qso 44 Опубликовано: 2009-08-07 10:03:33 Share Опубликовано: 2009-08-07 10:03:33 Доброго времени суток всем! У меня вопрос к знающим, поставил nodeny+radius+mpd5, связка работает без замечаний. Но вот проблема обнаружилась в другом. Завёл тестовых юзеров в систему с положительным балансом, зелёные ключики есть, но в инет не пускает. Я вот на форуме начитался, что надо чуть ли агента переписывать надо, потому как поставил например тот же /etc/rc.firewall из примера что в доке (install.html) Буду преблагодарен, если кто скажет где копать? Могу привести в студию содержимое моего FW при необходимости... Ссылка на сообщение Поделиться на других сайтах
qso 44 Опубліковано: 2009-08-07 10:40:56 Автор Share Опубліковано: 2009-08-07 10:40:56 100% ipfw, потому как я его полностью отключил и по PPPoE всё забегало. поставил правило allow any to any. Что может приводить к неправильной блокировки юзера? Люди подскажите, очень надо, в перле я не очень шарю... Ссылка на сообщение Поделиться на других сайтах
Enferno 163 Опубліковано: 2009-08-07 11:20:41 Share Опубліковано: 2009-08-07 11:20:41 ну если сказал, что фаервол, так может покажешь конфиг? Ссылка на сообщение Поделиться на других сайтах
qso 44 Опубліковано: 2009-08-07 11:25:18 Автор Share Опубліковано: 2009-08-07 11:25:18 Не, ни как не реагирует... И что интересное вообще ни каких ошибок, т.е. даже не знаю с чего начинать... блин... bb# ipfw list 00050 allow tcp from any to me dst-port 22 00051 allow tcp from me 22 to any 00100 deny tcp from any to any dst-port 445 00110 allow ip from any to any via lo0 00120 skipto 1000 ip from me to any 00130 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17 00140 deny ip from any to table(120) 00150 deny ip from table(120) to any 00160 skipto 2000 ip from any to me 00200 skipto 500 ip from any to any via fxp0 00300 skipto 4500 ip from any to any in 00400 skipto 450 ip from any to any recv fxp0 00420 divert 1 ip from any to any 00450 divert 2 ip from any to any 00490 allow ip from any to any 00500 skipto 32500 ip from any to any in 00510 divert 1 ip from any to any 00540 allow ip from any to any 01000 allow udp from any 53,7723 to any 01010 allow tcp from any to any setup keep-state 01020 allow udp from any to any keep-state 01100 allow ip from any to any 02000 check-state 02010 allow icmp from any to any 02020 allow tcp from any to any dst-port 80,443 02050 deny ip from any to any via fxp0 02060 allow udp from any to any dst-port 53,7723 02100 deny ip from any to any 05000 deny ip from not table(0) to any 05001 skipto 5010 ip from table(127) to table(126) 05002 skipto 5030 ip from any to not table(2) 05003 deny ip from any to not table(1) 05004 pipe tablearg ip from table(21) to any 05005 deny ip from any to any 05010 pipe tablearg ip from table(127) to any 05030 deny tcp from table(15) to any dst-port 25 05400 pipe tablearg ip from table(11) to any 32000 deny ip from any to any 32490 deny ip from any to any 33000 pipe tablearg ip from table(126) to table(127) 33001 skipto 33010 ip from not table(2) to any 33002 pipe tablearg ip from any to table(20) 33003 deny ip from any to any 33400 pipe tablearg ip from any to table(10) 65535 deny ip from any to any Ссылка на сообщение Поделиться на других сайтах
qso 44 Опубліковано: 2009-08-07 11:45:12 Автор Share Опубліковано: 2009-08-07 11:45:12 Насколько я понял, правил позволяющих пускать в инет в данном листинге нет? Формирует правила я так понял nofire.pl, а ему говорит (пускать/непускать) noserver.pl. Я правильно всё понимаю? Ссылка на сообщение Поделиться на других сайтах
dead 93 Опубліковано: 2009-08-07 12:46:11 Share Опубліковано: 2009-08-07 12:46:11 Насколько я понял, правил позволяющих пускать в инет в данном листинге нет? Формирует правила я так понял nofire.pl, а ему говорит (пускать/непускать) noserver.pl. Я правильно всё понимаю? Правильно. ipfw table 10 list покажет тех, кого фаер пропустит в инет Ссылка на сообщение Поделиться на других сайтах
qso 44 Опубліковано: 2009-08-07 12:52:15 Автор Share Опубліковано: 2009-08-07 12:52:15 да. есть такой, а именно 192.168.5.4/32 1004 этому IP разрешён доступ, но он его не имеет. Что значит FW пропускает юзера!? И добавлю такую деталь, пинг проходит снаружи к юзеру, по trafshow вижу, что ч/з сервер запрос проходит, и по всей видимости юзер отвечает, но сервер уже не выпускает ответ. Ссылка на сообщение Поделиться на других сайтах
911 140 Опубліковано: 2009-08-07 16:31:21 Share Опубліковано: 2009-08-07 16:31:21 мм а нат запущен? Ссылка на сообщение Поделиться на других сайтах
qso 44 Опубліковано: 2009-08-07 16:42:27 Автор Share Опубліковано: 2009-08-07 16:42:27 нат я не ставил, потому как с внешней стороны у меня сеть класса С. Перед сервером стоит роутер, на который будут приходить несколько аплинков и там же будет агрегация трафика. В доке не нашёл того что если ната нет то это критично. Если не прав, поправьте. Просто не могу понять чем закручен pf к самомму серверу. Ссылка на сообщение Поделиться на других сайтах
qso 44 Опубліковано: 2009-08-07 16:47:38 Автор Share Опубліковано: 2009-08-07 16:47:38 Включил pf как в доке, реакции ноль, а как вообще проверить таблицу pf. У ipf кажеца знаю, а тут мне не знакомо... Ссылка на сообщение Поделиться на других сайтах
qso 44 Опубліковано: 2009-08-07 18:05:02 Автор Share Опубліковано: 2009-08-07 18:05:02 Проверил, НАТ работает. Но FW всё равно не пускает авторизовавшегося пользователя, т.е. это что-то со скриптами 100%. Я так понял в скрипте какие-то косяки, как на форуме было правильно подмечено, что у половины оно работает у половины нет. Проблема Ноудени я думаю в том, что в сети мало специалистов по ней и соответсвенно мало опытных людей кто с ней имел дело, по сравнению с другими системами. Вот реальная проблема, сделано как в доке, и не работает самая важная часть. И спросить не у кого. Касательно коммерческой версии, то походу могут такие же косяки вылазить. И вот думал, через пару мес. сделать всё официально, купить, докупить модули интересные. Но предполагаю что во время работы тоже могу баги вылазить. Жаль конечно, задумка отличная. Но лучше проверенные решения, тот же УТМ, а ещё лучше аблис, полно народа на нём сидят, и в форумах можно получить поддержку своевременно, потому как многие крутили сии системы. Ссылка на сообщение Поделиться на других сайтах
dead 93 Опубліковано: 2009-08-07 19:09:40 Share Опубліковано: 2009-08-07 19:09:40 Сказки про "мы хотели купить" оставь. Люди пытаются помочь балбесу поставить бесплатную версию, а он еще и наглеет. Ставь УТМ или Абилис, или оба сразу. Повыпендриваешься и потом успокоишься Ссылка на сообщение Поделиться на других сайтах
911 140 Опубліковано: 2009-08-07 20:07:41 Share Опубліковано: 2009-08-07 20:07:41 Сказки про "мы хотели купить" оставь. +100500 если бы хотел купить, давно бы обратился к разработчикам, заплатил денег, и они бы все нормально настроили Люди пытаются помочь балбесу поставить бесплатную версию, а он еще и наглеет. no comments Ставь УТМ или Абилис, или оба сразу. Повыпендриваешься и потом успокоишься И еще расскажи нам сказки, что ты купишь UTM А если руки кривые, то даже Трафик Инспектор не получится поставить Ссылка на сообщение Поделиться на других сайтах
qso 44 Опубліковано: 2009-08-07 20:17:10 Автор Share Опубліковано: 2009-08-07 20:17:10 Сказки про "мы хотели купить" оставь. Люди пытаются помочь балбесу поставить бесплатную версию, а он еще и наглеет. Ставь УТМ или Абилис, или оба сразу. Повыпендриваешься и потом успокоишься Что нужно было сделать, что бы обратили внимание... Пожаловаться... Эх, какой испорчен наш мир. Люди перестали друг другу доверять. Значит скоро ему гайки будут. Почему Вы считаете что я бы не купил, а типа под прикрытием тут сижу и «сказаки» рассуждаю. Зря вы так, лицензией оговорено, что свыше 300 надо приобретать коммерческую версию. Я Вас уверяю что я бы так и сделал бы, да же если представить, что до вас может дойти информация, что я нарушаю лицензионные условия, то вполне возможно могли быть неприятности. Но я не об этом. Лично я оценил функционалу по достоинству ваш продукт, он мне, можете верить или не верить действительно понравился, + к тому же даётся возможность обкатать систему до 300 пользователей бесплатно. И уже это даёт основание, с точки зрения обыкновенной совести, хотя в последнее время это слово воспринимается как ругательство, почему-то, что такой труд достоин вознаграждения, в т.ч. и финансовой, а не только на словах. Я ведь перед закачкой с вашего ресурса оставил все данные свои как есть, ни чего не скрывал. А вы почему-то думаете что я лжец нащёт использования продукта, и просто понты гоняю, что бы обратили на меня внимание. То, что кто-то там прикидывается что у него с кол-вом пользователей, "не выше нормы", а на самом деле всё не так, то, то его проблемы. Законов жизни ни кто не отменял, и до сих пор действует правило "что посеешь, то и пожнёшь...". А вы бы лучше не оскорбляли, а просто объяснили толково. А то получается, "ты балбес..." но я же чью доку то читал? Всё было сделано по ней, пока не доходил до агентов и до FW всё относительно нормально шло, но тут затык произошёл. Я понял что люди или не хотят посоветовать, либо сами возможно озадачиваются вопросом. Или вообще, типа «а, не стоит этому балбесу что-то говорить…» Ссылка на сообщение Поделиться на других сайтах
qso 44 Опубліковано: 2009-08-07 20:48:41 Автор Share Опубліковано: 2009-08-07 20:48:41 +100500если бы хотел купить, давно бы обратился к разработчикам, заплатил денег, и они бы все нормально настроили Вы прекрасно знаете что такие вещи стоят не дёшево, и не быстро делаются. Работая в одной дочерней структуре Нафтогаза, был у нас программерский отдел. Они писали процессинговый софт для собственных нужд, правда все под MS, и в конце концов у них это ни чего не вышло, и было для компании это очень долго (года 3) и дорого, затрачено было около 100 000 зелени. Вы хотите что бы я тоже так рискнул? Нет, спасибо, иммунитет от этого уже есть. Я буду тратить на текущие потребности разработчика, не говорю про вознаграждение по окончании работ и сдачу в эксплуатацию. А потом неизвестно, каким боком мне это вылезет. Кто на это даст гарантии, прально – ни кто! Мне разрекламировали Nodeny, вот я и решил попробовать. И уже говорил, повторю ещё раз, проблема то собственно в чём возникла, скрипты... Но смотрю, что по сравнению с динамикой соседних тем, то у меня как-то вяло тут всё получается. Т.е. я понял что проблема серьёзная. Видно что читают, но советом ни кто помочь не может. no comments Вы и в правду считаете себя "выше" другого... Я много людей встречал в своей жизни, когда очень больно падали вниз. И еще расскажи нам сказки, что ты купишь UTM А если руки кривые, то даже Трафик Инспектор не получится поставить Если бы руки кривые были, как вы говорите, то и системы бы не поставил, и не имел бы 15-летнего опыта работы, вообще. И я уже говорил, чем отличается тот УТМ от этой системы. Потому выбор пал на NoDeny, не хотелось бы после этой перепалки поставить крест на этом. Я ведь всего лишь только помощи просил, а не унижений. Согласитесь, что вы в своё время тоже балбесом были, правда. Почему вы считаете что человек уже со знаниями рождается, что ему учится не надо. PS. Всё ни хочу продолжать эту грызню, потому как не приятно всё это. Возможно и я палку перегнул со своей жалобой, потому как под конец дня нервы сдали. Прошу по существу или закрываем весь этот гнилой базар. А то придёт модератор и надаёт нам всем... по мягкому месту за офтоп. Ссылка на сообщение Поделиться на других сайтах
Cell 7 Опубліковано: 2009-10-11 09:13:08 Share Опубліковано: 2009-10-11 09:13:08 На сайте Nodeny открыт и довольно живенько себя чувствует форум. Наверное поддержку следует искать там. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас