Перейти до

Инсталяция под CentOS (i386)


Рекомендованные сообщения

Попробуйте заменить

 

#Маскарад
iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE

 

на

 

#Маскарад
iptables -t nat -A POSTROUTING -p all -s $net_cli -o $iface_world -j MASQUERADE
iptables -t nat -A POSTROUTING -p all -d $net_cli -o $iface_world -j MASQUERADE

 

И покажите состояние фаервола после этого

 

/sbin/iptables -t nat -nL
/sbin/iptables -nL

Заменил на предложенный -вывод

[root@localhost vitiv]# /sbin/iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            127.0.0.1           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:53 
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:53 
ACCEPT     tcp  --  192.168.1.0/24       192.168.1.5         tcp dpt:5555 
ACCEPT     udp  --  192.168.1.0/24       192.168.1.5         udp spt:5555 dpt:5555 
ACCEPT     tcp  --  192.168.1.0/24       192.168.1.5         tcp dpt:80 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:53 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:53 
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:53 
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  127.0.0.1            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:53 
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53 
ACCEPT     tcp  --  192.168.1.5          192.168.1.0/24      tcp spt:5555 
ACCEPT     udp  --  192.168.1.5          192.168.1.0/24      udp dpt:5555 
ACCEPT     tcp  --  192.168.1.5          192.168.1.0/24      tcp spt:80

[root@localhost vitiv]# /sbin/iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  192.168.1.0/24       0.0.0.0/0           
MASQUERADE  all  --  0.0.0.0/0            192.168.1.0/24      

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

 

fw

#!/bin/sh
#
#Машина в офисе
#///=Вписать

#Машина администратора
#admin=192.168.1.30

#Адреса роутера
server0=192.168.1.5
#server1=139.0.0.5

# Интерфейс смотрящий на клиентов
iface_cli=eth1

# Интерфейс смотрящий во внешний мир
iface_world=eth0

# Подсеть клиентов
net_cli=192.168.1.0/24
#IP=192.168.1.30

#Порты, на которых работает конфигуратор и авторизатор
conf_port=5555
user_port1=5555
user_port2=5555

# Разрешаем форвардинг пакетов между интерфейсами
# Эта штука необязательна, просто в некоторых дистрибутивах
# по умолчанию форвардинг разрешен, а в некоторых - запрещен
# Если мы подстрахуемся, хуже не бкдет
echo "1" > /proc/sys/net/ipv4/ip_forward
# Очищаем правила файрвола
/sbin/iptables -t filter -F
/sbin/iptables -t filter -X
/sbin/iptables -t nat -F
/sbin/iptables -t nat -X


# Политика по умолчанию DROP: всем всё запрещено
#/sbin/iptables -t filter -P INPUT DROP
#/sbin/iptables -t filter -P FORWARD DROP
#/sbin/iptables -t filter -P OUTPUT DROP

# Разрешаем пингам ходить всюду и всегда
/sbin/iptables -t filter -A INPUT -p icmp -j ACCEPT
/sbin/iptables -t filter -A FORWARD -p icmp -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p icmp -j ACCEPT


# Разрешаем всё на локальном интерфейсе
/sbin/iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT


# Разрешить серверу общаться со внешним миром
/sbin/iptables -t filter -A INPUT -i $iface_world -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT


# DNS. Замечу, ДНС работает и по TCP и по UDP
/sbin/iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
/sbin/iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT


# Разрешаем админу и машине в офисе доступ по SSH
#iptables -t filter -A INPUT -p tcp -s $office -d $server0 --dport 22 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp -d $office -s $server0 --sport 22 -j ACCEPT
#iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT

#Разрешаем все админу и офису 
#Раскоментируйте то что надо
#Админу
#iptables -t filter -A INPUT -s $admin -j ACCEPT
#iptables -t filter -A FORWARD -s $admin -j ACCEPT
#iptables -t filter -A FORWARD -d $admin -j ACCEPT
#iptables -t filter -A OUTPUT -d $admin -j ACCEPT
#Офису
#iptables -t filter -A INPUT -s $office -j ACCEPT
#iptables -t filter -A FORWARD -s $office -j ACCEPT
#iptables -t filter -A FORWARD -d $office -j ACCEPT
#iptables -t filter -A OUTPUT -d $office -j ACCEPT
#Users
#/sbin/iptables -t filter -A INPUT -s $IP -j ACCEPT
#/sbin/iptables -t filter -A FORWARD -s $IP -j ACCEPT
#/sbin/iptables -t filter -A FORWARD -d $IP -j ACCEPT
#/sbin/iptables -t filter -A OUTPUT -d $IP -j ACCEPT

# Stargazer configurator
/sbin/iptables -t filter -A INPUT -p tcp -s $net_cli -d $server0 --dport $conf_port -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp -d $net_cli -s $server0 --sport $conf_port -j ACCEPT

# UDP stargazer InetAccess
/sbin/iptables -t filter -A INPUT -p udp -s $net_cli --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p udp -d $net_cli --dport $user_port1 -s $server0 -j ACCEPT

#В моем примере еще используется прозрачный прокси сервер squid если он не нужен закоментируйте эти 2 строки
#Разрешаем всем локальный HTTP сервер
/sbin/iptables -t filter -A INPUT -p tcp -s $net_cli -d $server0 --dport 80 -j ACCEPT                                
/sbin/iptables -t filter -A OUTPUT -p tcp -d $net_cli -s $server0 --sport 80 -j ACCEPT


#Маскарад
#/sbin/iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -p all -s $net_cli -o $iface_world -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -p all -d $net_cli -o $iface_world -j MASQUERADE

#Тоже относится к прокси серверу. Если не надо то закоментируйте. Если прокси использует другой порт то измените 3128 на него.
#iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! $server0  --dport 80 -j REDIRECT --to-port 3128

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 64
  • Створено
  • Остання відповідь

Top Posters In This Topic

Давайте поступим как предложил Serjio и напишем правила заново

Начнём с самого простого примера

 

fw

#!/bin/bash

# IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# Интерфейс смотрящий во внешний мир
iface_world=eth1

# Подсеть клиентов
net_cli=192.168.1.0/24

# Очищаем правила файрвола 
/sbin/iptables -t filter -F
/sbin/iptables -t filter -X
/sbin/iptables -t nat -F
/sbin/iptables -t nat -X

# Политика для FORWARD по умолчанию DROP: всем всё запрещено
/sbin/iptables -t filter -P FORWARD DROP

# NAT
/sbin/iptables -t nat -A POSTROUTING -p all -s $net_cli -o $iface_world -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -p all -d $net_cli -o $iface_world -j MASQUERADE

 

OnConnect

#!/bin/bash

# Login
LOGIN=$1

# User IP
IP=$2

# Cash
CASH=$3

# User ID
ID=$4

# Add iptables rules
/sbin/iptables -t filter -A FORWARD -s $IP -j ACCEPT
/sbin/iptables -t filter -A FORWARD -d $IP -j ACCEPT

 

OnDisconnect

#!/bin/bash

# Login
LOGIN=$1

# User IP
IP=$2

# Cash
CASH=$3

# User ID
ID=$4

# Delete iptables rules
/sbin/iptables -t filter -D FORWARD -p all -s $IP -j ACCEPT
while [ $? -eq 0 ]
do
   /sbin/iptables -t filter -D FORWARD -p all -s $IP -j ACCEPT
done

/sbin/iptables -t filter -D FORWARD -p all -d $IP -j ACCEPT
while [ $? -eq 0 ]
do
   /sbin/iptables -t filter -D FORWARD -p all -d $IP -j ACCEPT
done

 

Теперь запустите InetAccess на машине 192.168.1.35

Если инета всё равно нет, покажите

/sbin/iptables -t nat -nL
/sbin/iptables -nL

Ссылка на сообщение
Поделиться на других сайтах

небольшое уточнение не

# Интерфейс смотрящий во внешний мир
iface_world=eth1

у меня

# Интерфейс смотрящий во внешний мир
iface_world=eth0

 

p/s хочется заметить то, что инет так же не проходит если использовать стандартный вариант роутера на Linux типа

#!/bin/sh
INET="eth1"
INETIP="X.X.X.X"

iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -t nat -A POSTROUTING -o $INET -j SNAT --to-source $INETIP
echo "1" > /proc/sys/net/ipv4/ip_forward

я в тупике...люди предлагают простейшие варианты - работать не хочет...

сделай себе исполняемый файл как у меня и все заработает
#!/bin/sh

echo 1 > /proc/sys/net/ipv4/ip_forward

#NAT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#RemoteDesktop
iptables -t nat -A PREROUTING -p tcp --dst ВНЕШНИЙ_IP --dport 3389 -j DNAT --to-destination IP_WINDOWS_МАШИНЫ

Ссылка на сообщение
Поделиться на других сайтах

Давайте поступим как предложил Serjio и напишем правила заново

Начнём с самого простого примера

пользователь 192.168.1.35 авторизирован - Подключен, в админке -Online

вывод проверки

[root@localhost vitiv]# /sbin/iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[root@localhost stargazer]# /sbin/iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  192.168.1.0/24       0.0.0.0/0           
MASQUERADE  all  --  0.0.0.0/0            192.168.1.0/24      

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination 

инет не получает

Ссылка на сообщение
Поделиться на других сайтах

[root@localhost vitiv]# /sbin/iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[root@localhost vitiv]# /sbin/iptables -f nat -nL
Bad argument `nat'
Try `iptables -h' or 'iptables --help' for more information.

-t nat

Ссылка на сообщение
Поделиться на других сайтах

#!/bin/sh

echo 1 > /proc/sys/net/ipv4/ip_forwarding

/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
/sbin/iptables -X
/sbin/iptables -t nat -X
/sbin/iptables -t mangle -X

/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

 

Если после этого прописать на другой машине адрес сервера как default route и прописать там DNS инет должне работать.

Ссылка на сообщение
Поделиться на других сайтах

Если после этого прописать на другой машине адрес сервера как default route и прописать там DNS инет должне работать.

 

Кстати очень важное замечание, мы тут грешим на настройки сервера, а может просто на локальной машине не правильно настроено!?

 

to vitiv:

Покажите вывод

ipconfig /all

на локальной машине

Ссылка на сообщение
Поделиться на других сайтах

#!/bin/sh

echo 1 > /proc/sys/net/ipv4/ip_forwarding 

/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
/sbin/iptables -X
/sbin/iptables -t nat -X
/sbin/iptables -t mangle -X

/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

Если после этого прописать на другой машине адрес сервера как default route и прописать там DNS инет должне работать.

# у меня

echo 1 > /proc/sys/net/ipv4/ip_forward

 

На клиентской машине

ip 192.168.1.35

mask 255.255.255.0

gw 192.168.1.5

DNS 192.168.1.5

 

правила прописал ---вывод команд

[root@localhost stargazer]# /sbin/iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[root@localhost stargazer]# /sbin/iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  192.168.1.0/24       0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

 

Клиентская машина инет не получает ... парадокс, схожу с ума...

Ссылка на сообщение
Поделиться на других сайтах

Если после этого прописать на другой машине адрес сервера как default route и прописать там DNS инет должне работать.

 

Кстати очень важное замечание, мы тут грешим на настройки сервера, а может просто на локальной машине не правильно настроено!?

 

to vitiv:

Покажите вывод

ipconfig /all

на локальной машине

Замечание логичное, на клиентской машине всё Ок

C:\>ipconfig/all

Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : video
       Основной DNS-суффикс  . . . . . . :
       Тип узла. . . . . . . . . . . . . : широковещательный
       IP-маршрутизация включена . . . . : да
       WINS-прокси включен . . . . . . . : да

Подключение по локальной сети 2 - Ethernet адаптер:

       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : NVIDIA nForce 10/100/1000 Mbps Ether
net #2
       Физический адрес. . . . . . . . . : 00-24-8C-BC-BC-C8
       Dhcp включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 192.168.1.35
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . : 192.168.1.5
       DNS-серверы . . . . . . . . . . . : 192.168.1.5

Ссылка на сообщение
Поделиться на других сайтах

Замечание логичное, на клиентской машине всё Ок

C:\>ipconfig/all

Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : video
       Основной DNS-суффикс  . . . . . . :
       Тип узла. . . . . . . . . . . . . : широковещательный
       IP-маршрутизация включена . . . . : да
       WINS-прокси включен . . . . . . . : да

Подключение по локальной сети 2 - Ethernet адаптер:

       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : NVIDIA nForce 10/100/1000 Mbps Ether
net #2
       Физический адрес. . . . . . . . . : 00-24-8C-BC-BC-C8
       Dhcp включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 192.168.1.35
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . : 192.168.1.5
       DNS-серверы . . . . . . . . . . . : 192.168.1.5

 

На 192.168.1.5 DNS правильно настроен?

Выполните на локальной машине

 

nslookup ya.ru

 

и

 

ping 77.88.21.8

Ссылка на сообщение
Поделиться на других сайтах

Замечание логичное, на клиентской машине всё Ок

C:\>ipconfig/all

Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : video
       Основной DNS-суффикс  . . . . . . :
       Тип узла. . . . . . . . . . . . . : широковещательный
       IP-маршрутизация включена . . . . : да
       WINS-прокси включен . . . . . . . : да

Подключение по локальной сети 2 - Ethernet адаптер:

       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : NVIDIA nForce 10/100/1000 Mbps Ether
net #2
       Физический адрес. . . . . . . . . : 00-24-8C-BC-BC-C8
       Dhcp включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 192.168.1.35
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . : 192.168.1.5
       DNS-серверы . . . . . . . . . . . : 192.168.1.5

 

На 192.168.1.5 DNS правильно настроен?

Выполните на локальной машине

 

nslookup ya.ru

 

и

 

ping 77.88.21.8

С клиентской машиной всё ОК,

Вот с IP сервера 192.168.1.5 который должен отдавать...

причём как с включенным аторизатором, так и без него...

C:\Documents and Settings\vitiv>nslookup ya.ru
*** Can't find server name for address 192.168.1.5: No re
*** Default servers are not available
Server:  UnKnown
Address:  192.168.1.5

*** UnKnown can't find ya.ru: No response from server

C:\Documents and Settings\vitiv>ping 77.88.21.8

Обмен пакетами с 77.88.21.8 по 32 байт:

Ответ от 77.88.21.8: число байт=32 время=49мс TTL=53
Ответ от 77.88.21.8: число байт=32 время=49мс TTL=53
Ответ от 77.88.21.8: число байт=32 время=50мс TTL=53
Ответ от 77.88.21.8: число байт=32 время=49мс TTL=53

Статистика Ping для 77.88.21.8:
   Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
   Минимальное = 49мсек, Максимальное = 50 мсек, Среднее = 49 мсек

не проходит DNS...

Ссылка на сообщение
Поделиться на других сайтах
На 192.168.1.5 DNS правильно настроен?

что имеется ввиду, мне не нужно раздавать имена, а как бы сам шлюз и должен быть default DNS

Ссылка на сообщение
Поделиться на других сайтах

DNS 192.168.1.5? А уже настроен?

А инет как проверяется? Пингами по IP или по доменам?

Может DNS не работает а не инет.

на клиентской машине всё прописано

сервер не пропускает DNS видимо необходимо дополнить правила...

почему тогда всё это происходит как при вкл. так и при выкл. авторизаторе,

где stargazer в это время?

 

p/s форум напичкали скриптами ужОссс, тормозааа

Ссылка на сообщение
Поделиться на других сайтах

С клиентской машиной всё ОК,

Вот с IP сервера 192.168.1.5 который должен отдавать...

причём как с включенным аторизатором, так и без него...

C:\Documents and Settings\vitiv>nslookup ya.ru
*** Can't find server name for address 192.168.1.5: No re
*** Default servers are not available
Server:  UnKnown
Address:  192.168.1.5

*** UnKnown can't find ya.ru: No response from server

C:\Documents and Settings\vitiv>ping 77.88.21.8

Обмен пакетами с 77.88.21.8 по 32 байт:

Ответ от 77.88.21.8: число байт=32 время=49мс TTL=53
Ответ от 77.88.21.8: число байт=32 время=49мс TTL=53
Ответ от 77.88.21.8: число байт=32 время=50мс TTL=53
Ответ от 77.88.21.8: число байт=32 время=49мс TTL=53

Статистика Ping для 77.88.21.8:
   Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
   Минимальное = 49мсек, Максимальное = 50 мсек, Среднее = 49 мсек

не проходит DNS...

 

У Вас DNS на сервере не настроен.

Тут 2 варианта:

1. либо настроить DNS(тут я Вам ничем не помогу, ибо сам не умею)

2. прописать на локальной машине DNS провайдера

Ссылка на сообщение
Поделиться на других сайтах

DNS 192.168.1.5? А уже настроен?

А инет как проверяется? Пингами по IP или по доменам?

Может DNS не работает а не инет.

на клиентской машине всё прописано

сервер не пропускает DNS видимо необходимо дополнить правила...

почему тогда всё это происходит как при вкл. так и при выкл. авторизаторе,

где stargazer в это время?

 

p/s форум напичкали скриптами ужОссс, тормозааа

Нужно либо настроить DNS на сервере со старгейзером (что достаточно нетривиальная задача), либо (что намного проще) прописать у клиента внешний DNS провайдера.

Так что инет скорее всего уже давно работает, просто неправильно указан DNS.

Ссылка на сообщение
Поделиться на других сайтах

DNS 192.168.1.5? А уже настроен?

А инет как проверяется? Пингами по IP или по доменам?

Может DNS не работает а не инет.

на клиентской машине всё прописано

сервер не пропускает DNS видимо необходимо дополнить правила...

почему тогда всё это происходит как при вкл. так и при выкл. авторизаторе,

где stargazer в это время?

 

p/s форум напичкали скриптами ужОссс, тормозааа

Нужно либо настроить DNS на сервере со старгейзером (что достаточно нетривиальная задача)

ничего ничего,с этим разберусь

либо (что намного проще) прописать у клиента внешний DNS провайдера.

на первое время всё одно DNS моего роутера

Так что инет скорее всего уже давно работает, просто неправильно указан DNS.

Да, но где же авторизация и прочие излишества? Как же stargazer?

Ссылка на сообщение
Поделиться на других сайтах

Ну если инет работает сейчас, с вышеприведенным скриптом, то берем первоначальный скрипт и доводим систему до работоспособности со Stargazer

Ссылка на сообщение
Поделиться на других сайтах

Ну если инет работает сейчас, с вышеприведенным скриптом, то берем первоначальный скрипт и доводим систему до работоспособности со Stargazer

дело в том, что эта схема с DNS-провайдера была опробована с разными вариациями скриптов, т.е.

устанавливая следующий скрипт прописывалось на клиентской машине и DNS сервера и DNS провайдера...

спасибо, буду далее работать... :blink:

Ссылка на сообщение
Поделиться на других сайтах

Продолжаем...Ваш скрипт работает без авторизатора и с авторизатором

#echo 1 > /proc/sys/net/ipv4/ip_forward

/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
/sbin/iptables -X
/sbin/iptables -t nat -X
/sbin/iptables -t mangle -X

/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

но не о нём, на сколько я понял прямая зависимость - это запуск

OnConnect

#!/bin/bash

# Login
LOGIN=$1

# User IP
IP=$2

# Cash
CASH=$3

# User ID
ID=$4

# Add iptables rules
/sbin/iptables -t filter -A FORWARD -s $IP -j ACCEPT
/sbin/iptables -t filter -A FORWARD -d $IP -j ACCEPT

так вот после сброса iptables restart данная обнуляется и принудительный запуск OnConnect в отдельности

после fw даёт вот такой результат:

[root@localhost vitiv]# /etc/stargazer/OnConnect
Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.

такое уже было в ранне описанных вариантах проверки, создаётся впечатление,

что именно этот скрипт не прорабатывается с самым простым-доступным для понимания правилом...

подключение пользователя и разрешение по IP,

второй момент, почему если достаточно конкретные правила fw в сброшенном состоянии

позволяют коннетится Stargazer configurator и UDP stargazer InetAccess...

как бы сборка не была голимой, информации по данной ноль

Ссылка на сообщение
Поделиться на других сайтах

/etc/stargazer/OnConnect

 

Должен запускаться с параметрами, например для пользователя с ip 192.168.1.10, будет выглядеть так:

 

serjio@zzoo:~# /etc/stargazer/OnConnect a 192.168.1.10

Ссылка на сообщение
Поделиться на других сайтах

/etc/stargazer/OnConnect

Должен запускаться с параметрами, например для пользователя с ip 192.168.1.10, будет выглядеть так:

serjio@zzoo:~# /etc/stargazer/OnConnect a 192.168.1.10

Да, так запускается - вручную интет подключается и отключается для 192.168.1.35 т.е. без участия авторизатора

Теперь по порядку, что удалось выяснить...

Буду постепенно выкладывать введённые правила и сразу проверку....

Все запуски вручную, без участия программы...

/etc/stargazer/fw

#!/bin/bash

# Интерфейс смотрящий во внешний мир
iface_world=eth0

# Подсеть клиентов
net_cli=192.168.1.0/24

# IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# Очищаем правила файрвола 
/sbin/iptables -t filter -F
/sbin/iptables -t filter -X
/sbin/iptables -t nat -F
/sbin/iptables -t nat -X

# Политика для FORWARD по умолчанию DROP: всем всё запрещено
/sbin/iptables -t filter -P FORWARD DROP

# Разрешаем всё на локальном интерфейсе
/sbin/iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT

# NAT
/sbin/iptables -t nat -A POSTROUTING -p all -s $net_cli -o $iface_world -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -p all -d $net_cli -o $iface_world -j MASQUERADE

[root@localhost vitiv]# /sbin/iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            127.0.0.1           

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  127.0.0.1            0.0.0.0/0

[root@localhost vitiv]# /sbin/iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  192.168.1.0/24       0.0.0.0/0           
MASQUERADE  all  --  0.0.0.0/0            192.168.1.0/24  

/etc/stargazer/OnConnect a 192.168.1.35

#!/bin/bash

# Login
LOGIN=$1

# User IP
IP=$2

# Cash
CASH=$3

# User ID
ID=$4

# Add iptables rules
/sbin/iptables -t filter -A FORWARD -s $IP -j ACCEPT
/sbin/iptables -t filter -A FORWARD -d $IP -j ACCEPT

[root@localhost vitiv]# /sbin/iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            127.0.0.1           

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  192.168.1.35         0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            192.168.1.35        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  127.0.0.1            0.0.0.0/0

[root@localhost vitiv]# /sbin/iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  192.168.1.0/24       0.0.0.0/0           
MASQUERADE  all  --  0.0.0.0/0            192.168.1.0/24

/etc/stargazer/OnDisconnect a 192.168.1.35

#!/bin/bash

# Login
LOGIN=$1

# User IP
IP=$2

# Cash
CASH=$3

# User ID
ID=$4

# Delete iptables rules
/sbin/iptables -t filter -D FORWARD -p all -s $IP -j ACCEPT
while [ $? -eq 0 ]
do
   /sbin/iptables -t filter -D FORWARD -p all -s $IP -j ACCEPT
done

/sbin/iptables -t filter -D FORWARD -p all -d $IP -j ACCEPT
while [ $? -eq 0 ]
do
   /sbin/iptables -t filter -D FORWARD -p all -d $IP -j ACCEPT
done

[root@localhost vitiv]# /etc/stargazer/OnDisconnect a 192.168.1.35
iptables: Bad rule (does a matching rule exist in that chain?)
iptables: Bad rule (does a matching rule exist in that chain?)

Тем неменее правила сбросились,

далее возник вопрос-почему отсутствует связь с программой для запуска по IP

откуда должна браться и где должна хранится эта информация

предположительно /var/stargazer/users/user_1/conf

Ссылка на сообщение
Поделиться на других сайтах

продолжу мысль-

по логике программы, если не ошибаюсь...

создан новый пользователь user_1 c IP 192.168.1.35

start OnConnect

LOGIN=user_1
IP=192.168.1.35

Программа смотрит кто авторизировался-смотрит юзера по логину(LOGIN(passw)) -> далее -> IP(+ содержание по наличию средств и т.д.) и только тогда делает доступ...

тогда необходимо правило для функции LOGIN ? Или программа автоматически должна это понимать?

# Login
LOGIN=$1
# User IP
IP=$2
# Cash
CASH=$3
# User ID
ID=$4

что такое CASH - как правильно понять связку всех функций?

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.


×
×
  • Створити нове...