vitiv 1 Опубліковано: 2010-01-12 11:22:25 Автор Share Опубліковано: 2010-01-12 11:22:25 Попробуйте заменить #Маскарад iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE на #Маскарад iptables -t nat -A POSTROUTING -p all -s $net_cli -o $iface_world -j MASQUERADE iptables -t nat -A POSTROUTING -p all -d $net_cli -o $iface_world -j MASQUERADE И покажите состояние фаервола после этого /sbin/iptables -t nat -nL /sbin/iptables -nL Заменил на предложенный -вывод [root@localhost vitiv]# /sbin/iptables -nL Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 127.0.0.1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53 ACCEPT tcp -- 192.168.1.0/24 192.168.1.5 tcp dpt:5555 ACCEPT udp -- 192.168.1.0/24 192.168.1.5 udp spt:5555 dpt:5555 ACCEPT tcp -- 192.168.1.0/24 192.168.1.5 tcp dpt:80 Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:53 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 127.0.0.1 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 ACCEPT tcp -- 192.168.1.5 192.168.1.0/24 tcp spt:5555 ACCEPT udp -- 192.168.1.5 192.168.1.0/24 udp dpt:5555 ACCEPT tcp -- 192.168.1.5 192.168.1.0/24 tcp spt:80 [root@localhost vitiv]# /sbin/iptables -t nat -nL Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 192.168.1.0/24 0.0.0.0/0 MASQUERADE all -- 0.0.0.0/0 192.168.1.0/24 Chain OUTPUT (policy ACCEPT) target prot opt source destination fw #!/bin/sh # #Машина в офисе #///=Вписать #Машина администратора #admin=192.168.1.30 #Адреса роутера server0=192.168.1.5 #server1=139.0.0.5 # Интерфейс смотрящий на клиентов iface_cli=eth1 # Интерфейс смотрящий во внешний мир iface_world=eth0 # Подсеть клиентов net_cli=192.168.1.0/24 #IP=192.168.1.30 #Порты, на которых работает конфигуратор и авторизатор conf_port=5555 user_port1=5555 user_port2=5555 # Разрешаем форвардинг пакетов между интерфейсами # Эта штука необязательна, просто в некоторых дистрибутивах # по умолчанию форвардинг разрешен, а в некоторых - запрещен # Если мы подстрахуемся, хуже не бкдет echo "1" > /proc/sys/net/ipv4/ip_forward # Очищаем правила файрвола /sbin/iptables -t filter -F /sbin/iptables -t filter -X /sbin/iptables -t nat -F /sbin/iptables -t nat -X # Политика по умолчанию DROP: всем всё запрещено #/sbin/iptables -t filter -P INPUT DROP #/sbin/iptables -t filter -P FORWARD DROP #/sbin/iptables -t filter -P OUTPUT DROP # Разрешаем пингам ходить всюду и всегда /sbin/iptables -t filter -A INPUT -p icmp -j ACCEPT /sbin/iptables -t filter -A FORWARD -p icmp -j ACCEPT /sbin/iptables -t filter -A OUTPUT -p icmp -j ACCEPT # Разрешаем всё на локальном интерфейсе /sbin/iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT /sbin/iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT # Разрешить серверу общаться со внешним миром /sbin/iptables -t filter -A INPUT -i $iface_world -j ACCEPT /sbin/iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT # DNS. Замечу, ДНС работает и по TCP и по UDP /sbin/iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT /sbin/iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT /sbin/iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT /sbin/iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT /sbin/iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT /sbin/iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT /sbin/iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT /sbin/iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT # Разрешаем админу и машине в офисе доступ по SSH #iptables -t filter -A INPUT -p tcp -s $office -d $server0 --dport 22 -j ACCEPT #iptables -t filter -A OUTPUT -p tcp -d $office -s $server0 --sport 22 -j ACCEPT #iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT #iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT #Разрешаем все админу и офису #Раскоментируйте то что надо #Админу #iptables -t filter -A INPUT -s $admin -j ACCEPT #iptables -t filter -A FORWARD -s $admin -j ACCEPT #iptables -t filter -A FORWARD -d $admin -j ACCEPT #iptables -t filter -A OUTPUT -d $admin -j ACCEPT #Офису #iptables -t filter -A INPUT -s $office -j ACCEPT #iptables -t filter -A FORWARD -s $office -j ACCEPT #iptables -t filter -A FORWARD -d $office -j ACCEPT #iptables -t filter -A OUTPUT -d $office -j ACCEPT #Users #/sbin/iptables -t filter -A INPUT -s $IP -j ACCEPT #/sbin/iptables -t filter -A FORWARD -s $IP -j ACCEPT #/sbin/iptables -t filter -A FORWARD -d $IP -j ACCEPT #/sbin/iptables -t filter -A OUTPUT -d $IP -j ACCEPT # Stargazer configurator /sbin/iptables -t filter -A INPUT -p tcp -s $net_cli -d $server0 --dport $conf_port -j ACCEPT /sbin/iptables -t filter -A OUTPUT -p tcp -d $net_cli -s $server0 --sport $conf_port -j ACCEPT # UDP stargazer InetAccess /sbin/iptables -t filter -A INPUT -p udp -s $net_cli --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT /sbin/iptables -t filter -A OUTPUT -p udp -d $net_cli --dport $user_port1 -s $server0 -j ACCEPT #В моем примере еще используется прозрачный прокси сервер squid если он не нужен закоментируйте эти 2 строки #Разрешаем всем локальный HTTP сервер /sbin/iptables -t filter -A INPUT -p tcp -s $net_cli -d $server0 --dport 80 -j ACCEPT /sbin/iptables -t filter -A OUTPUT -p tcp -d $net_cli -s $server0 --sport 80 -j ACCEPT #Маскарад #/sbin/iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE /sbin/iptables -t nat -A POSTROUTING -p all -s $net_cli -o $iface_world -j MASQUERADE /sbin/iptables -t nat -A POSTROUTING -p all -d $net_cli -o $iface_world -j MASQUERADE #Тоже относится к прокси серверу. Если не надо то закоментируйте. Если прокси использует другой порт то измените 3128 на него. #iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! $server0 --dport 80 -j REDIRECT --to-port 3128 Ссылка на сообщение Поделиться на других сайтах
niidil 0 Опубліковано: 2010-01-12 11:59:19 Share Опубліковано: 2010-01-12 11:59:19 Заменил на предложенный -вывод И всё равно не работает? Ссылка на сообщение Поделиться на других сайтах
niidil 0 Опубліковано: 2010-01-12 12:19:57 Share Опубліковано: 2010-01-12 12:19:57 Давайте поступим как предложил Serjio и напишем правила заново Начнём с самого простого примера fw #!/bin/bash # IP forwarding echo 1 > /proc/sys/net/ipv4/ip_forward # Интерфейс смотрящий во внешний мир iface_world=eth1 # Подсеть клиентов net_cli=192.168.1.0/24 # Очищаем правила файрвола /sbin/iptables -t filter -F /sbin/iptables -t filter -X /sbin/iptables -t nat -F /sbin/iptables -t nat -X # Политика для FORWARD по умолчанию DROP: всем всё запрещено /sbin/iptables -t filter -P FORWARD DROP # NAT /sbin/iptables -t nat -A POSTROUTING -p all -s $net_cli -o $iface_world -j MASQUERADE /sbin/iptables -t nat -A POSTROUTING -p all -d $net_cli -o $iface_world -j MASQUERADE OnConnect #!/bin/bash # Login LOGIN=$1 # User IP IP=$2 # Cash CASH=$3 # User ID ID=$4 # Add iptables rules /sbin/iptables -t filter -A FORWARD -s $IP -j ACCEPT /sbin/iptables -t filter -A FORWARD -d $IP -j ACCEPT OnDisconnect #!/bin/bash # Login LOGIN=$1 # User IP IP=$2 # Cash CASH=$3 # User ID ID=$4 # Delete iptables rules /sbin/iptables -t filter -D FORWARD -p all -s $IP -j ACCEPT while [ $? -eq 0 ] do /sbin/iptables -t filter -D FORWARD -p all -s $IP -j ACCEPT done /sbin/iptables -t filter -D FORWARD -p all -d $IP -j ACCEPT while [ $? -eq 0 ] do /sbin/iptables -t filter -D FORWARD -p all -d $IP -j ACCEPT done Теперь запустите InetAccess на машине 192.168.1.35 Если инета всё равно нет, покажите /sbin/iptables -t nat -nL /sbin/iptables -nL Ссылка на сообщение Поделиться на других сайтах
vitiv 1 Опубліковано: 2010-01-12 13:04:45 Автор Share Опубліковано: 2010-01-12 13:04:45 небольшое уточнение не # Интерфейс смотрящий во внешний мир iface_world=eth1 у меня # Интерфейс смотрящий во внешний мир iface_world=eth0 p/s хочется заметить то, что инет так же не проходит если использовать стандартный вариант роутера на Linux типа #!/bin/sh INET="eth1" INETIP="X.X.X.X" iptables -F INPUT iptables -F FORWARD iptables -F OUTPUT iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -A POSTROUTING -o $INET -j SNAT --to-source $INETIP echo "1" > /proc/sys/net/ipv4/ip_forward я в тупике...люди предлагают простейшие варианты - работать не хочет... сделай себе исполняемый файл как у меня и все заработает #!/bin/sh echo 1 > /proc/sys/net/ipv4/ip_forward #NAT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE #RemoteDesktop iptables -t nat -A PREROUTING -p tcp --dst ВНЕШНИЙ_IP --dport 3389 -j DNAT --to-destination IP_WINDOWS_МАШИНЫ Ссылка на сообщение Поделиться на других сайтах
vitiv 1 Опубліковано: 2010-01-12 13:24:45 Автор Share Опубліковано: 2010-01-12 13:24:45 Давайте поступим как предложил Serjio и напишем правила заново Начнём с самого простого примера пользователь 192.168.1.35 авторизирован - Подключен, в админке -Online вывод проверки [root@localhost vitiv]# /sbin/iptables -nL Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination [root@localhost stargazer]# /sbin/iptables -t nat -nL Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 192.168.1.0/24 0.0.0.0/0 MASQUERADE all -- 0.0.0.0/0 192.168.1.0/24 Chain OUTPUT (policy ACCEPT) target prot opt source destination инет не получает Ссылка на сообщение Поделиться на других сайтах
madf 279 Опубліковано: 2010-01-12 13:34:41 Share Опубліковано: 2010-01-12 13:34:41 [root@localhost vitiv]# /sbin/iptables -nL Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination [root@localhost vitiv]# /sbin/iptables -f nat -nL Bad argument `nat' Try `iptables -h' or 'iptables --help' for more information. -t nat Ссылка на сообщение Поделиться на других сайтах
madf 279 Опубліковано: 2010-01-12 13:40:47 Share Опубліковано: 2010-01-12 13:40:47 #!/bin/sh echo 1 > /proc/sys/net/ipv4/ip_forwarding /sbin/iptables -P INPUT ACCEPT /sbin/iptables -P FORWARD ACCEPT /sbin/iptables -P OUTPUT ACCEPT /sbin/iptables -t nat -P PREROUTING ACCEPT /sbin/iptables -t nat -P POSTROUTING ACCEPT /sbin/iptables -t nat -P OUTPUT ACCEPT /sbin/iptables -F /sbin/iptables -t nat -F /sbin/iptables -t mangle -F /sbin/iptables -X /sbin/iptables -t nat -X /sbin/iptables -t mangle -X /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE Если после этого прописать на другой машине адрес сервера как default route и прописать там DNS инет должне работать. Ссылка на сообщение Поделиться на других сайтах
vitiv 1 Опубліковано: 2010-01-12 13:52:04 Автор Share Опубліковано: 2010-01-12 13:52:04 -t nat да да это исправил...сорри Ссылка на сообщение Поделиться на других сайтах
niidil 0 Опубліковано: 2010-01-12 14:02:13 Share Опубліковано: 2010-01-12 14:02:13 Если после этого прописать на другой машине адрес сервера как default route и прописать там DNS инет должне работать. Кстати очень важное замечание, мы тут грешим на настройки сервера, а может просто на локальной машине не правильно настроено!? to vitiv: Покажите вывод ipconfig /all на локальной машине Ссылка на сообщение Поделиться на других сайтах
vitiv 1 Опубліковано: 2010-01-12 14:04:57 Автор Share Опубліковано: 2010-01-12 14:04:57 #!/bin/sh echo 1 > /proc/sys/net/ipv4/ip_forwarding /sbin/iptables -P INPUT ACCEPT /sbin/iptables -P FORWARD ACCEPT /sbin/iptables -P OUTPUT ACCEPT /sbin/iptables -t nat -P PREROUTING ACCEPT /sbin/iptables -t nat -P POSTROUTING ACCEPT /sbin/iptables -t nat -P OUTPUT ACCEPT /sbin/iptables -F /sbin/iptables -t nat -F /sbin/iptables -t mangle -F /sbin/iptables -X /sbin/iptables -t nat -X /sbin/iptables -t mangle -X /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE Если после этого прописать на другой машине адрес сервера как default route и прописать там DNS инет должне работать. # у меня echo 1 > /proc/sys/net/ipv4/ip_forward На клиентской машине ip 192.168.1.35 mask 255.255.255.0 gw 192.168.1.5 DNS 192.168.1.5 правила прописал ---вывод команд [root@localhost stargazer]# /sbin/iptables -nL Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination [root@localhost stargazer]# /sbin/iptables -t nat -nL Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 192.168.1.0/24 0.0.0.0/0 Chain OUTPUT (policy ACCEPT) target prot opt source destination Клиентская машина инет не получает ... парадокс, схожу с ума... Ссылка на сообщение Поделиться на других сайтах
vitiv 1 Опубліковано: 2010-01-12 14:09:23 Автор Share Опубліковано: 2010-01-12 14:09:23 Если после этого прописать на другой машине адрес сервера как default route и прописать там DNS инет должне работать. Кстати очень важное замечание, мы тут грешим на настройки сервера, а может просто на локальной машине не правильно настроено!? to vitiv: Покажите вывод ipconfig /all на локальной машине Замечание логичное, на клиентской машине всё Ок C:\>ipconfig/all Настройка протокола IP для Windows Имя компьютера . . . . . . . . . : video Основной DNS-суффикс . . . . . . : Тип узла. . . . . . . . . . . . . : широковещательный IP-маршрутизация включена . . . . : да WINS-прокси включен . . . . . . . : да Подключение по локальной сети 2 - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : NVIDIA nForce 10/100/1000 Mbps Ether net #2 Физический адрес. . . . . . . . . : 00-24-8C-BC-BC-C8 Dhcp включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 192.168.1.35 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : 192.168.1.5 DNS-серверы . . . . . . . . . . . : 192.168.1.5 Ссылка на сообщение Поделиться на других сайтах
niidil 0 Опубліковано: 2010-01-12 14:29:07 Share Опубліковано: 2010-01-12 14:29:07 Замечание логичное, на клиентской машине всё Ок C:\>ipconfig/all Настройка протокола IP для Windows Имя компьютера . . . . . . . . . : video Основной DNS-суффикс . . . . . . : Тип узла. . . . . . . . . . . . . : широковещательный IP-маршрутизация включена . . . . : да WINS-прокси включен . . . . . . . : да Подключение по локальной сети 2 - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : NVIDIA nForce 10/100/1000 Mbps Ether net #2 Физический адрес. . . . . . . . . : 00-24-8C-BC-BC-C8 Dhcp включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 192.168.1.35 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : 192.168.1.5 DNS-серверы . . . . . . . . . . . : 192.168.1.5 На 192.168.1.5 DNS правильно настроен? Выполните на локальной машине nslookup ya.ru и ping 77.88.21.8 Ссылка на сообщение Поделиться на других сайтах
madf 279 Опубліковано: 2010-01-12 14:32:31 Share Опубліковано: 2010-01-12 14:32:31 DNS 192.168.1.5? А уже настроен? А инет как проверяется? Пингами по IP или по доменам? Может DNS не работает а не инет. Ссылка на сообщение Поделиться на других сайтах
vitiv 1 Опубліковано: 2010-01-12 15:01:03 Автор Share Опубліковано: 2010-01-12 15:01:03 Замечание логичное, на клиентской машине всё Ок C:\>ipconfig/all Настройка протокола IP для Windows Имя компьютера . . . . . . . . . : video Основной DNS-суффикс . . . . . . : Тип узла. . . . . . . . . . . . . : широковещательный IP-маршрутизация включена . . . . : да WINS-прокси включен . . . . . . . : да Подключение по локальной сети 2 - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : NVIDIA nForce 10/100/1000 Mbps Ether net #2 Физический адрес. . . . . . . . . : 00-24-8C-BC-BC-C8 Dhcp включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 192.168.1.35 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : 192.168.1.5 DNS-серверы . . . . . . . . . . . : 192.168.1.5 На 192.168.1.5 DNS правильно настроен? Выполните на локальной машине nslookup ya.ru и ping 77.88.21.8 С клиентской машиной всё ОК, Вот с IP сервера 192.168.1.5 который должен отдавать... причём как с включенным аторизатором, так и без него... C:\Documents and Settings\vitiv>nslookup ya.ru *** Can't find server name for address 192.168.1.5: No re *** Default servers are not available Server: UnKnown Address: 192.168.1.5 *** UnKnown can't find ya.ru: No response from server C:\Documents and Settings\vitiv>ping 77.88.21.8 Обмен пакетами с 77.88.21.8 по 32 байт: Ответ от 77.88.21.8: число байт=32 время=49мс TTL=53 Ответ от 77.88.21.8: число байт=32 время=49мс TTL=53 Ответ от 77.88.21.8: число байт=32 время=50мс TTL=53 Ответ от 77.88.21.8: число байт=32 время=49мс TTL=53 Статистика Ping для 77.88.21.8: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь), Приблизительное время приема-передачи в мс: Минимальное = 49мсек, Максимальное = 50 мсек, Среднее = 49 мсек не проходит DNS... Ссылка на сообщение Поделиться на других сайтах
vitiv 1 Опубліковано: 2010-01-12 15:07:19 Автор Share Опубліковано: 2010-01-12 15:07:19 На 192.168.1.5 DNS правильно настроен? что имеется ввиду, мне не нужно раздавать имена, а как бы сам шлюз и должен быть default DNS Ссылка на сообщение Поделиться на других сайтах
vitiv 1 Опубліковано: 2010-01-12 15:15:18 Автор Share Опубліковано: 2010-01-12 15:15:18 DNS 192.168.1.5? А уже настроен? А инет как проверяется? Пингами по IP или по доменам? Может DNS не работает а не инет. на клиентской машине всё прописано сервер не пропускает DNS видимо необходимо дополнить правила... почему тогда всё это происходит как при вкл. так и при выкл. авторизаторе, где stargazer в это время? p/s форум напичкали скриптами ужОссс, тормозааа Ссылка на сообщение Поделиться на других сайтах
niidil 0 Опубліковано: 2010-01-12 15:17:48 Share Опубліковано: 2010-01-12 15:17:48 С клиентской машиной всё ОК, Вот с IP сервера 192.168.1.5 который должен отдавать... причём как с включенным аторизатором, так и без него... C:\Documents and Settings\vitiv>nslookup ya.ru *** Can't find server name for address 192.168.1.5: No re *** Default servers are not available Server: UnKnown Address: 192.168.1.5 *** UnKnown can't find ya.ru: No response from server C:\Documents and Settings\vitiv>ping 77.88.21.8 Обмен пакетами с 77.88.21.8 по 32 байт: Ответ от 77.88.21.8: число байт=32 время=49мс TTL=53 Ответ от 77.88.21.8: число байт=32 время=49мс TTL=53 Ответ от 77.88.21.8: число байт=32 время=50мс TTL=53 Ответ от 77.88.21.8: число байт=32 время=49мс TTL=53 Статистика Ping для 77.88.21.8: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь), Приблизительное время приема-передачи в мс: Минимальное = 49мсек, Максимальное = 50 мсек, Среднее = 49 мсек не проходит DNS... У Вас DNS на сервере не настроен. Тут 2 варианта: 1. либо настроить DNS(тут я Вам ничем не помогу, ибо сам не умею) 2. прописать на локальной машине DNS провайдера Ссылка на сообщение Поделиться на других сайтах
madf 279 Опубліковано: 2010-01-12 15:19:22 Share Опубліковано: 2010-01-12 15:19:22 DNS 192.168.1.5? А уже настроен? А инет как проверяется? Пингами по IP или по доменам? Может DNS не работает а не инет. на клиентской машине всё прописано сервер не пропускает DNS видимо необходимо дополнить правила... почему тогда всё это происходит как при вкл. так и при выкл. авторизаторе, где stargazer в это время? p/s форум напичкали скриптами ужОссс, тормозааа Нужно либо настроить DNS на сервере со старгейзером (что достаточно нетривиальная задача), либо (что намного проще) прописать у клиента внешний DNS провайдера. Так что инет скорее всего уже давно работает, просто неправильно указан DNS. Ссылка на сообщение Поделиться на других сайтах
vitiv 1 Опубліковано: 2010-01-12 15:30:20 Автор Share Опубліковано: 2010-01-12 15:30:20 DNS 192.168.1.5? А уже настроен? А инет как проверяется? Пингами по IP или по доменам? Может DNS не работает а не инет. на клиентской машине всё прописано сервер не пропускает DNS видимо необходимо дополнить правила... почему тогда всё это происходит как при вкл. так и при выкл. авторизаторе, где stargazer в это время? p/s форум напичкали скриптами ужОссс, тормозааа Нужно либо настроить DNS на сервере со старгейзером (что достаточно нетривиальная задача) ничего ничего,с этим разберусь либо (что намного проще) прописать у клиента внешний DNS провайдера. на первое время всё одно DNS моего роутера Так что инет скорее всего уже давно работает, просто неправильно указан DNS. Да, но где же авторизация и прочие излишества? Как же stargazer? Ссылка на сообщение Поделиться на других сайтах
madf 279 Опубліковано: 2010-01-12 17:15:38 Share Опубліковано: 2010-01-12 17:15:38 Ну если инет работает сейчас, с вышеприведенным скриптом, то берем первоначальный скрипт и доводим систему до работоспособности со Stargazer Ссылка на сообщение Поделиться на других сайтах
vitiv 1 Опубліковано: 2010-01-12 17:37:33 Автор Share Опубліковано: 2010-01-12 17:37:33 Ну если инет работает сейчас, с вышеприведенным скриптом, то берем первоначальный скрипт и доводим систему до работоспособности со Stargazer дело в том, что эта схема с DNS-провайдера была опробована с разными вариациями скриптов, т.е. устанавливая следующий скрипт прописывалось на клиентской машине и DNS сервера и DNS провайдера... спасибо, буду далее работать... Ссылка на сообщение Поделиться на других сайтах
vitiv 1 Опубліковано: 2010-01-12 19:30:59 Автор Share Опубліковано: 2010-01-12 19:30:59 Продолжаем...Ваш скрипт работает без авторизатора и с авторизатором #echo 1 > /proc/sys/net/ipv4/ip_forward /sbin/iptables -P INPUT ACCEPT /sbin/iptables -P FORWARD ACCEPT /sbin/iptables -P OUTPUT ACCEPT /sbin/iptables -t nat -P PREROUTING ACCEPT /sbin/iptables -t nat -P POSTROUTING ACCEPT /sbin/iptables -t nat -P OUTPUT ACCEPT /sbin/iptables -F /sbin/iptables -t nat -F /sbin/iptables -t mangle -F /sbin/iptables -X /sbin/iptables -t nat -X /sbin/iptables -t mangle -X /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE но не о нём, на сколько я понял прямая зависимость - это запуск OnConnect #!/bin/bash # Login LOGIN=$1 # User IP IP=$2 # Cash CASH=$3 # User ID ID=$4 # Add iptables rules /sbin/iptables -t filter -A FORWARD -s $IP -j ACCEPT /sbin/iptables -t filter -A FORWARD -d $IP -j ACCEPT так вот после сброса iptables restart данная обнуляется и принудительный запуск OnConnect в отдельности после fw даёт вот такой результат: [root@localhost vitiv]# /etc/stargazer/OnConnect Bad argument `ACCEPT' Try `iptables -h' or 'iptables --help' for more information. Bad argument `ACCEPT' Try `iptables -h' or 'iptables --help' for more information. такое уже было в ранне описанных вариантах проверки, создаётся впечатление, что именно этот скрипт не прорабатывается с самым простым-доступным для понимания правилом... подключение пользователя и разрешение по IP, второй момент, почему если достаточно конкретные правила fw в сброшенном состоянии позволяют коннетится Stargazer configurator и UDP stargazer InetAccess... как бы сборка не была голимой, информации по данной ноль Ссылка на сообщение Поделиться на других сайтах
Serjio 19 Опубліковано: 2010-01-12 21:13:47 Share Опубліковано: 2010-01-12 21:13:47 /etc/stargazer/OnConnect Должен запускаться с параметрами, например для пользователя с ip 192.168.1.10, будет выглядеть так: serjio@zzoo:~# /etc/stargazer/OnConnect a 192.168.1.10 Ссылка на сообщение Поделиться на других сайтах
vitiv 1 Опубліковано: 2010-01-13 06:51:51 Автор Share Опубліковано: 2010-01-13 06:51:51 /etc/stargazer/OnConnect Должен запускаться с параметрами, например для пользователя с ip 192.168.1.10, будет выглядеть так: serjio@zzoo:~# /etc/stargazer/OnConnect a 192.168.1.10 Да, так запускается - вручную интет подключается и отключается для 192.168.1.35 т.е. без участия авторизатора Теперь по порядку, что удалось выяснить... Буду постепенно выкладывать введённые правила и сразу проверку.... Все запуски вручную, без участия программы... /etc/stargazer/fw #!/bin/bash # Интерфейс смотрящий во внешний мир iface_world=eth0 # Подсеть клиентов net_cli=192.168.1.0/24 # IP forwarding echo 1 > /proc/sys/net/ipv4/ip_forward # Очищаем правила файрвола /sbin/iptables -t filter -F /sbin/iptables -t filter -X /sbin/iptables -t nat -F /sbin/iptables -t nat -X # Политика для FORWARD по умолчанию DROP: всем всё запрещено /sbin/iptables -t filter -P FORWARD DROP # Разрешаем всё на локальном интерфейсе /sbin/iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT /sbin/iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT # NAT /sbin/iptables -t nat -A POSTROUTING -p all -s $net_cli -o $iface_world -j MASQUERADE /sbin/iptables -t nat -A POSTROUTING -p all -d $net_cli -o $iface_world -j MASQUERADE [root@localhost vitiv]# /sbin/iptables -nL Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 127.0.0.1 Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 127.0.0.1 0.0.0.0/0 [root@localhost vitiv]# /sbin/iptables -t nat -nL Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 192.168.1.0/24 0.0.0.0/0 MASQUERADE all -- 0.0.0.0/0 192.168.1.0/24 /etc/stargazer/OnConnect a 192.168.1.35 #!/bin/bash # Login LOGIN=$1 # User IP IP=$2 # Cash CASH=$3 # User ID ID=$4 # Add iptables rules /sbin/iptables -t filter -A FORWARD -s $IP -j ACCEPT /sbin/iptables -t filter -A FORWARD -d $IP -j ACCEPT [root@localhost vitiv]# /sbin/iptables -nL Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 127.0.0.1 Chain FORWARD (policy DROP) target prot opt source destination ACCEPT all -- 192.168.1.35 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 192.168.1.35 Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 127.0.0.1 0.0.0.0/0 [root@localhost vitiv]# /sbin/iptables -t nat -nL Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 192.168.1.0/24 0.0.0.0/0 MASQUERADE all -- 0.0.0.0/0 192.168.1.0/24 /etc/stargazer/OnDisconnect a 192.168.1.35 #!/bin/bash # Login LOGIN=$1 # User IP IP=$2 # Cash CASH=$3 # User ID ID=$4 # Delete iptables rules /sbin/iptables -t filter -D FORWARD -p all -s $IP -j ACCEPT while [ $? -eq 0 ] do /sbin/iptables -t filter -D FORWARD -p all -s $IP -j ACCEPT done /sbin/iptables -t filter -D FORWARD -p all -d $IP -j ACCEPT while [ $? -eq 0 ] do /sbin/iptables -t filter -D FORWARD -p all -d $IP -j ACCEPT done [root@localhost vitiv]# /etc/stargazer/OnDisconnect a 192.168.1.35 iptables: Bad rule (does a matching rule exist in that chain?) iptables: Bad rule (does a matching rule exist in that chain?) Тем неменее правила сбросились, далее возник вопрос-почему отсутствует связь с программой для запуска по IP откуда должна браться и где должна хранится эта информация предположительно /var/stargazer/users/user_1/conf Ссылка на сообщение Поделиться на других сайтах
vitiv 1 Опубліковано: 2010-01-13 07:08:37 Автор Share Опубліковано: 2010-01-13 07:08:37 продолжу мысль- по логике программы, если не ошибаюсь... создан новый пользователь user_1 c IP 192.168.1.35 start OnConnect LOGIN=user_1 IP=192.168.1.35 Программа смотрит кто авторизировался-смотрит юзера по логину(LOGIN(passw)) -> далее -> IP(+ содержание по наличию средств и т.д.) и только тогда делает доступ... тогда необходимо правило для функции LOGIN ? Или программа автоматически должна это понимать? # Login LOGIN=$1 # User IP IP=$2 # Cash CASH=$3 # User ID ID=$4 что такое CASH - как правильно понять связку всех функций? Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас