ALeX_mel 0 Posted 2005-03-25 16:09:21 Share Posted 2005-03-25 16:09:21 Стоит Clark Connect 2 и stargazer-2.014.7.6-RC2 Проблемы возникли: 1.Клиент авторизируеться но даже если закончились деньги на счету или трафик всё-равно продолжает обитать в инете... 2.При проверке подсчёта увидел что при скачивании 8 мб вылазит еще откуда-то 1 мб левой!! 3.Немогу зайти на любое фтп!! Подскажите куда и где копать! Всю документацию перечитал и на основе неё делал! www.stargazer.dp.ua Link to post Share on other sites
Slava 1 Posted 2005-03-25 18:14:32 Share Posted 2005-03-25 18:14:32 1. смотри дыру в фаерволе, правиле рпзрешающем доступ в инет и поставь политику в цепочке forward в DROP 2. а посмотри подоробно входящий и сходящий трафик хотя 1 Мб на запросы что то многовато разве что частые переконнекты 3. открой порт 21. Link to post Share on other sites
ALeX_mel 0 Posted 2005-03-25 18:24:52 Author Share Posted 2005-03-25 18:24:52 1. смотри дыру в фаерволе, правиле рпзрешающем доступ в инет и поставь политику в цепочке forward в DROP2. а посмотри подоробно входящий и сходящий трафик хотя 1 Мб на запросы что то многовато разве что частые переконнекты 3. открой порт 21. Пасибо с фтп и с трафиком я сделал! осталось токо чтоб пользователей не пускало когда заканчиваеться предоплаченый трафик или деньги! Link to post Share on other sites
Den_LocalNet 1,474 Posted 2005-03-25 18:45:12 Share Posted 2005-03-25 18:45:12 это называется экономия в 50 грн Link to post Share on other sites
ALeX_mel 0 Posted 2005-03-25 18:49:27 Author Share Posted 2005-03-25 18:49:27 (edited) это называется экономия в 50 грн А посоветовать нечё не можешь, надо ж когда-то учиться самому... Меня интересует чтоб условия как в примере на stargazer.dp.ua но чего-то нехватает! пользователь может пользоваться инетом хоть даже денег нет на счету и мб закончились!!! кстати заметь это твой конфиг фаервола, и ты мне его настраивал :loop: Edited 2005-03-25 22:39:46 by Den_LocalNet Link to post Share on other sites
Roman 0 Posted 2005-03-25 22:19:35 Share Posted 2005-03-25 22:19:35 это называется экономия в 50 грн А посоветовать нечё не можешь, надо ж когда-то учиться самому... Меня интересует чтоб условия как в примере на stargazer.dp.ua но чего-то нехватает! пользователь может пользоваться инетом хоть даже денег нет на счету и мб закончились!!! кстати заметь это твой конфиг фаервола, и ты мне его настраивал :loop: Я так думаю что даже если он тебе и его ставил то это не значит что он точ в точ повторяет его собственный конфиг Link to post Share on other sites
Den_LocalNet 1,474 Posted 2005-03-25 22:38:32 Share Posted 2005-03-25 22:38:32 я тебе его ставил под твои задачи. так? а если не покурил iptables tutorial то нечего тут...... а вообще лол.... ты бы хоть написал что у тебя есть... показал свои скрипты.... показал логи и конфы.... а то телепатов нету... Link to post Share on other sites
XoRe 0 Posted 2005-03-25 23:06:46 Share Posted 2005-03-25 23:06:46 2ALeX_mel: советую почитать здешний форум. Твои вопросы уже задавали другие люди и им дали на них ответы. + советую почитать доки по iptables на http://opennet.ru/ Link to post Share on other sites
ALeX_mel 0 Posted 2005-03-26 10:20:12 Author Share Posted 2005-03-26 10:20:12 я тебе его ставил под твои задачи. так?а если не покурил iptables tutorial то нечего тут...... а вообще лол.... ты бы хоть написал что у тебя есть... показал свои скрипты.... показал логи и конфы.... а то телепатов нету... фаераол: #!/bin/sh PATH=/sbin:/bin:/usr/bin # Binaries IPTABLES="/sbin/iptables" SYSCTL="/sbin/sysctl" MODPROBE="/sbin/modprobe" # Set to blank for no debug. Default to on for now. DEBUG="1" # Shorthand ALLIP="0.0.0.0/0" IPFILE="/etc/rc.d/ua-ix.ip" $IPTABLES -t nat -F $IPTABLES -t mangle -F $IPTABLES -t filter -F $IPTABLES -F ######################################################################### # # G A T E W A Y F I R E W A L L # ######################################################################### # Enable IP Forwarding, not really required for standalone mode $SYSCTL -w net.ipv4.ip_forward=1 >/dev/null # Enable TCP SYN Cookie protection: $SYSCTL -w net.ipv4.tcp_syncookies=1 >/dev/null # Enabling dynamic TCP/IP address hacking. $SYSCTL -w net.ipv4.ip_dynaddr=1 >/dev/null # IPsec 2.x now handles this... # $SYSCTL -w net.ipv4.conf.all.rp_filter=0 >/dev/null # $SYSCTL -w net.ipv4.conf.eth0.rp_filter=0 >/dev/null 2>/dev/null # $SYSCTL -w net.ipv4.conf.ppp0.rp_filter=0 >/dev/null 2>/dev/null # Log spoofed, source-routed, and redirect packets $SYSCTL -w net.ipv4.conf.all.log_martians=0 >/dev/null # Disable ICMP Re-directs $SYSCTL -w net.ipv4.conf.all.accept_redirects=0 >/dev/null $SYSCTL -w net.ipv4.conf.all.send_redirects=0 >/dev/null # Ensure that source-routed packets are dropped $SYSCTL -w net.ipv4.conf.all.accept_source_route=0 >/dev/null # Disable ICMP broadcast echo protection $SYSCTL -w net.ipv4.icmp_echo_ignore_broadcasts=1 >/dev/null # Enable bad error message protection $SYSCTL -w net.ipv4.icmp_ignore_bogus_error_responses=1 >/dev/null ############################################################################### ############# # # SetPolicyToDrop # ############################################################################### ############# $IPTABLES -P INPUT ACCEPT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD DROP ############################################################################### ############# # # LoadKernelModules # ############################################################################### ############# $MODPROBE ipt_LOG # Add LOG target. $MODPROBE ipt_REJECT # Add REJECT target. $MODPROBE ipt_MASQUERADE # Add MASQUERADE target. $MODPROBE ipt_owner # Allows you to match for the owner. $MODPROBE ip_conntrack_ftp # Connection tracking for FTP. $MODPROBE ip_conntrack_irc # Connection tracking for IRC. $MODPROBE ip_nat_ftp # Active FTP $MODPROBE ip_nat_irc # IRC stuff # PPTP and dependencies don't always auto-load... # Office Edition only. $MODPROBE ppp_generic > /dev/null 2>&1 $MODPROBE ppp_mppe > /dev/null 2>&1 $MODPROBE ip_conntrack_proto_gre > /dev/null 2>&1 $MODPROBE ip_conntrack_pptp > /dev/null 2>&1 $MODPROBE ip_nat_proto_gre > /dev/null 2>&1 ############################################################################### ############# # # RunCommonRules # ############################################################################### ############# # Allow everything on the loopback #--------------------------------- $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A OUTPUT -o lo -j ACCEPT #DNS $IPTABLES -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p tcp --sport 53 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p udp --sport 53 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --dport 53 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p udp --dport 53 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 53 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p udp --sport 53 -j ACCEPT #SSH $IPTABLES -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 22 -j ACCEPT #FTP $IPTABLES -A INPUT -i eth1 -p tcp --dport 20 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 20 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 21 -j ACCEPT #Gateway $IPTABLES -I INPUT 1 -i eth0 -j ACCEPT $IPTABLES -I OUTPUT 1 -o eth0 -j ACCEPT # Block IPs that should never show up on our external interface #-------------------------------------------------------------- $IPTABLES -A INPUT -i eth0 -s 192.168.x.x/24 -j REJECT # Allow some ICMP (ping) #----------------------- # 0 Needed to ping hosts outside the network. # 3 Needed by all networks. # 11 Needed by the traceroute program. $IPTABLES -A INPUT -p icmp -j ACCEPT # Allow DHCP client to respond #----------------------------- $IPTABLES -A INPUT -i eth0 -p udp --dport bootpc --sport bootps -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport bootpc --sport bootps -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport bootpc --dport bootps -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p udp --sport bootpc --dport bootps -j ACCEPT ############################################################################### ############# # # RunIncomingAllowed # ############################################################################### ############# # Standard ports and port ranges #------------------------------- $IPTABLES -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 81 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 1875 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 6666 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 10000 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 21 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 81 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 443 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 1875 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 6666 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 10000 -j ACCEPT ############################################################################### ############# # # RunIncomingAllowedDefaults # ############################################################################### ############# # Allow high ports #----------------- $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 1024:65535 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p udp --sport 1024:65535 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p udp --dport 1024:65535 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT ############################################################################### ############# # # RunIncomingDeniedDefaults # ############################################################################### ############# # $IPTABLES -A INPUT -i eth0 -s $ALLIP -d $ALLIP -j DROP # $IPTABLES -A OUTPUT -o eth0 -s $ALLIP -d $ALLIP -j DROP ############################################################################### ############# # # PortForwardRules # ############################################################################### ############# ############################################################################### ############# # # RunOutgoingDeniedDefaults # ############################################################################### ############# $IPTABLES -A FORWARD -j DROP -o eth0 -p tcp --dport 111 # RPC stuff $IPTABLES -A FORWARD -j DROP -o eth0 -p udp --dport 111 # RPC stuff $IPTABLES -A FORWARD -j DROP -o eth0 -p tcp --dport 137:139 # Samba $IPTABLES -A FORWARD -j DROP -o eth0 -p udp --dport 137:139 # Samba $IPTABLES -A FORWARD -j DROP -o eth0 -p tcp --dport 635 # Mountd $IPTABLES -A FORWARD -j DROP -o eth0 -p udp --dport 635 # Mountd # Enable masquerading #-------------------- $IPTABLES -A POSTROUTING -t nat -j MASQUERADE -o eth0 ############################################################################### ############# # # RedirectToSquid # ############################################################################### ############# $IPTABLES -t nat -A PREROUTING -i eth1 -d ! 192.168.x.x/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 ############################################################################### ############# # # ACCEPTing FORWARD # ############################################################################### ############# $IPTABLES -I FORWARD 1 -s 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 1 -s 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 1 -s 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 1 -s 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 1 -s 192.168.x.x -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.x.x -j ACCEPT ############################################################################### ############# # # UA_IX Chains # ############################################################################### ############# $IPTABLES -X UA_IX $IPTABLES -X UA_IX_S $IPTABLES -N UA_IX $IPTABLES -N UA_IX_S ############# grep "^" $IPFILE | while read ip; do if [ $ip <> NULL ] then $IPTABLES -A UA_IX -d $ip -j RETURN fi done $IPTABLES -A UA_IX -j REJECT ############# grep "^" $IPFILE | while read ip; do if [ $ip <> NULL ] then $IPTABLES -A UA_IX_S -s $ip -j RETURN fi done $IPTABLES -A UA_IX_S -j REJECT ############# $IPTABLES -I INPUT 1 -i eth0 -j UA_IX_S $IPTABLES -I OUTPUT 1 -o eth0 -j UA_IX ############################################################################### ############# # # DROPing BAD SITES # ############################################################################### ############# $IPTABLES -I FORWARD 1 -s 192.168.x.x/24 -j UA_IX #--------------------------------------------------- скрипты я брал с документации: OnDisconnect #!/bin/bash ip=$2 iptables -t filter -D INPUT -s $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D INPUT -s $ip -j ACCEPT done ################################## iptables -t filter -D FORWARD -s $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D FORWARD -s $ip -j ACCEPT done ################################## iptables -t filter -D FORWARD -d $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D FORWARD -d $ip -j ACCEPT done ################################## iptables -t filter -D OUTPUT -d $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D OUTPUT -d $ip -j ACCEPT done #---------------------------------------- OnConnect #!/bin/bash ip=$2 iptables -t filter -A INPUT -s $ip -j ACCEPT iptables -t filter -A FORWARD -s $ip -j ACCEPT iptables -t filter -A FORWARD -d $ip -j ACCEPT iptables -t filter -A OUTPUT -d $ip -j ACCEPT # , #.. stargazer # , FW # # ipchains -D input -s $2 -j REJECT # # ipchains -A input -s $2 -j ACCEPT # Login LOGIN=$1 #user IP echo $2 IP=$2 #cash CASH=$3 #user ID ID=$4 echo "C `date +%Y.%m.%d-%H.%M.%S` $IP $CASH" >> /var/stargazer/users/$LOGIN/connect.log Проблема таже: хоть у юзера закончились мб или деньги то он спокойно сидит и качает с инета!!! :bue: Link to post Share on other sites
S_ergey 21 Posted 2005-03-26 10:38:11 Share Posted 2005-03-26 10:38:11 Да многовато написано. $IPTABLES -P FORWARD DROP это правильно все закрыть. Попробуй теперь закоментируй все строки FORWARD ..... -j ACCEPT Link to post Share on other sites
ALeX_mel 0 Posted 2005-03-26 10:54:06 Author Share Posted 2005-03-26 10:54:06 Да многовато написано.$IPTABLES -P FORWARD DROP это правильно все закрыть. Попробуй теперь закоментируй все строки FORWARD ..... -j ACCEPT Почта закрываеться и некоторые порта.... Но по страницам и качать всё на УРА! Блин недоганяю! Link to post Share on other sites
Den_LocalNet 1,474 Posted 2005-03-26 13:02:02 Share Posted 2005-03-26 13:02:02 Дядя.... я ж тебе делал прозрачный сквид его та тож нада закрыть iptables -I INPUT -i eth1 -s %ip -j DROP iptables -I OUTPUT -o eth1 -d %ip -j DROP и будет тебе счастье. Link to post Share on other sites
ALeX_mel 0 Posted 2005-03-26 15:39:27 Author Share Posted 2005-03-26 15:39:27 Дядя.... я ж тебе делал прозрачный сквид его та тож нада закрыть iptables -I INPUT -i eth1 -s %ip -j DROP iptables -I OUTPUT -o eth1 -d %ip -j DROP и будет тебе счастье. Пасибо!!! Роздуплился малость... Теперь мелочь осталось и всё ОК P.S. Спасибо всем кто принял участие в моей проблеме Особая благодарнасть Дену БОЛЬШОЕ СПАСИБО!! Link to post Share on other sites
ALeX_mel 0 Posted 2005-03-27 09:11:38 Author Share Posted 2005-03-27 09:11:38 Дядя.... я ж тебе делал прозрачный сквид его та тож нада закрыть iptables -I INPUT -i eth1 -s %ip -j DROP iptables -I OUTPUT -o eth1 -d %ip -j DROP и будет тебе счастье. Маленький нюанс: Вот это обрубает полностью, даже не видно сервак(а я ж редактирую конфигуратор)! Но потом когда пополняешь деньгу то нету инета(как будто не выполняеться OnConnect)! Это выполняеться всё в режиме Всегда Онлайн! А если сделать по конфигуратору то как только сделаю Отключение, я уже не подключусь, поскольку сервака невижу!!! On Connect: #!/bin/bash ip=$2 iptables -t filter -A INPUT -s $ip -j ACCEPT iptables -t filter -A FORWARD -s $ip -j ACCEPT iptables -t filter -A FORWARD -d $ip -j ACCEPT iptables -t filter -A OUTPUT -d $ip -j ACCEPT # Login LOGIN=$1 #user IP echo $2 IP=$2 #cash CASH=$3 #user ID ID=$4 echo "C `date +%Y.%m.%d-%H.%M.%S` $IP $CASH" >> /var/stargazer/users/$LOGIN/connect.log Называеться рано обрадовался :mrrr: :-/ Link to post Share on other sites
Guest Guest Posted 2005-03-27 11:10:01 Share Posted 2005-03-27 11:10:01 Добавь что бы постоянно было: iptables -I INPUT -i eth1 -p tcp --dport 5555 -s $ip -j ACCEPT iptables -I OUTPUT -o eth1 -p tcp --dport 5555 -d $ip -j ACCEPT Link to post Share on other sites
ALeX_mel 0 Posted 2005-03-27 23:02:30 Author Share Posted 2005-03-27 23:02:30 Добавь что бы постоянно было: iptables -I INPUT -i eth1 -p tcp --dport 5555 -s $ip -j ACCEPT iptables -I OUTPUT -o eth1 -p tcp --dport 5555 -d $ip -j ACCEPT Вот rc.firewall #!/bin/sh PATH=/sbin:/bin:/usr/bin # Binaries IPTABLES="/sbin/iptables" SYSCTL="/sbin/sysctl" MODPROBE="/sbin/modprobe" # Set to blank for no debug. Default to on for now. DEBUG="1" # Shorthand ALLIP="0.0.0.0/0" IPFILE="/etc/rc.d/ua-ix.ip" $IPTABLES -t nat -F $IPTABLES -t mangle -F $IPTABLES -t filter -F $IPTABLES -F ######################################################################### # # G A T E W A Y F I R E W A L L # ######################################################################### # Enable IP Forwarding, not really required for standalone mode $SYSCTL -w net.ipv4.ip_forward=1 >/dev/null # Enable TCP SYN Cookie protection: $SYSCTL -w net.ipv4.tcp_syncookies=1 >/dev/null # Enabling dynamic TCP/IP address hacking. $SYSCTL -w net.ipv4.ip_dynaddr=1 >/dev/null # IPsec 2.x now handles this... # $SYSCTL -w net.ipv4.conf.all.rp_filter=0 >/dev/null # $SYSCTL -w net.ipv4.conf.eth0.rp_filter=0 >/dev/null 2>/dev/null # $SYSCTL -w net.ipv4.conf.ppp0.rp_filter=0 >/dev/null 2>/dev/null # Log spoofed, source-routed, and redirect packets $SYSCTL -w net.ipv4.conf.all.log_martians=0 >/dev/null # Disable ICMP Re-directs $SYSCTL -w net.ipv4.conf.all.accept_redirects=0 >/dev/null $SYSCTL -w net.ipv4.conf.all.send_redirects=0 >/dev/null # Ensure that source-routed packets are dropped $SYSCTL -w net.ipv4.conf.all.accept_source_route=0 >/dev/null # Disable ICMP broadcast echo protection $SYSCTL -w net.ipv4.icmp_echo_ignore_broadcasts=1 >/dev/null # Enable bad error message protection $SYSCTL -w net.ipv4.icmp_ignore_bogus_error_responses=1 >/dev/null ############################################################################### ############# # # SetPolicyToDrop # ############################################################################### ############# $IPTABLES -P INPUT ACCEPT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD DROP ############################################################################### ############# # # LoadKernelModules # ############################################################################### ############# $MODPROBE ipt_LOG # Add LOG target. $MODPROBE ipt_REJECT # Add REJECT target. $MODPROBE ipt_MASQUERADE # Add MASQUERADE target. $MODPROBE ipt_owner # Allows you to match for the owner. $MODPROBE ip_conntrack_ftp # Connection tracking for FTP. $MODPROBE ip_conntrack_irc # Connection tracking for IRC. $MODPROBE ip_nat_ftp # Active FTP $MODPROBE ip_nat_irc # IRC stuff # PPTP and dependencies don't always auto-load... # Office Edition only. $MODPROBE ppp_generic > /dev/null 2>&1 $MODPROBE ppp_mppe > /dev/null 2>&1 $MODPROBE ip_conntrack_proto_gre > /dev/null 2>&1 $MODPROBE ip_conntrack_pptp > /dev/null 2>&1 $MODPROBE ip_nat_proto_gre > /dev/null 2>&1 ############################################################################### ############# # # RunCommonRules # ############################################################################### ############# # Allow everything on the loopback #--------------------------------- $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A OUTPUT -o lo -j ACCEPT #DNS $IPTABLES -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p tcp --sport 53 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p udp --sport 53 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --dport 53 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p udp --dport 53 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 53 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p udp --sport 53 -j ACCEPT #Autorizator $IPTABLES -A INPUT -i eth1 -p tcp --dport 4444 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p udp --dport 4444 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p tcp --sport 4444 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p udp --sport 4444 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --dport 4444 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p udp --dport 4444 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 4444 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p udp --sport 4444 -j ACCEPT #Konfigurator $IPTABLES -A INPUT -i eth1 -p tcp --dport 5555 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p udp --dport 5555 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p tcp --sport 5555 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p udp --sport 5555 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --dport 5555 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p udp --dport 5555 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 5555 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p udp --sport 5555 -j ACCEPT #SSH $IPTABLES -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 22 -j ACCEPT #FTP $IPTABLES -A INPUT -i eth1 -p tcp --dport 20 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 20 -j ACCEPT $IPTABLES -A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT $IPTABLES -A OUTPUT -o eth1 -p tcp --sport 21 -j ACCEPT #Gateway $IPTABLES -I INPUT 1 -i eth0 -j ACCEPT $IPTABLES -I OUTPUT 1 -o eth0 -j ACCEPT # Block IPs that should never show up on our external interface #-------------------------------------------------------------- $IPTABLES -A INPUT -i eth0 -s 192.168.222.0/24 -j REJECT # Allow some ICMP (ping) #----------------------- # 0 Needed to ping hosts outside the network. # 3 Needed by all networks. # 11 Needed by the traceroute program. $IPTABLES -A INPUT -p icmp -j ACCEPT # Allow DHCP client to respond #----------------------------- $IPTABLES -A INPUT -i eth0 -p udp --dport bootpc --sport bootps -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport bootpc --sport bootps -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport bootpc --dport bootps -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p udp --sport bootpc --dport bootps -j ACCEPT ############################################################################### ############# # # RunIncomingAllowed # ############################################################################### ############# # Standard ports and port ranges #------------------------------- $IPTABLES -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 81 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 1875 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 6666 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 10000 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 21 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 81 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 443 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 1875 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 6666 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 10000 -j ACCEPT ############################################################################### ############# # # RunIncomingAllowedDefaults # ############################################################################### ############# # Allow high ports #----------------- $IPTABLES -A OUTPUT -o eth0 -p tcp --sport 1024:65535 -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p udp --sport 1024:65535 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p udp --dport 1024:65535 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p tcp --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT ############################################################################### ############# # # RunIncomingDeniedDefaults # ############################################################################### ############# # $IPTABLES -A INPUT -i eth0 -s $ALLIP -d $ALLIP -j DROP # $IPTABLES -A OUTPUT -o eth0 -s $ALLIP -d $ALLIP -j DROP ############################################################################### ############# # # PortForwardRules # ############################################################################### ############# ############################################################################### ############# # # RunOutgoingDeniedDefaults # ############################################################################### ############# $IPTABLES -A FORWARD -j DROP -o eth0 -p tcp --dport 111 # RPC stuff $IPTABLES -A FORWARD -j DROP -o eth0 -p udp --dport 111 # RPC stuff $IPTABLES -A FORWARD -j DROP -o eth0 -p tcp --dport 137:139 # Samba $IPTABLES -A FORWARD -j DROP -o eth0 -p udp --dport 137:139 # Samba $IPTABLES -A FORWARD -j DROP -o eth0 -p tcp --dport 635 # Mountd $IPTABLES -A FORWARD -j DROP -o eth0 -p udp --dport 635 # Mountd # Enable masquerading #-------------------- $IPTABLES -A POSTROUTING -t nat -j MASQUERADE -o eth0 ############################################################################### ############# # # RedirectToSquid # ############################################################################### ############# $IPTABLES -t nat -A PREROUTING -i eth1 -d ! 192.168.222.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 ############################################################################### ############# # # ACCEPTing FORWARD # ############################################################################### ############# $IPTABLES -I FORWARD 1 -s 192.168.222.102 -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.222.102 -j ACCEPT $IPTABLES -I FORWARD 1 -s 192.168.222.103 -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.222.103 -j ACCEPT $IPTABLES -I FORWARD 1 -s 192.168.222.104 -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.222.104 -j ACCEPT $IPTABLES -I FORWARD 1 -s 192.168.222.105 -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.222.105 -j ACCEPT $IPTABLES -I FORWARD 1 -s 192.168.222.106 -j ACCEPT $IPTABLES -I FORWARD 2 -d 192.168.222.106 -j ACCEPT ############################################################################### ############# # # UA_IX Chains # ############################################################################### ############# $IPTABLES -X UA_IX $IPTABLES -X UA_IX_S $IPTABLES -N UA_IX $IPTABLES -N UA_IX_S ############# grep "^" $IPFILE | while read ip; do if [ $ip <> NULL ] then $IPTABLES -A UA_IX -d $ip -j RETURN fi done $IPTABLES -A UA_IX -j REJECT ############# grep "^" $IPFILE | while read ip; do if [ $ip <> NULL ] then $IPTABLES -A UA_IX_S -s $ip -j RETURN fi done $IPTABLES -A UA_IX_S -j REJECT ############# $IPTABLES -I INPUT 1 -i eth0 -j UA_IX_S $IPTABLES -I OUTPUT 1 -o eth0 -j UA_IX ############################################################################### ############# # # DROPing BAD SITES # ############################################################################### ############# $IPTABLES -I FORWARD 1 -s 192.168.222.0/24 -j UA_IX Вот скрипт OnConnect: #!/bin/bash ip=$2 iptables -t filter -A INPUT -s $ip -j ACCEPT iptables -t filter -A FORWARD -s $ip -j ACCEPT iptables -t filter -A FORWARD -d $ip -j ACCEPT iptables -t filter -A OUTPUT -d $ip -j ACCEPT #!/bin/bash #Login LOGIN=$1 #user IP echo $2 IP=$2 #cash CASH=$3 #user ID ID=$4 echo "Connect login='$LOGIN' ip=$IP cash=$CASH" >> /tmp/users скрипт OnDisconnect: #!/bin/bash ip=$2 iptables -t filter -D INPUT -s $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D INPUT -s $ip -j ACCEPT done ################################## iptables -t filter -D FORWARD -s $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D FORWARD -s $ip -j ACCEPT done ################################## iptables -t filter -D FORWARD -d $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D FORWARD -d $ip -j ACCEPT done ################################## iptables -t filter -D OUTPUT -d $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D OUTPUT -d $ip -j ACCEPT done #!/bin/bash # Login LOGIN=$1 #user IP echo $2 IP=$2 #cash CASH=$3 #user ID ID=$4 #echo "Connect login='$LOGIN' ip=$IP cash=$CASH" >> /tmp/users stargazer.conf : rules=/etc/stargazer/rules WorkDir=/var/stargazer/ LogFile=/var/log/stargazer.log UserTimeout=60 UserDelay=10 FreeMb=cash StatTime=1/6 Password=123456 adminPort=5555 userPort=4444 MaxUsers=15 TurnTraff=no Kilo=1000 DayFee=1 DayResetTraff=1 DirName0=Ukr DirName1= SpreadFee=no StatOwner=root StatGroup=stg_stat StatMode=640 ConfOwner=root ConfGroup=root ConfMode=640 UserLogOwner=root UserLogGroup=root UserLogMode=640 AdminOrder=allow,deny AdminAllowFrom=192.168.1.1 AdminDenyFrom=all UserOrder=allow,deny UserAllowFrom=192.168.1.0/24 FloodControl=yes Если делать выкл авторизатор то отрубает всё кроме сайтов и закачки, из-за того что прозрачный сквид! Но ладно, если потом сделать подключение по авторизатору то подключаеться как онлайн, но нету того что было! Ну также если использовать правила для отрубки сайтов и закачки: iptables -I INPUT -i eth1 -s $ip -j DROP iptables -I OUTPUT -o eth1 -d $ip -j DROP то рубит напрочь потом нельзя даже выйти на конфигуратор, сервак вообще не видно! В чём тут ошибка всё-таки! Link to post Share on other sites
Den_LocalNet 1,474 Posted 2005-03-28 04:11:09 Share Posted 2005-03-28 04:11:09 Что ещё паримся? ну-ну....... экономия должна быть экономоной.... а самое главное что так люди называют ".....Ну надо же самому научиться..." Это не означает самомму научится, это колективная настройка СТГ у тебя дома. Что ты получаеш в результате? - Вроде как корректно настроеный сервер, в котором на 15-20% ты понимаеш что и как работает.... остальное догадки т.к. не ты настраивал..... Я замучался уговаривать, что по личному опыту, пока не взялся за мануал по iptables, то замучал на форуме народ капитально.... Да мне помогали, за что всем спасибо..... но толку если я не понимал как оно работает и даже не мог подправить под свои ньюансы. С переходом ВОЛЯ на тарификацию по трафу, смотрю острое развитие топиков аля "Помогите настроить СТГ2, я сам ничего не умею и знать не хочу...." И ещё: не нужно забывать что вы настраиваете фаервол на тазике который смотрит в инет - это как минимум серьёзный фактор что бы не как попало настроить его , а вдумчиво и понимая..... По теме. Опять же читаем что писал выше.... я ж уже сказал что бы ты в rc.firewall добавил строки разрешающие для порта 5555 если прозрачный сквид - то лучший вариант для каждого кто подключился отдельно заворачивать 80 порт на squid Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now