XoRe

одной правки файлов conf недостаточно. stargazer держит данные из этих файлов в памяти. поэтому нужно будет убить процесс stargazer, внести изменения и запустить stargazer.

2DZkik: уважаемый, а что вы прописали в поле "интерфейс" в настройках юзера? И сразу киньте пожалуйста сюда выхлоп программы ifconfig 2Den_LocalNet: стг со старым типом подсчета ловит пакеты через bpf. bpf ловит пакеты до того, как они отправляются на фаервол.

В FreeBSD есть включаемая опция ядра BRIDGE. Быть может это то, что вам нужно?

2StalkerCat: АРП - не мелочь, а важная вещь )) И делать её надо не стг, а другими системными утилитами.

2virstud: если у тебя получилось заставить divert работать на FreeBSD 5.х, то вышли пожалуйста свои сырцы на xor<бобик>elizovo.ru На 4.9-11, насколько я понял, диверт работает на ура.

это параметр отвечающий за новый формат БД старгейзера. Если интересно - читай темы про билды старгейзера от апреля и мая 2005 года.

2Richman: возможно.

Ахренеть. У меня только это слово приходит на ум) Админ сети - школьник. (был видимо А последний мессадж - уже как админа студента. - это радует )

1. Человек может не поднимать сервер. А просто разрешить другим людям выходить через него в инет. Проверить это можно просто - если ты в этой-же сети сидишь, поставь его ip себе в качестве шлюза. И попробуй чего-нить открыть в инете или в самой сети. 2. Все зависит от объёма и уровня знаний пользователей. Можно все настроить так, что админ об этом никогда не узнает. на 100% это запретить можно, если понаставить везде управляемые свичи сделать сеть по образу звезды, чтоб весь локальный трафик через шлюз гонялся.

Не работал с ним, но считаю, что можно и к нему прикрутить. Могу подсказать только в общих чертах: поставить что-то типа (синтаксис ipfw) deny ip from сетка to any а OnConnect и OnDisconnect пусть добавляют правила allow ip from айпишник to any перед этим правилом. Или что-то типа этого. В ipfw можно очень удобно задавать разрешения с помощью skipto. Не знаю, есть ли в pf аналог этого. Если есть, то рекомендую использовать его. Т.е. чтоб при подключении включалось правило, которое не разрешает все айпишнику клиента, а только перепрыгивает запрещение (deny ip from сетка to any). Это позволит более гибко настраивать, что клиенту можно, а что нет. Кстати до deny ip from сетка to any можно понадобавлять правил типа allow tcp from сетка to me 53,80 Или использовать ту-же skipto (если есть). Чтоб какие-то ресурсы сервера были доступны до авторизации. Тут все дело только в том, что написать в OnConnect и OnDisconnect. Могу посоветовать хорошо почитать man pf, лучше если на русском языке. И почитать побольше другой документации по нему. P.S> символический фаер можно. Только про nat не забудь. Тогда и система авторизации станет символической. Поэтому лучше поставить всем AlwaysOnline, чтоб хоть трафик считался. И советую не забыть, что когда человек при AlwaysOnline выкушает весь свой кредит и на счету у него будет 0, то в инете сидеть он сможет. А вот stg его трафик считать уже не будет.

2T2Lan: я нахожусь на камчатке. Я делю камчатку и мир. Делится это дело с помощью файла rules. А подсчет у меня реализован в стг стандартным способом, через stg.

Стояла бы у мну фря 4.х - разобрался бы и написал бы. А так могу сказать только то, что на 5.х подсчет через диверт не работает.

2teapot: какой строкой запускаешь стг? И билд точно от 12.05.05 ?

есть мнение, что в 256 день в году )

2Vadimka: не силен в украинском. Напишешь на русском?

А если заменить ${fwcmd} add 10 divert 8000 ip from 192.168.250.60 to any via rl0 ${fwcmd} add 20 divert 8001 ip from 192.168.250.60 to any via fxp0 ${fwcmd} add 100 divert natd ip from any to any out via fxp0 ${fwcmd} add 200 divert natd ip from any to ХХ.ХХХ.ХХХ.ХХ in via fxp0 на ${fwcmd} add 10 divert 8000 ip from any to any via rl0 ${fwcmd} add 100 divert natd ip from any to any via fxp0 ? ))

Могу сказать, как это работает на FreeBSD При прозрачном проксировании пакет от машины клиента идет на 80 порт сайта microsoft.com. Пакет попадает в сетевуху шлюза, учитывается счетчиком stg (через фряшный фильтр bpf) и только после этого идет на обработку фаервола. Фаервол этот пакет запихивает себе-же на 3128 порт и на адрес 3128. Прокся посылает от себя запрос на 80 порт сайта microsoft.com. Следовательно: 1. 3128 порт не должен быть доступен для компьютеров локальной сетки. Его можно и нужно закрыть фаерволом. 3128 порт системы должен быть доступен самой системе. И я думаю, что в 100% случаев он доступен самой системе. 2. В рулесы добавлять никакой порт не надо. Его надо вообще закрыть фаерволом. В онконнект надо добавить только редирект. 3. (чисто теоретически) Если заметить, что пакет направляется на 3128 порт ПОСЛЕ подсчета его старгейзером, то можно понять, что старгейзер не знает, пойдет ли пакет на microsoft.com напрямую или через прозрачную проксю. В этом весь смысл прозрачного проксирования.

- Мне нужно масло. - Неее, тебе лучше масло. - не слушай ты его, бери масло. - открою вам секрет... вам нужно малсло! ))

2Andrey Zentavr: во фряхе так, как описал spr1te. В линуксе, насколько я понимаю, ты сам написал, как: OnConnect CODE ....... -->> начало iptables -t nat -A PREROUTING -p tcp -m multiport --destination-port 80,81,88,3128,8080,8000 -d ! ${server} -s ${client} -j REDIRECT --to-port 8080 ....... -->> далее или как описал Фостер iptables -t nat -A PREROUTING -p tcp -s $2 -d ! 192.168.0.0/16 --dport 80 -j REDIRECT --to-ports 3128 2spr1te: опа... спасибо, не знал. Буду думать, как закрыть сие чудо.

Стоял сервер stg на линуксе, у пользовтаелей были бесплатные мегебайты. И эти бесплатные мегабайты показывались в авторизаторе. Стал сервер на фряхе, бесплатные мегабайты перестали показываться в авторизаторах клиентов. Люди, подскажите, у кого сервера стг, на фряхе у ваших клиентов бесплатные мегабайты в авторизаторах показываются?

Простите, но это ботство, имхо. 1. в squid написать не http_port 3128 а http_port 127.0.0.1:3128 И ещё должны быть директивы httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on Таким образом к проксе будет просто нельзя подцепиться больше ниоткуда. Как я понимаю, это именно то, что нужно автору темы. 2. Фаерволом закрыть доступ к порту отовсюду кроме 127.0.0.1. Я думаю, в правилах фаервола уже есть правила, разрешающие все для внутреннего интерфейса, так что проблем с этим не будет. Это на всякий случай. 3. Если человек юзает прокси сервера в интернете - это его дело. За исключением случая, когда провайдер платит за пользование этой проксЁй. Тогда можно или закрыть её фаерволом, или прописать её в рулесах stg, как глобальную. Т.е. написать что-то типа TCP 111.222.333.444:3128 DIR2, где DIR2 - это направление, отвечающее за глобал. Кстати советую разобраться со всеми проксями, за пользование которыми вы платите. С остальными проксями можно разобраться по желанию. А это для того, чтобы разобраться с проксями в инете.

2Den_LocalNet: я думаю, это лучше делать из той же странички или плагином, который можно будет в будущем написать самому ) Кстати да, теперь люди сами могут реализовывать необходимые им функции отдельными модулями. Или заказывать разработку модулей. Кстати! Вот хорошая мысль: советую борису, после того, как он допишет стг новой системы, сосредоточиться на дальнейшей разработке и отладке базовых aka основных модулей. А жлполнительный функционал делать в виде модулей, разрабатываемых за плату. Тогда каждый сможет получить то, что хочет. Админы сетей - необходимый им функционал. Разработчик(и) стг (и модулей к нему) - окупаемость проекта.

по DHCP выдается внешний ip адрес? Не из сетей типа 192.168... ?

60 адресов можно за 20 минут снова вбить )

снифферы )