stg и iptables

[fredik 0]

значит сидуация такова:

1.стоит фкдора 3

2.стоит старгейзер 2,011,

проблема такова

на сайте старгейзера есть настройми там предлогают сделать файлик FW я его сделал но после его запускак интернет у юзеров появляется ето конешно замечательно но на авторизатор не как не риагирует авторизован юзер или нет все равно инет есть!!!!

подскажите что ето может быть

читал доки там про такое не написано

[Den_LocalNet 1 474]

iptables выучил?

ты должен скрипты rc.firewall, НоКоннект и ОнДисконнект построить таким образом что бы по умолчанию интернета у пользователя небыло, а при запуске первого он появлялся. А при запуске второго опять переставал работать.

[fredik 0]

Дело в том что у меня инет на клиентских машинах и так работает без старгейзера даже если он не запущен ето так и должно быть или я чтото не так настроил?

И если возможно покажите мне свои файлы онконнект и ондисконект

или высылайте на мыло zenya88@mail.ru

[Den_LocalNet 1 474]

не беда.... я люблю повторять по 2 раза....

 

построить таким образом что бы по умолчанию интернета у пользователя небыло

 

для этого нужно:

 

iptables выучил?

[Slava 1]

Дело в том что у меня инет на клиентских машинах и так работает без старгейзера даже если он не запущен ето так и должно быть или я чтото не так настроил?

И если возможно покажите мне свои файлы онконнект и ондисконект

или высылайте на мыло zenya88@mail.ru

1. Покажи свои правила фаервола, скрипты OnConnect OnDisconnect,

результаты команды iptables -t nat -nL и iptables -t filter -nL.

В слепую подсказать не получиться.

2. Инет раздается только натом или еще и есть прокси?

[Kucher2 122]

Стоит squid. Такая же беда как у товарища. Помогите плиз. FreeBSD 4.9

Onconnect:

fwcmd="/sbin/ipfw"

int_if="rl0"

ip=$2

login=$1

id=$4

 

 

${fwcmd} add `expr $id '*' 10 + 29000` fwd 127.0.0.1,3128 tcp from $ip to any 80 via ${int_if}

${fwcmd} add `expr $id '*' 10 + 29001` allow ip from $ip to any via ${int_if}

echo "D `date +%Y.%m.%d-%H.%M.%S` $IP $CASH" >> /var/stargazer/users/$LOGIN/connect.log

 

OnDisconnect:

fwcmd="/sbin/ipfw"

id=$4

 

${fwcmd} delete `expr $id '*' 20 + 29000`

${fwcmd} delete `expr $id '*' 20 + 29001`

 

 

echo "D `date +%Y.%m.%d-%H.%M.%S` $IP $CASH" >> /var/stargazer/users/$LOGIN/connect.log

[XoRe 0]

2Kucher2: остальные правила фаервола в студию.

[Kucher2 122]

Всем большое спасибо, вроде разобрался.

Очень помогло Ваше напоминание о том, что существует файервол.

И ещё вот товарищ молодец по поводу divert:

http://local.com.ua/forum/index.php?showtopic=2367&st=17

Даже авторизатор исправно всё включает-отключает и показывает.

Ковыряю дальше. Теперь старушка не считает трафик. :-/

[Max 0]

Теперь старушка не считает трафик

Проверь правильно ли укащан в конфиге сервера интерефейс и правильно ли указан интерфейс в конфиге клиента.

[Kucher2 122]

FreeBSD 4.9. Два интерфейса: rl0 - внутренний и rl1 - внешний.

Т.к. у меня стоит NAT и squid - делал по разному. Перепробовал все варианты.

 

В общем - снёс я СТГ и сделал полностью - как советовал товарищ, ссылку на статью которого я давал выше. При этом - СТГ под divert, как советует разработчик - я НЕ ПЕРЕДЕЛЫВАЛ, НИЧЕГО не менял в начальных файлах конфигурации перед make bsd!

 

После установки - поправил правила в rules на вот такие:

 

#PROXY

TCP <внутренний адрес шлюза>:3128 DIR0

 

#FreeServices

TCP 10.0.0.0/16 DIR1 #внутренняя сеть

TCP <внешний адрес шлюза>:80 DIR1 #

TCP 0.0.0.0/0:5901 DIR1

 

#Internet

ALL 0.0.0.0/0 DIR0

 

И указал в stargazer.conf - направление DirName0=WORK - для инета.

Помимо этого - по мелочи - указал порт для конфигуратора и автоиризатора в stargazer.conf и разрешил себе подключаться конфигуратором к серверу.

 

Вот мои правила:

 

#!/bin/sh

fwcmd="/sbin/ipfw"

natdcmd="/sbin/natd"

int_if="rl0"

#erv_if="xl1"

ext_if="rl1"

 

${fwcmd} -f flush

${natdcmd} -s -m -u -a <внешний адрес>/<маска>

${fwcmd} add 50 divert natd ip from any to <внешний адрес>

 

${fwcmd} add 10 allow icmp from any to any

 

${fwcmd} add 00304 deny ip from any to 192.168.0.0/16 out via ${ext_if}

${fwcmd} add 00305 deny ip from any to 10.0.0.0/24 out via ${ext_if}

${fwcmd} add 00306 deny ip from any to 172.16.0.0/12 out via ${ext_if}

 

${fwcmd} add 00308 allow udp from any to 10.0.0.0/24 8888 via ${int_if}

${fwcmd} add 00309 allow udp from 10.0.0.0/24 to any via ${int_if}

 

${fwcmd} add 00314 allow tcp from 10.0.0.10 5555 to 10.0.0.1 via ${int_if}

${fwcmd} add 00315 allow tcp from 10.0.0.1 to 10.0.0.10 5555 via ${int_if}

 

${fwcmd} add 50020 deny log ip from 10.0.0.0/24 to 10.0.0.10 via ${int_if}

${fwcmd} add 50021 deny log ip from 192.168.10.0/24 to 192.168.20.1 via ${int_if}

${fwcmd} add 50022 deny log ip from 192.168.10.0/24 to 192.168.30.1 via ${int_if}

 

${fwcmd} add 50024 divert natd all from any to any via ${ext_if}

 

${fwcmd} add 50029 allow tcp from any to any out via ${ext_if} setup

${fwcmd} add 50030 allow tcp from any to any via ${ext_if} established

 

${fwcmd} add 50031 allow udp from any to any out via ${ext_if}

${fwcmd} add 50032 allow udp from any 53 to any in via ${ext_if}

 

$fwcmd add 65534 deny log ip from any to any

 

...и тут оно начало считать.. :loop:

Пора поправить инструкцию разработчика! :mrrr: