pivich Posted September 7, 2005 Posted September 7, 2005 Проблема возможно обсуждалась, но по форуму не нашел.. Итак : stargazer 2.014.7.6 стоит на linux/debian, у клиентов винды. Правила : FORWARD - DROP INPUT - DROP OUTPUT - ACCEPT OnConnect : iptables -t filter -A INPUT -s $IP -j ACCEPT iptables -t filter -A FORWARD -s $IP -j ACCEPT iptables -t filter -A FORWARD -d $IP -j ACCEPT iptables -t filter -A OUTPUT -d $IP -j ACCEPT iptables -t nat -A POSTROUTING -p udp -m udp -s $IP -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -p tcp -m multiport --dport 20,21,25,110,143,443 -s $IP -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -p tcp -m multiport --dport 5190,5220,80,8080,13389 -s $IP -o eth0 -j MASQUERADE OnDisconnect удаляет эти правила (проверял неоднократно - все окей)... Суть в том что если пользователь выключает свой комп при включенном inetaccess в nat цепочке iptables правила для его ip остаются. Теперь если он включает комп и НЕ запускает inetaccess - он работает себе преспокойно в инете. Принудительно на всех компах включить загрузку iAccess нет возможности. Значит, надо как-то проверять - активен ли пользователь и если нет - то выполнять OnDisconect. Да, забыл : в stargzer.conf стоит: # Если юзер в течение UserTimeout секунд не подает признаков жизни, сервер отключит его # (естественно, если клиент был подключен до этого) UserTimeout=600 # Время через которое сервер повторяет проверку того, жив ли клиент. Также это время # через которое у клиента обновляется его статитстика. UserDelay должно быть в # 3...10 раз меньше чем UserTimeout UserDelay=60 Как можно обойти вышеописанную проблему ? Пока что только придумал либо пользователей "Всегда Online" включать (но тогда смысл контроля - работают они без ограничений в некоторых местах), либо проверять присуствие пользователя скриптом, смотреть его ip , проверять есть ли правила на этот ip в iptables и если нет - удалять. Примеров скрипта ни у кого не имеется ? А то из меня, признаться, пока что не очень грамотный скриптописатель ))))
ser Posted September 7, 2005 Posted September 7, 2005 Выложи пожалуйста полностю скрипты OnConnect b OnDisconnect и fw
asa Posted September 7, 2005 Posted September 7, 2005 есть такое дело. у меня у самого вышеописанный баг иногда проскакивает может это в новом STG полечат
XoRe Posted September 11, 2005 Posted September 11, 2005 это глюк НЕ старгейзера, а фаервола. конкретно - глюк иптейблс. 2pivich - плохо искал. на этом форуме была тема на несколько страниц по этому вопросу.
keshaLG Posted September 11, 2005 Posted September 11, 2005 хм.... а чего у меня тогда все работает?? пока скрипты, версию iptables-ов , может чем-то поможем...
asa Posted September 12, 2005 Posted September 12, 2005 сейчас сделал удаление цепочек в цикле, так как показанно на stg.dp.ua посмотрим будет глюк или нет
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now