ALeX_mel 0 Опубликовано: 2005-03-25 16:09:21 Share Опубликовано: 2005-03-25 16:09:21 Стоит Clark Connect 2 и stargazer-2.014.7.6-RC2 Проблемы возникли: 1.Клиент авторизируеться но даже если закончились деньги на счету или трафик всё-равно продолжает обитать в инете... 2.При проверке подсчёта увидел что при скачивании 8 мб вылазит еще откуда-то 1 мб левой!! 3.Немогу зайти на любое фтп!! Подскажите куда и где копать! Всю документацию перечитал и на основе неё делал! www.stargazer.dp.ua Ссылка на сообщение Поделиться на других сайтах
Slava 1 Опубліковано: 2005-03-25 18:14:32 Share Опубліковано: 2005-03-25 18:14:32 1. смотри дыру в фаерволе, правиле рпзрешающем доступ в инет и поставь политику в цепочке forward в DROP 2. а посмотри подоробно входящий и сходящий трафик хотя 1 Мб на запросы что то многовато разве что частые переконнекты 3. открой порт 21. Ссылка на сообщение Поделиться на других сайтах
ALeX_mel 0 Опубліковано: 2005-03-25 18:24:52 Автор Share Опубліковано: 2005-03-25 18:24:52 1. смотри дыру в фаерволе, правиле рпзрешающем доступ в инет и поставь политику в цепочке forward в DROP2. а посмотри подоробно входящий и сходящий трафик хотя 1 Мб на запросы что то многовато разве что частые переконнекты 3. открой порт 21. Пасибо с фтп и с трафиком я сделал! осталось токо чтоб пользователей не пускало когда заканчиваеться предоплаченый трафик или деньги! Ссылка на сообщение Поделиться на других сайтах
Den_LocalNet 1 472 Опубліковано: 2005-03-25 18:45:12 Share Опубліковано: 2005-03-25 18:45:12 это называется экономия в 50 грн Ссылка на сообщение Поделиться на других сайтах
ALeX_mel 0 Опубліковано: 2005-03-25 18:49:27 Автор Share Опубліковано: 2005-03-25 18:49:27 (відредаговано) это называется экономия в 50 грн А посоветовать нечё не можешь, надо ж когда-то учиться самому... Меня интересует чтоб условия как в примере на stargazer.dp.ua но чего-то нехватает! пользователь может пользоваться инетом хоть даже денег нет на счету и мб закончились!!! кстати заметь это твой конфиг фаервола, и ты мне его настраивал :loop: Відредаговано 2005-03-25 22:39:46 Den_LocalNet Ссылка на сообщение Поделиться на других сайтах
Roman 0 Опубліковано: 2005-03-25 22:19:35 Share Опубліковано: 2005-03-25 22:19:35 это называется экономия в 50 грн А посоветовать нечё не можешь, надо ж когда-то учиться самому... Меня интересует чтоб условия как в примере на stargazer.dp.ua но чего-то нехватает! пользователь может пользоваться инетом хоть даже денег нет на счету и мб закончились!!! кстати заметь это твой конфиг фаервола, и ты мне его настраивал :loop: Я так думаю что даже если он тебе и его ставил то это не значит что он точ в точ повторяет его собственный конфиг Ссылка на сообщение Поделиться на других сайтах
Den_LocalNet 1 472 Опубліковано: 2005-03-25 22:38:32 Share Опубліковано: 2005-03-25 22:38:32 я тебе его ставил под твои задачи. так? а если не покурил iptables tutorial то нечего тут...... а вообще лол.... ты бы хоть написал что у тебя есть... показал свои скрипты.... показал логи и конфы.... а то телепатов нету... Ссылка на сообщение Поделиться на других сайтах
XoRe 0 Опубліковано: 2005-03-25 23:06:46 Share Опубліковано: 2005-03-25 23:06:46 2ALeX_mel: советую почитать здешний форум. Твои вопросы уже задавали другие люди и им дали на них ответы. + советую почитать доки по iptables на http://opennet.ru/ Ссылка на сообщение Поделиться на других сайтах
ALeX_mel 0 Опубліковано: 2005-03-26 10:20:12 Автор Share Опубліковано: 2005-03-26 10:20:12 я тебе его ставил под твои задачи. так?а если не покурил iptables tutorial то нечего тут...... а вообще лол.... ты бы хоть написал что у тебя есть... показал свои скрипты.... показал логи и конфы.... а то телепатов нету... фаераол: #!/bin/sh PATH=/sbin:/bin:/usr/bin # Binaries IPTABLES="/sbin/iptables" SYSCTL="/sbin/sysctl" MODPROBE="/sbin/modprobe" # Set to blank for no debug. Default to on for now. DEBUG="1" # Shorthand ALLIP="0.0.0.0/0" IPFILE="/etc/rc.d/ua-ix.ip" $IPTABLES -t nat -F $IPTABLES -t mangle -F $IPTABLES -t filter -F $IPTABLES -F ######################################################################### # # G A T E W A Y F I R E W A L L # ######################################################################### # Enable IP Forwarding, not really required for standalone mode $SYSCTL -w net.ipv4.ip_forward=1 >/dev/null # Enable TCP SYN Cookie protection: $SYSCTL -w net.ipv4.tcp_syncookies=1 >/dev/null # Enabling dynamic TCP/IP address hacking. $SYSCTL -w net.ipv4.ip_dynaddr=1 >/dev/null # IPsec 2.x now handles this... # $SYSCTL -w net.ipv4.conf.all.rp_filter=0 >/dev/null # $SYSCTL -w net.ipv4.conf.eth0.rp_filter=0 >/dev/null 2>/dev/null # $SYSCTL -w net.ipv4.conf.ppp0.rp_filter=0 >/dev/null 2>/dev/null # Log spoofed, source-routed, and redirect packets $SYSCTL -w net.ipv4.conf.all.log_martians=0 >/dev/null # Disable ICMP Re-directs $SYSCTL -w net.ipv4.conf.all.accept_redirects=0 >/dev/null $SYSCTL -w net.ipv4.conf.all.send_redirects=0 >/dev/null # Ensure that source-routed packets are dropped $SYSCTL -w net.ipv4.conf.all.accept_source_route=0 >/dev/null # Disable ICMP broadcast echo protection $SYSCTL -w net.ipv4.icmp_echo_ignore_broadcasts=1 >/dev/null # Enable bad error message protection $SYSCTL -w net.ipv4.icmp_ignore_bogus_error_responses=1 >/dev/null ############################################################################### ############# # # SetPolicyToDrop # ############################################################################### ############# $IPTABLES -P INPUT ACCEPT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD DROP ############################################################################### ############# # # LoadKernelModules # ############################################################################### ############# $MODPROBE ipt_LOG # Add LOG target. $MODPROBE ipt_REJECT # Add REJECT target. $MODPROBE ipt_MASQUERADE # Add MASQUERADE target. $MODPROBE ipt_owner # Allows you to match for the owner. $MODPROBE ip_conntrack_ftp # Connection tracking for FTP. $MODPROBE ip_conntrack_irc # Connection tracking for IRC. $MODPROBE ip_nat_ftp # Active FTP $MODPROBE ip_nat_irc # IRC stuff # PPTP and dependencies don't always auto-load... # Office Edition only. $MODPROBE ppp_generic > /dev/null 2>&1 $MODPROBE ppp_mppe > /dev/null 2>&1 $MODPROBE ip_conntrack_proto_gre > /dev/null 2>&1 $MODPROBE ip_conntrack_pptp > /dev/null 2>&1 $MODPROBE ip_nat_proto_gre > /dev/null 2>&1 ############################################################################### ############# # # RunCommonRules # ############################################################################### ############# # Allow everything on the loopback #--------------------------------- $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A OUTPUT -o lo -j ACCEPT #DNS $IPTABLES -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p tcp --sport 53 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p udp --sport 53 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --dport 53 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p udp --dport 53 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 53 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p udp --sport 53 -j ACCEPT #SSH $IPTABLES -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 22 -j ACCEPT #FTP $IPTABLES -A INPUT -i eth1 -p tcp --dport 20 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 20 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 21 -j ACCEPT #Gateway $IPTABLES -I INPUT 1 -i eth0 -j ACCEPT $IPTABLES -I OUTPUT 1 -o eth0 -j ACCEPT # Block IPs that should never show up on our external interface #-------------------------------------------------------------- $IPTABLES -A INPUT -i eth0 -s 192.168.x.x/24 -j REJECT # Allow some ICMP (ping) #----------------------- # 0 Needed to ping hosts outside the network. # 3 Needed by all networks. # 11 Needed by the traceroute program. $IPTABLES -A INPUT -p icmp -j ACCEPT # Allow DHCP client to respond #----------------------------- $IPTABLES -A INPUT -i eth0 -p udp --dport bootpc --sport bootps -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport bootpc --sport bootps -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport bootpc --dport bootps -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p udp --sport bootpc --dport bootps -j ACCEPT ############################################################################### ############# # # RunIncomingAllowed # ############################################################################### ############# # Standard ports and port ranges #------------------------------- $IPTABLES -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 81 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 1875 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 6666 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 10000 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 21 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 81 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 443 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 1875 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 6666 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 10000 -j ACCEPT ############################################################################### ############# # # RunIncomingAllowedDefaults # ############################################################################### ############# # Allow high ports #----------------- $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 1024:65535 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p udp --sport 1024:65535 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p udp --dport 1024:65535 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT ############################################################################### ############# # # RunIncomingDeniedDefaults # ############################################################################### ############# # $IPTABLES -A INPUT -i eth0 -s $ALLIP -d $ALLIP -j DROP # $IPTABLES -A OUTPUT -o eth0 -s $ALLIP -d $ALLIP -j DROP ############################################################################### ############# # # PortForwardRules # ############################################################################### ############# ############################################################################### ############# # # RunOutgoingDeniedDefaults # ############################################################################### ############# $IPTABLES -A FORWARD -j DROP -o eth0 -p tcp --dport 111 # RPC stuff $IPTABLES -A FORWARD -j DROP -o eth0 -p udp --dport 111 # RPC stuff $IPTABLES -A FORWARD -j DROP -o eth0 -p tcp --dport 137:139 # Samba $IPTABLES -A FORWARD -j DROP -o eth0 -p udp --dport 137:139 # Samba $IPTABLES -A FORWARD -j DROP -o eth0 -p tcp --dport 635 # Mountd $IPTABLES -A FORWARD -j DROP -o eth0 -p udp --dport 635 # Mountd # Enable masquerading #-------------------- $IPTABLES -A POSTROUTING -t nat -j MASQUERADE -o eth0 ############################################################################### ############# # # RedirectToSquid # ############################################################################### ############# $IPTABLES -t nat -A PREROUTING -i eth1 -d ! 192.168.x.x/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 ############################################################################### ############# # # ACCEPTing FORWARD # ############################################################################### ############# $IPTABLES -I FORWARD 1 -s 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 1 -s 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 1 -s 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 1 -s 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 1 -s 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.x.x -j ACCEPT ############################################################################### ############# # # UA_IX Chains # ############################################################################### ############# $IPTABLES -X UA_IX $IPTABLES -X UA_IX_S $IPTABLES -N UA_IX $IPTABLES -N UA_IX_S ############# grep "^" $IPFILE | while read ip; do if [ $ip <> NULL ] then $IPTABLES -A UA_IX -d $ip -j RETURN fi done $IPTABLES -A UA_IX -j REJECT ############# grep "^" $IPFILE | while read ip; do if [ $ip <> NULL ] then $IPTABLES -A UA_IX_S -s $ip -j RETURN fi done $IPTABLES -A UA_IX_S -j REJECT ############# $IPTABLES -I INPUT 1 -i eth0 -j UA_IX_S $IPTABLES -I OUTPUT 1 -o eth0 -j UA_IX ############################################################################### ############# # # DROPing BAD SITES # ############################################################################### ############# $IPTABLES -I FORWARD 1 -s 192.168.x.x/24 -j UA_IX #--------------------------------------------------- скрипты я брал с документации: OnDisconnect #!/bin/bash ip=$2 iptables -t filter -D INPUT -s $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D INPUT -s $ip -j ACCEPT done ################################## iptables -t filter -D FORWARD -s $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D FORWARD -s $ip -j ACCEPT done ################################## iptables -t filter -D FORWARD -d $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D FORWARD -d $ip -j ACCEPT done ################################## iptables -t filter -D OUTPUT -d $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D OUTPUT -d $ip -j ACCEPT done #---------------------------------------- OnConnect #!/bin/bash ip=$2 iptables -t filter -A INPUT -s $ip -j ACCEPT iptables -t filter -A FORWARD -s $ip -j ACCEPT iptables -t filter -A FORWARD -d $ip -j ACCEPT iptables -t filter -A OUTPUT -d $ip -j ACCEPT # , #.. stargazer # , FW # # ipchains -D input -s $2 -j REJECT # # ipchains -A input -s $2 -j ACCEPT # Login LOGIN=$1 #user IP echo $2 IP=$2 #cash CASH=$3 #user ID ID=$4 echo "C `date +%Y.%m.%d-%H.%M.%S` $IP $CASH" >> /var/stargazer/users/$LOGIN/connect.log Проблема таже: хоть у юзера закончились мб или деньги то он спокойно сидит и качает с инета!!! :bue: Ссылка на сообщение Поделиться на других сайтах
S_ergey 21 Опубліковано: 2005-03-26 10:38:11 Share Опубліковано: 2005-03-26 10:38:11 Да многовато написано. $IPTABLES -P FORWARD DROP это правильно все закрыть. Попробуй теперь закоментируй все строки FORWARD ..... -j ACCEPT Ссылка на сообщение Поделиться на других сайтах
ALeX_mel 0 Опубліковано: 2005-03-26 10:54:06 Автор Share Опубліковано: 2005-03-26 10:54:06 Да многовато написано.$IPTABLES -P FORWARD DROP это правильно все закрыть. Попробуй теперь закоментируй все строки FORWARD ..... -j ACCEPT Почта закрываеться и некоторые порта.... Но по страницам и качать всё на УРА! Блин недоганяю! Ссылка на сообщение Поделиться на других сайтах
Den_LocalNet 1 472 Опубліковано: 2005-03-26 13:02:02 Share Опубліковано: 2005-03-26 13:02:02 Дядя.... я ж тебе делал прозрачный сквид его та тож нада закрыть iptables -I INPUT -i eth1 -s %ip -j DROP iptables -I OUTPUT -o eth1 -d %ip -j DROP и будет тебе счастье. Ссылка на сообщение Поделиться на других сайтах
ALeX_mel 0 Опубліковано: 2005-03-26 15:39:27 Автор Share Опубліковано: 2005-03-26 15:39:27 Дядя.... я ж тебе делал прозрачный сквид его та тож нада закрыть iptables -I INPUT -i eth1 -s %ip -j DROP iptables -I OUTPUT -o eth1 -d %ip -j DROP и будет тебе счастье. Пасибо!!! Роздуплился малость... Теперь мелочь осталось и всё ОК P.S. Спасибо всем кто принял участие в моей проблеме Особая благодарнасть Дену БОЛЬШОЕ СПАСИБО!! Ссылка на сообщение Поделиться на других сайтах
ALeX_mel 0 Опубліковано: 2005-03-27 09:11:38 Автор Share Опубліковано: 2005-03-27 09:11:38 Дядя.... я ж тебе делал прозрачный сквид его та тож нада закрыть iptables -I INPUT -i eth1 -s %ip -j DROP iptables -I OUTPUT -o eth1 -d %ip -j DROP и будет тебе счастье. Маленький нюанс: Вот это обрубает полностью, даже не видно сервак(а я ж редактирую конфигуратор)! Но потом когда пополняешь деньгу то нету инета(как будто не выполняеться OnConnect)! Это выполняеться всё в режиме Всегда Онлайн! А если сделать по конфигуратору то как только сделаю Отключение, я уже не подключусь, поскольку сервака невижу!!! On Connect: #!/bin/bash ip=$2 iptables -t filter -A INPUT -s $ip -j ACCEPT iptables -t filter -A FORWARD -s $ip -j ACCEPT iptables -t filter -A FORWARD -d $ip -j ACCEPT iptables -t filter -A OUTPUT -d $ip -j ACCEPT # Login LOGIN=$1 #user IP echo $2 IP=$2 #cash CASH=$3 #user ID ID=$4 echo "C `date +%Y.%m.%d-%H.%M.%S` $IP $CASH" >> /var/stargazer/users/$LOGIN/connect.log Называеться рано обрадовался :mrrr: :-/ Ссылка на сообщение Поделиться на других сайтах
Гость Guest Опубліковано: 2005-03-27 11:10:01 Share Опубліковано: 2005-03-27 11:10:01 Добавь что бы постоянно было: iptables -I INPUT -i eth1 -p tcp --dport 5555 -s $ip -j ACCEPT iptables -I OUTPUT -o eth1 -p tcp --dport 5555 -d $ip -j ACCEPT Ссылка на сообщение Поделиться на других сайтах
ALeX_mel 0 Опубліковано: 2005-03-27 23:02:30 Автор Share Опубліковано: 2005-03-27 23:02:30 Добавь что бы постоянно было: iptables -I INPUT -i eth1 -p tcp --dport 5555 -s $ip -j ACCEPT iptables -I OUTPUT -o eth1 -p tcp --dport 5555 -d $ip -j ACCEPT Вот rc.firewall #!/bin/sh PATH=/sbin:/bin:/usr/bin # Binaries IPTABLES="/sbin/iptables" SYSCTL="/sbin/sysctl" MODPROBE="/sbin/modprobe" # Set to blank for no debug. Default to on for now. DEBUG="1" # Shorthand ALLIP="0.0.0.0/0" IPFILE="/etc/rc.d/ua-ix.ip" $IPTABLES -t nat -F $IPTABLES -t mangle -F $IPTABLES -t filter -F $IPTABLES -F ######################################################################### # # G A T E W A Y F I R E W A L L # ######################################################################### # Enable IP Forwarding, not really required for standalone mode $SYSCTL -w net.ipv4.ip_forward=1 >/dev/null # Enable TCP SYN Cookie protection: $SYSCTL -w net.ipv4.tcp_syncookies=1 >/dev/null # Enabling dynamic TCP/IP address hacking. $SYSCTL -w net.ipv4.ip_dynaddr=1 >/dev/null # IPsec 2.x now handles this... # $SYSCTL -w net.ipv4.conf.all.rp_filter=0 >/dev/null # $SYSCTL -w net.ipv4.conf.eth0.rp_filter=0 >/dev/null 2>/dev/null # $SYSCTL -w net.ipv4.conf.ppp0.rp_filter=0 >/dev/null 2>/dev/null # Log spoofed, source-routed, and redirect packets $SYSCTL -w net.ipv4.conf.all.log_martians=0 >/dev/null # Disable ICMP Re-directs $SYSCTL -w net.ipv4.conf.all.accept_redirects=0 >/dev/null $SYSCTL -w net.ipv4.conf.all.send_redirects=0 >/dev/null # Ensure that source-routed packets are dropped $SYSCTL -w net.ipv4.conf.all.accept_source_route=0 >/dev/null # Disable ICMP broadcast echo protection $SYSCTL -w net.ipv4.icmp_echo_ignore_broadcasts=1 >/dev/null # Enable bad error message protection $SYSCTL -w net.ipv4.icmp_ignore_bogus_error_responses=1 >/dev/null ############################################################################### ############# # # SetPolicyToDrop # ############################################################################### ############# $IPTABLES -P INPUT ACCEPT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD DROP ############################################################################### ############# # # LoadKernelModules # ############################################################################### ############# $MODPROBE ipt_LOG # Add LOG target. $MODPROBE ipt_REJECT # Add REJECT target. $MODPROBE ipt_MASQUERADE # Add MASQUERADE target. $MODPROBE ipt_owner # Allows you to match for the owner. $MODPROBE ip_conntrack_ftp # Connection tracking for FTP. $MODPROBE ip_conntrack_irc # Connection tracking for IRC. $MODPROBE ip_nat_ftp # Active FTP $MODPROBE ip_nat_irc # IRC stuff # PPTP and dependencies don't always auto-load... # Office Edition only. $MODPROBE ppp_generic > /dev/null 2>&1 $MODPROBE ppp_mppe > /dev/null 2>&1 $MODPROBE ip_conntrack_proto_gre > /dev/null 2>&1 $MODPROBE ip_conntrack_pptp > /dev/null 2>&1 $MODPROBE ip_nat_proto_gre > /dev/null 2>&1 ############################################################################### ############# # # RunCommonRules # ############################################################################### ############# # Allow everything on the loopback #--------------------------------- $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A OUTPUT -o lo -j ACCEPT #DNS $IPTABLES -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p tcp --sport 53 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p udp --sport 53 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --dport 53 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p udp --dport 53 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 53 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p udp --sport 53 -j ACCEPT #Autorizator $IPTABLES -A INPUT -i eth1 -p tcp --dport 4444 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p udp --dport 4444 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p tcp --sport 4444 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p udp --sport 4444 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --dport 4444 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p udp --dport 4444 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 4444 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p udp --sport 4444 -j ACCEPT #Konfigurator $IPTABLES -A INPUT -i eth1 -p tcp --dport 5555 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p udp --dport 5555 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p tcp --sport 5555 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p udp --sport 5555 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --dport 5555 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p udp --dport 5555 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 5555 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p udp --sport 5555 -j ACCEPT #SSH $IPTABLES -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 22 -j ACCEPT #FTP $IPTABLES -A INPUT -i eth1 -p tcp --dport 20 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 20 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 21 -j ACCEPT #Gateway $IPTABLES -I INPUT 1 -i eth0 -j ACCEPT $IPTABLES -I OUTPUT 1 -o eth0 -j ACCEPT # Block IPs that should never show up on our external interface #-------------------------------------------------------------- $IPTABLES -A INPUT -i eth0 -s 192.168.222.0/24 -j REJECT # Allow some ICMP (ping) #----------------------- # 0 Needed to ping hosts outside the network. # 3 Needed by all networks. # 11 Needed by the traceroute program. $IPTABLES -A INPUT -p icmp -j ACCEPT # Allow DHCP client to respond #----------------------------- $IPTABLES -A INPUT -i eth0 -p udp --dport bootpc --sport bootps -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport bootpc --sport bootps -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport bootpc --dport bootps -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p udp --sport bootpc --dport bootps -j ACCEPT ############################################################################### ############# # # RunIncomingAllowed # ############################################################################### ############# # Standard ports and port ranges #------------------------------- $IPTABLES -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 81 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 1875 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 6666 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 10000 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 21 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 81 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 443 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 1875 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 6666 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 10000 -j ACCEPT ############################################################################### ############# # # RunIncomingAllowedDefaults # ############################################################################### ############# # Allow high ports #----------------- $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 1024:65535 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p udp --sport 1024:65535 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p udp --dport 1024:65535 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT ############################################################################### ############# # # RunIncomingDeniedDefaults # ############################################################################### ############# # $IPTABLES -A INPUT -i eth0 -s $ALLIP -d $ALLIP -j DROP # $IPTABLES -A OUTPUT -o eth0 -s $ALLIP -d $ALLIP -j DROP ############################################################################### ############# # # PortForwardRules # ############################################################################### ############# ############################################################################### ############# # # RunOutgoingDeniedDefaults # ############################################################################### ############# $IPTABLES -A FORWARD -j DROP -o eth0 -p tcp --dport 111 # RPC stuff $IPTABLES -A FORWARD -j DROP -o eth0 -p udp --dport 111 # RPC stuff $IPTABLES -A FORWARD -j DROP -o eth0 -p tcp --dport 137:139 # Samba $IPTABLES -A FORWARD -j DROP -o eth0 -p udp --dport 137:139 # Samba $IPTABLES -A FORWARD -j DROP -o eth0 -p tcp --dport 635 # Mountd $IPTABLES -A FORWARD -j DROP -o eth0 -p udp --dport 635 # Mountd # Enable masquerading #-------------------- $IPTABLES -A POSTROUTING -t nat -j MASQUERADE -o eth0 ############################################################################### ############# # # RedirectToSquid # ############################################################################### ############# $IPTABLES -t nat -A PREROUTING -i eth1 -d ! 192.168.222.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 ############################################################################### ############# # # ACCEPTing FORWARD # ############################################################################### ############# $IPTABLES -I FORWARD 1 -s 192.168.222.102 -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.222.102 -j ACCEPT $IPTABLES -I FORWARD 1 -s 192.168.222.103 -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.222.103 -j ACCEPT $IPTABLES -I FORWARD 1 -s 192.168.222.104 -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.222.104 -j ACCEPT $IPTABLES -I FORWARD 1 -s 192.168.222.105 -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.222.105 -j ACCEPT $IPTABLES -I FORWARD 1 -s 192.168.222.106 -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.222.106 -j ACCEPT ############################################################################### ############# # # UA_IX Chains # ############################################################################### ############# $IPTABLES -X UA_IX $IPTABLES -X UA_IX_S $IPTABLES -N UA_IX $IPTABLES -N UA_IX_S ############# grep "^" $IPFILE | while read ip; do if [ $ip <> NULL ] then $IPTABLES -A UA_IX -d $ip -j RETURN fi done $IPTABLES -A UA_IX -j REJECT ############# grep "^" $IPFILE | while read ip; do if [ $ip <> NULL ] then $IPTABLES -A UA_IX_S -s $ip -j RETURN fi done $IPTABLES -A UA_IX_S -j REJECT ############# $IPTABLES -I INPUT 1 -i eth0 -j UA_IX_S $IPTABLES -I OUTPUT 1 -o eth0 -j UA_IX ############################################################################### ############# # # DROPing BAD SITES # ############################################################################### ############# $IPTABLES -I FORWARD 1 -s 192.168.222.0/24 -j UA_IX Вот скрипт OnConnect: #!/bin/bash ip=$2 iptables -t filter -A INPUT -s $ip -j ACCEPT iptables -t filter -A FORWARD -s $ip -j ACCEPT iptables -t filter -A FORWARD -d $ip -j ACCEPT iptables -t filter -A OUTPUT -d $ip -j ACCEPT #!/bin/bash #Login LOGIN=$1 #user IP echo $2 IP=$2 #cash CASH=$3 #user ID ID=$4 echo "Connect login='$LOGIN' ip=$IP cash=$CASH" >> /tmp/users скрипт OnDisconnect: #!/bin/bash ip=$2 iptables -t filter -D INPUT -s $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D INPUT -s $ip -j ACCEPT done ################################## iptables -t filter -D FORWARD -s $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D FORWARD -s $ip -j ACCEPT done ################################## iptables -t filter -D FORWARD -d $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D FORWARD -d $ip -j ACCEPT done ################################## iptables -t filter -D OUTPUT -d $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D OUTPUT -d $ip -j ACCEPT done #!/bin/bash # Login LOGIN=$1 #user IP echo $2 IP=$2 #cash CASH=$3 #user ID ID=$4 #echo "Connect login='$LOGIN' ip=$IP cash=$CASH" >> /tmp/users stargazer.conf : rules=/etc/stargazer/rules WorkDir=/var/stargazer/ LogFile=/var/log/stargazer.log UserTimeout=60 UserDelay=10 FreeMb=cash StatTime=1/6 Password=123456 adminPort=5555 userPort=4444 MaxUsers=15 TurnTraff=no Kilo=1000 DayFee=1 DayResetTraff=1 DirName0=Ukr DirName1= SpreadFee=no StatOwner=root StatGroup=stg_stat StatMode=640 ConfOwner=root ConfGroup=root ConfMode=640 UserLogOwner=root UserLogGroup=root UserLogMode=640 AdminOrder=allow,deny AdminAllowFrom=192.168.1.1 AdminDenyFrom=all UserOrder=allow,deny UserAllowFrom=192.168.1.0/24 FloodControl=yes Если делать выкл авторизатор то отрубает всё кроме сайтов и закачки, из-за того что прозрачный сквид! Но ладно, если потом сделать подключение по авторизатору то подключаеться как онлайн, но нету того что было! Ну также если использовать правила для отрубки сайтов и закачки: iptables -I INPUT -i eth1 -s $ip -j DROP iptables -I OUTPUT -o eth1 -d $ip -j DROP то рубит напрочь потом нельзя даже выйти на конфигуратор, сервак вообще не видно! В чём тут ошибка всё-таки! Ссылка на сообщение Поделиться на других сайтах
Den_LocalNet 1 472 Опубліковано: 2005-03-28 04:11:09 Share Опубліковано: 2005-03-28 04:11:09 Что ещё паримся? ну-ну....... экономия должна быть экономоной.... а самое главное что так люди называют ".....Ну надо же самому научиться..." Это не означает самомму научится, это колективная настройка СТГ у тебя дома. Что ты получаеш в результате? - Вроде как корректно настроеный сервер, в котором на 15-20% ты понимаеш что и как работает.... остальное догадки т.к. не ты настраивал..... Я замучался уговаривать, что по личному опыту, пока не взялся за мануал по iptables, то замучал на форуме народ капитально.... Да мне помогали, за что всем спасибо..... но толку если я не понимал как оно работает и даже не мог подправить под свои ньюансы. С переходом ВОЛЯ на тарификацию по трафу, смотрю острое развитие топиков аля "Помогите настроить СТГ2, я сам ничего не умею и знать не хочу...." И ещё: не нужно забывать что вы настраиваете фаервол на тазике который смотрит в инет - это как минимум серьёзный фактор что бы не как попало настроить его , а вдумчиво и понимая..... По теме. Опять же читаем что писал выше.... я ж уже сказал что бы ты в rc.firewall добавил строки разрешающие для порта 5555 если прозрачный сквид - то лучший вариант для каждого кто подключился отдельно заворачивать 80 порт на squid Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас