sergmursk 0 Опубликовано: 2008-09-09 11:57:40 Share Опубликовано: 2008-09-09 11:57:40 Авторизатор норм подключается, но интернета у клиентов нет. Все делал как тут => http://stargazer.dp.ua/doc20/conf_example_linux.html p.S: может проблема все-таки в iptables? У меня выход в нэт - eth0 Выход в локалку - eth1. Нужно сделать так, чтобы локальные ресурсы были доступны даже не авторизованным пользователям. Интернет, ест-но, после авторизации. Конечно, в идеале, я хочу, чтоб локальные ресурсы бли доступны, пока баланс положительный, но это потом.... Мне бы с этим сначала разобраться! Ссылка на сообщение Поделиться на других сайтах
madf 279 Опубліковано: 2008-09-09 12:11:29 Share Опубліковано: 2008-09-09 12:11:29 Какая версия stg? Если нет инета - значит не работает маскарад. Ссылка на сообщение Поделиться на других сайтах
sergmursk 0 Опубліковано: 2008-09-09 14:58:43 Автор Share Опубліковано: 2008-09-09 14:58:43 Какая версия stg?Если нет инета - значит не работает маскарад. stg-2.405.9.8.src Я в iptables не очень шарю, щас сижу читаю мануал, но пока безрезультатно Ссылка на сообщение Поделиться на других сайтах
madf 279 Опубліковано: 2008-09-09 15:02:52 Share Опубліковано: 2008-09-09 15:02:52 Тогда для начала попробуй раздавать инет без stg. Ссылка на сообщение Поделиться на других сайтах
sergmursk 0 Опубліковано: 2008-09-09 15:10:36 Автор Share Опубліковано: 2008-09-09 15:10:36 Это как? Я до старгазера прокси пробовал - через него интернет на клиенте есть. Ссылка на сообщение Поделиться на других сайтах
DarkSpider 36 Опубліковано: 2008-09-09 15:25:55 Share Опубліковано: 2008-09-09 15:25:55 Тогда для начала попробуй раздавать инет без stg. Это как? [/qoute] iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE //где 192.168.1.0-255 адреса твоих клиентов и eth0 192.168.1.1 iptables -t mangle -A FORWARD -s 192.168.1.0/24 -d 0/0 -o eth1 -j ACCEPT ech0 "1" > /proc/sys/net/ipv4/ip_forward дома локальная машина так раздает инет ноуту и друзьям, если они приходят. ЗЫ. Сама линух-машина дальше идет на сервер с СТГ. Ссылка на сообщение Поделиться на других сайтах
sergmursk 0 Опубліковано: 2008-09-09 15:29:54 Автор Share Опубліковано: 2008-09-09 15:29:54 Заодно спрошу, куда лучше прописывать эти строки, чтобы они запускались сразу при старте ОС? Ссылка на сообщение Поделиться на других сайтах
DarkSpider 36 Опубліковано: 2008-09-09 15:35:31 Share Опубліковано: 2008-09-09 15:35:31 1 и 3 строчки в rc.firewall ну или как там у тебя зоветься скрипт начальной установки. 2 - в онконнект. Примеров море в первой прилепленной теме по скриптам. не забудь удаление этой строки в ондисконнекте. только она будет выглядеть как iptables -t mangle -A FORWARD -s 192.168.1.2(3,4,5 и так далее) -d 0/0 -o eth1 -j ACCEPT для верности в ондисконнект я прописываю iptables -t mangle -A FORWARD -s 192.168.1.0/24 -d 0/0 -o eth1 -j DROP Ссылка на сообщение Поделиться на других сайтах
sergmursk 0 Опубліковано: 2008-09-09 15:42:54 Автор Share Опубліковано: 2008-09-09 15:42:54 rc.firewall ну или как там у тебя зоветься скрипт начальной установки. а поподробней можно? где искать? я что-то не могу найти что-то похожее... или нужно создать свой скрипт с этой строчкой? и запускать его перез запуском stg? Ссылка на сообщение Поделиться на других сайтах
DarkSpider 36 Опубліковано: 2008-09-09 21:24:40 Share Опубліковано: 2008-09-09 21:24:40 или нужно создать свой скрипт с этой строчкой? и запускать его перез запуском stg? именно так. А еще я там прописываю начальные значения шейпера и фаервола. Ссылка на сообщение Поделиться на других сайтах
sergmursk 0 Опубліковано: 2008-09-10 09:26:00 Автор Share Опубліковано: 2008-09-10 09:26:00 Все равно нет инета! ( Ссылка на сообщение Поделиться на других сайтах
DarkSpider 36 Опубліковано: 2008-09-10 13:07:16 Share Опубліковано: 2008-09-10 13:07:16 выложи тут вывод команды iptables-save и route-n и cbq list или мне в ПМ. Ссылка на сообщение Поделиться на других сайтах
sergmursk 0 Опубліковано: 2008-09-10 14:47:50 Автор Share Опубліковано: 2008-09-10 14:47:50 С применением твоего правила (stg не запущен) [root@avs ~]# iptables-save # Generated by iptables-save v1.4.1.1 on Wed Sep 10 18:44:58 2008 *mangle :PREROUTING ACCEPT [174:197561] :INPUT ACCEPT [174:197561] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [143:7412] :POSTROUTING ACCEPT [143:7412] -A FORWARD -s 192.168.0.0/24 -o eth1 -j ACCEPT COMMIT # Completed on Wed Sep 10 18:44:58 2008 # Generated by iptables-save v1.4.1.1 on Wed Sep 10 18:44:58 2008 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [3644:334564] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT -A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT -A INPUT -p ah -j ACCEPT -A INPUT -p esp -j ACCEPT -A INPUT -p udp -m state --state NEW -m udp --dport 1812 -j ACCEPT -A INPUT -p udp -m state --state NEW -m udp --dport 1813 -j ACCEPT -A INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT -A INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 5555 -j ACCEPT -A INPUT -p udp -m state --state NEW -m udp --dport 5555 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT -A INPUT -p udp -m state --state NEW -m udp --dport 8080 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT # Completed on Wed Sep 10 18:44:58 2008 [root@avs ~]# [root@avs ~]# route-n bash: route-n: команда не найдена [root@avs ~]# cbq list /sbin/cbq: line 689: 3054 Segmentation fault $TC "$@" /sbin/cbq: line 689: 3059 Segmentation fault $TC "$@" [root@avs ~]# Ссылка на сообщение Поделиться на других сайтах
Pretender 5 Опубліковано: 2008-09-10 14:58:22 Share Опубліковано: 2008-09-10 14:58:22 [root@avs ~]# route-n bash: route-n: команда не найдена route "пробел" -n Ссылка на сообщение Поделиться на других сайтах
sergmursk 0 Опубліковано: 2008-09-10 14:58:30 Автор Share Опубліковано: 2008-09-10 14:58:30 На всякий случай подробности: Интерфейс для соединения с клиентом - eth1: 192.168.0.1 (192.168.0.0/24) Выход в интернет через интерфейс - eth0: 192.168.9.31 (Интернет ЕСТЬ!) В "Межсетевом экране" порты stg открыты. "Доверенные интерфейсы" - отмеченных нет! "Маскарадинг" - отмеченных нет. <= Вот может тут надо, какой-нибудь интерфейс отметить? Ссылка на сообщение Поделиться на других сайтах
sergmursk 0 Опубліковано: 2008-09-10 15:01:21 Автор Share Опубліковано: 2008-09-10 15:01:21 route "пробел" -n Ссори, чет ступил! [root@avs ~]# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.9.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 0.0.0.0 192.168.9.1 0.0.0.0 UG 0 0 0 eth0 Ссылка на сообщение Поделиться на других сайтах
DarkSpider 36 Опубліковано: 2008-09-10 16:40:15 Share Опубліковано: 2008-09-10 16:40:15 Маскарадинг" - отмеченных нет. <= Вот может тут надо, какой-нибудь интерфейс отметить? 1. форвардинг включал ? echo "1" > /proc/sys/net/ipv4/ip_forward ? 2. собственно маскарадинг iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE Ссылка на сообщение Поделиться на других сайтах
sergmursk 0 Опубліковано: 2008-09-10 17:28:23 Автор Share Опубліковано: 2008-09-10 17:28:23 угу... все равно не пашет! :-( Ссылка на сообщение Поделиться на других сайтах
DarkSpider 36 Опубліковано: 2008-09-11 00:26:22 Share Опубліковано: 2008-09-11 00:26:22 Смотри ПМ. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас