XoRe

В ipfw после divert пакет продолжит свое путешествие по правилам. Пока в стг divert не возвращает пакеты в дальнейшую разработку, поэтому считай, что подсчет через divert не работает. Кстати, Борис, у меня есть система, на которой можно потестировать divert. Можешь прислать мне дебугерский релиз стг (т.е. с напиханными printf после каждой команды), я могу его протестировать, скажу, какой он дает выхлоп. Потом. При галочках "заморожен" и "отключен" у юзера снимается полная абонентка. Прошу занести в багтрак. Предложение: сделать ноуфьючед онлибагфиксед релиз, в котором довести до безглючности все имеющиеся функци.

Потому что dhcp просто помогает компьютеру получить сетевые реквизиты автоматом. Dhcp не препятствует клиенту самому ставить себе настройки. Маленький пример для ликбеза: Допустим, я нелегально нахожусь в сети, где провайдер всем раздает адреса из области 192.168.0.0 с маской 255.255.255.0. Я сижу через друга, который подключен легально. Я у себя ставлю адрес 192.168.1.1. с маской 255.255.0.0 Захожу на комп друга, смотрю, какие сетевые реквизиты ему присвоились по dhcp и ставлю ему эти реквизиты вручную, с небольшим изменением. Например, ему выдается ip 192.168.0.5 с маской 255.255.255.0. Я ему ставлю ip 192.168.0.5 с маской 255.255.0.0. Если специально это не проверять, то внешне такое изменение маски никак не обнаруживается. Теперь мой друг может так же лазить по сети и инету, как легальный пользователь. Кроме того, он может общаться по сети со мной. Кроме того, другие друзья, которые есть в этой сети, так же могут проделать ту-же операцию у себя на компе, чти на компе моего друга, чтобы видеть мой комп. Получается, что я пользуюсь сетью нелегально. Это пример простого нелегального сидения. Чтобы мой компьютер при установке левого ip адреса, сразу получал ошибку конфликта ip адресов, нужно поставить специальное ПО. Для линукса такое ПО нашли. Теперь хотелось бы найти такое для фряхи.

В том, что роутинг может пропасть, странного ничего нет. У меня роутинги по виртуальному туннелю пропадают при его перезагрузке.

Для диагностики попробуй команду which g++ попробуй поиграться с path Или попробуй поставить gcc 2.95 или типа него

2Sоrk: к сожалению, программа только под линукс. Есть ли похожие разработки под FreeBSD ?

Придерживайся =)

tcpdump -eti fxp0 arp показал, что в сети циркулируют запросы типа 0:a2:b4:74:12:28 Broadcast arp 60: arp who-has 192.168.0.1 tell 192.168.0.123 И ответы 0:2:b3:e7:42:43 0:a2:b4:74:12:28 arp 60: arp reply 192.168.0.1 is-at 0:2:b3:e7:42:43 Т.е. есть какой-то ip спрашивает, какой мак у того-то ip'а. И ему отвечают - у такого-то ip'а такой-то mac. Других запросов я не видел. indigo, быть может ты про такие запросы говоришь?

Можно сделать не "веб интерфейс", а "дополнения", куда постить про самописные скрипты, веб-интерфейсы, патчи, примеры правил фаерволлов и т.д. Т.е. все то, что работает вместе с стг или для стг.

Можно скрипт, пингущий и добавляющий маршрут через route add. Это кривое, не кривое, но работающее решение.

Если используется сервер на *nix, то жесткую привязку mac и ip адресов может делать команда arp с параметрами -s и pub (man arp). Отслеживание mac адресов делает программа arpwarch ( в портах фряхи или http://ya.ru ). Запретить пользователям использовать фонарные ip адреса из сетки C класса можно простым скриптом, который будет 254 раза выполнять команду arp и будет каждому ip адресу присваивать либо существующий mac, либо mac типа 00:00:00:00:00:00. У меня на шлюзе работает такая привязка. Если используется сеть класса B, то точно сказать не могу, осилит ли arp 65535 или более записей. Не пробовал. Кроме этого, не забывайте, что 2 пользователя могут договориться использовать свою адресацию. Например, один пользователь ставит себе адрес 1.1.1.1, а другой ставит себе 1.1.1.2 и оба используют маску 255.255.255.252. В этом случае очень сложно узнать, что они вообще такое сделали. А если у обоих на компах используются *nix, которые не передают бродкастов в сеть, то вообще невозможно. 100% защиту от нелегалов могут дать только умные свичи, которые будут осуществлять привязку ip к mac адресу "на местах".

Разница в том, что когда запускаешь стг с консоли, то он выполняется с некоторым набором переменных окружения. В sh их можно посмотреть по команде set Переменные эти стандартизированны. И программа стг или ядро операционной системы использует значения этих переменных. Например, для того, чтобы знать, какой интерпретатор использовать для запуска скриптов, если он не указан явно. Когда стг запускается через /etc/rc.local, то, думаю, там каким-то необходимым переменным значения не присвоены. Поэтому стг или ОС не знает, какой интерпретатор запускать, если в скрипте ничего не написано. Отсюда можно сделать 2 вывода: 1. Лучше в скрипте сразу указывать, чем этот скрипт обрабатывать, sh, bash, tcsh, perl, python и т.д. 2. В скриптах на sh, bash, tcsh лучше указывать программы с полными путями. Так как то, что программа запускается без указания пути - тоже заслуга переменных окружения, которые подсказывают где программу искать.

indigo: Открытый доступ к проксе должен заделывать не стг, а сам админ фаерволом. Или настраивать стг так, чтобы порт прокси на сервере считался не как локал. Или настраивать проксю в прозрачном режиме. Советую не забывать, что стг просто считает трафик и выполняет скрипты OnConnect, OnDisconnect и т.д. А то, что и как обсчитывать, а так же, что писать в этих скриптах и в конфигах стг - это дело админа. Автор стг может только дать общее описание конфигов и сриптов, и дать несколько советов и рекомендаций по настройке, выложенных в документации на stg.dp.ua.

2ZVER: Сколько стоит, надо сапрашивать у автора. 2other: Подсчет через divert не работает.

2ZVER: по 3 пункту подсчет можно сделать с помощью самописных скриптов

У всех спутниковых провов есть, а в СТГ нет. Если СУПЕР НАДО, то могу посоветовать переговорить с Борисом на эту тему. Я думаю, он сможет сделать эксклюзивный спец релиз при вашем спонсорстве.

Жесткие ссылки ещё никто не отменял =)

Попробуй прописать в скрипты #!/bin/sh или #!/bin/bash

с какой целью?

Рассылку сообщения одновременно нескольким клиентам. Например, чтоб при выборе работал ctrl и shift в GUI конфигураторе. Ещё такой момент - при выборе из списка, кому отправлять сообщение, в списке показываются все юзеры, даже если в основном окне работает фильтр на тех, кто, например, только в онлайне.

просто команда /bin/ps -ax | /usr/bin/grep /usr/local/sbin/stargazer выведет не только строчку с стг, но и может вывести 681 p0 R+ 0:00.00 /usr/bin/grep /usr/local/sbin/stargazer поэтому я добавил | /usr/bin/grep -v grep чтобы убрать это. А строчка | /usr/bin/awk '{print $3}' Вылавливает состояние процесса, т.е. R+, S<s, I<s и т.д. Эти скрипты для версии от 15.11.2004. Для более поздних версий я сейчас пишу новые скрипты.

FreeBSD 5.1 Stargazer 2.014.7.6 RC2 из исходников.

stargazer сам считает трафик. Может быть тебе нужно, чтоб скрипт рисовал таблицу с пользователями и потребленным трафиком?

Тады сюда можно и utm приписать =)

Получить все пароли можно одной командой grep Password /var/stargazer/users/*/conf И запихать их всех в хеш или массив.

текст в `` таких ковычках исполняется не перлом, а шеллом sh, bash, tcsh и т.д. команда /bin/ps -ax | /usr/bin/grep /usr/local/sbin/stargazer | /usr/bin/grep -v grep | /usr/bin/awk '{print $3}' получает pid запущеного старгейзера. Кстати забыл обратить внимание, у меня stargazer лежит в /usr/local/sbin/ У остальных он, наверное, лежит в /usr/sbin