Проблемы со stargazer под freebsd

[Гость Guest]

Если ктонибудь настраивал старгазер под фряхой, подскажите как нужно прописывать правила для него в ipfw и в файлах OnConnect и Disconnect?? А то что в документации по старгазеру написано нифига не работает.

[XoRe 0]

каждый подстраивает правила под себя.

в доках просто показано, как можно сделать.

[Max 0]

Смотри:

Как сделано у меня:

Доступ в интернет раделён по правилам фаервола на две части одна это та которая для всех клиентов одинакова, тоесть обратный диверт:

ipfw 65534 divert natd all from any to any in recv xl0

Это означает что если пакет пройдёт все проверки на запрещающие правила то он будет завёрнут на обратный диверт на нат и потом будет отдан клиенту.

Есть вторая часть правил которая хранится в onconnect, эти правила делают прямой диверт на нат!

ipfw a 1234 divert natd all from 192.168.0.1 to any via xl0.

Это один из самых простых вариантов.

[Max 0]

И ещё если ты не используешь нат а proxy то тогда можно разруливать доступом к порту прокси.

Тоесть есть одно глобальное запрещающее правило доступа к порту прокси, тогда в onconnect идут исключения.

типа:

ipfw a 123 allow tcp from 192.168.0.1 to me 3128

[XoRe 0]

Поделюсь своим вариантом:

У меня есть правило 9000 - что-то типа deny ip from локалка to any

Когда человек подключается, создается правило 50хх - skip 10000 ip from айпишник to any.

Т.е. когда срабатывает это правило, следующим выполняется 10000, а 9000 перепрыгивается.

После 10000 идут обычные правила, разрешения, запрещения, диверт, разброс по каналам провайдера и т.д.

 

До 5000 правил есть несколько правил типа skip 10000 ip from локалка то me список_портов.

Т.е. на этот список_портов юзеров пускает и без авторизации.

 

Получается очень гибкая система, когда админ решает, какие сервисы доступны без авторизации, а какие нет.

 

Причем skipto лучше, чем allow тем, что при использовании allow пакет до него доходит и все, может и до диверта не достать.

А при skipto пакет никуда не девается.