XoRe

можно)

одной правки файлов conf недостаточно. stargazer держит данные из этих файлов в памяти. поэтому нужно будет убить процесс stargazer, внести изменения и запустить stargazer.

2DZkik: уважаемый, а что вы прописали в поле "интерфейс" в настройках юзера? И сразу киньте пожалуйста сюда выхлоп программы ifconfig 2Den_LocalNet: стг со старым типом подсчета ловит пакеты через bpf. bpf ловит пакеты до того, как они отправляются на фаервол.

В FreeBSD есть включаемая опция ядра BRIDGE. Быть может это то, что вам нужно?

2StalkerCat: АРП - не мелочь, а важная вещь )) И делать её надо не стг, а другими системными утилитами.

2virstud: если у тебя получилось заставить divert работать на FreeBSD 5.х, то вышли пожалуйста свои сырцы на xor<бобик>elizovo.ru На 4.9-11, насколько я понял, диверт работает на ура.

это параметр отвечающий за новый формат БД старгейзера. Если интересно - читай темы про билды старгейзера от апреля и мая 2005 года.

2Richman: возможно.

Ахренеть. У меня только это слово приходит на ум) Админ сети - школьник. (был видимо А последний мессадж - уже как админа студента. - это радует )

1. Человек может не поднимать сервер. А просто разрешить другим людям выходить через него в инет. Проверить это можно просто - если ты в этой-же сети сидишь, поставь его ip себе в качестве шлюза. И попробуй чего-нить открыть в инете или в самой сети. 2. Все зависит от объёма и уровня знаний пользователей. Можно все настроить так, что админ об этом никогда не узнает. на 100% это запретить можно, если понаставить везде управляемые свичи сделать сеть по образу звезды, чтоб весь локальный трафик через шлюз гонялся.

Не работал с ним, но считаю, что можно и к нему прикрутить. Могу подсказать только в общих чертах: поставить что-то типа (синтаксис ipfw) deny ip from сетка to any а OnConnect и OnDisconnect пусть добавляют правила allow ip from айпишник to any перед этим правилом. Или что-то типа этого. В ipfw можно очень удобно задавать разрешения с помощью skipto. Не знаю, есть ли в pf аналог этого. Если есть, то рекомендую использовать его. Т.е. чтоб при подключении включалось правило, которое не разрешает все айпишнику клиента, а только перепрыгивает запрещение (deny ip from сетка to any). Это

2T2Lan: я нахожусь на камчатке. Я делю камчатку и мир. Делится это дело с помощью файла rules. А подсчет у меня реализован в стг стандартным способом, через stg.

Стояла бы у мну фря 4.х - разобрался бы и написал бы. А так могу сказать только то, что на 5.х подсчет через диверт не работает.

2teapot: какой строкой запускаешь стг? И билд точно от 12.05.05 ?

есть мнение, что в 256 день в году )

2Vadimka: не силен в украинском. Напишешь на русском?

А если заменить ${fwcmd} add 10 divert 8000 ip from 192.168.250.60 to any via rl0 ${fwcmd} add 20 divert 8001 ip from 192.168.250.60 to any via fxp0 ${fwcmd} add 100 divert natd ip from any to any out via fxp0 ${fwcmd} add 200 divert natd ip from any to ХХ.ХХХ.ХХХ.ХХ in via fxp0 на ${fwcmd} add 10 divert 8000 ip from any to any via rl0 ${fwcmd} add 100 divert natd ip from any to any via fxp0 ? ))

Могу сказать, как это работает на FreeBSD При прозрачном проксировании пакет от машины клиента идет на 80 порт сайта microsoft.com. Пакет попадает в сетевуху шлюза, учитывается счетчиком stg (через фряшный фильтр bpf) и только после этого идет на обработку фаервола. Фаервол этот пакет запихивает себе-же на 3128 порт и на адрес 3128. Прокся посылает от себя запрос на 80 порт сайта microsoft.com. Следовательно: 1. 3128 порт не должен быть доступен для компьютеров локальной сетки. Его можно и нужно закрыть фаерволом. 3128 порт системы должен быть доступен самой системе. И я думаю, что в

- Мне нужно масло. - Неее, тебе лучше масло. - не слушай ты его, бери масло. - открою вам секрет... вам нужно малсло! ))

2Andrey Zentavr: во фряхе так, как описал spr1te. В линуксе, насколько я понимаю, ты сам написал, как: OnConnect CODE ....... -->> начало iptables -t nat -A PREROUTING -p tcp -m multiport --destination-port 80,81,88,3128,8080,8000 -d ! ${server} -s ${client} -j REDIRECT --to-port 8080 ....... -->> далее или как описал Фостер iptables -t nat -A PREROUTING -p tcp -s $2 -d ! 192.168.0.0/16 --dport 80 -j REDIRECT --to-ports 3128 2spr1te: опа... спасибо, не знал. Буду думать, как закрыть сие чудо.

Стоял сервер stg на линуксе, у пользовтаелей были бесплатные мегебайты. И эти бесплатные мегабайты показывались в авторизаторе. Стал сервер на фряхе, бесплатные мегабайты перестали показываться в авторизаторах клиентов. Люди, подскажите, у кого сервера стг, на фряхе у ваших клиентов бесплатные мегабайты в авторизаторах показываются?

Простите, но это ботство, имхо. 1. в squid написать не http_port 3128 а http_port 127.0.0.1:3128 И ещё должны быть директивы httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on Таким образом к проксе будет просто нельзя подцепиться больше ниоткуда. Как я понимаю, это именно то, что нужно автору темы. 2. Фаерволом закрыть доступ к порту отовсюду кроме 127.0.0.1. Я думаю, в правилах фаервола уже есть правила, разрешающие все для внутреннего интерфейса, так что проблем с этим не будет. Это на всякий случай. 3. Если чел

2Den_LocalNet: я думаю, это лучше делать из той же странички или плагином, который можно будет в будущем написать самому ) Кстати да, теперь люди сами могут реализовывать необходимые им функции отдельными модулями. Или заказывать разработку модулей. Кстати! Вот хорошая мысль: советую борису, после того, как он допишет стг новой системы, сосредоточиться на дальнейшей разработке и отладке базовых aka основных модулей. А жлполнительный функционал делать в виде модулей, разрабатываемых за плату. Тогда каждый сможет получить то, что хочет. Админы сетей - необходимый им функционал. Разр

по DHCP выдается внешний ip адрес? Не из сетей типа 192.168... ?

60 адресов можно за 20 минут снова вбить )