Poison_Out

Я тоже за abills.net.ua, не в обиду разработчикам Старика, он уже выглядит, как настоящий старик, по обилию функций, модулей, абиллс среди опенсорсных биллингов-вне конкуренции. Разработчики юзер-сайд, можете обращаться по ICQ три три ноль четыре девять девять восемь, помогу, чем смогу.

проблема как у fredik, ось pc-bsd (русифицированная freebsd-6.3), все в конфигах до запятой по ману... не пускает ни в админку, ни в юзерскую часть страницы, все поставлено начисто, апач, пхп, мускул, СТГ работает, в админку не идет, третий день убиваюсь, понять не могу...еще непонятно-при использовании мод_сторе, есть коннект с виндового конфигуратора, при использовании мускулевого модуля-НЕТ....кто работает на фряхе, помогите, плз

Огромное спасибо всем, уделившим внимание данной теме, будем ковырять. 2 Cell-да в последнем посте ты был прав про тарификацию по каналам, но как оказывается проблема гораздо глубже, так, что будем (м)учиться =)

Cell, можно поподробней по Вашей теме? Т.е. условия-количество каналов, вид связи (впн, ппое итд) с провайдером, и примерную схему работы. ЗЫ на счет космических лучей отжог =)

XoRe, хм у нас мысли идут в одном направлении =) Но! Еще раз обращаю внимание на 1 вещь, как разруливать игровой трафик, который идет по разным портам, которого у нас бывает до 80 процентов?

А вообще, не применительно к старгейзеру, кто-нибудь пробовал объединять каналы с целью балансинга? Раскурил тему на опеннет, но... желательно конечно, прикрутить все это к старику.. Есть еще другое, но очень однобокое решение-отправлять по дорогому тарифу запросы на сквид, опять же только по 80 порту и иже с ним, а для нас это крайне неприемлемо, тк новое поколение кибер-наркоманов тащится от ВоВ, Линейки итд

УУ Жесть то какая =) Тогда уж проще ставить 3 сервера и 1-Рассаживать пользователей по 3 серверам (в инет акцессе прописываем разные ип старгейзер-серверов) или 2-анализировать ручками трафик (порты, ип адреса, куда ходят юзеры, тк мы используем 4 направления с разной ценой на трафик) и попробовать мутить со скриптами онконнект и рулесами =)

Имеем ОС Suse Linux Enterprise Server 10, Последний Stargazer и модуль MySQL, 3 канала DSL-2x256-Unlim и 1х8 Мбит NotUnlim, каналы расположены в локалке (физически разнесены), кто пытался объединить каналы таким образом, чтоб 2х256 кбит считались по одной цене, 1х8 Мбит по другой? Может выражаюсь немного запутанно, если что именно непонятно, спрашивайте.

Народ, поделитесь, пожалуйста рабочими конфигами OnConnect, OnDisconnect,fw-инициализация фаерволла, если что, стукните в аську 3304998, неделю уже не сплю, понимаю, что дело в мозге, но ткните носом ,пожалуйста, дело уже принимает серьезный оборот

Ребята, помогите, ситуация такая: ось-Suse linux enterprise server, Stargazer 2.403b, 10.0.0.2-eth0-сетевая карта, смотрит на adsl модем с адресом 10.0.0.1 в режиме роутера 192.168.1.5-eth1-смотрит в локальную сеть 172.18.1.2-eth2-смотрит на файловый сервер OnConnect #!/bin/bash #����� ����� ����, ��������� #������� ������� ���� �������- ������ #������ ��� ������ ������� ����� # Login LOGIN=$1 #user IP IP=192.168.1.246 #cash CASH=$3 #user ID ID=$4 #Selected dirs to connect DIRS=$4 #iptables -t mangle -A PREROUTING -s $ip -j ACCEPT #iptables -t mangle -A OUTPUT -d $ip -j ACCEPT iptables -t -A FORWARD -i eth0 -o eth1 -d $ip -j ACCEPT iptables -t nat -A PREROUTING -s $ip/255.255.255.255 -d ! 192.168.1.0/255.255.255.0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.5:3128 echo "C `date +%Y.%m.%d-%H.%M.%S` $IP $CASH" >> /var/stargazer/users/$LOGIN/connect.log OnDisconnect #!/bin/bash # ����� ����� ����, ��������� # ��� ����� � ��������������������� # ���� ������������� # �������������� ����OnConnect - ������ # ������ ��� ������ ������� ����� # Login LOGIN=$1 #user IP IP=$2 #cash CASH=$3 #user ID ID=$4 #Selected dirs to disconnect DIRS=$4 #iptables -t mangle -D PREROUTING -s $ip -j ACCEPT iptables -D FORWARD -i eth0 -o eth1 -d $ip -j ACCEPT while [ $? -eq 0 ] do #iptables -t mangle -D PREROUTING -s $ip -j ACCEPT iptables -D FORWARD -i eth0 -o eth1 -d $ip ACCEPT done ################################## #iptables -t mangle -D OUTPUT -d $ip -j ACCEPT iptables -t nat -D PREROUTING -s $ip/255.255.255.255 -d ! 192.168.1.0/255.255.255.0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.5:3128 while [ $? -eq 0 ] do # iptables -t mangle -D OUTPUT -d $ip -j ACCEPT iptables -t nat -D PREROUTING -s $ip/255.255.255.255 -d ! 192.168.1.0/255.255.255.0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.5:3128 done #echo "D `date +%Y.%m.%d-%H.%M.%S` $IP $CASH" >> /var/stargazer/users/$LOGIN/connect.log Rules # Самые скоростные ресурсы распологаем в самом верху наших правил # Это позволит уменьшить нагрузку на процессор # Самыми быстрыми ресурсами, в данном случае, будут архивы видео и музыки #ПРОТОКОЛ АДРЕС НАПРАВЛЕНИЕ # Трафик на MainGate File Server ALL 172.18.1.0/24 DIR0 # Трафик на роутер ALL 192.168.1.5 DIR0 ALL 10.0.0.2 DIR0 ALL 172.18.1.1 DIR0 # Город ALL 10.10.66.0/24 DIR1 ALL 176.16.7.0/24 DIR1 # USI # USI_40 ALL 194.226.146.0/24 DIR2 ALL 195.58.1.66 DIR2 ALL 212.220.123.10 DIR2 ALL 212.220.123.11 DIR2 ALL 212.220.123.12 DIR2 ALL 212.220.123.13 DIR2 ALL 212.220.123.14 DIR2 ALL 212.220.123.15 DIR2 ALL 212.220.123.16 DIR2 # USI_30 ALL 212.220.125.7 DIR3 ALL 212.220.125.8 DIR3 ALL 212.220.125.6 DIR3 ALL 212.220.125.251 DIR3 # Пинги не считаем ICMP 0.0.0.0/0 NULL # Мир, те всё что не попало под предыдущие правила ALL 0.0.0.0/0 DIR4 fw #!/bin/bash #Машина в офисе office=192.168.1.5 #Машина администратора admin=192.168.1.246 #Адреса роутера server0=192.168.1.5 server1=10.0.0.2 server2=172.18.1.1 # Адрес файлового архива с mp3 и video video_serv=172.18.1.2 # Интерфейс смотрящий на клиентов iface_cli=eth1 # Интерфейс смотрящий во внешний мир iface_world=eth0 # Интерфейс смотрящий на архив iface_int=etheth2 #Порты, на которых работает конфигуратор и авторизатор conf_port=5555 user_port1=5555 #user_port2=5555 # Разрешаем форвардинг пакетов между интерфейсами # Эта штука необязательна, просто в некоторых дистрибутивах # по умолчанию форвардинг разрешен, а в некоторых - запрещен # Если мы подстрахуемся, хуже не бкдет echo "1" > /proc/sys/net/ipv4/ip_forward # Очищаем правила файрвола iptables -t filter -F iptables -t filter -X iptables -t nat -F iptables -t nat -X # Политика по умолчанию DROP: всем всё запрещено iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT DROP # Разрешаем пингам ходить всюду и всегда iptables -t filter -A INPUT -p icmp -j ACCEPT iptables -t filter -A FORWARD -p icmp -j ACCEPT iptables -t filter -A OUTPUT -p icmp -j ACCEPT # Разрешаем всё на локальном интерфейсе iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT # Разрешить серверу общаться со внешним миром iptables -t filter -A INPUT -i $iface_world -j ACCEPT iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT # Разрешить видео-серверу обращаться во внешним миром и роутером iptables -t filter -A INPUT -s $video_serv -j ACCEPT iptables -t filter -A FORWARD -s $video_serv -j ACCEPT iptables -t filter -A FORWARD -d $video_serv -j ACCEPT iptables -t filter -A OUTPUT -d $video_serv -j ACCEPT # DNS. Замечу, ДНС работает и по TCP и по UDP iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT # SSH iptables -t filter -A INPUT -p tcp -s $office -d $server0 --dport 22 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d $office -s $server0 --sport 22 -j ACCEPT iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT # Stargazer configurator iptables -t filter -A INPUT -p tcp -s 192.168.1.0/24 -d $server0 --dport $conf_port -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d 192.168.1.0/24 -s $server0 --sport $conf_port -j ACCEPT # UDP stargazer InetAccess iptables -t filter -A INPUT -p udp -s 192.168.1.0/24 --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT iptables -t filter -A OUTPUT -p udp -d 192.168.1.0/24 --dport $user_port1 -s $server0 -j ACCEPT #Маскарад iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE stargazer.conf ################################################################################ # Файл настроек сервера stargazer # ################################################################################ # Имя лог-файла куда пишутся события LogFile = /var/log/stargazer.log # Имя файла в котором определяются правила подсчета трафика Rules = /etc/stargazer/rules # Время через которое пишется d БД детальная статистика пользователя # Значения: 1, 1/2, 1/4, 1/6. # 1 - раз в чаc, 1/2 - раз в пол часа, 1/4 - раз в 15 мин, 1/6 - раз в 10 мин DetailStatWritePeriod=1/6 # Периодичность записи записи в БД информации о статистике пользователя (минуты) # При большом кол-ве пользователей эту величину стоит увеличить, т.к. # запись в БД может занимать длительное время. # Значения: 1...1440 (минуты) StatWritePeriod = 10 # День снятия абонплаты # Значения: 0...31. 0 - Последний день месяца DayFee = 1 # Абонплата снимается в последний (yes) или первый (no) день учетного периода. # Это влияет на то, как будет снята абонплата (АП) при переходе на новый тариф. # Если у пользователя был тариф A с АП=100 и он хочет перейти на тариф B с АП=200, # то при переходе на новый тариф со счета пользователя снимется 100, если # DayFeeIsLastDay = yes и 200, если DayFeeIsLastDay = no DayFeeIsLastDay = yes # День сброса данных о трафике за месяц и день перехода пользователей на новые тарифы # Значения: 0...31. 0 - Последний день месяца DayResetTraff = 1 # "Размазанное" снятие абонплаты. Снятие АП не раз в месяц, а каждый # день 1/30 или 1/31 части АП # Значения: yes, no SpreadFee = yes # Данная опция определяет может ли пользователь получить доступ в интерент # если у него на счету нет денег, но остался предоплаченный трафик # Значения: yes, no FreeMbAllowInet = no # Эта опция определяет что будет писаться в стоимость трафика в detail_stat. # Если у пользователя еще есть предоплаченный трафик и WriteFreeMbTraffCost = no, # то в detail_stat стоимость будет 0. Если у пользователя уже нет # предоплаченного трафика и WriteFreeMbTraffCost = no, то в detail_stat # будет записана стоиость трафика. При WriteFreeMbTraffCost = yes стоимость # трафика будет записана в любом случае. WriteFreeMbTraffCost = no # Названия направлений. Направления без названий не будут отображаться в # авторизаторе и конфигураторе. Названия состоящие из нескольких слов должны # быть взяты в кавычки <DirNames> DirName0 = "FreeLine Local Trafic" DirName1 = Town DirName2 = Game DirName3 = Video DirName4 = "Global Internet" DirName5 = DirName6 = DirName7 = DirName8 = DirName9 = </DirNames> # Кол-во запускаемых процессов stg-exec. # Эти процессы отвечают за выполнение скриптов OnConnect, OnDisconnect, ... # Кол-во процессов означает сколько скриптов могут выполнятся одновременно. # Значения: 1...1024 ExecutersNum = 1 # Message Key для stg-exec. # Идентификатор очереди сообщений для выполнятеля скриптов. # Его изменение может понадобится если есть необходимость запустить несколько # экземпляров stg. Если вы не понимаете, что это, не трогайте этот параметр! # Значения: 0...2^32 # Значение по умолчанию: 5555 # ExecMsgKey = 5555 # Путь к директории, в которой находятся модули сервера ModulesPath = /usr/lib/stg ################################################################################ # Store module # Настройки плагина работающего с БД сервера # Второй параметр - это имя модуля без mod_ в начале и .so в конце # Т.е. полное имя модуля mod_store_files.so <StoreModule store_files> # Рабочая директория сервера, тут содержатся данные о тарифах, пользователях, # администраторах и т.д. WorkDir = /var/stargazer # Владелец, группа и права доступа на файлы статистики (stat) пользователя ConfOwner = root ConfGroup = wheel ConfMode = 600 # Владелец, группа и права доступа на файлы конфигурации (conf) пользователя StatOwner = root StatGroup = wheel StatMode = 640 # Владелец, группа и права доступа на лог-файлы (log) пользователя UserLogOwner = root UserLogGroup = wheel UserLogMode = 640 </StoreModule> ################################################################################ # Прочие модули <Modules> # Настройки плагина авторизации Always Online "mod_auth_ao.so" # Второй параметр - это имя модуля без mod_ в начале и .so в конце # Т.е. полное имя модуля mod_auth_ao.so <Module auth_ao> </Module> # Настройки плагина авторизации InetAccess "mod_auth_ia.so" # Второй параметр - это имя модуля без mod_ в начале и .so в конце # Т.е. полное имя модуля mod_auth_ia.so <Module auth_ia> # Порт на котором принимаются обращения от авторизатора # Значения: 1...65534 Port = 5555 # Время между посылками запроса пользователю жив ли он # и обновлением данных статистики (секунды) # Значения: 5...600 UserDelay = 15 #Таймаут для пользователя. Если в течение этого времени авторизатор #не отвечает, пользователь будет отключен # Значения: 15...1200 UserTimeout = 65 # Этот параметр определяет что будет передаваться программе InetAccess от сервера # как отстаток предоплаченного трафика # Значения: # FreeMb = 0 - кол-во бесплатных мегабайт в пресчете на цену нулевого направления # FreeMb = 1 - кол-во бесплатных мегабайт в пресчете на цену первого направления # FreeMb = 2 - кол-во бесплатных мегабайт в пресчете на цену второго направления # FreeMb = 3 - кол-во бесплатных мегабайт в пресчете на цену третьего направления # ........................ # FreeMb = 9 - кол-во бесплатных мегабайт в пресчете на цену девятого направления # FreeMb = cash - кол-во денег на которые юзер может бесплатно качать # FreeMb = none - ничего не передавать FreeMb = cash </Module> # Модули можно использовать несколько раз с разными параметрами #<Module auth_ia> # Port = 7777 # UserDelay = 15 # UserTimeout = 65 # FreeMb = 0 #</Module> # Настройки модуля конфигурации SgConfig "mod_conf_sg.so" # Второй параметр - это имя модуля без mod_ в начале и .so в конце <Module conf_sg> # Порт по которому сервер взаимодействует с конфигуратором # Значения: 1...65535 Port = 5555 </Module> # Модуль захвата трафика "mod_cap_ether.so" # Второй параметер - это имя модуля без mod_ в начале и .so в конце # Без параметров. Только имя модуля. <Module cap_ether> # Модуль без параметров </Module> # Настройки модуля пингующего пользователей "mod_ping.so" # Второй параметр - это имя модуля без mod_ в начале и .so в конце <Module ping> # Время, в секундах, между пингами одного и того же пользователя # Значения: 10...3600 PingDelay = 15 </Module> # # Настройки модуля для удаленного выполнения скриптов OnConnect и # # OnDisconnect "mod_remote_script.so" # # Второй параметр - это имя модуля без mod_ в начале и .so в конце # <Module remote_script> # # # Время, в секундах, между посылками подтверждений, того, что пользователь # # всё еще онлайн # # Значения: 10...600 # SendPeriod = 15 # # # Соответствие подсетей, в которой находится пользователь и # # соответствующего роутера. Первая часть строки - подсеть, заданная # # как IP-адрес и маска, через пробел - IP-адрес роутера на котором # # должны выполняться скрипты # # Например эта запись "192.168.1.0/24 192.168.1.1" означает, что для # # всех пользователей из подсети 192.168.1.0/24, скрипты будут # # выполняться на роутере с адресом 192.168.1.1 # # Subnet0...Subnet100 # Subnet0 = 192.168.1.0/24 192.168.1.5 # Subnet1 = 192.168.2.0/24 192.168.1.5 # Subnet2 = 192.168.3.0/24 192.168.1.5 # Subnet3 = 192.168.4.0/24 192.168.1.5 # # # Пароль для шифрования пакетов между stg-сервером и сервером, # # выполняющим скрипты # Password = kn15101978 # # # Этот параметр определяет какие параметры пользователя передаются # # на удаленный сервер # # Cash, FreeMb, Passive, Disabled, AlwaysOnline, TariffName, NextTariff, Address, # # Note, Group, Email, RealName, Credit, EnabledDirs, Userdata0...Userdata9 # UserParams=Cash Tariff EnabledDirs # # # Порт по которому сервер отсылает сообщения на роутер # # Значения: 1...65535 # Port = 9999 # # </Module> </Modules> ################################################################################ Запускаю suse firewall MAINGATE:/etc/stargazer # iptables -n -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination MAINGATE:/etc/stargazer # iptables -n -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED input_int all -- 0.0.0.0/0 0.0.0.0/0 input_int all -- 0.0.0.0/0 0.0.0.0/0 input_ext all -- 0.0.0.0/0 0.0.0.0/0 LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 LOG flags 6 level 4 prefix `SFW2-IN-ILL-TARGET ' DROP all -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy DROP) target prot opt source destination TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU forward_int all -- 0.0.0.0/0 0.0.0.0/0 forward_int all -- 0.0.0.0/0 0.0.0.0/0 LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 LOG flags 6 level 4 prefix `SFW2-FWD-ILL-ROUTING ' DROP all -- 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,E STABLISHED LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 LOG flags 6 level 4 prefix `SFW2-OUT-ERROR ' Chain forward_ext (0 references) target prot opt source destination ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED icmp type 0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED icmp type 3 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED icmp type 11 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED icmp type 12 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED icmp type 14 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED icmp type 18 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED icmp type 3 code 2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED icmp type 5 LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 PKTTYPE = multicast LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT ' DROP all -- 0.0.0.0/0 0.0.0.0/0 PKTTYPE = multicast LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 tcp flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT ' LOG icmp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT ' LOG udp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT ' LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT-INV ' DROP all -- 0.0.0.0/0 0.0.0.0/0 Chain forward_int (2 references) target prot opt source destination ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED icmp type 0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED icmp type 3 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED icmp type 11 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED icmp type 12 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED icmp type 14 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED icmp type 18 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED icmp type 3 code 2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED icmp type 5 LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 PKTTYPE = multicast LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT ' DROP all -- 0.0.0.0/0 0.0.0.0/0 PKTTYPE = multicast LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 tcp flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT ' LOG icmp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT ' LOG udp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT ' LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT-INV ' DROP all -- 0.0.0.0/0 0.0.0.0/0 Chain input_ext (1 references) target prot opt source destination ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast udp dpt:177 DROP all -- 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 4 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED icmp type 0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED icmp type 3 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED icmp type 11 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED icmp type 12 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED icmp type 14 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED icmp type 18 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED icmp type 3 code 2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED icmp type 5 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 tcp dpt:5801 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TC P ' ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:5801 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 tcp dpt:5901 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TC P ' ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:5901 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 tcp dpt:80 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP ' ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 tcp dpt:22 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP ' ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 tcp dpt:177 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP ' ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:177 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:177 reject_func tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 state NEW LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 PKTTYPE = multicast LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT ' DROP all -- 0.0.0.0/0 0.0.0.0/0 PKTTYPE = multicast LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 tcp flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT ' LOG icmp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT ' LOG udp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT ' LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT-INV ' DROP all -- 0.0.0.0/0 0.0.0.0/0 Chain input_int (2 references) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 Chain reject_func (1 references) target prot opt source destination REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 reject-with tcp-res et REJECT udp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-po rt-unreachable REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-pr oto-unreachable Запускаю fw-при этом на 192.168.1.246 отваливается авторизатор MAINGATE:/etc/stargazer # iptables -n -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 127.0.0.1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 172.18.1.2 0.0.0.0/0 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53 ACCEPT tcp -- 192.168.1.5 192.168.1.5 tcp dpt:22 ACCEPT tcp -- 192.168.1.246 192.168.1.5 tcp dpt:22 ACCEPT tcp -- 192.168.1.0/24 192.168.1.5 tcp dpt:5555 Chain FORWARD (policy DROP) target prot opt source destination ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 172.18.1.2 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 172.18.1.2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:53 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 Chain OUTPUT (policy DROP) target prot opt source destination ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 127.0.0.1 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 172.18.1.2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 ACCEPT tcp -- 192.168.1.5 192.168.1.5 tcp spt:22 ACCEPT tcp -- 192.168.1.5 192.168.1.246 tcp spt:22 ACCEPT tcp -- 192.168.1.5 192.168.1.0/24 tcp spt:5555 ACCEPT udp -- 192.168.1.5 192.168.1.0/24 udp dpt:5555 запускаю вручную OnConnect MAINGATE:/etc/stargazer # ./OnConnect Bad argument `FORWARD' Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.5: host/network `' not found Try `iptables -h' or 'iptables --help' for more information. MAINGATE:/etc/stargazer # iptables -n -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 127.0.0.1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 172.18.1.2 0.0.0.0/0 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53 ACCEPT tcp -- 192.168.1.5 192.168.1.5 tcp dpt:22 ACCEPT tcp -- 192.168.1.246 192.168.1.5 tcp dpt:22 ACCEPT tcp -- 192.168.1.0/24 192.168.1.5 tcp dpt:5555 Chain FORWARD (policy DROP) target prot opt source destination ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 172.18.1.2 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 172.18.1.2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:53 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 Chain OUTPUT (policy DROP) target prot opt source destination ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 127.0.0.1 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 172.18.1.2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 ACCEPT tcp -- 192.168.1.5 192.168.1.5 tcp spt:22 ACCEPT tcp -- 192.168.1.5 192.168.1.246 tcp spt:22 ACCEPT tcp -- 192.168.1.5 192.168.1.0/24 tcp spt:5555 ACCEPT udp -- 192.168.1.5 192.168.1.0/24 udp dpt:5555 На 192.168.1.246 шлюзом стоит 192.168.1.5, почему на нем не пингуется ни один сайт в интернете, ни по ip адресу, ни по имени? я уже несколько ночей просидел, хожу как зомби, все маны и доки перерыл, понимаю, что ошибка где то в правилах, но найти не могу