Перейти до

нет инета + небольшой вопрос по конфигурации


Рекомендованные сообщения

Авторизатор норм подключается, но интернета у клиентов нет.

 

Все делал как тут => http://stargazer.dp.ua/doc20/conf_example_linux.html

 

p.S: может проблема все-таки в iptables?

У меня выход в нэт - eth0

Выход в локалку - eth1.

 

Нужно сделать так, чтобы локальные ресурсы были доступны даже не авторизованным пользователям. Интернет, ест-но, после авторизации.

Конечно, в идеале, я хочу, чтоб локальные ресурсы бли доступны, пока баланс положительный, но это потом.... Мне бы с этим сначала разобраться!

Ссылка на сообщение
Поделиться на других сайтах
Какая версия stg?

Если нет инета - значит не работает маскарад.

 

stg-2.405.9.8.src

 

Я в iptables не очень шарю, щас сижу читаю мануал, но пока безрезультатно :blink:

Ссылка на сообщение
Поделиться на других сайтах

Тогда для начала попробуй раздавать инет без stg.

Это как?

[/qoute]

 

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE	//где 192.168.1.0-255 адреса твоих клиентов и eth0 192.168.1.1
iptables -t mangle -A FORWARD -s 192.168.1.0/24 -d 0/0 -o eth1 -j ACCEPT
ech0 "1" > /proc/sys/net/ipv4/ip_forward

 

дома локальная машина так раздает инет ноуту и друзьям, если они приходят.

 

ЗЫ. Сама линух-машина дальше идет на сервер с СТГ.

Ссылка на сообщение
Поделиться на других сайтах

1 и 3 строчки в rc.firewall ну или как там у тебя зоветься скрипт начальной установки.

2 - в онконнект. Примеров море в первой прилепленной теме по скриптам.

не забудь удаление этой строки в ондисконнекте.

только она будет выглядеть как iptables -t mangle -A FORWARD -s 192.168.1.2(3,4,5 и так далее) -d 0/0 -o eth1 -j ACCEPT

для верности в ондисконнект я прописываю

iptables -t mangle -A FORWARD -s 192.168.1.0/24 -d 0/0 -o eth1 -j DROP

Ссылка на сообщение
Поделиться на других сайтах
rc.firewall ну или как там у тебя зоветься скрипт начальной установки.

 

а поподробней можно? где искать?

я что-то не могу найти что-то похожее... :blink:

 

или нужно создать свой скрипт с этой строчкой? и запускать его перез запуском stg?

Ссылка на сообщение
Поделиться на других сайтах
или нужно создать свой скрипт с этой строчкой? и запускать его перез запуском stg?

именно так. А еще я там прописываю начальные значения шейпера и фаервола.

Ссылка на сообщение
Поделиться на других сайтах

С применением твоего правила (stg не запущен)

[root@avs ~]# iptables-save
# Generated by iptables-save v1.4.1.1 on Wed Sep 10 18:44:58 2008
*mangle
:PREROUTING ACCEPT [174:197561]
:INPUT ACCEPT [174:197561]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [143:7412]
:POSTROUTING ACCEPT [143:7412]
-A FORWARD -s 192.168.0.0/24 -o eth1 -j ACCEPT 
COMMIT
# Completed on Wed Sep 10 18:44:58 2008
# Generated by iptables-save v1.4.1.1 on Wed Sep 10 18:44:58 2008
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3644:334564]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT 
-A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT 
-A INPUT -p ah -j ACCEPT 
-A INPUT -p esp -j ACCEPT 
-A INPUT -p udp -m state --state NEW -m udp --dport 1812 -j ACCEPT 
-A INPUT -p udp -m state --state NEW -m udp --dport 1813 -j ACCEPT 
-A INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT 
-A INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 5555 -j ACCEPT 
-A INPUT -p udp -m state --state NEW -m udp --dport 5555 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT 
-A INPUT -p udp -m state --state NEW -m udp --dport 8080 -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 
COMMIT
# Completed on Wed Sep 10 18:44:58 2008
[root@avs ~]#

 

[root@avs ~]# route-n
bash: route-n: команда не найдена

 

[root@avs ~]# cbq list
/sbin/cbq: line 689:  3054 Segmentation fault	  $TC "$@"
/sbin/cbq: line 689:  3059 Segmentation fault	  $TC "$@"
[root@avs ~]#

Ссылка на сообщение
Поделиться на других сайтах

На всякий случай подробности:

Интерфейс для соединения с клиентом - eth1: 192.168.0.1 (192.168.0.0/24)

Выход в интернет через интерфейс - eth0: 192.168.9.31 (Интернет ЕСТЬ!)

 

В "Межсетевом экране" порты stg открыты.

"Доверенные интерфейсы" - отмеченных нет!

"Маскарадинг" - отмеченных нет. <= Вот может тут надо, какой-нибудь интерфейс отметить?

Ссылка на сообщение
Поделиться на других сайтах
route "пробел" -n

 

Ссори, чет ступил! :blink:

[root@avs ~]# route -n
Kernel IP routing table
Destination	 Gateway		 Genmask		 Flags Metric Ref	Use Iface
192.168.0.0	 0.0.0.0		 255.255.255.0   U	 0	  0		0 eth1
192.168.9.0	 0.0.0.0		 255.255.255.0   U	 0	  0		0 eth0
0.0.0.0		 192.168.9.1	 0.0.0.0		 UG	0	  0		0 eth0

Ссылка на сообщение
Поделиться на других сайтах
Маскарадинг" - отмеченных нет. <= Вот может тут надо, какой-нибудь интерфейс отметить?

1. форвардинг включал ? echo "1" > /proc/sys/net/ipv4/ip_forward ?

2. собственно маскарадинг iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...