Перейти до

настройка iptables


Рекомендованные сообщения

Настраиваю сервер Убунту Сервер с stargazer-ом.

С сайта взял пример настройки файла fw в основе которого iptable

вот этот файл

#!/bin/bash

 

#Машина в офисе

office=192.168.1.0/24

 

#Машина администратора

admin=192.168.1.2

 

# Адреса роутера

server0=192.168.1.23

# server1=10.3.2.111

# server2=172.18.1.1

 

# Адрес файлового архива с mp3 и video

#video_serv=172.18.1.2

 

# Интерфейс смотрящий на клиентов

iface_cli=eth0

 

# Интерфейс смотрящий во внешний мир

iface_world=eth1

 

# Интерфейс смотрящий на архив

#iface_int=eth2

 

#Порты, на которых работает конфигуратор и авторизатор

conf_port=4444

user_port1=4444

# Разрешаем форвардинг пакетов между интерфейсами

# Эта штука необязательна, просто в некоторых дистрибутивах

# по умолчанию форвардинг разрешен, а в некоторых - запрещен

# Если мы подстрахуемся, хуже не будет

echo "1" > /proc/sys/net/ipv4/ip_forward

 

# Очищаем правила файрвола

iptables -t filter -F

iptables -t filter -X

iptables -t nat -F

iptables -t nat -X

 

# Политика по умолчанию DROP: всем всё запрещено

iptables -t filter -P INPUT DROP

iptables -t filter -P FORWARD DROP

iptables -t filter -P OUTPUT DROP

 

# Разрешаем пингам ходить всюду и всегда

iptables -t filter -A INPUT -p icmp -j ACCEPT

iptables -t filter -A FORWARD -p icmp -j ACCEPT

iptables -t filter -A OUTPUT -p icmp -j ACCEPT

 

# Разрешаем всё на локальном интерфейсе

iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT

iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT

 

# Разрешить серверу общаться со внешним миром

iptables -t filter -A INPUT -i $iface_world -j ACCEPT

iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT

 

# Разрешить видео-серверу обращаться во внешним миром и роутером

# iptables -t filter -A INPUT -s $video_serv -j ACCEPT

# iptables -t filter -A FORWARD -s $video_serv -j ACCEPT

# iptables -t filter -A FORWARD -d $video_serv -j ACCEPT

# iptables -t filter -A OUTPUT -d $video_serv -j ACCEPT

 

# DNS. Замечу, ДНС работает и по TCP и по UDP

iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT

iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT

iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT

iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT

iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT

iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT

iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT

iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT

 

# SSH

iptables -t filter -A INPUT -p tcp -s $office -d $server0 --dport 22 -j ACCEPT

iptables -t filter -A OUTPUT -p tcp -d $office -s $server0 --sport 22 -j ACCEPT

iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT

iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT

 

# Stargazer configurator

iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport $conf_port -j ACCEPT

iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport $conf_port -j ACCEPT

 

# UDP stargazer InetAccess

iptables -t filter -A INPUT -p udp -s $office --sport $user_port1 -d $server0 -j ACCEPT

iptables -t filter -A OUTPUT -p udp -d $office --dport $user_port1 -s $server0 -j ACCEPT

 

#Маскарад

# iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE

 

То что я не использую, закомментировано.

 

Вопрос 1. После запуска системы (это скрипт стоит на выполнение при загрузке системы) у меня пинги нружу идут, но вот все остально открыто.

Подскажите как разрешить доступ в инет с сервера.

 

Вопрос 2. Не могу подключиться конфигуратором с админской машины (192.168.1.2:4444), телнетом тоже не могу подключиться на сервер порт 4444.

 

У меня следующая схема домашней сети.

Сервер Ubuntu

1. eth0 192.168.1.23 (смотрит во внутреннюю лок сеть)

2. eth1 10.*.*.* лок сетьмоего провайдера

3. ppp0 vpn соединение, от которогоя питаюсь Инетом.

Ссылка на сообщение
Поделиться на других сайтах

# SSH

iptables -t filter -A INPUT -p tcp -s $office -d $server0 --dport 22 -j ACCEPT

iptables -t filter -A OUTPUT -p tcp -d $office -s $server0 --sport 22 -j ACCEPT

iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT

iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT

Не вижу смысла. $office - это подсеть, зачем еще и машину админа сюда ? или Вы всей подсети разрешаете ? (машина админа уже попадает под правило офиса - т.е. в подсеть).

Это по скрипту начального фаера.

 

Ответ на Вопрос1.

Покажите скрипты онконнекта и ондисконнекта. Думаю телепаты со мной согласятся. А так же покажи правила iptables после коннекта юзера.

Ответ на Вопрос2.

Покажи конфиг СТГ - возможно порт конфигуратора не 4444.

Так же советую разнести порты конфигуратора и авторизатора.

Ссылка на сообщение
Поделиться на других сайтах

...

Так же советую разнести порты конфигуратора и авторизатора.

А смысл? Они ж по разным протоколам работают.

Ссылка на сообщение
Поделиться на других сайтах
Ответ на Вопрос1.

Покажите скрипты онконнекта и ондисконнекта. Думаю телепаты со мной согласятся. А так же покажи правила iptables после коннекта юзера.

#Этот скрипт вызывается в момент, когда пользователь
#успешно прошел авторизацию на сервере. Задача скрипта - перестроить 
#файрвол так, что бы пользователь получил доступ в интернет

# Login
LOGIN=$1

#user IP
IP=$2

#cash
CASH=$3

#user ID
ID=$4

#Selected dirs to connect
DIRS=$5


#echo "C `date +%Y.%m.%d-%H.%M.%S` $IP $CASH" >> /var/stargazer/users/$LOGIN/connect.log

# Этот скрипт вызывается в момент, когда пользователь
# желает отключится от интернета или вышел таймаут у пользователя
# и сервер сам отключает пользователя
# Задача скрипта подобна задаче скрипта OnConnect - перестроить 
# файрвол так, что бы пользователю закрыть доступ в интернет

# Login
LOGIN=$1

#user IP
IP=$2

#cash
CASH=$3

#user ID
ID=$4

#Selected dirs to disconnect
DIRS=$4

#echo "D `date +%Y.%m.%d-%H.%M.%S` $IP $CASH" >> /var/stargazer/users/$LOGIN/connect.log

А вот правила iptables после коннекта

 

root@gubuntu:/etc/stargazer# /sbin/iptables -nL

Chain INPUT (policy DROP)

target prot opt source destination

ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0

ACCEPT all -- 0.0.0.0/0 127.0.0.1

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:53

ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53

ACCEPT tcp -- 192.168.1.2 192.168.1.23 tcp dpt:22

ACCEPT tcp -- 192.168.1.2 192.168.1.23 tcp dpt:4444

ACCEPT udp -- 192.168.1.0/24 192.168.1.23 udp spt:4444

 

Chain FORWARD (policy DROP)

target prot opt source destination

ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:53

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53

ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53

ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53

 

Chain OUTPUT (policy DROP)

target prot opt source destination

ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0

ACCEPT all -- 127.0.0.1 0.0.0.0/0

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53

ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53

ACCEPT tcp -- 192.168.1.23 192.168.1.2 tcp spt:22

ACCEPT tcp -- 192.168.1.23 192.168.1.2 tcp spt:4444

ACCEPT udp -- 192.168.1.23 192.168.1.0/24 udp dpt:4444

инета на сервере 192,168,1,23 нет

Хотя пинги ходят наружу

root@gubuntu:/etc/stargazer# ping ya.ru

PING ya.ru (93.158.134.8) 56(84) bytes of data.

64 bytes from ya.ru (93.158.134.8): icmp_seq=1 ttl=48 time=53.2 ms

64 bytes from ya.ru (93.158.134.8): icmp_seq=2 ttl=48 time=39.8 ms

64 bytes from ya.ru (93.158.134.8): icmp_seq=3 ttl=48 time=38.8 ms

 

Ответ на Вопрос2.

Покажи конфиг СТГ - возможно порт конфигуратора не 4444.

Так же советую разнести порты конфигуратора и авторизатора.

 

################################################################################
# Файл настроек сервера stargazer #
################################################################################

# Имя лог-файла куда пишутся события
LogFile = /var/log/stargazer.log



# Имя PID-файла куда пишется идентификатор процесса
# По умолчанию /var/run/pid
# PIDFile = /var/run/stargazer.pid



# Имя файла в котором определяются правила подсчета трафика
Rules = /etc/stargazer/rules



# Время через которое пишется d БД детальная статистика пользователя
# Значения: 1, 1/2, 1/4, 1/6.
# 1 - раз в чаc, 1/2 - раз в пол часа, 1/4 - раз в 15 мин, 1/6 - раз в 10 мин
DetailStatWritePeriod=1/6



# Периодичность записи записи в БД информации о статистике пользователя (минуты)
# При большом кол-ве пользователей эту величину стоит увеличить, т.к.
# запись в БД может занимать длительное время.
# Значения: 1...1440 (минуты)
StatWritePeriod = 10



# День снятия абонплаты
# Значения: 0...31. 0 - Последний день месяца
DayFee = 1



# Абонплата снимается в последний (yes) или первый (no) день учетного периода.
# Это влияет на то, как будет снята абонплата (АП) при переходе на новый тариф.
# Если у пользователя был тариф A с АП=100 и он хочет перейти на тариф B с АП=200,
# то при переходе на новый тариф со счета пользователя снимется 100, если
# DayFeeIsLastDay = yes и 200, если DayFeeIsLastDay = no
DayFeeIsLastDay = yes



# День сброса данных о трафике за месяц и день перехода пользователей на новые тарифы
# Значения: 0...31. 0 - Последний день месяца
DayResetTraff = 1



# "Размазанное" снятие абонплаты. Снятие АП не раз в месяц, а каждый
# день 1/30 или 1/31 части АП
# Значения: yes, no
SpreadFee = no



# Данная опция определяет может ли пользователь получить доступ в интерент
# если у него на счету нет денег, но остался предоплаченный трафик
# Значения: yes, no
FreeMbAllowInet = no



# Эта опция определяет что будет писаться в стоимость трафика в detail_stat.
# Если у пользователя еще есть предоплаченный трафик и WriteFreeMbTraffCost = no,
# то в detail_stat стоимость будет 0. Если у пользователя уже нет
# предоплаченного трафика и WriteFreeMbTraffCost = no, то в detail_stat
# будет записана стоиость трафика. При WriteFreeMbTraffCost = yes стоимость
# трафика будет записана в любом случае.
WriteFreeMbTraffCost = no



# Необязательный параметр. Указывает снимать полную абонплату у пользователя даже
# если он быз заморожен только часть учетного периода.
# По умолчанию установлен в no
# FullFee=no

# Необязательный параметр указывающий показывать на счету и позволять 
# использовать пользователю абонплату. По умолчанию установлен в yes
# ShowFeeInCash=yes



# Названия направлений. Направления без названий не будут отображаться в
# авторизаторе и конфигураторе. Названия состоящие из нескольких слов должны
# быть взяты в кавычки
<DirNames>
DirName0 = local
DirName1 = inet
DirName2 =
DirName3 =
DirName4 =
DirName5 =
DirName6 =
DirName7 =
DirName8 =
DirName9 =
</DirNames>



# Кол-во запускаемых процессов stg-exec.
# Эти процессы отвечают за выполнение скриптов OnConnect, OnDisconnect, ...
# Кол-во процессов означает сколько скриптов могут выполнятся одновременно.
# Значения: 1...1024
ExecutersNum = 1



# Message Key для stg-exec.
# Идентификатор очереди сообщений для выполнятеля скриптов.
# Его изменение может понадобится если есть необходимость запустить несколько
# экземпляров stg. Если вы не понимаете, что это, не трогайте этот параметр!
# Значения: 0...2^32
# Значение по умолчанию: 5555
# ExecMsgKey = 5555



# Путь к директории, в которой находятся модули сервера
ModulesPath = /usr/lib/stg

# Определяет директорию, в которой будут находится файлы "монитора"
# работы сервера. В этой директории будут созданы пустые файлы, время 
# модификации которых будет меняться примерно раз в минуту. Если какой-то 
# компонент сервера зависнет, файл(ы) перестанет обновлятся, и по этому 
# признаку можно определить сбой в работе сервера и при надобности 
# перезапустить. Если параметр не указан или пустой, мониторинг производится 
# не будет. Параметр не является обязательным, по умолчанию пустой.
# MonitorDir=/var/stargazer/monitor


################################################################################
# Store module
# Настройки плагина работающего с БД сервера

# Второй параметр - это имя модуля без mod_ в начале и .so в конце
# Т.е. полное имя модуля mod_store_files.so
<StoreModule store_files>

# Рабочая директория сервера, тут содержатся данные о тарифах, пользователях,
# администраторах и т.д.
WorkDir = /var/stargazer


# Владелец, группа и права доступа на файлы статистики (stat) пользователя
ConfOwner = root
ConfGroup = root
ConfMode = 600


# Владелец, группа и права доступа на файлы конфигурации (conf) пользователя
StatOwner = root
StatGroup = root
StatMode = 640

# Владелец, группа и права доступа на лог-файлы (log) пользователя
UserLogOwner = root
UserLogGroup = root
UserLogMode = 640

# Удалять резервные копии после успешной записи conf/stat
# Значения: yes, no
# По умолчанию: yes
# RemoveBak = yes

# Восстанавливать файлы conf/stat из резервных копий при ошибке чтения
# Значения: yes, no
# По умолчанию: no
# ReadBak = no

</StoreModule>

#<StoreModule store_firebird>
# # Адрес сервера БД
# server=localhost
#
# # Путь к БД на сервере или ее алиас
# database=/var/stg/stargazer.fdb
#
# # Имя пользователя БД
# user=stg
#
# # Пароль пользователя БД
# password=123456
#
# # Уровень изоляции транзаций (не обязательно, по умолчанию oncurrency):
# # concurrency
# # dirtyRead
# # readCommitted
# # consistency
# isolationLevel=concurrency
#
# # Действия при блокировках (не обязательно, по умолчанию wait):
# # wait
# # noWait
# lockResolution=wait
#</StoreModule>

#<StoreModule store_postgresql>
# # Адрес сервера БД
# server=localhost
#
# # Имя БД
# database=stargazer
#
# # Имя пользователя БД
# user=stg
#
# # Пароль пользователя БД
# password=123456
#</StoreModule>

#<StoreModule store_mysql>
# # Имя пользователя БД
# dbuser = stg
#
# # Пароль пользователя БД
# rootdbpass = 123456
#
# # Имя БД на сервере
# dbname = stg
#
# # Адрес сервера БД
# dbhost = localhost
#</StoreModule>

################################################################################
# Прочие модули

<Modules>

# Настройки плагина авторизации Always Online "mod_auth_ao.so"
# Второй параметр - это имя модуля без mod_ в начале и .so в конце
# Т.е. полное имя модуля mod_auth_ao.so
<Module auth_ao>
</Module>



# Настройки плагина авторизации InetAccess "mod_auth_ia.so"
# Второй параметр - это имя модуля без mod_ в начале и .so в конце
# Т.е. полное имя модуля mod_auth_ia.so
<Module auth_ia>

# Порт на котором принимаются обращения от авторизатора
# Значения: 1...65534
Port = 4444


# Время между посылками запроса пользователю жив ли он
# и обновлением данных статистики (секунды)
# Значения: 5...600
UserDelay = 15


#Таймаут для пользователя. Если в течение этого времени авторизатор
#не отвечает, пользователь будет отключен
# Значения: 15...1200
UserTimeout = 65


# Этот параметр определяет что будет передаваться программе InetAccess от сервера
# как отстаток предоплаченного трафика
# Значения:
# FreeMb = 0 - кол-во бесплатных мегабайт в пресчете на цену нулевого направления
# FreeMb = 1 - кол-во бесплатных мегабайт в пресчете на цену первого направления
# FreeMb = 2 - кол-во бесплатных мегабайт в пресчете на цену второго направления
# FreeMb = 3 - кол-во бесплатных мегабайт в пресчете на цену третьего направления
# ........................
# FreeMb = 9 - кол-во бесплатных мегабайт в пресчете на цену девятого направления
# FreeMb = cash - кол-во денег на которые юзер может бесплатно качать
# FreeMb = none - ничего не передавать
FreeMb = cash

</Module>



# Модули можно использовать несколько раз с разными параметрами
#<Module auth_ia>
# Port = 7777
# UserDelay = 15
# UserTimeout = 65
# FreeMb = 0
#</Module>



# Настройки модуля конфигурации SgConfig "mod_conf_sg.so"
# Второй параметр - это имя модуля без mod_ в начале и .so в конце
<Module conf_sg>

# Порт по которому сервер взаимодействует с конфигуратором
# Значения: 1...65535
Port = 4444

</Module>



# Модуль захвата трафика "mod_cap_ether.so"
# Второй параметер - это имя модуля без mod_ в начале и .so в конце
# Без параметров. Только имя модуля.
<Module cap_ether>
# Модуль без параметров
</Module>

# Модуль захвата трафика "mod_cap_nf.so"
# Принимает информацию о трафике по протоколу NetFlow
# Второй параметер - это имя модуля без mod_ в начале и .so в конце
<Module cap_nf>
# TCPPort - порт для TCP-соединений
TCPPort = 42111

# UDPPort - порт для UDP-соединений
UDPPort = 42111

# Могут иметь совпадающие значения.
# Если параметр не указан - соответствующий порт не "прослушивается".
</Module>



# Настройки модуля пингующего пользователей "mod_ping.so"
# Второй параметр - это имя модуля без mod_ в начале и .so в конце
<Module ping>

# Время, в секундах, между пингами одного и того же пользователя
# Значения: 10...3600
PingDelay = 15

</Module>

# # Настройки модуля для удаленного выполнения скриптов OnConnect и
# # OnDisconnect "mod_remote_script.so"
# # Второй параметр - это имя модуля без mod_ в начале и .so в конце
# <Module remote_script>
#
# # Время, в секундах, между посылками подтверждений, того, что пользователь
# # всё еще онлайн
# # Значения: 10...600
# SendPeriod = 15
#
# # Соответствие подсетей, в которой находится пользователь и
# # соответствующего роутера. Первая часть строки - подсеть, заданная
# # как IP-адрес и маска, через пробел - IP-адрес роутера на котором
# # должны выполняться скрипты
# # Например эта запись "192.168.1.0/24 192.168.1.1" означает, что для
# # всех пользователей из подсети 192.168.1.0/24, скрипты будут
# # выполняться на роутере с адресом 192.168.1.1
# # Subnet0...Subnet100
# Subnet0 = 192.168.1.0/24 192.168.1.7
# Subnet1 = 192.168.2.0/24 192.168.2.5
# Subnet2 = 192.168.3.0/24 192.168.2.5
# Subnet3 = 192.168.4.0/24 192.168.2.5
#
# # Пароль для шифрования пакетов между stg-сервером и сервером,
# # выполняющим скрипты
# Password = 123456
#
# # Этот параметр определяет какие параметры пользователя передаются
# # на удаленный сервер
# # Cash, FreeMb, Passive, Disabled, AlwaysOnline, TariffName, NextTariff, Address,
# # Note, Group, Email, RealName, Credit, EnabledDirs, Userdata0...Userdata9
# UserParams=Cash Tariff EnabledDirs
#
# # Порт по которому сервер отсылает сообщения на роутер
# # Значения: 1...65535
# Port = 9999
#
# </Module>

# <Module radius>
# Password = 123456
# ServerIP = 127.0.0.1
# Port = 6666
# AuthServices = Login-User
# AcctServices = Framed-User
# </Module>

</Modules>
################################################################################

Ссылка на сообщение
Поделиться на других сайтах

если у вас установка Stargazer на Ubuntu прошла удачно, изначально приведите конфиги к стандартному виду, прочитайте внимательно -

Начало

Рабочие конфиги и установки подойдут для Ubuntu

 

p/s думается, прежде чем задавать вопросы, неплохо было бы указать версию Stargazer(a)...

Ссылка на сообщение
Поделиться на других сайтах
если у вас установка Stargazer на Ubuntu прошла удачно, изначально приведите конфиги к стандартному виду, прочитайте внимательно -

Начало

Рабочие конфиги и установки подойдут для Ubuntu

 

p/s думается, прежде чем задавать вопросы, неплохо было бы указать версию Stargazer(a)...

Такое ощущение, что некоторые представители на этом форуме набирают количествоо сообщений...

Неохота разбираться в конфигах чужих. Это понятно, ну не надо отбивать желание других его отбивать. Я подбробно описываю проблему, так телепатов здесь нет.

P.S. Извините за лирическое отступление.

Ссылка на сообщение
Поделиться на других сайтах

Неохота разбираться в конфигах чужих. Это понятно, ну не надо отбивать желание других его отбивать. Я подбробно описываю проблему, так телепатов здесь нет.

P.S. Извините за лирическое отступление.

Действительно- телепатов нет и не будет,а правильно заданный вопрос - это гарантия на получение правильного ответа

Вопрос 1. После запуска системы (это скрипт стоит на выполнение при загрузке системы) у меня пинги нружу идут, но вот все остально открыто.

Подскажите как разрешить доступ в инет с сервера.

Stargazer сам по себе не влияет на сетевые настройки сервера, его можно временно отключить

для решения вашего вопроса -т.е. сначала необходимо поработать с правилами фаервола которые находятся в файле fw

Чтобы что то разрешить необходимо знать более чем eth1 10.*.*.*

покажите на Ubuntu настройки:

сетевых интерфейсов /etc/network/interfaces

resolv.conf

выполнить и показать route до поключения по VPN и после + всё что касаемо и связано с сетевыми настройками вашего сервера

Вопрос 2. Не могу подключиться конфигуратором с админской машины (192.168.1.2:4444), телнетом тоже не могу подключиться на сервер порт 4444.

Вы пытаетесь подключится как администратор - IP 192.168.1.2 - на шлюз IP 192.168.1.23 вашего сервера по порту 4444

Проверте пинг данного адреса, прямое подключение к данному ip сервера без фаервола сервера и

брандмауэра админского компьютера - схема примерно такая:

- stargazer(Ubuntu) поключен

- fw + iptables отключены

- VPN отключен

далее - коннект авторизатора или конфигуратора(по умолчанию login: admin password: 123456) к 192.168.1.23 порт 4444

 

Покажите ipconfig/all - route print на админском компьютере

 

обязательно к изучению https://help.ubuntu.com/community/IptablesHowTo

======================================================================

Пример:

простой роутер -пробросить инет для сети 192.168.1.0/24

при этом на клиентах необходимо указывать DNS вашего провайдера

test

#!/bin/bash

net_cli=192.168.1.0/24

iface_world=eth0

echo 1 > /proc/sys/net/ipv4/ip_forward

# 1 вариант
iptables -t nat -A POSTROUTING -p all -s $net_cli -o $iface_world -j MASQUERADE
iptables -t nat -A POSTROUTING -p all -d $net_cli -o $iface_world -j MASQUERADE

# 2 вариант
#/sbin/iptables -t nat -A POSTROUTING -p all -s $net_cli -o $iface_world -j MASQUERADE
#/sbin/iptables -t nat -A POSTROUTING -p all -d $net_cli -o $iface_world -j MASQUERADE

Ссылка на сообщение
Поделиться на других сайтах

Конфигуратор подсоединился, была ошибка в stargazer.conf (указан порт 5555), а файрволом я открывал только 4444. Поменял в stargazer.conf.<br><br>

Ссылка на сообщение
Поделиться на других сайтах

Порты предлагал разнести, чтобы проверить конфиг на ошибки. Как и предполагал в конфигураторе/авторизаторе порт не совпадал с измененным портом в конфиге сервера.

В онконекте/дисконнекте не вижу цепочки ната. Либо маскарада либо снат. Как предлогали выше :

# 1 вариант
iptables -t nat -A POSTROUTING -p all -s $net_cli -o $iface_world -j MASQUERADE
iptables -t nat -A POSTROUTING -p all -d $net_cli -o $iface_world -j MASQUERADE

Форвард днс запросов и пингов разрешен, но судя по иптаблам - более ничего :(

Ссылка на сообщение
Поделиться на других сайтах

Конфигуратор подсоединился, была ошибка в stargazer.conf (указан порт 5555), а файрволом я открывал только 4444. Поменял в stargazer.conf.<br><br>

Вы же показали конфиг-содержание этого файла при этом там указан в двух местах необходимый вам порт,

не вводите в заблуждение :(

Ссылка на сообщение
Поделиться на других сайтах

Подскажите как разрешить доступ в инет с сервера.

Как вариант

в правила фаервола(fw) добавить

# NAT для сервера
iptables -t nat -A POSTROUTING -p all -s $net_serv -o $iface_world -j MASQUERADE
iptables -t nat -A POSTROUTING -p all -d $net_serv -o $iface_world -j MASQUERADE

#Внешняя сеть
net_serv=10.0.0.0/24 - сеть провайдера
# Интерфейс смотрящий во внешний мир - судя по верхнему конфигу у вас eth1
iface_world=eth1

 

Логика и правила IPTABLES

Ссылка на сообщение
Поделиться на других сайтах

Получается, я как слепой щенок тыкаюсь. Либо разбираться в Iptables самому, либо нанимать человека.

Будут конкретные правила буду задавать.

Спасибо откликнувшимся :-)))

Ссылка на сообщение
Поделиться на других сайтах

Сейчас я отключил полностью отключил фаейрвол.

Хочу для начала запусти билинговую систему, а потом "закручивать гайки" буду.

Итак, авторизатором я подключился. В трее зеленым горит.

Сетевой интерфейс настроил следующим образом

ip 192.168.1.2/24

gw 192.168.1.23 - server stargazer

DNS провайдера

Как мне заставить работать инет в подсети клиентов (192,168,1,0/24)?

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...