Galats 0 Опубликовано: 2010-01-18 18:10:08 Share Опубликовано: 2010-01-18 18:10:08 Настраиваю сервер Убунту Сервер с stargazer-ом. С сайта взял пример настройки файла fw в основе которого iptable вот этот файл #!/bin/bash #Машина в офисе office=192.168.1.0/24 #Машина администратора admin=192.168.1.2 # Адреса роутера server0=192.168.1.23 # server1=10.3.2.111 # server2=172.18.1.1 # Адрес файлового архива с mp3 и video #video_serv=172.18.1.2 # Интерфейс смотрящий на клиентов iface_cli=eth0 # Интерфейс смотрящий во внешний мир iface_world=eth1 # Интерфейс смотрящий на архив #iface_int=eth2 #Порты, на которых работает конфигуратор и авторизатор conf_port=4444 user_port1=4444 # Разрешаем форвардинг пакетов между интерфейсами # Эта штука необязательна, просто в некоторых дистрибутивах # по умолчанию форвардинг разрешен, а в некоторых - запрещен # Если мы подстрахуемся, хуже не будет echo "1" > /proc/sys/net/ipv4/ip_forward # Очищаем правила файрвола iptables -t filter -F iptables -t filter -X iptables -t nat -F iptables -t nat -X # Политика по умолчанию DROP: всем всё запрещено iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT DROP # Разрешаем пингам ходить всюду и всегда iptables -t filter -A INPUT -p icmp -j ACCEPT iptables -t filter -A FORWARD -p icmp -j ACCEPT iptables -t filter -A OUTPUT -p icmp -j ACCEPT # Разрешаем всё на локальном интерфейсе iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT # Разрешить серверу общаться со внешним миром iptables -t filter -A INPUT -i $iface_world -j ACCEPT iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT # Разрешить видео-серверу обращаться во внешним миром и роутером # iptables -t filter -A INPUT -s $video_serv -j ACCEPT # iptables -t filter -A FORWARD -s $video_serv -j ACCEPT # iptables -t filter -A FORWARD -d $video_serv -j ACCEPT # iptables -t filter -A OUTPUT -d $video_serv -j ACCEPT # DNS. Замечу, ДНС работает и по TCP и по UDP iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT # SSH iptables -t filter -A INPUT -p tcp -s $office -d $server0 --dport 22 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d $office -s $server0 --sport 22 -j ACCEPT iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT # Stargazer configurator iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport $conf_port -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport $conf_port -j ACCEPT # UDP stargazer InetAccess iptables -t filter -A INPUT -p udp -s $office --sport $user_port1 -d $server0 -j ACCEPT iptables -t filter -A OUTPUT -p udp -d $office --dport $user_port1 -s $server0 -j ACCEPT #Маскарад # iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE То что я не использую, закомментировано. Вопрос 1. После запуска системы (это скрипт стоит на выполнение при загрузке системы) у меня пинги нружу идут, но вот все остально открыто. Подскажите как разрешить доступ в инет с сервера. Вопрос 2. Не могу подключиться конфигуратором с админской машины (192.168.1.2:4444), телнетом тоже не могу подключиться на сервер порт 4444. У меня следующая схема домашней сети. Сервер Ubuntu 1. eth0 192.168.1.23 (смотрит во внутреннюю лок сеть) 2. eth1 10.*.*.* лок сетьмоего провайдера 3. ppp0 vpn соединение, от которогоя питаюсь Инетом. Ссылка на сообщение Поделиться на других сайтах
Serjio 19 Опубліковано: 2010-01-18 18:31:52 Share Опубліковано: 2010-01-18 18:31:52 Перечитываем вот тут. Ссылка на сообщение Поделиться на других сайтах
DarkSpider 36 Опубліковано: 2010-01-22 14:31:07 Share Опубліковано: 2010-01-22 14:31:07 # SSH iptables -t filter -A INPUT -p tcp -s $office -d $server0 --dport 22 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d $office -s $server0 --sport 22 -j ACCEPT iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT Не вижу смысла. $office - это подсеть, зачем еще и машину админа сюда ? или Вы всей подсети разрешаете ? (машина админа уже попадает под правило офиса - т.е. в подсеть). Это по скрипту начального фаера. Ответ на Вопрос1. Покажите скрипты онконнекта и ондисконнекта. Думаю телепаты со мной согласятся. А так же покажи правила iptables после коннекта юзера. Ответ на Вопрос2. Покажи конфиг СТГ - возможно порт конфигуратора не 4444. Так же советую разнести порты конфигуратора и авторизатора. Ссылка на сообщение Поделиться на других сайтах
madf 279 Опубліковано: 2010-01-22 15:50:03 Share Опубліковано: 2010-01-22 15:50:03 ... Так же советую разнести порты конфигуратора и авторизатора. А смысл? Они ж по разным протоколам работают. Ссылка на сообщение Поделиться на других сайтах
Galats 0 Опубліковано: 2010-01-23 06:06:21 Автор Share Опубліковано: 2010-01-23 06:06:21 Ответ на Вопрос1. Покажите скрипты онконнекта и ондисконнекта. Думаю телепаты со мной согласятся. А так же покажи правила iptables после коннекта юзера. #Этот скрипт вызывается в момент, когда пользователь #успешно прошел авторизацию на сервере. Задача скрипта - перестроить #файрвол так, что бы пользователь получил доступ в интернет # Login LOGIN=$1 #user IP IP=$2 #cash CASH=$3 #user ID ID=$4 #Selected dirs to connect DIRS=$5 #echo "C `date +%Y.%m.%d-%H.%M.%S` $IP $CASH" >> /var/stargazer/users/$LOGIN/connect.log # Этот скрипт вызывается в момент, когда пользователь # желает отключится от интернета или вышел таймаут у пользователя # и сервер сам отключает пользователя # Задача скрипта подобна задаче скрипта OnConnect - перестроить # файрвол так, что бы пользователю закрыть доступ в интернет # Login LOGIN=$1 #user IP IP=$2 #cash CASH=$3 #user ID ID=$4 #Selected dirs to disconnect DIRS=$4 #echo "D `date +%Y.%m.%d-%H.%M.%S` $IP $CASH" >> /var/stargazer/users/$LOGIN/connect.log А вот правила iptables после коннекта root@gubuntu:/etc/stargazer# /sbin/iptables -nL Chain INPUT (policy DROP) target prot opt source destination ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 127.0.0.1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53 ACCEPT tcp -- 192.168.1.2 192.168.1.23 tcp dpt:22 ACCEPT tcp -- 192.168.1.2 192.168.1.23 tcp dpt:4444 ACCEPT udp -- 192.168.1.0/24 192.168.1.23 udp spt:4444 Chain FORWARD (policy DROP) target prot opt source destination ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:53 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 Chain OUTPUT (policy DROP) target prot opt source destination ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 127.0.0.1 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 ACCEPT tcp -- 192.168.1.23 192.168.1.2 tcp spt:22 ACCEPT tcp -- 192.168.1.23 192.168.1.2 tcp spt:4444 ACCEPT udp -- 192.168.1.23 192.168.1.0/24 udp dpt:4444 инета на сервере 192,168,1,23 нет Хотя пинги ходят наружу root@gubuntu:/etc/stargazer# ping ya.ru PING ya.ru (93.158.134.8) 56(84) bytes of data. 64 bytes from ya.ru (93.158.134.8): icmp_seq=1 ttl=48 time=53.2 ms 64 bytes from ya.ru (93.158.134.8): icmp_seq=2 ttl=48 time=39.8 ms 64 bytes from ya.ru (93.158.134.8): icmp_seq=3 ttl=48 time=38.8 ms Ответ на Вопрос2. Покажи конфиг СТГ - возможно порт конфигуратора не 4444. Так же советую разнести порты конфигуратора и авторизатора. ################################################################################ # Файл настроек сервера stargazer # ################################################################################ # Имя лог-файла куда пишутся события LogFile = /var/log/stargazer.log # Имя PID-файла куда пишется идентификатор процесса # По умолчанию /var/run/pid # PIDFile = /var/run/stargazer.pid # Имя файла в котором определяются правила подсчета трафика Rules = /etc/stargazer/rules # Время через которое пишется d БД детальная статистика пользователя # Значения: 1, 1/2, 1/4, 1/6. # 1 - раз в чаc, 1/2 - раз в пол часа, 1/4 - раз в 15 мин, 1/6 - раз в 10 мин DetailStatWritePeriod=1/6 # Периодичность записи записи в БД информации о статистике пользователя (минуты) # При большом кол-ве пользователей эту величину стоит увеличить, т.к. # запись в БД может занимать длительное время. # Значения: 1...1440 (минуты) StatWritePeriod = 10 # День снятия абонплаты # Значения: 0...31. 0 - Последний день месяца DayFee = 1 # Абонплата снимается в последний (yes) или первый (no) день учетного периода. # Это влияет на то, как будет снята абонплата (АП) при переходе на новый тариф. # Если у пользователя был тариф A с АП=100 и он хочет перейти на тариф B с АП=200, # то при переходе на новый тариф со счета пользователя снимется 100, если # DayFeeIsLastDay = yes и 200, если DayFeeIsLastDay = no DayFeeIsLastDay = yes # День сброса данных о трафике за месяц и день перехода пользователей на новые тарифы # Значения: 0...31. 0 - Последний день месяца DayResetTraff = 1 # "Размазанное" снятие абонплаты. Снятие АП не раз в месяц, а каждый # день 1/30 или 1/31 части АП # Значения: yes, no SpreadFee = no # Данная опция определяет может ли пользователь получить доступ в интерент # если у него на счету нет денег, но остался предоплаченный трафик # Значения: yes, no FreeMbAllowInet = no # Эта опция определяет что будет писаться в стоимость трафика в detail_stat. # Если у пользователя еще есть предоплаченный трафик и WriteFreeMbTraffCost = no, # то в detail_stat стоимость будет 0. Если у пользователя уже нет # предоплаченного трафика и WriteFreeMbTraffCost = no, то в detail_stat # будет записана стоиость трафика. При WriteFreeMbTraffCost = yes стоимость # трафика будет записана в любом случае. WriteFreeMbTraffCost = no # Необязательный параметр. Указывает снимать полную абонплату у пользователя даже # если он быз заморожен только часть учетного периода. # По умолчанию установлен в no # FullFee=no # Необязательный параметр указывающий показывать на счету и позволять # использовать пользователю абонплату. По умолчанию установлен в yes # ShowFeeInCash=yes # Названия направлений. Направления без названий не будут отображаться в # авторизаторе и конфигураторе. Названия состоящие из нескольких слов должны # быть взяты в кавычки <DirNames> DirName0 = local DirName1 = inet DirName2 = DirName3 = DirName4 = DirName5 = DirName6 = DirName7 = DirName8 = DirName9 = </DirNames> # Кол-во запускаемых процессов stg-exec. # Эти процессы отвечают за выполнение скриптов OnConnect, OnDisconnect, ... # Кол-во процессов означает сколько скриптов могут выполнятся одновременно. # Значения: 1...1024 ExecutersNum = 1 # Message Key для stg-exec. # Идентификатор очереди сообщений для выполнятеля скриптов. # Его изменение может понадобится если есть необходимость запустить несколько # экземпляров stg. Если вы не понимаете, что это, не трогайте этот параметр! # Значения: 0...2^32 # Значение по умолчанию: 5555 # ExecMsgKey = 5555 # Путь к директории, в которой находятся модули сервера ModulesPath = /usr/lib/stg # Определяет директорию, в которой будут находится файлы "монитора" # работы сервера. В этой директории будут созданы пустые файлы, время # модификации которых будет меняться примерно раз в минуту. Если какой-то # компонент сервера зависнет, файл(ы) перестанет обновлятся, и по этому # признаку можно определить сбой в работе сервера и при надобности # перезапустить. Если параметр не указан или пустой, мониторинг производится # не будет. Параметр не является обязательным, по умолчанию пустой. # MonitorDir=/var/stargazer/monitor ################################################################################ # Store module # Настройки плагина работающего с БД сервера # Второй параметр - это имя модуля без mod_ в начале и .so в конце # Т.е. полное имя модуля mod_store_files.so <StoreModule store_files> # Рабочая директория сервера, тут содержатся данные о тарифах, пользователях, # администраторах и т.д. WorkDir = /var/stargazer # Владелец, группа и права доступа на файлы статистики (stat) пользователя ConfOwner = root ConfGroup = root ConfMode = 600 # Владелец, группа и права доступа на файлы конфигурации (conf) пользователя StatOwner = root StatGroup = root StatMode = 640 # Владелец, группа и права доступа на лог-файлы (log) пользователя UserLogOwner = root UserLogGroup = root UserLogMode = 640 # Удалять резервные копии после успешной записи conf/stat # Значения: yes, no # По умолчанию: yes # RemoveBak = yes # Восстанавливать файлы conf/stat из резервных копий при ошибке чтения # Значения: yes, no # По умолчанию: no # ReadBak = no </StoreModule> #<StoreModule store_firebird> # # Адрес сервера БД # server=localhost # # # Путь к БД на сервере или ее алиас # database=/var/stg/stargazer.fdb # # # Имя пользователя БД # user=stg # # # Пароль пользователя БД # password=123456 # # # Уровень изоляции транзаций (не обязательно, по умолчанию oncurrency): # # concurrency # # dirtyRead # # readCommitted # # consistency # isolationLevel=concurrency # # # Действия при блокировках (не обязательно, по умолчанию wait): # # wait # # noWait # lockResolution=wait #</StoreModule> #<StoreModule store_postgresql> # # Адрес сервера БД # server=localhost # # # Имя БД # database=stargazer # # # Имя пользователя БД # user=stg # # # Пароль пользователя БД # password=123456 #</StoreModule> #<StoreModule store_mysql> # # Имя пользователя БД # dbuser = stg # # # Пароль пользователя БД # rootdbpass = 123456 # # # Имя БД на сервере # dbname = stg # # # Адрес сервера БД # dbhost = localhost #</StoreModule> ################################################################################ # Прочие модули <Modules> # Настройки плагина авторизации Always Online "mod_auth_ao.so" # Второй параметр - это имя модуля без mod_ в начале и .so в конце # Т.е. полное имя модуля mod_auth_ao.so <Module auth_ao> </Module> # Настройки плагина авторизации InetAccess "mod_auth_ia.so" # Второй параметр - это имя модуля без mod_ в начале и .so в конце # Т.е. полное имя модуля mod_auth_ia.so <Module auth_ia> # Порт на котором принимаются обращения от авторизатора # Значения: 1...65534 Port = 4444 # Время между посылками запроса пользователю жив ли он # и обновлением данных статистики (секунды) # Значения: 5...600 UserDelay = 15 #Таймаут для пользователя. Если в течение этого времени авторизатор #не отвечает, пользователь будет отключен # Значения: 15...1200 UserTimeout = 65 # Этот параметр определяет что будет передаваться программе InetAccess от сервера # как отстаток предоплаченного трафика # Значения: # FreeMb = 0 - кол-во бесплатных мегабайт в пресчете на цену нулевого направления # FreeMb = 1 - кол-во бесплатных мегабайт в пресчете на цену первого направления # FreeMb = 2 - кол-во бесплатных мегабайт в пресчете на цену второго направления # FreeMb = 3 - кол-во бесплатных мегабайт в пресчете на цену третьего направления # ........................ # FreeMb = 9 - кол-во бесплатных мегабайт в пресчете на цену девятого направления # FreeMb = cash - кол-во денег на которые юзер может бесплатно качать # FreeMb = none - ничего не передавать FreeMb = cash </Module> # Модули можно использовать несколько раз с разными параметрами #<Module auth_ia> # Port = 7777 # UserDelay = 15 # UserTimeout = 65 # FreeMb = 0 #</Module> # Настройки модуля конфигурации SgConfig "mod_conf_sg.so" # Второй параметр - это имя модуля без mod_ в начале и .so в конце <Module conf_sg> # Порт по которому сервер взаимодействует с конфигуратором # Значения: 1...65535 Port = 4444 </Module> # Модуль захвата трафика "mod_cap_ether.so" # Второй параметер - это имя модуля без mod_ в начале и .so в конце # Без параметров. Только имя модуля. <Module cap_ether> # Модуль без параметров </Module> # Модуль захвата трафика "mod_cap_nf.so" # Принимает информацию о трафике по протоколу NetFlow # Второй параметер - это имя модуля без mod_ в начале и .so в конце <Module cap_nf> # TCPPort - порт для TCP-соединений TCPPort = 42111 # UDPPort - порт для UDP-соединений UDPPort = 42111 # Могут иметь совпадающие значения. # Если параметр не указан - соответствующий порт не "прослушивается". </Module> # Настройки модуля пингующего пользователей "mod_ping.so" # Второй параметр - это имя модуля без mod_ в начале и .so в конце <Module ping> # Время, в секундах, между пингами одного и того же пользователя # Значения: 10...3600 PingDelay = 15 </Module> # # Настройки модуля для удаленного выполнения скриптов OnConnect и # # OnDisconnect "mod_remote_script.so" # # Второй параметр - это имя модуля без mod_ в начале и .so в конце # <Module remote_script> # # # Время, в секундах, между посылками подтверждений, того, что пользователь # # всё еще онлайн # # Значения: 10...600 # SendPeriod = 15 # # # Соответствие подсетей, в которой находится пользователь и # # соответствующего роутера. Первая часть строки - подсеть, заданная # # как IP-адрес и маска, через пробел - IP-адрес роутера на котором # # должны выполняться скрипты # # Например эта запись "192.168.1.0/24 192.168.1.1" означает, что для # # всех пользователей из подсети 192.168.1.0/24, скрипты будут # # выполняться на роутере с адресом 192.168.1.1 # # Subnet0...Subnet100 # Subnet0 = 192.168.1.0/24 192.168.1.7 # Subnet1 = 192.168.2.0/24 192.168.2.5 # Subnet2 = 192.168.3.0/24 192.168.2.5 # Subnet3 = 192.168.4.0/24 192.168.2.5 # # # Пароль для шифрования пакетов между stg-сервером и сервером, # # выполняющим скрипты # Password = 123456 # # # Этот параметр определяет какие параметры пользователя передаются # # на удаленный сервер # # Cash, FreeMb, Passive, Disabled, AlwaysOnline, TariffName, NextTariff, Address, # # Note, Group, Email, RealName, Credit, EnabledDirs, Userdata0...Userdata9 # UserParams=Cash Tariff EnabledDirs # # # Порт по которому сервер отсылает сообщения на роутер # # Значения: 1...65535 # Port = 9999 # # </Module> # <Module radius> # Password = 123456 # ServerIP = 127.0.0.1 # Port = 6666 # AuthServices = Login-User # AcctServices = Framed-User # </Module> </Modules> ################################################################################ Ссылка на сообщение Поделиться на других сайтах
vitiv 1 Опубліковано: 2010-01-23 11:21:27 Share Опубліковано: 2010-01-23 11:21:27 если у вас установка Stargazer на Ubuntu прошла удачно, изначально приведите конфиги к стандартному виду, прочитайте внимательно - Начало Рабочие конфиги и установки подойдут для Ubuntu p/s думается, прежде чем задавать вопросы, неплохо было бы указать версию Stargazer(a)... Ссылка на сообщение Поделиться на других сайтах
Galats 0 Опубліковано: 2010-01-24 07:34:13 Автор Share Опубліковано: 2010-01-24 07:34:13 если у вас установка Stargazer на Ubuntu прошла удачно, изначально приведите конфиги к стандартному виду, прочитайте внимательно - Начало Рабочие конфиги и установки подойдут для Ubuntu p/s думается, прежде чем задавать вопросы, неплохо было бы указать версию Stargazer(a)... Такое ощущение, что некоторые представители на этом форуме набирают количествоо сообщений... Неохота разбираться в конфигах чужих. Это понятно, ну не надо отбивать желание других его отбивать. Я подбробно описываю проблему, так телепатов здесь нет. P.S. Извините за лирическое отступление. Ссылка на сообщение Поделиться на других сайтах
vitiv 1 Опубліковано: 2010-01-24 09:39:59 Share Опубліковано: 2010-01-24 09:39:59 Неохота разбираться в конфигах чужих. Это понятно, ну не надо отбивать желание других его отбивать. Я подбробно описываю проблему, так телепатов здесь нет. P.S. Извините за лирическое отступление. Действительно- телепатов нет и не будет,а правильно заданный вопрос - это гарантия на получение правильного ответа Вопрос 1. После запуска системы (это скрипт стоит на выполнение при загрузке системы) у меня пинги нружу идут, но вот все остально открыто. Подскажите как разрешить доступ в инет с сервера. Stargazer сам по себе не влияет на сетевые настройки сервера, его можно временно отключить для решения вашего вопроса -т.е. сначала необходимо поработать с правилами фаервола которые находятся в файле fw Чтобы что то разрешить необходимо знать более чем eth1 10.*.*.* покажите на Ubuntu настройки: сетевых интерфейсов /etc/network/interfaces resolv.conf выполнить и показать route до поключения по VPN и после + всё что касаемо и связано с сетевыми настройками вашего сервера Вопрос 2. Не могу подключиться конфигуратором с админской машины (192.168.1.2:4444), телнетом тоже не могу подключиться на сервер порт 4444. Вы пытаетесь подключится как администратор - IP 192.168.1.2 - на шлюз IP 192.168.1.23 вашего сервера по порту 4444 Проверте пинг данного адреса, прямое подключение к данному ip сервера без фаервола сервера и брандмауэра админского компьютера - схема примерно такая: - stargazer(Ubuntu) поключен - fw + iptables отключены - VPN отключен далее - коннект авторизатора или конфигуратора(по умолчанию login: admin password: 123456) к 192.168.1.23 порт 4444 Покажите ipconfig/all - route print на админском компьютере обязательно к изучению https://help.ubuntu.com/community/IptablesHowTo ====================================================================== Пример: простой роутер -пробросить инет для сети 192.168.1.0/24 при этом на клиентах необходимо указывать DNS вашего провайдера test #!/bin/bash net_cli=192.168.1.0/24 iface_world=eth0 echo 1 > /proc/sys/net/ipv4/ip_forward # 1 вариант iptables -t nat -A POSTROUTING -p all -s $net_cli -o $iface_world -j MASQUERADE iptables -t nat -A POSTROUTING -p all -d $net_cli -o $iface_world -j MASQUERADE # 2 вариант #/sbin/iptables -t nat -A POSTROUTING -p all -s $net_cli -o $iface_world -j MASQUERADE #/sbin/iptables -t nat -A POSTROUTING -p all -d $net_cli -o $iface_world -j MASQUERADE Ссылка на сообщение Поделиться на других сайтах
Galats 0 Опубліковано: 2010-01-24 23:27:33 Автор Share Опубліковано: 2010-01-24 23:27:33 Конфигуратор подсоединился, была ошибка в stargazer.conf (указан порт 5555), а файрволом я открывал только 4444. Поменял в stargazer.conf.<br><br> Ссылка на сообщение Поделиться на других сайтах
DarkSpider 36 Опубліковано: 2010-01-25 08:37:04 Share Опубліковано: 2010-01-25 08:37:04 Порты предлагал разнести, чтобы проверить конфиг на ошибки. Как и предполагал в конфигураторе/авторизаторе порт не совпадал с измененным портом в конфиге сервера. В онконекте/дисконнекте не вижу цепочки ната. Либо маскарада либо снат. Как предлогали выше : # 1 вариант iptables -t nat -A POSTROUTING -p all -s $net_cli -o $iface_world -j MASQUERADE iptables -t nat -A POSTROUTING -p all -d $net_cli -o $iface_world -j MASQUERADE Форвард днс запросов и пингов разрешен, но судя по иптаблам - более ничего Ссылка на сообщение Поделиться на других сайтах
vitiv 1 Опубліковано: 2010-01-25 08:50:42 Share Опубліковано: 2010-01-25 08:50:42 Конфигуратор подсоединился, была ошибка в stargazer.conf (указан порт 5555), а файрволом я открывал только 4444. Поменял в stargazer.conf.<br><br> Вы же показали конфиг-содержание этого файла при этом там указан в двух местах необходимый вам порт, не вводите в заблуждение Ссылка на сообщение Поделиться на других сайтах
vitiv 1 Опубліковано: 2010-01-25 17:32:29 Share Опубліковано: 2010-01-25 17:32:29 Подскажите как разрешить доступ в инет с сервера. Как вариантв правила фаервола(fw) добавить # NAT для сервера iptables -t nat -A POSTROUTING -p all -s $net_serv -o $iface_world -j MASQUERADE iptables -t nat -A POSTROUTING -p all -d $net_serv -o $iface_world -j MASQUERADE #Внешняя сеть net_serv=10.0.0.0/24 - сеть провайдера # Интерфейс смотрящий во внешний мир - судя по верхнему конфигу у вас eth1 iface_world=eth1 Логика и правила IPTABLES Ссылка на сообщение Поделиться на других сайтах
Galats 0 Опубліковано: 2010-01-28 17:43:50 Автор Share Опубліковано: 2010-01-28 17:43:50 Получается, я как слепой щенок тыкаюсь. Либо разбираться в Iptables самому, либо нанимать человека. Будут конкретные правила буду задавать. Спасибо откликнувшимся :-))) Ссылка на сообщение Поделиться на других сайтах
Galats 0 Опубліковано: 2010-01-28 21:01:14 Автор Share Опубліковано: 2010-01-28 21:01:14 Сейчас я отключил полностью отключил фаейрвол. Хочу для начала запусти билинговую систему, а потом "закручивать гайки" буду. Итак, авторизатором я подключился. В трее зеленым горит. Сетевой интерфейс настроил следующим образом ip 192.168.1.2/24 gw 192.168.1.23 - server stargazer DNS провайдера Как мне заставить работать инет в подсети клиентов (192,168,1,0/24)? Ссылка на сообщение Поделиться на других сайтах
DarkSpider 36 Опубліковано: 2010-01-28 21:32:01 Share Опубліковано: 2010-01-28 21:32:01 Galats, отписал в аську - стукани днем - помогу разобраться. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас