li$ergin 0 Опубликовано: 2006-03-30 08:57:09 Share Опубликовано: 2006-03-30 08:57:09 Дело в том, что если запускаю СГ при почти полностью открытом iptables, все хорошо, конфигуратор и авторизатор коннектятся, скрипты исполняются. Как только запускаю скрипт первоначальной конфигурации iptables, то конфигуратор коннектится, а авторизатор не хочет. Некоторое время кнопка "подключится" в нем делает вид, что нажата, при этом красный флажек под ней цвет на зеленый не меняет... Соединяются и конфигуратор и авторизатор по одному порту, так почему же авторизатор не хочет?? Вот скрипт первоначальной настройки файрвола. Ткните носом, пожалуйста, а еще лучше объясните разницу в принципах подключения конфигуратора и авторизатора... #!/bin/bash#Машина в офисе office=192.168.0.1 #Машина администратора admin=192.168.0.1 #Адреса роутера server0=192.168.0.5 # Адрес файлового архива с mp3 и video # Интерфейс смотрящий на клиентов iface_cli=eth0 # Интерфейс смотрящий во внешний мир iface_world=eth1 # Интерфейс смотрящий на архив #Порты, на которых работает конфигуратор и авторизатор conf_port=5554 user_port1=5554 user_port2=3128 # Разрешаем форвардинг пакетов между интерфейсами # Эта штука необязательна, просто в некоторых дистрибутивах # по умолчанию форвардинг разрешен, а в некоторых - запрещен # Если мы подстрахуемся, хуже не бкдет echo "1" > /proc/sys/net/ipv4/ip_dynaddr # Очищаем правила файрвола iptables -t filter -F iptables -t filter -X iptables -t nat -F iptables -t nat -X # Политика по умолчанию DROP: всем всё запрещено iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT DROP # Разрешаем пингам ходить всюду и всегда iptables -t filter -A INPUT -p icmp -j ACCEPT iptables -t filter -A FORWARD -p icmp -j ACCEPT iptables -t filter -A OUTPUT -p icmp -j ACCEPT # Разрешаем всё на локальном интерфейсе iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT # Разрешить серверу общаться со внешним миром iptables -t filter -A INPUT -i $iface_world -j ACCEPT iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT # Разрешить видео-серверу обращаться во внешним миром и роутером # DNS. Замечу, ДНС работает и по TCP и по UDP iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT # SSH iptables -t filter -A INPUT -p tcp -s $office -d $server0 --dport 22 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d $office -s $server0 --sport 22 -j ACCEPT iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT # Stargazer configurator iptables -t filter -A INPUT -p tcp -s 192.168.0.0/24 -d $server0 --dport $conf_port -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d 192.168.0.0/24 -s $server0 --sport $conf_port -j ACCEPT # UDP stargazer InetAccess iptables -t filter -A INPUT -p udp -s 192.168.0.0/24 --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT iptables -t filter -A OUTPUT -p udp -d 192.168.0.0/24 --dport $user_port1 -s $server0 -j ACCEPT #Маскарад iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE Спасибо! Удачи! Ссылка на сообщение Поделиться на других сайтах
egor2fsys 5 Опубліковано: 2006-03-30 11:53:33 Share Опубліковано: 2006-03-30 11:53:33 во первых какой версии сервер и авторизатор ? во вторых, ошибка здесь # UDP stargazer InetAccess iptables -t filter -A INPUT -p udp -s 192.168.0.0/24 --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT iptables -t filter -A OUTPUT -p udp -d 192.168.0.0/24 --dport $user_por 1 -s $server0 -j ACCEPT user_port1=5554 user_port2=3128 ?????????????? тогда тут уже 5555 вобщем если аворизатор и сервер последних версий то следует сделать так iptables -t filter -A OUTPUT -p udp -d 0.0.0.0/0 --dport 5555 -s $server -j ACCEPT iptables -t filter -A INPUT -p udp -s 0.0.0.0/0 --sport 5555 -d $server -j ACCEPT следует учесть что вышеприведенные правила - для работы с 1 портом Ссылка на сообщение Поделиться на других сайтах
li$ergin 0 Опубліковано: 2006-03-30 17:15:50 Автор Share Опубліковано: 2006-03-30 17:15:50 Сейчас в поте лица штудирую рекомендованый в доке по СГ хелп по файрволу. По поводу ошибки стало несколько стыдно, действительно ошибка, ну очень тупая. Исправил - та же фигня... Распечатал себе назначенные файрволу правила до запуска скрипта и после. Пытаюсь вникнуть. Все-таки, какая разница между коннектом конфигуратора и авторизатора? Раз он коннектится без инициализационного скрипта, значит настройки конфига СГ и авторизатора правильные, верно? Просто в линухе довольно слаб, может дело и не в СГ и не в файрволе? Сквид на время испытаний СГ отключаю, он же на файрвол не влияет? Версия СГ - 2.4.8.6, авторизатора - 2.44.6, конфигуратора - 1.67.8 Удачи! Ссылка на сообщение Поделиться на других сайтах
S_ergey 21 Опубліковано: 2006-03-30 17:27:27 Share Опубліковано: 2006-03-30 17:27:27 Для начала напиши так. # Политика по умолчанию iptables -t filter -P INPUT ACCEPT iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT ACCEPT Потом посмотри netstat -nplut какие порты используются и правильно составь правила для INPUT OUTPUT. Ссылка на сообщение Поделиться на других сайтах
li$ergin 0 Опубліковано: 2006-03-30 17:51:22 Автор Share Опубліковано: 2006-03-30 17:51:22 Да, кстати говоря, айпишник для eth1, который смотрит в сеть провайдера, я получаю через DHCP, нужно ли еще что-то добавить кроме echo "1" > /proc/sys/net/ipv4/ip_dynaddr Понимаю, что не совсем по СГ вопрос. Даже когда меняю политику по умолчанию на ACCEPT, все равно авторизатор не хочет соединятся, конфигуратор - без вопросов. В полных потерях... Спасибо, удачи! Ссылка на сообщение Поделиться на других сайтах
egor2fsys 5 Опубліковано: 2006-03-30 18:40:02 Share Опубліковано: 2006-03-30 18:40:02 еще надо сделать echo "1" > /proc/sys/net/ipv4/ip_forward говорят иногда помогает Ссылка на сообщение Поделиться на других сайтах
li$ergin 0 Опубліковано: 2006-04-01 18:57:19 Автор Share Опубліковано: 2006-04-01 18:57:19 Спасибо, спасибо! Я совсем в тупик зашел. Очень надеюсь на вашу помощь. Если чего-то не увидел - отпинать ногами.... Но все же.Исходные данные. СГ, конфигуратор, авторизатор - последние версии. Сервовая машина, конфигурация выше по постам, ОС - ASPLinux 10. Запускаю скрипт #!/bin/bash #Скрипт обнуляет файрвол открывая "все для всех" iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -t nat -X iptables -t mangle -X потом #!/bin/bash#Машина в офисе office=192.168.0.1 #Машина администратора admin=192.168.0.1 #Адреса роутера server0=192.168.0.5 # Адрес файлового архива с mp3 и video # Интерфейс смотрящий на клиентов iface_cli=eth0 # Интерфейс смотрящий во внешний мир iface_world=eth1 # Интерфейс смотрящий на архив #Порты, на которых работает конфигуратор и авторизатор conf_port=5555 user_port1=5555 user_port2=5555 /sbin/depmod -a /sbin/modprobe ip_conntrack /sbin/modprobe ip_tables /sbin/modprobe iptable_filter /sbin/modprobe iptable_mangle /sbin/modprobe iptable_nat /sbin/modprobe ipt_LOG /sbin/modprobe ipt_limit /sbin/modprobe ipt_MASQUERADE # Разрешаем форвардинг пакетов между интерфейсами # Эта штука необязательна, просто в некоторых дистрибутивах # по умолчанию форвардинг разрешен, а в некоторых - запрещен # Если мы подстрахуемся, хуже не бкдет echo "1" > /proc/sys/net/ipv4/ip_dynaddr echo "1" > /proc/sys/net/ipv4/ip_forward # Очищаем правила файрвола iptables -t filter -F iptables -t filter -X iptables -t nat -F iptables -t nat -X # Политика по умолчанию DROP: всем всё запрещено iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT DROP # Разрешаем пингам ходить всюду и всегда iptables -t filter -A INPUT -p icmp -j ACCEPT iptables -t filter -A FORWARD -p icmp -j ACCEPT iptables -t filter -A OUTPUT -p icmp -j ACCEPT # Разрешаем всё на локальном интерфейсе iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT # Разрешить серверу общаться со внешним миром iptables -t filter -A INPUT -i $iface_world -j ACCEPT iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT # Разрешить видео-серверу обращаться во внешним миром и роутером # DNS. Замечу, ДНС работает и по TCP и по UDP iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT # SSH iptables -t filter -A INPUT -p tcp -s $office -d $server0 --dport 22 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d $office -s $server0 --sport 22 -j ACCEPT iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT # Stargazer configurator iptables -t filter -A INPUT -p tcp -s 192.168.0.0/24 -d $server0 --dport $conf_port -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d 192.168.0.0/24 -s $server0 --sport $conf_port -j ACCEPT # UDP stargazer InetAccess iptables -t filter -A INPUT -p udp -s 192.168.0.0/24 --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT iptables -t filter -A OUTPUT -p udp -d 192.168.0.0/24 --dport $user_port1 -s $server0 -j ACCEPT #На всякий случай тсп iptables -t filter -A INPUT -p tcp -s 192.168.0.0/24 --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d 192.168.0.0/24 --dport $user_port1 -s $server0 -j ACCEPT #Откроем самбу: порты 137-138 по удп и 139, 145 по тсп iptables -A INPUT -p udp -s 192.168.0.0/24 -d $server0 --sport 137:138 -j ACCEPT iptables -A OUTPUT -p udp -s $server0 -d 192.168.0.0/24 --dport 137:138 -j ACCEPT iptables -A INPUT -p tcp -s 192.168.0.0/24 -d $server0 --sport 139 -j ACCEPT iptables -A OUTPUT -p tcp -s $server0 -d 192.168.0.0/24 --dport 139 -j ACCEPT iptables -A INPUT -p tcp -s 192.168.0.0/24 -d $server0 --sport 445 -j ACCEPT iptables -A OUTPUT -p tcp -s $server0 -d 192.168.0.0/24 --dport 445 -j ACCEPT #Маскарад iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE Немного избыточно, но оптимизация - потом Затем, скриптом #!/bin/bash case "$1" in start) /usr/sbin/stargazer echo "Starting Billing Server..." sleep 1 ;; stop) pid=$(ps -ax|grep stargazer|grep -v grep | awk '{print $1}') kill ${pid} > /dev/null 2>&1 echo "Stop Billing Server..." sleep 1 ;; restart) pid=$(ps -ax|grep stargazer|grep -v grep | awk '{print $1}') kill ${pid} > /dev/null 2>&1 echo "Stop Billing Server..." sleep 2 /usr/sbin/stargazer echo "Starting Billing Server..." sleep 1 ;; *) echo "Используй: `basename $0` { start | stop | restart }" exit 64 ;; esac запускаю или перегружаю СГ Конфигуратор - все в порядке, авторизатор - ни в какую... Лог СГ: 2006-04-01 20:18:12 -- Stg v. Stg 2.42006-04-01 20:18:12 -- Timer thread started successfully. 2006-04-01 20:18:12 -- Storage plugin: file_store v.1.01. Loading successfull. 2006-04-01 20:18:12 -- Users started successfully. 2006-04-01 20:18:12 -- Traffcounter started successfully. 2006-04-01 20:18:12 -- Module: 'Ether_cap v.1.0'. Start successfull. 10 2006-04-01 20:18:12 -- Module: 'InetAccess authorizator v.1.0'. Start successfull. 50 2006-04-01 20:18:12 -- Module: 'Always Online authorizator v.0.9'. Start successfull. 70 2006-04-01 20:18:12 -- Module: 'Pinger v.1.0'. Start successfull. 100 2006-04-01 20:18:12 -- Module: 'Stg configurator v.0.03'. Start successfull. 220 2006-04-01 20:18:12 -- Stg started successfully. 2006-04-01 20:18:12 -- +++++++++++++++++++++++++++++++++++++++++++++ Вроде все хорошо. Ну блин,ну что же такое?! Спасибо за ответы, сорри за много текста в посте... Удачи! Ссылка на сообщение Поделиться на других сайтах
egor2fsys 5 Опубліковано: 2006-04-01 21:21:37 Share Опубліковано: 2006-04-01 21:21:37 если авторизатор последней версии, то в конфиг сервера где идут настройки авторизатора надо добавить параметр # Модули можно использовать несколько раз с разными параметрами <Module auth_ia> Port = 4444 UserDelay = 5 UserTimeout = 60 FreeMb = none OnePort = yes #вот этот параметр </Module> соотвественно для фаервола надо прописать работу на 1 порте, а не на 2 как это быо раньше. у меня сделано так: iptables -t filter -A OUTPUT -p udp -d 0.0.0.0/0 --dport 4444 -s $club -j ACCEPT iptables -t filter -A INPUT -p udp -s 0.0.0.0/0 --sport 4444 -d $club -j ACCEPT где $club - адрес сервера Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас