авторизатор и конфугуратор подключаются а инета не

[pozniak 0]

подскажите пожалуйста что делать когда у меня возникла вот такая вот проблема:

 

авторизатор и конфигуратор подключаются к серверу показуют трафик который я пингами наколекцыонировал а инета то нет

тоесть инет есть но только на самом сервере и больше ниукого

 

линуксы я устанавливал разные и везде одно и тоже

 

пробовал пользоватся iptables и ipchains(соответствено изменяя конфиги и скрипты (eth0-lan,eth1-inet - как и в примере)) результат одинаковый все конфиги брались и копировались с сайта старгайзера только изменялись ip и убералась та часть которая касается учета пингов и видеосервера

 

также с этой конференцыи я копировал очень много вариантов файлов OnConnect но это не помогало потому что в stargazer.log записуется вся информацыя(login , ip ,время подключения, остаток денег)

 

еще два глупых вопроса (так как с линуксом я знаком чуть больше недели) :

1)iptables это и есть сам фаервол или токо прога которая им управляет

2)что именно делает NAT

[egor2fsys 5]

для тогочто бы все заработало, тебе НЕОБХОДИМО изучить iptables , иначе ничего у тебя не выйдет

 

1) да это и есть сам фаервол

2) NAT от. англ. network adress translation просто маскирует адреса клиентов, которые сидят за сервером, а птом когда пакет возвращается от другого сервера, подставляет адрес клиента, отпрвившегося этот пакет, и передает ему этот полученный пакет.

[pozniak 0]

а может быть такое что у меня nat просто не работает

как это можно проверить

а с iptables я ознакомился уже очень хорошо

проверял все правила и пришел к выводу что все должно идеально работать

[egor2fsys 5]

скажи сетевые параметры сервера и покажи вывод iptables -t nat -L

тогда можно будет что нить сказать

[Slava 1]

А проверь форвардинг включен?

для этого в файле /etc/sysctrl.conf

нужно чтоб было написано так

net.ipv4.ip_forward = 1

[pozniak 0]

в / etc/sysctrl.comnf:

net.ipv4.ip_forward = 1

 

iptables -t nat -L

 

Chain PREROUTING (policy ACCEPT)

target prot opt source destination

 

Chain POSTROUTING (policy ACCEPT)

target prot opt source destination

MASQUERADE all -- anywhere anywhere

 

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

 

 

 

iptables -L

 

Chain INPUT (policy DROP)

target prot opt source destination

ACCEPT icmp -- anywhere anywhere

ACCEPT all -- anywhere localhost.localdomain

ACCEPT all -- anywhere anywhere

ACCEPT tcp -- anywhere anywhere tcp spt:domain

ACCEPT udp -- anywhere anywhere udp spt:domain

ACCEPT tcp -- 192.168.1.2 192.168.1.1 tcp dpt:ssh

ACCEPT tcp -- 192.168.1.0/24 192.168.1.1 tcp dpt:krb524

ACCEPT udp -- 192.168.1.0/24 192.168.1.1 udp spt:4443 dpt:krb524

ACCEPT all -- 192.168.1.2 anywhere

 

Chain FORWARD (policy DROP)

target prot opt source destination

ACCEPT icmp -- anywhere anywhere

ACCEPT tcp -- anywhere anywhere tcp spt:domain

ACCEPT tcp -- anywhere anywhere tcp dpt:domain

ACCEPT udp -- anywhere anywhere udp spt:domain

ACCEPT udp -- anywhere anywhere udp dpt:domain

ACCEPT all -- 192.168.1.2 anywhere

ACCEPT all -- anywhere 192.168.1.2

 

Chain OUTPUT (policy DROP)

target prot opt source destination

ACCEPT icmp -- anywhere anywhere

ACCEPT all -- localhost.localdomain anywhere

ACCEPT all -- anywhere anywhere

ACCEPT tcp -- anywhere anywhere tcp dpt:domain

ACCEPT udp -- anywhere anywhere udp dpt:domain

ACCEPT tcp -- 192.168.1.1 192.168.1.2 tcp spt:ssh

ACCEPT tcp -- 192.168.1.1 192.168.1.0/24 tcp spt:krb524

ACCEPT udp -- 192.168.1.1 192.168.1.0/24 udp dpt:krb524

ACCEPT all -- anywhere 192.168.1.2

 

 

подскажите чево здесь не так???

[Den_LocalNet 1,474]

а онКоннект, онДисконнект?

[pozniak 0]

онконнект и ондисконнект точно рабочие

я перепробовал очень много вариантов пока

кароче скрипты запускаются нормально создают логи где пишут ай-пи время подключения и дисконнекта остаток на щету и имя польователя

 

если интересует товот они:

OnConnect

 

#!/bin/bash

 

ip=$2

 

iptables -t filter -A INPUT -s $ip -j ACCEPT

iptables -t filter -A FORWARD -s $ip -j ACCEPT

iptables -t filter -A FORWARD -d $ip -j ACCEPT

iptables -t filter -A OUTPUT -d $ip -j ACCEPT

 

 

OnDisconnect

 

#!/bin/bash

 

ip=$2

 

iptables -t filter -D INPUT -s $ip -j ACCEPT

while [ $? -eq 0 ]

do

iptables -t filter -D INPUT -s $ip -j ACCEPT

done

 

##################################

 

iptables -t filter -D FORWARD -s $ip -j ACCEPT

while [ $? -eq 0 ]

do

iptables -t filter -D FORWARD -s $ip -j ACCEPT

done

 

##################################

 

iptables -t filter -D FORWARD -d $ip -j ACCEPT

while [ $? -eq 0 ]

do

iptables -t filter -D FORWARD -d $ip -j ACCEPT

done

 

##################################

 

iptables -t filter -D OUTPUT -d $ip -j ACCEPT

while [ $? -eq 0 ]

do

iptables -t filter -D OUTPUT -d $ip -j ACCEPT

done

[Parol 0]

Знакомая до боли проблема !!!

1) Проверь прописан ли у тебя шлюз (на клиенской машине он длджен = IP_server)

2) прописан ли у тя хоть один DNS

3) ВКЛЮЧЕНА ЛИ У ТЯ DNS НА СЕРВАКЕ

4) ПРОПИШИ НА КЛИЕНТЕ днс ТАКОЙЖЕ КАК НА ВНЕШНЕЙ КАРТЕ (И ПОПРОБУЙ)

5) ЕСЛИ НЕ ПРОКОНАЕТ УТОЧНИ КАК ТЫ ПОЛУЧАЕШ ЭТИ САМЫЕ ДНС ДЛЯ СЕРВЕРА

6) ЖЕЛАТЕЛЬНО ПРОПИСЫВАТЬ ОБА ДНС

7) ДАЖЕ ЕСЛИ СЕРВАК РАБОТАЕТ КАК ДНС СЕРВЕР ПОКОВЫРЯЙСЯ В НАСТРОЙКАХ ЗОНЫ ГДЕ ЭТИ САМЫЕ ДНС ОН ДОЛЖЕН ИСКАТЬ

[Den_LocalNet 1,474]

визуально вроде всё ок..... кинь не вывод файрвола а сам rc.conf

 

как ты проверяеш наличие инета?

пинги со флюза ходят в обе стороны? (в локалку и в инет)

с клиента пинги куда ходят?

как днс работает? (свой, провайдера) что в resolv.conf ?

[pozniak 0]

спасибо Den_LocalNet за подсказку с resolv.conf

и Parol за подсказку с прописанием обеих днс у клиентов

теперь инет появился но ст ничего почти не считает:

после скачивания 3-4 метров он показывает 20-10-кб и все

 

 

подскажите пжалуйста что с такой фигней делать?

 

 

и кстати у клиента на компе шлюз какой сетевой прописывать

той что смртрит в инет или на локалку?

а то они обаработают а какой из них должен стоять я не знаю

[egor2fsys 5]

шлюз прописывай тот что в локалке

допустим внутренний адрес сервера 192.168.0.1 вот его пиши клиентам в качестве шлюза

 

а по поводу подсчета, ты в настройках юзеров точно ставишь тот фейс, на котором они сидят ? внутренний фейс сервера это должен быть ! и ничто другое.

 

ну и еще ковыряй рулсы ...... мало ли что ты туда написал

[pozniak 0]

да я сам туда как раз ничо и не писал я просто скопировал с примера

и все

[Slava 1]

В rules пропиши, если у тебя подсеть192,168,0,0 то в рулесах пишеш

 

ALL 192.168.0.0/24 DIR0 это твоя локалка

ALL 0.0.0.0/0 DIR1 это инет

 

если стоит прокси на сервере то добавь еще строчку, если адрес сервера 192,168,1,1 то

TCP 192.168.1.1:3128 DIR1

ИЛИ

TCP 192.168.1.1:8080 DIR1

это зависит от того на каком потру у тебя прокси

[pozniak 0]

я в рулсах написал просто одну строку:

алл 0.0.0.0/0 дир0

ивсе заработало

а когдa пишу тaм чегото еще то старгайзер перестает считать трафик

 

большое спасибо всем кто помог мне разабраться в этом сложном деле

[egor2fsys 5]

ну и неправильно ты написал ....

 

так будет считаться весь трафик, в том числе и от авторизатора к серверу ..... юзеру буду волноваться

 

а попробуй сделать так чтобы этот трафик не считал ....

 

почитай более внимательно описаие файла рулсов

[pozniak 0]

а если я напишу так

ALL 0.0.0.0/0 DIR0

ICMP 0.0.0.0/0 NULL

ALL 192.168.1.1:4444 NULL

ALL 192.168.1.1:4443 NULL

то у меня трафик конфигуратора и авторизатора вместе спингами считать то не будет

а вот будет ли правильно щитать инет я не знаю

 

192.168.1.1-eth0 - смотрит в сеть