zavulon

Ок. Огромное спасибо. Попробую. Если заработает - с меня пиво. ,)

Т.е. добавить эту строчку в онконект или в фаерволе? В дисконекте ничего не изменять?

Всмысле? Белый адрес был все это время, без изменений, да.

фаерволл: #!/bin/bash #Машина администратора admin=192.168.1.2 #Адреса роутера server0=192.168.1.1 server1=111.111.111.111 # Интерфейс смотрящий на клиентов iface_cli=eth0 # Интерфейс смотрящий во внешний мир iface_world=eth1 #Порты, на которых работает конфигуратор и авторизатор conf_port=8888 user_port1=5555 user_port2=5555 echo "1" > /proc/sys/net/ipv4/ip_forward # Очищаем правила файрвола iptables -t filter -F iptables -t filter -X iptables -t nat -F iptables -t nat -X # Политика по умолчанию DROP: всем всё запрещено iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT DROP # # Разрешаем пингам ходить всюду и всегда iptables -t filter -A INPUT -p icmp -j ACCEPT iptables -t filter -A FORWARD -p icmp -j ACCEPT iptables -t filter -A OUTPUT -p icmp -j ACCEPT # Разрешаем всё на локальном интерфейсе iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT # Разрешить серверу общаться со внешним миром iptables -t filter -A INPUT -i $iface_world -j ACCEPT iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT # DNS. Замечу, ДНС работает и по TCP и по UDP iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT # SSH iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT # Stargazer configurator iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport $conf_port -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport $conf_port -j ACCEPT iptables -t filter -A INPUT -p udp -s $admin --sport $conf_port -d $server0 -j ACCEPT iptables -t filter -A OUTPUT -p udp -d $admin --dport $conf_port -s $server0 -j ACCEPT # UDP stargazer InetAccess iptables -t filter -A INPUT -p udp -s 192.168.1.0/24 --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT iptables -t filter -A OUTPUT -p udp -d 192.168.1.0/24 --dport $user_port1 -s $server0 -j ACCEPT #Маскарад iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE онконект: -скип- #-------------------------------------------- iptables -t filter -A INPUT -s $ip -j ACCEPT iptables -t filter -A FORWARD -s $ip -j ACCEPT iptables -t filter -A FORWARD -d $ip -j ACCEPT iptables -t filter -A OUTPUT -d $ip -j ACCEPT #-------------------------------------------- -скип-

в том то и дело, что: 192.168.1.1

Через НАТ. Прокси нет. Голый сервак. Установлен только Старгейзер с его скриптами и фаерволом без изменений. Сам не понимаю ничего, как так... Если качать что-то с роутера, т.е. локальный трафик, точно также обозначает его, как 192.168.1.255. Т.е., считаешь, сделать локалку 192.168.0.0/16 - и проблема будет решена? Не понимаю механизма.

Старгейзер (2.0.16.7.6) работал 3 месяца, все было ОК. Статистика по метражу у провайдера и у меня отличалась копейками и в основном в мою пользу. В этом месяце обнаружилась громадная разница - ок. 30 % трафика по сравнению с провайдером у меня не засчитано. Начинаю проверять с простого. Авторизуюсь. Иду на дом. страницу файрфокса. Качаю новую версию браузера-2.0, весит она 6,2 Мб. Вот, что получилось в детальной статистике: -> 13.20.00 - 13.30.00 192.168.1.1 0 27850 15408 0.000000 194.58.78.39 2 25210 7481 0.000000 194.58.78.41 2 0 0 0.000000 194.58.78.65 2 55802 7772 0.000000 194.135.19.101 2 409 1543 0.000000 194.67.45.123 2 393 679 0.000000 194.67.45.129 2 385 760 0.000000 217.73.200.174 2 118234 17357 0.000000 213.186.217.210 2 31080 3971 0.000000 [b]192.168.1.255 0 6810340 128017 0.000000[/b] Я в шоке! Т.е. весь даунлоад файрфокса посчитался в локальный трафик. Что не так? Помогите, кто чем может. Рулесы: # Локальный трафик ALL 192.168.1.0/24 DIR0 # Город ALL 111.111.111.111/64 DIR1 # Пинги не считаем # ICMP 0.0.0.0/0 NULL # Инет ALL 0.0.0.0/0 DIR2 Все остальные конфигурации файрвола, сервера, конект-дисконект взяты с авторского сайта без изменений (кроме подстановки айпи ест-но)... Буду признателен.