neuch

спасибо за совет, попробую

совсем забыл отметить интересный факт - после запускиа этих правил, не могу выйти в локальную сеть с машины с установленным SG

час от часу не легче вот что имею, #!/bin/bash #Машина в офисе office=192.168.0.21 #Машина администратора admin=192.168.0.210 #Адреса роутера server0=192.168.0.210 server1=11.222.333.444 #Интерфейс смотрящий на клиентов iface_cli=eth0 #Интерфейс смотрящий во внешний мир iface_world=eth1 #порты, на которых работает конфигуратор и маршрутизатор conf_port=4444 user_port=4444 #user_port2=4443 IPTABLES="/sbin/iptables" /sbin/depmod -a /sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe iptable_filter /sbin/modprobe iptable_mangle /sbin/modprobe iptable_nat /sbin/modprobe ipt_LOG /sbin/modprobe ipt_limit /sbin/modprobe ipt_state #Разрешаем форватинг пакетов echo "1" > /proc/sys/net/ipv4/ip_forward #Очищаем правила файрвола iptables -t filter -F iptables -t filter -X iptables -t nat -F iptables -t nat -X #Политика по умолчанию DROP: всем всё запрещено iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT DROP #Разрешаем пингам ходить всюду и всегда iptables -t filter -A INPUT -p icmp -j ACCEPT iptables -t filter -A FORWARD -p icmp -j ACCEPT iptables -t filter -A OUTPUT -p icmp -j ACCEPT #Разрешаем всё на локальном интерфейсе iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT #разрешить серверу общаться с внешним миром iptables -t filter -A INPUT -i $iface_world -j ACCEPT iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT #Stargazer configurator iptables -t filter -A INPUT -p tcp -s 192.168.0.0/24 -d $server0 --dport $conf_port -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d 192.168.0.0/24 -s $server0 --sport $conf_port -j ACCEPT #UDP stargazer InetAccess iptables -t filter -A INPUT -p udp -s 192.168.0.0/24 --sport $user_port -d $server0 --dport $user_port -j ACCEPT iptables -t filter -A OUTPUT -p udp -d 192.168.0.0/24 --dport $user_port -s $server0 -j ACCEPT #Маскарад #iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE #$IPTABLES -t nat -A POSTROUTING -o $iface_world -j SNAT --to-source $server1 Две нижние строчки закоммнентировал, т.к. при использовании любой из них инт пингуется в не зависимости от того включен авторизатор или нет? но приложения в инет не ходят (тоже не зависимо от состояния авторизатора) В он коннект по совету прописал: #!/bin/bash ip=$2 $IPTABLES -t filter -A INPUT -s $ip -j ACCEPT $IPTABLES -t filter -A FORWARD -s $ip -j ACCEPT $IPTABLES -t filter -A FORWARD -d $ip -j ACCEPT $IPTABLES -t filter -A OUTPUT -d $ip -j ACCEPT #$IPTABLES -t nat -A POSTROUTING -s $ip -o $iface_world -j SNAT --to-source 11.222.333.444 $IPTABLES -t nat -A POSTROUTING -s $ip -o $iface_world -j MASQUERADE от варианта использования двух нижнизх строк ничего не меняется, что они есть, что их нет

Спасибо за советы, как изменю, напишу что получится, ну и файрвол обязательно ещё раз проштудирую

Я так понимаю, что доступ в инет должен появляться только после запуска авторизатора, и после его отключения пропадать. Я клиента настроил так: В настройках сетевого окружения в свойствах сети прописал шлюз (машину с SG) и прописал внешний сервер DNS, т.к. без него нет соединения. в результате машина клиента идёт в инет "напрямую" т.е. без указания в приложениях каких либо прокси и т.п., как будто машина клиента напрямую подключена к инету. Меня это очень устраивает т.к. это даёт возможность работать некоторым прогам, которые не умеют или отказываются работать через прокси! Осталось решить последнюю проблему: доступ в инт через авторизатор. Только не говорите; иди учи, иди читай, так и я могу ответить, я прошу конкретной помощи

"$IPTABLES -t nat -A POSTROUTING -o $iface_world -j SNAT --to-source $server1 а это в он конект, только с указанием айпи адреса клиента. Прошу прощения, но server1 это мой реальный адрес в интернете - пробовал ставить адрес сетевухи которая смотрит в инет - эффект нулевой. Т.е. эту строчку помещаем в Он коннект и вводим ip адрес, но кого??? Мой реальный айпишник? Прошу не ругать за тупость

Уважаемый egor2fsys ! Эта фигня написана в руководстве по iptables , к сожалению я сам такое придумать не в состоянии Я ж говорю, он считает трафик и даже авторизатор переводит в состояние "ОТКЛЮЧЕН" при превышении лимита, но ВСЁ дело в том, что доступ в интернет есть не зависимо от того запущен авторизатор или нет!!! превышен лимит или нет!! Я и прошу показать ошибку, которая это допускает Плиз

OnConnect #!/bin/bash ip=$2 iptables -t filter -A INPUT -s $ip -j ACCEPT iptables -t filter -A FORWARD -s $ip -j ACCEPT iptables -t filter -A FORWARD -d $ip -j ACCEPT iptables -t filter -A OUTPUT -d $ip -j ACCEPT OnDisconnect #!/bin/bash ip=$2 iptables -t filter -D INPUT -s $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D INPUT -s $ip -j ACCEPT done ################################## iptables -t filter -D FORWARD -s $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D FORWARD -s $ip -j ACCEPT done ################################## iptables -t filter -D FORWARD -d $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D FORWARD -d $ip -j ACCEPT done ################################## iptables -t filter -D OUTPUT -d $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D OUTPUT -d $ip -j ACCEPT done всё брал с сайта разработчика, может где я сглупил? Ну очень хочется найти ошибку

вот скрип по примеру образца с сайта : #!/bin/bash #Машина в офисе office=192.168.0.21 #Машина администратора admin=192.168.0.210 #Адреса роутера server0=192.168.0.210 server1=11.222.333.444 #Интерфейс смотрящий на клиентов iface_cli=eth0 #Интерфейс смотрящий во внешний мир iface_world=eth1 #порты, на которых работает конфигуратор и маршрутизатор conf_port=4444 user_port1=4444 user_port2=4443 IPTABLES="/sbin/iptables" #/sbin/depmod -a #/sbin/modprobe ip_tables #/sbin/modprobe ip_conntrack #/sbin/modprobe iptable_filter #/sbin/modprobe iptable_mangle #/sbin/modprobe iptable_nat #/sbin/modprobe ipt_LOG #/sbin/modprobe ipt_limit #/sbin/modprobe ipt_state #Разрешаем форватинг пакетов echo "1" > /proc/sys/net/ipv4/ip_forward #Очищаем правила файрвола $IPTABLES -t filter -F $IPTABLES -t filter -X $IPTABLES -t nat -F $IPTABLES -t nat -X #Политика по умолчанию DROP: всем всё запрещено $IPTABLES -t filter -P INPUT DROP $IPTABLES -t filter -P FORWARD DROP $IPTABLES -t filter -P OUTPUT DROP #================================ #$IPTABLES -P FORWARD DENY #$IPTABLES -A FORWARD -s 192.168.0.0/24 -d 11.222.333.444 -j ACCEPT #$IPTABLES -A FORWARD -s 11.222.333.444 -d 192.168.0.0/24 -j ACCEPT $IPTABLES -A FORWARD -i $iface_cli -j ACCEPT $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT #Разрешаем пингам ходить всюду и всегда $IPTABLES -t filter -A INPUT -p icmp -j ACCEPT $IPTABLES -t filter -A FORWARD -p icmp -j ACCEPT $IPTABLES -t filter -A OUTPUT -p icmp -j ACCEPT #Разрешаем всё на локальном интерфейсе $IPTABLES -t filter -A INPUT -d 127.0.0.1 -j ACCEPT $IPTABLES -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT #разрешить серверу общаться с внешним миром $IPTABLES -t filter -A INPUT -i $iface_world -j ACCEPT $IPTABLES -t filter -A OUTPUT -o $iface_world -j ACCEPT # DNS #iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT #iptables -t filter -A FORVARD -p tcp --sport 53 -j ACCEPT #iptables -t filter -A FORVARD -p tcp --dport 53 -j ACCEPT #iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT #iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT #iptables -t filter -A FORVARD -p udp --sport 53 -j ACCEPT #iptables -t filter -A FORVARD -p udp --dport 53 -j ACCEPT #iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT #SHH $IPTABLES -t filter -A INPUT -p tcp -s $office -d $server0 --dport 22 -j ACCEPT $IPTABLES -t filter -A OUTPUT -p tcp -d $office -s $server0 --sport 22 -j ACCEPT $IPTABLES -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT $IPTABLES -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT #Stargazer configurator $IPTABLES -t filter -A INPUT -p tcp -s 192.168.0.0/24 -d $server0 --dport $conf_port -j ACCEPT $IPTABLES -t filter -A OUTPUT -p tcp -d 192.168.0.0/24 -s $server0 --sport $conf_port -j ACCEPT #UDP stargazer InetAccess $IPTABLES -t filter -A INPUT -p udp -s 192.168.0.0/24 --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT $IPTABLES -t filter -A OUTPUT -p udp -d 192.168.0.0/24 --dport $user_port1 -s $server0 -j ACCEPT #Маскарад #$IPTABLES -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE $IPTABLES -t nat -A POSTROUTING -o $iface_world -j SNAT --to-source $server1 Да при его запуске становится невозможным попасть в локальную сеть (Win)

Теперь все без регистрации и авторизации легко бегут в инет, SG трафик считает (если запущен авторизатор) но ключен он или выключен - всё равно инет достуен через шлюз всем!!!

често говоря не знаю подскажите как сделать правильно, до этого в мандриве всё делалось двумя кнопками а к прописке команд и правил вручную ещё только привыкаю

у меня server0 смотрит в локалку, а server1 смотрит на АДСЛ модем, может тут с нумерацией проблема?

Cсоздал по примеру с сайта исполняемый файл: #!/bin/bash #Машина в офисе office=192.168.0.21 #Машина администратора admin=192.168.0.210 #Адреса роутера server0=192.168.0.210 server1=192.168.1.2 #Интерфейс смотрящий на клиентов iface_cli=eth1 #Интерфейс смотрящий во внешний мир iface_world=eth0 #порты, на которых работает конфигуратор и маршрутизатор conf_port=5555 user_port1=5555 user_port2=5555 #Разрешаем форватинг пакетов echo "1" > /proc/sys/net/ipv4/ip_forward #Очищаем правила файрвола iptables -t filter -F iptables -t filter -X iptables -t nat -F iptables -t nat -X #Политика по умолчанию DROP: всем всё запрещено iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT DROP #Разрешаем пингам ходить всюду и всегда iptables -t filter -A INPUT -p icmp -j ACCEPT iptables -t filter -A FORWARD -p icmp -j ACCEPT iptables -t filter -A OUTPUT -p icmp -j ACCEPT #Разрешаем всё на локальном интерфейсе iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT #разрешить серверу общаться с внешним миром iptables -t filter -A INPUT -i $iface_world -j ACCEPT iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT # DNS iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT iptables -t filter -A FORVARD -p tcp --sport 53 -j ACCEPT iptables -t filter -A FORVARD -p tcp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT iptables -t filter -A FORVARD -p udp --sport 53 -j ACCEPT iptables -t filter -A FORVARD -p udp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT #SHH iptables -t filter -A INPUT -p tcp -s $office -d $server0 --dport 22 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d $office -s $server0 --sport 22 -j ACCEPT iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT #Stargazer configurator iptables -t filter -A INPUT -p tcp -s 192.168.0.0/24 -d $server0 --dport $conf_port -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d 192.168.0.0/24 -s $server0 --sport $conf_port -j ACCEPT #UDP stargazer InetAccess iptables -t filter -A INPUT -p udp -s 192.168.0.0/24 --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT iptables -t filter -A OUTPUT -p udp -d 192.168.0.0/24 --dport $user_port1 -s $server0 -j ACCEPT #Маскарад iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE

на FC5 установилось без проблем! конфигуратор и авторизатор коннектятся без проблем, но клиентов в инет выпустить не могу!?!? Может для виндовых клиентов какие особые настройки? Или в федоре надо что то отдельно прописать? Подскажите новичку

на FC5 установилось без проблем! конфигуратор и авторизатор коннектятся без проблем, но клиентов в инет выпустить не могу!?!? Может для виндовых клиентов какие особые настройки? Или в федоре надо что то отдельно прописать? Подскажите новичку