правила в файле "rules"

[phenix79 0]

Может кто нибудь подсказать...

Как stargazer считает трафик???

 

 

файл /etc/stargazer/rules

 

#Трафик на шлюзе

ALL 192.168.2.199 DIR0

ALL 95.215.244.4 DIR0

 

#Пинги не считаем

ICMP 0.0.0.0/0 NULL

 

#Местный трафик

ALL 70.38.5.104/29 DIR1

ALL 77.94.44.0/22 DIR1

ALL 77.95.56.0/21 DIR1

ALL 94.143.192.0/21 DIR1

ALL 212.42.96.0/19 DIR1

ALL 77.235.0.0/19 DIR1

ALL 92.245.96.0/19 DIR1

ALL 109.201.160.0/19 DIR1

 

Получается если клиент конектится с какого либо компа в инет, то он считает местный трафик для подсетей которые я обозначил выше (Местный трафик), а МИР наоборот не считает.

Объясните пожалуйста кто знает как он выполняет подсчет...??

Как мне сделать чтобы он считал местный трафик отдельно а мир отдельно??

 

Изначально в файле были

НАПРАВЛЕНИЯ DIR0 DIR1 DIR2 , я могу за место их дать какие то другие имена направлениям?? например DIRECT0 DIRECT1 DIRECT2

Как stargazer различает эти направления??

Я задал вышеперечисленные айпишники направлению DIR1....почему он считает именно их, а не МИР??

[Kucher2 122]

Он и не будет считать мир, потому что Вы его не указали. Например:

 

#Internet
ALL 0.0.0.0/0 DIR2

Изначально в файле были НАПРАВЛЕНИЯ DIR0 DIR1 DIR2 , я могу за место их дать какие то другие имена направлениям?? например DIRECT0 DIRECT1 DIRECT2

 

Нет. Имена, выводимые в авторизатор юзерам прописываются для каждого направления в stargazer.conf. Почитайте прилагаемый к СТГ PDF-файл помощи.

[phenix79 0]

Он и не будет считать мир, потому что Вы его не указали. Например:

 

#Internet
ALL 0.0.0.0/0 DIR2

Изначально в файле были НАПРАВЛЕНИЯ DIR0 DIR1 DIR2 , я могу за место их дать какие то другие имена направлениям?? например DIRECT0 DIRECT1 DIRECT2

 

Нет. Имена, выводимые в авторизатор юзерам прописываются для каждого направления в stargazer.conf. Почитайте прилагаемый к СТГ PDF-файл помощи.

А вот нашел в конфах действительно указывается

<DirNames>

DirName0 = Local

DirName1 = City

DirName2 = World

DirName3 =

DirName4 =

DirName5 =

DirName6 =

DirName7 =

DirName8 =

DirName9 =

</DirNames>

 

То есть DIR1 - это локалка

DIR2 - местные ресурсы

DIR3 - МИР

Я прав??

[Kucher2 122]

Да. Всё зависит от того какие диапазоны адресов назначаются для DIR*.

[phenix79 0]

Да. Всё зависит от того какие диапазоны адресов назначаются для DIR*.

 

Спасибо!!!

А вот такой вопрос..

МОжно ли в старгайзере просматривать статистику по посещаемым сайтам, что то вроде SAMS.. или может какое нибудь дополнительное програмное обеспечение нужно установить для этого ...??

Вопрос 2 : Можно ли выбрать какой либо другой способ авторизации??

То есть без установки программы авторизатор на компы юзеров??

Потому что я заметил что если закрываешь авторизатор без нажатия кнопки ВЫХОД...он потом висит в процессах и кто угодно может юзать интернет.

[madf 279]

Да. Всё зависит от того какие диапазоны адресов назначаются для DIR*.

 

Спасибо!!!

А вот такой вопрос..

МОжно ли в старгайзере просматривать статистику по посещаемым сайтам, что то вроде SAMS.. или может какое нибудь дополнительное програмное обеспечение нужно установить для этого ...??

Вопрос 2 : Можно ли выбрать какой либо другой способ авторизации??

То есть без установки программы авторизатор на компы юзеров??

Потому что я заметил что если закрываешь авторизатор без нажатия кнопки ВЫХОД...он потом висит в процессах и кто угодно может юзать интернет.

1. Только установкой Squid. Без него доступна статистика по IP.

2. Да, always online.

3. Если закрываешь авторизатор без "выхода" он остается в трее. Но это можно изменить в настройках.

[phenix79 0]

Да. Всё зависит от того какие диапазоны адресов назначаются для DIR*.

 

Спасибо!!!

А вот такой вопрос..

МОжно ли в старгайзере просматривать статистику по посещаемым сайтам, что то вроде SAMS.. или может какое нибудь дополнительное програмное обеспечение нужно установить для этого ...??

Вопрос 2 : Можно ли выбрать какой либо другой способ авторизации??

То есть без установки программы авторизатор на компы юзеров??

Потому что я заметил что если закрываешь авторизатор без нажатия кнопки ВЫХОД...он потом висит в процессах и кто угодно может юзать интернет.

1. Только установкой Squid. Без него доступна статистика по IP.

2. Да, always online.

3. Если закрываешь авторизатор без "выхода" он остается в трее. Но это можно изменить в настройках.

 

У меня стоят SAMS+SQUID, шеф попросил сделать чтобы он не считал местный трафик, я как положено полез в самсе в локальные домены прописывать диапазон адресов, но он как считал трафик так и считает дальше, то есть это не помогло(к стати что за не доработка в самсе с локальными доменами???уже не я первый на это жалуюсь), потом решил старгайзер поставить внес в RULES адреса и он не стал высчитывать...как раз так как я и хотел.

Но тут опять проблема, шефу нужна статистика по посещаемости сайтов, чего старгайзер не умеет делать.

Можно ли сделать так чтобы авторизация юзера проходила через сквид а статистика высчитывалась через STARGAZER.???

Короче говоря. Можно заставить работать SAMS+SQUID+STARGAZER вместе.

Для чего SAMS ??

Для того чтобы смотреть статистику по посещаемым сайтам.

У меня в Iptables стоит переадресация всего проходящего трафика на порт 3128.

Потом есть скрипт /etc/stargazer/*fw

#!/bin/bash

 

#Локальная подсеть

net_cli=192.168.2.0/14

 

#Адреса шлюза

server0=192.168.2.199 - сетевуха в локалку

server1=*.*.*.* - сетевуха в инет

 

#Интерфейс смотрящий на клиентов

iface_cli=eth0

 

#Интерфейс смотрящий во внешний мир

iface_world=eth1

 

#Порты на которых работают конфигуратор и авторизатор

conf_port=5555

user_port1=5555

 

echo "1" > /proc/sys/net/ipv4/ip_forward

 

# Очищаем правила файрвола

iptables -t filter -F

iptables -t filter -X

iptables -t nat -F

iptables -t nat -X

 

# Политика по умолчанию DROP: всем всё запрещено

iptables -t filter -P INPUT DROP

iptables -t filter -P FORWARD DROP

iptables -t filter -P OUTPUT DROP

 

# Разрешаем пингам ходить всюду и всегда

iptables -t filter -A INPUT -p icmp -j ACCEPT

iptables -t filter -A FORWARD -p icmp -j ACCEPT

iptables -t filter -A OUTPUT -p icmp -j ACCEPT

 

# Разрешаем всё на локальном интерфейсе

iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT

iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT

 

# Разрешить серверу общаться со внешним миром

iptables -t filter -A INPUT -i $iface_world -j ACCEPT

iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT

 

# DNS. Замечу, ДНС работает и по TCP и по UDP

iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT

iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT

iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT

iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT

iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT

iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT

iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT

iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT

 

# SSH

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

 

#Stargazer configurator

iptables -t filter -A INPUT -p tcp -s 192.168.2.0/24 -d $server0 --dport $conf_port -j ACCEPT

iptables -t filter -A OUTPUT -p tcp -d 192.168.2.0/24 -s $server0 --sport $conf_port -j ACCEPT

 

# UDP stargazer InetAccess

iptables -t filter -A INPUT -p udp -s 192.168.2.0/24 --sport $user_port1 -d $server0 -j ACCEPT

iptables -t filter -A OUTPUT -p udp -d 192.168.2.0/24 --dport $user_port1 -s $server0 -j ACCEPT

 

#Маскарад

iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE

 

Как только я запускаю скрипт, то после этого до самса не достучаться..

Как правильно выстроить правила в фаерволе??

Или точнее какие правило нужно внести чтобы работала связка SAMS+SQUID+STARGAZER?

Буду очень благодарен если кто то поможет в данном вопросе.

[yKpon 8]

дабы не создавать похожий топик спрошу здесь, из бесплатной подсетки 172.16.0.0/12 нужно сделать платным траффик с адреса 172.29.9.59.

правила на 172.16.0.0/12 проходят через ACCEPT перед правилами stg, а сам stg считает траффик через QUEUE, и rules выглядит так

ICMP    0.0.0.0/0               NULL
ALL     0.0.0.0/0               DIR1

пробовал правило на 172.29.9.59 делать в QUEUE и всё равно байты через него не идут, у кого какие мысли? спасибо

[madf 279]

дабы не создавать похожий топик спрошу здесь, из бесплатной подсетки 172.16.0.0/12 нужно сделать платным траффик с адреса 172.29.9.59.

правила на 172.16.0.0/12 проходят через ACCEPT перед правилами stg, а сам stg считает траффик через QUEUE, и rules выглядит так

ICMP    0.0.0.0/0               NULL
ALL     0.0.0.0/0               DIR1

пробовал правило на 172.29.9.59 делать в QUEUE и всё равно байты через него не идут, у кого какие мысли? спасибо

А что попадает в QUEUE?

[yKpon 8]

А что попадает в QUEUE?

в QUEUE правилами управлет старгейзер, локальный траффик идёт через ACCEPT перед правилами биллинга, мне просто не к чему его считать да и нагружать биллинг тоже не к чему

 

разобрался

/sbin/iptables -t filter -A FORWARD -s $IP -j QUEUE

/sbin/iptables -t filter -A FORWARD -d $IP -j QUEUE

/sbin/iptables -t filter -I FORWARD 1 -d $IP -s 172.29.9.59 -j QUEUE

траффик начал считаться инетовским