pivich 0 Posted 2005-09-07 12:25:18 Share Posted 2005-09-07 12:25:18 Проблема возможно обсуждалась, но по форуму не нашел.. Итак : stargazer 2.014.7.6 стоит на linux/debian, у клиентов винды. Правила : FORWARD - DROP INPUT - DROP OUTPUT - ACCEPT OnConnect : iptables -t filter -A INPUT -s $IP -j ACCEPT iptables -t filter -A FORWARD -s $IP -j ACCEPT iptables -t filter -A FORWARD -d $IP -j ACCEPT iptables -t filter -A OUTPUT -d $IP -j ACCEPT iptables -t nat -A POSTROUTING -p udp -m udp -s $IP -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -p tcp -m multiport --dport 20,21,25,110,143,443 -s $IP -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -p tcp -m multiport --dport 5190,5220,80,8080,13389 -s $IP -o eth0 -j MASQUERADE OnDisconnect удаляет эти правила (проверял неоднократно - все окей)... Суть в том что если пользователь выключает свой комп при включенном inetaccess в nat цепочке iptables правила для его ip остаются. Теперь если он включает комп и НЕ запускает inetaccess - он работает себе преспокойно в инете. Принудительно на всех компах включить загрузку iAccess нет возможности. Значит, надо как-то проверять - активен ли пользователь и если нет - то выполнять OnDisconect. Да, забыл : в stargzer.conf стоит: # Если юзер в течение UserTimeout секунд не подает признаков жизни, сервер отключит его # (естественно, если клиент был подключен до этого) UserTimeout=600 # Время через которое сервер повторяет проверку того, жив ли клиент. Также это время # через которое у клиента обновляется его статитстика. UserDelay должно быть в # 3...10 раз меньше чем UserTimeout UserDelay=60 Как можно обойти вышеописанную проблему ? Пока что только придумал либо пользователей "Всегда Online" включать (но тогда смысл контроля - работают они без ограничений в некоторых местах), либо проверять присуствие пользователя скриптом, смотреть его ip , проверять есть ли правила на этот ip в iptables и если нет - удалять. Примеров скрипта ни у кого не имеется ? А то из меня, признаться, пока что не очень грамотный скриптописатель )))) Link to post Share on other sites
ser 26 Posted 2005-09-07 13:03:07 Share Posted 2005-09-07 13:03:07 Выложи пожалуйста полностю скрипты OnConnect b OnDisconnect и fw Link to post Share on other sites
asa 5 Posted 2005-09-07 13:25:03 Share Posted 2005-09-07 13:25:03 есть такое дело. у меня у самого вышеописанный баг иногда проскакивает может это в новом STG полечат Link to post Share on other sites
XoRe 0 Posted 2005-09-11 11:28:04 Share Posted 2005-09-11 11:28:04 это глюк НЕ старгейзера, а фаервола. конкретно - глюк иптейблс. 2pivich - плохо искал. на этом форуме была тема на несколько страниц по этому вопросу. Link to post Share on other sites
keshaLG 5 Posted 2005-09-11 12:32:27 Share Posted 2005-09-11 12:32:27 хм.... а чего у меня тогда все работает?? пока скрипты, версию iptables-ов , может чем-то поможем... Link to post Share on other sites
asa 5 Posted 2005-09-12 12:13:39 Share Posted 2005-09-12 12:13:39 сейчас сделал удаление цепочек в цикле, так как показанно на stg.dp.ua посмотрим будет глюк или нет Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now