iptables+stg-нужна помошь

[ispolin 0]

Вобщем хочу сделать со своего хоста доступ на один сайт(например ya.ru) в обход старгазера,а все остально чтоб считалось, как это реализовать???Пробую чисто через ай-пи тейблс не получается, може что не так делаю??

Пинги то проходят, а вот уже через http никак не получается.

Испльзуются три интерфейса, eth0-локальный eth1-приход со спутника eth2-исход.

[Den_LocalNet 1 472]

iptables -I INPUT 1 -i eth1 -d 213.180.204.8 -j ACCEPT

iptables -I INPUT 1 -o eth1 -s 213.180.204.8 -j ACCEPT

iptables -I FORWARD 1 -d 213.180.204.8 -j ACCEPT

iptables -I FORWARD 1 -s 213.180.204.8 -j ACCEPT

 

где eth1 - внутренний интерфейс

 

 

а в rules с самого начала:

ALL 213.180.204.8 NULL

 

и вроде всё......

 

з.ы Маскарад должен быть включён без авторизации в стг

[ispolin 0]

Ну смотри, если я помещу эту строку в рулесы, то тогда это ж для все считаться не будет?? Этот же файл один для всех изверей?? Или нет??? Можно чтоб был для каждого по отдельности??? :-/

[Den_LocalNet 1 472]

ALL это все протоколы к адрессату\сети

 

можно для каждого свой рулес - нужно исходнички поправить :(

 

 

Когда люди научатся читать то, что другие стрались и писали, прежде чем задавать глупые вопросы? rtfm stg.dp.ua или "поиск"

 

У тебя что биллинг на космическом корабле? лень читать - так действуй по принципу "научного Втыка"...... поставь и проверь...... ну ленивые....ужас

[ispolin 0]

Что-то я за протоколы там ничего не видел, всмысле на stg.dp.ua

[Den_LocalNet 1 472]

http://stg.dp.ua/doc/conf_rules.html

 

НАСТРОЙКА ПРАВИЛ ПОДСЧЕТА ТРАФИКА

 

Настраиваются правила подсчета в файле /etc/stargazer/rules.

Файл имеет текстовый формат и состоит из строк следующей структуры

 

ПРОТОКОЛ  АДРЕС  НАПРАВЛЕНИЕ

 

Комментарии в файле начинаются с символа #.

Разделителями параметров служат символы пробела или табуляции. Данный файл предназначен для описания правил подсчета трафика. Трафик может учитываться по 11-ти направлениям. Первые 10 направлений подсчитываются и заносятся в статистику и передаются клиенту, а 11-е направление не учитывается, т. е. оно служит для создания неучитываемого трафика.

Подсчет проходит таким образом. Если данные, передаваемые клиентом или клиенту, удовлетворяют какому-либо правилу, то объем этих данных приплюсовывается клиенту на данное направление.

Просматриваются правила с начала и сравниваются с IP пакетом, если он не удовлетворяет правилу, то происходит переход к новому правилу, и так до тех пор, пока не будет найдено подходящее праило или правила не закончатся. Если пакет не попал ни под одно правило он не будет засчитан ни в одно направление.

 

Описание параметров:

ПРОТОКОЛ – определяет тип подсчитываемого трафика. Может принимать только следующие значения:

 

    * TCP – учитывается только TCP вид трафика

    * UDP - учитывается только UDP вид трафика

    * ICMP – учитывается только ICMP вид трафика

    * TCP_UDP – учитывается как TCP, так и UDP виды трафика

    * ALL – учитываются все виды трафика

 

АДРЕС – определяет IP адрес для которого может действовать правило (это адрес какого-то ресурса, а не пользователя!). Адрес может быть записан в нескольких видах:

 

    * Просто один хост, например 192.168.0.1

    * Подсеть 192.168.0.00/24

    * Адрес хоста или сети с указанием порта 192.168.0.1:80 (только для протоколов TCP, UDP или TCP_UDP)

    * Адрес хоста или сети с указанием диапазона портов 192.168.0.00/24:1-1024 (только для протоколов TCP, UDP или TCP_UDP)

 

НАПРАВЛЕНИЕ – определяет название направления, по которому будет идти подсчет, в данной версии направления имеют фиксированные имена и их фиксированное количество. Параметр может принимать следующие значения: DIR0, DIR1, DIR2 ... DIR9, NULL.

 

Вот пример правил:

 

TCP  192.168.1.11:80  DIR0  Этим правилом будет засчитан весь веб трафик на хост 192.168.1.11

ALL  212.34.18.0/24  DIR1  Весь трафик на сеть 212.34.18.0/24

ALL  0.0.0.0/0  DIR2  Весь оставшийся трафик, не попавший в предыдущие два правила

[Den_LocalNet 1 472]

Только сейчас перечитал первый пост и понял что ты хотел.....

 

как вариант вынести ya.ru в отдельное направление и во всех тарифах указать стоимость отдельно. а в одном(котором ты пользуешся) стоимость направления - 0.

 

плохая идея, но другого не приходит в голову.....

[ispolin 0]

Слушай а мня тут еще один косяк вылез...с локальным сервером почты по 25 порту соединяется, а с mail.ru и прочими инетовскими нет, это в фаерволе??

iptables -t filter -A FORWARD -s 192.168.2.0/24 -d 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT...так??

мне просто интресно почему с того же mail.ru по 110 порту соединение есть а вот по 25 нет??

Хотя отдельных правил для почты я не прописывал

[Den_LocalNet 1 472]

а INPUT и OUTPUT на исходящем интерфейсе разрешает?

[ispolin 0]

Ага, инпут и аутпут по умолчанию разрешены