Jump to content
Local
Sign in to follow this  
ZVER

СУПЕР ПРОБЛЕМА - ИНЕТ ХАЛЯВНЫЙ

Recommended Posts

Люди короче ситуация такая есть сервер у него 2 сетевый и разумеется 2 интерейса

192,168,0,1 eth0

192.168.193.1 eth2

 

Так вот обічно юзер ставит себе айпи к примеру 192,168,0,10 и шлюз 192,168,0,1

и в авторизаторе 192,168,0,1 и инет считается все как пологается

НО

если юзер меняет шлюз на 192,168,193,1 и авторизатор конектится на 192,168,193,1, ТО приход считается а выход у юзера ХАЛЯВА!

 

ЧТО ДЕЛАТЬ ???? ПОМОГИТЕ!!!!

Share this post


Link to post
Share on other sites

Если не ошибаюсь в айпитаблицах прописать дроп с любого айпи на *193.1

Кстати а что у тебя за система-то? А то я щас насоветую...

Share this post


Link to post
Share on other sites
Если не ошибаюсь в айпитаблицах прописать дроп с любого айпи на *193.1

если так то просто выдернкуть джек из инетового интерфейса :(

 

 

А вообще странно что у тя можно шлюзом взять внешний интерфейс...... у меня так не получилось.....

Share this post


Link to post
Share on other sites

Мне кажется с масками на интерфейсах напутал, если такое прокатыает - сам виноват.

Share this post


Link to post
Share on other sites

Подтверждаю, если файрволл не запрещает, можно поставить в настройках инетаксеса внешний ип и он загорается зелененьким.

Вроде как считается оба траффика, но я это у себя файрволлом уже запретил.

Share this post


Link to post
Share on other sites

я решил тем что відернул сетевую из компа и все, а на другую программно кинул другой айпишник еще 1

Share this post


Link to post
Share on other sites

Я, может быть неправильно выразился... я имел ввиду дроп на айпишник втоорй сетевухи - тобишь закрыть ее от внутренней сетки.

Share this post


Link to post
Share on other sites

Решь шла о том, что шлюз из другой сетки прокатывает!

Такое может быть, по теории, если сетки пересекаются, т.е. неправильные маски на сетках и итерфейсах.

В данном случае маски должны быть 255.255.255.0

А стоят скорее всего 255.255.0.0, поэтому считай, что оба интерфейса в одной сети, чего в принцыпе быть не должно.

Как будут рабоать любой софт, при изначальных неправильных настройках, ответить сложно, это как изучать работу неисправного прибора.

 

Провел я эксперимент с установкой адреса сервера внешнего интерфейса: авторизация проходит, но трафик посчитался исходящий.

 

А ну-ка ifconfig -a в студию! Постотрим, где собака порылась.

Share this post


Link to post
Share on other sites

Да у меня бывает что без афторизатора инет работает

перегрузил сервак и все нармально

кто скажет почему

Share this post


Link to post
Share on other sites

У меня шлюз имеет внутренний ip и несколько внешних.

Фактически эти ip адреса принадлежат 1 машине.

Логично, что если я делаю запрос на внешний айпишник этой машины, то запрос идет на внутренний ip, а потом машина видит, что у неё есть этот ip адрес и адресует этот запрос себе.

 

Т.е. это все равно, что открыть сайт по http://192.168.x.x/ или по http://111.222.333.444/ если 111.222.333.444 - это один из внешних ip адресов машины 192.168.x.x.

 

Stargazer-то слушает на порту 5555 у всех интерфейсов.

Поэтому я отредактировал правила файрвола для того, чтобы клиенты не могли поставить в настройках внешний адрес сервера.

Share this post


Link to post
Share on other sites

iptables -t filter -A INPUT -p udp -s 192.168.1.0/24 --sport 5555 -d 192.168.1.1 --dport 5555 -j ACCEPT

iptables -t filter -A OUTPUT -p udp -d 192.168.1.0/24 --dport 5555 -s 192.168.1.1 -j ACCEPT

А по умолчанию все политики DROP поставить

Т.е. все что не разрешено будет дропаться а т.к. FORWARD не описан, значит он будет дропаться, и не как не попадет не внешние интерфейс.

Разве я не прав??

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×