Jump to content

Recommended Posts

Posted

Проблема возможно обсуждалась, но по форуму не нашел..

 

Итак : stargazer 2.014.7.6 стоит на linux/debian, у клиентов винды.

 

Правила :

 

FORWARD - DROP

INPUT - DROP

OUTPUT - ACCEPT

 

OnConnect :

iptables -t filter -A INPUT -s $IP -j ACCEPT

iptables -t filter -A FORWARD -s $IP -j ACCEPT

iptables -t filter -A FORWARD -d $IP -j ACCEPT

iptables -t filter -A OUTPUT -d $IP -j ACCEPT

iptables -t nat -A POSTROUTING -p udp -m udp -s $IP -o eth0 -j MASQUERADE

iptables -t nat -A POSTROUTING -p tcp -m multiport --dport 20,21,25,110,143,443 -s $IP -o eth0 -j MASQUERADE

iptables -t nat -A POSTROUTING -p tcp -m multiport --dport 5190,5220,80,8080,13389 -s $IP -o eth0 -j MASQUERADE

 

OnDisconnect удаляет эти правила (проверял неоднократно - все окей)...

Суть в том что если пользователь выключает свой комп при включенном inetaccess в nat цепочке iptables правила для его ip остаются. Теперь если он включает комп и НЕ запускает inetaccess - он работает себе преспокойно в инете.

 

Принудительно на всех компах включить загрузку iAccess нет возможности. Значит, надо как-то проверять - активен ли пользователь и если нет - то выполнять OnDisconect.

Да, забыл : в stargzer.conf стоит:

 

# Если юзер в течение UserTimeout секунд не подает признаков жизни, сервер отключит его

# (естественно, если клиент был подключен до этого)

UserTimeout=600

 

# Время через которое сервер повторяет проверку того, жив ли клиент. Также это время

# через которое у клиента обновляется его статитстика. UserDelay должно быть в

# 3...10 раз меньше чем UserTimeout

UserDelay=60

 

Как можно обойти вышеописанную проблему ? Пока что только придумал либо пользователей "Всегда Online" включать (но тогда смысл контроля - работают они без ограничений в некоторых местах), либо проверять присуствие пользователя скриптом, смотреть его ip , проверять есть ли правила на этот ip в iptables и если нет - удалять. Примеров скрипта ни у кого не имеется ? А то из меня, признаться, пока что не очень грамотный скриптописатель :())))

Posted

Выложи пожалуйста полностю скрипты OnConnect b OnDisconnect

и fw

Posted

есть такое дело.

у меня у самого вышеописанный баг иногда проскакивает :(

может это в новом STG полечат

Posted

это глюк НЕ старгейзера, а фаервола.

конкретно - глюк иптейблс.

2pivich - плохо искал. на этом форуме была тема на несколько страниц по этому вопросу.

Posted

хм....

а чего у меня тогда все работает??

 

пока скрипты, версию iptables-ов , может чем-то поможем...

Posted

сейчас сделал удаление цепочек в цикле, так как показанно на stg.dp.ua посмотрим будет глюк или нет :(

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...