Fargust 0 Опубликовано: 2006-04-06 20:36:46 Share Опубликовано: 2006-04-06 20:36:46 Всем доброе время сутокк, лазил я по поиску нашел много примеров скриптов и по ним сделал и себе, но они почему то не выполняються...( при отключении в авторизаторе интернета он всеравно есть, хоть и краснеет, но потом при включении он не зеленеет...но нэт есть.) ось: Линух РН 9.0 стг: 2.016.7.6 примеры скриптов fw: #!/bin/bash #Машина администратора admin=192.168.1.2 #Адреса роутера server0=192.168.1.100 server1=10.3.0.19 # Интерфейс смотрящий на клиентов iface_cli=eth1 # Интерфейс смотрящий во внешний мир iface_world=eth0 #Порты, на которых работает конфигуратор и авторизатор conf_port=5555 user_port=5555 # Разрешаем форвардинг пакетов между интерфейсами # Эта штука необязательна, просто в некоторых дистрибутивах # по умолчанию форвардинг разрешен, а в некоторых - запрещен # Если мы подстрахуемся, хуже не бкдет echo "1" > /proc/sys/net/ipv4/ip_forward # Очищаем правила файрвола iptables -t filter -F iptables -t filter -X iptables -t nat -F iptables -t nat -X # Политика по умолчанию DROP: всем всё запрещено iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT DROP # Разрешаем пингам ходить всюду и всегда iptables -t filter -A INPUT -p icmp -j ACCEPT iptables -t filter -A FORWARD -p icmp -j ACCEPT iptables -t filter -A OUTPUT -p icmp -j ACCEPT # Разрешаем всё на локальном интерфейсе iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT # Разрешить серверу общаться со внешним миром iptables -t filter -A INPUT -i $iface_world -j ACCEPT iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT # DNS. Замечу, ДНС работает и по TCP и по UDP iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT # SSH iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT # Stargazer configurator iptables -t filter -A INPUT -p tcp -s 192.168.1.0/24 -d $server0 --dport $conf_port -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d 192.168.1.0/24 -s $server0 --sport $conf_port -j ACCEPT # UDP stargazer InetAccess iptables -t filter -A INPUT -p udp -s 192.168.1.0/24 --sport $user_port -d $server0 --dport $user_port -j ACCEPT iptables -t filter -A OUTPUT -p udp -d 192.168.1.0/24 --dport $user_port -s $server0 -j ACCEPT #Маскарад iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE OnConnect:[code] #!/bin/bash echo $2 ip=$2 LOGIN=$1 CASH=$3 ID=$4 $iptables -A INPUT -s $ip -j ACCEPT $iptables -A FORWARD -s $ip -j ACCEPT $iptables -A FORWARD -d $ip -j ACCEPT $iptables -A OUTPUT -d $ip -j ACCEPT echo "C `date +%Y.%m.%d-%H.%M.%S` $ip $CASH" >> /var/stargazer/users/$LOGIN/connect.log OnDisconnect #!/bin/bash echo $2 ip=$2 LOGIN=$1 CASH=$3 ID=$4 $iptables -D INPUT -s $ip -j ACCEPT while [ $? -eq 0 ] do $iptables -D INPUT -s $ip -j ACCEPT done ################################## $iptables -D FORWARD -s $ip -j ACCEPT while [ $? -eq 0 ] do $iptables -D FORWARD -s $ip -j ACCEPT done ################################## $iptables -D FORWARD -d $ip -j ACCEPT while [ $? -eq 0 ] do $iptables -D FORWARD -d $ip -j ACCEPT done ################################## $iptables -D OUTPUT -d $ip -j ACCEPT while [ $? -eq 0 ] do $iptables -D OUTPUT -d $ip -j ACCEPT done echo "D `date +%Y.%m.%d-%H.%M.%S` $ip $CASH" >> /var/stargazer/users/$LOGIN/connect.log Ссылка на сообщение Поделиться на других сайтах
lcat_ 1 Опубликовано: 2006-04-07 07:06:30 Share Опубликовано: 2006-04-07 07:06:30 побробуй разные значения, не одинаковые. conf_port=5556 user_port=5555 Ссылка на сообщение Поделиться на других сайтах
Fargust 0 Опубликовано: 2006-04-07 11:57:13 Автор Share Опубликовано: 2006-04-07 11:57:13 Кстати когда запускаю вручную скрипты онКон и онДискон, то пишет такую ошибку: Bad argument "ACCEPT". Ссылка на сообщение Поделиться на других сайтах
Serjio 19 Опубликовано: 2006-04-07 12:52:04 Share Опубликовано: 2006-04-07 12:52:04 Кстати когда запускаю вручную скрипты онКон и онДискон, то пишет такую ошибку:Bad argument "ACCEPT". On Connect iptables -t filter -A INPUT -s $ip -j ACCEPT iptables -t filter -A FORWARD -s $ip -j ACCEPT iptables -t filter -A FORWARD -d $ip -j ACCEPT iptables -t filter -A OUTPUT -d $ip -j ACCEPT а если так ? Ссылка на сообщение Поделиться на других сайтах
Fargust 0 Опубликовано: 2006-04-07 14:06:11 Автор Share Опубликовано: 2006-04-07 14:06:11 Такую же ошибку выдает.... Ссылка на сообщение Поделиться на других сайтах
Slava 1 Опубликовано: 2006-04-07 17:43:51 Share Опубликовано: 2006-04-07 17:43:51 Такую же ошибку выдает.... Еслы ты запускаеш это ручками а не средствами СТГ вот это: iptables -t filter -A INPUT -s $ip -j ACCEPT iptables -t filter -A FORWARD -s $ip -j ACCEPT iptables -t filter -A FORWARD -d $ip -j ACCEPT iptables -t filter -A OUTPUT -d $ip -j ACCEPT откуда командному интерпретатору знать что такое переменная ip? если адрес той машины, которой ты хочеш разрешить инет 10.10.10.10 (IP поменяй на свой), то пробуй так для коннекта #!/bin/bash ip=10.10.10.10 iptables -t filter -A INPUT -s $ip -j ACCEPT iptables -t filter -A FORWARD -s $ip -j ACCEPT iptables -t filter -A FORWARD -d $ip -j ACCEPT iptables -t filter -A OUTPUT -d $ip -j ACCEPT и потом посмотри появились ли правила в сответствующих цепочках iptables -t filter -nL результат iptables -t nat -nL должен быть таким Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0 для дисконетка #!/bin/bash ip=10.10.10.10 iptables -t filter -D INPUT -s $ip -j ACCEPT iptables -t filter -D FORWARD -s $ip -j ACCEPT iptables -t filter -D FORWARD -d $ip -j ACCEPT iptables -t filter -D OUTPUT -d $ip -j ACCEPT p.s. после того как подконнектился пользователь проверь наличие правил в цепочках вот так iptables -t filter -nL Ссылка на сообщение Поделиться на других сайтах
Fargust 0 Опубликовано: 2006-04-07 23:14:30 Автор Share Опубликовано: 2006-04-07 23:14:30 Ручками получаеться...А вот стг не хочет!.... я меняю обратно там где ip=10.10.10.10(мой адрес) на ip=$2 и не конектиться.... Ссылка на сообщение Поделиться на других сайтах
Fargust 0 Опубликовано: 2006-04-07 23:32:25 Автор Share Опубликовано: 2006-04-07 23:32:25 Когда положил скрипты в пользоательские директории а там прописал ip соответствующий пользователю то начало работать вроде.... Может так и нана было? Ссылка на сообщение Поделиться на других сайтах
Osorkon 0 Опубликовано: 2006-04-15 08:49:29 Share Опубликовано: 2006-04-15 08:49:29 А вот у меня ничего не заработало даже после перемещения скриптов в директорию юзеров... Мало того после обновления СТГ на 2,4-Стайбл, появились непонятные мне траблы с чтением СТГ собственного конфига. Сперва ему не понравилась строка SpreadFee=no. закоментировал, дальше - начал ругаться что типа нету в системе пользователя и групы рут. ок, убрал пробелы между = и root и все зарботало. дальше - error in file /etc/stargazer/stargazer.conf line 109. там - FreeMb = cash. пробовал удалять пробелы возле =. как результат - Error readin file /etc/stargazer/stargazer. Все! на этом мое терпение лопнуло и я пошел курить... после на форум. ОС - Суся 10,0. может я что-то пропустил? конфиг выкладывать не буду тк он тот что по умолчанию. Ссылка на сообщение Поделиться на других сайтах
egor2fsys 5 Опубликовано: 2006-04-15 08:56:03 Share Опубликовано: 2006-04-15 08:56:03 дык конфиг как бы для версии 2.4 совершенно новый и переделаный Ссылка на сообщение Поделиться на других сайтах
Osorkon 0 Опубликовано: 2006-04-15 09:11:04 Share Опубликовано: 2006-04-15 09:11:04 нда... надо признать что обновления стали кривовасто... может кто-то дать пошаговуб иструкцию по установке stg-2.4.8.6 ? пробовал /stg-2.4.8.6/projects/stargazer # ./build дает: Makeing stg_logger.lib deps:1: *** missing separator. Stop. вобщем все попытки сделать что-либо заканчивались deps:1: *** missing separator. Stop. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВойти
Уже зарегистрированы? Войдите здесь.
Войти сейчас