROADCAST \ --destination-port 135:139 -j DROP # # If we get DHCP requests from the Outside of our network, our logs will # be swamped as well. This rule will block them from getting logged. # $IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d 255.255.255.255 \ --destination-port 67:68 -j DROP # # ICMP rules # $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT # # 4.1.4 INPUT chain # # Bad TCP packets we don't want. # $IPTABLES -A INPUT -p tcp -j bad_tcp_packets # # Rules for special networks not part of the Internet # $IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT # # Special rule for DHCP requests from LAN, which are not caught properly # otherwise. # $IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT # # Rules for incoming packets from the internet. # $IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \ -j ACCEPT $IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets $IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets $IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets # # If you have a Microsoft Network on the outside of your firewall, you may # also get flooded by Multicasts. We drop them so we do not get flooded by # logs # #$IPTABLES -A INPUT -i $INET_IFACE -d 224.0.0.0/8 -j DROP # # Log weird packets that don't match the above. # $IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \ --log-level DEBUG --log-prefix "IPT INPUT packet died: " # # 4.1.5 FORWARD chain # # # Bad TCP packets we don't want # $IPTABLES -A FORWARD -p tcp -j bad_tcp_packets # # Accept the packets we actually want to forward $IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # # Log weird packets that don't match the above. # $IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \ --log-level DEBUG --log-prefix "IPT FORWARD packet died: " # # 4.1.6 OUTPUT chain # # Bad TCP packets we don't want. $IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets # # Special OUTPUT rules to decide which IP's to allow. # $IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT $IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT $IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT # # Log weird packets that don't match the above. # $IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \ --log-level DEBUG --log-prefix "IPT OUTPUT packet died: " ###### # 4.2 nat table $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP Как я понимаю такие правила будут пропускать юзверей в инет, и стг принимать участия в этом не будет.... Возможно я не прав.... Какие правила нужно разместить в ОнДисконнект и ОнДисконнект и что выкинуть из rc.firewall.txt?