pivich 0 Опубликовано: 2005-09-07 12:25:18 Share Опубликовано: 2005-09-07 12:25:18 Проблема возможно обсуждалась, но по форуму не нашел.. Итак : stargazer 2.014.7.6 стоит на linux/debian, у клиентов винды. Правила : FORWARD - DROP INPUT - DROP OUTPUT - ACCEPT OnConnect : iptables -t filter -A INPUT -s $IP -j ACCEPT iptables -t filter -A FORWARD -s $IP -j ACCEPT iptables -t filter -A FORWARD -d $IP -j ACCEPT iptables -t filter -A OUTPUT -d $IP -j ACCEPT iptables -t nat -A POSTROUTING -p udp -m udp -s $IP -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -p tcp -m multiport --dport 20,21,25,110,143,443 -s $IP -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -p tcp -m multiport --dport 5190,5220,80,8080,13389 -s $IP -o eth0 -j MASQUERADE OnDisconnect удаляет эти правила (проверял неоднократно - все окей)... Суть в том что если пользователь выключает свой комп при включенном inetaccess в nat цепочке iptables правила для его ip остаются. Теперь если он включает комп и НЕ запускает inetaccess - он работает себе преспокойно в инете. Принудительно на всех компах включить загрузку iAccess нет возможности. Значит, надо как-то проверять - активен ли пользователь и если нет - то выполнять OnDisconect. Да, забыл : в stargzer.conf стоит: # Если юзер в течение UserTimeout секунд не подает признаков жизни, сервер отключит его # (естественно, если клиент был подключен до этого) UserTimeout=600 # Время через которое сервер повторяет проверку того, жив ли клиент. Также это время # через которое у клиента обновляется его статитстика. UserDelay должно быть в # 3...10 раз меньше чем UserTimeout UserDelay=60 Как можно обойти вышеописанную проблему ? Пока что только придумал либо пользователей "Всегда Online" включать (но тогда смысл контроля - работают они без ограничений в некоторых местах), либо проверять присуствие пользователя скриптом, смотреть его ip , проверять есть ли правила на этот ip в iptables и если нет - удалять. Примеров скрипта ни у кого не имеется ? А то из меня, признаться, пока что не очень грамотный скриптописатель )))) Ссылка на сообщение Поделиться на других сайтах
ser 26 Опубліковано: 2005-09-07 13:03:07 Share Опубліковано: 2005-09-07 13:03:07 Выложи пожалуйста полностю скрипты OnConnect b OnDisconnect и fw Ссылка на сообщение Поделиться на других сайтах
asa 5 Опубліковано: 2005-09-07 13:25:03 Share Опубліковано: 2005-09-07 13:25:03 есть такое дело. у меня у самого вышеописанный баг иногда проскакивает может это в новом STG полечат Ссылка на сообщение Поделиться на других сайтах
XoRe 0 Опубліковано: 2005-09-11 11:28:04 Share Опубліковано: 2005-09-11 11:28:04 это глюк НЕ старгейзера, а фаервола. конкретно - глюк иптейблс. 2pivich - плохо искал. на этом форуме была тема на несколько страниц по этому вопросу. Ссылка на сообщение Поделиться на других сайтах
keshaLG 5 Опубліковано: 2005-09-11 12:32:27 Share Опубліковано: 2005-09-11 12:32:27 хм.... а чего у меня тогда все работает?? пока скрипты, версию iptables-ов , может чем-то поможем... Ссылка на сообщение Поделиться на других сайтах
asa 5 Опубліковано: 2005-09-12 12:13:39 Share Опубліковано: 2005-09-12 12:13:39 сейчас сделал удаление цепочек в цикле, так как показанно на stg.dp.ua посмотрим будет глюк или нет Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас