neom 8 Опубликовано: 2007-03-03 07:22:50 Share Опубликовано: 2007-03-03 07:22:50 Тогда вопрос к автору ВЫШЛИТЕ ПЛИЗ сырцы на авторизатор 2.60.8 на мыльце neom(сабака)gala.net ЗЫ а когда релиз планируется? Ссылка на сообщение Поделиться на других сайтах
silentman 0 Опубликовано: 2007-03-09 15:11:24 Share Опубликовано: 2007-03-09 15:11:24 Всем привет! Скажите пожалуйста, потому что я что-то не пойму.. Что надо добавлять в скрипт Onconect OnDisconect для выбора направлений? Всем спасибо! Ссылка на сообщение Поделиться на других сайтах
neom 8 Опубликовано: 2007-03-14 14:18:04 Share Опубликовано: 2007-03-14 14:18:04 и тишина должна быть в библиотеке (с) =) зы че там по поводу исходников ? похоже автор (мой нижайший поклон ему за реально хороший биллинг) пропал, а хотелось бы получить исходные тексты хотябы на тот авторизатор который на сегодня рабочий 2.60.8 а уж потом дождаться стабильной версии илди подскажите че поправить чтобы исходники от 2.55 кажись подошли к новому серву а то говорит типа обновите версию авторизатора Ссылка на сообщение Поделиться на других сайтах
neuch 0 Опубликовано: 2007-03-17 17:33:41 Share Опубликовано: 2007-03-17 17:33:41 Не могу поставить 2.4 на Мандриву 2006 и SuSe10. и там и там выдаёт одинаковую ошибку. Рекомендованную для Stg библиотеку установил. На форуме был вопрос про Stg и мандриву 2006, но ответа так и нет. Они что в принципе не совместимы??? Может кто знает как решить эту проблему? Ссылка на сообщение Поделиться на других сайтах
egor2fsys 5 Опубликовано: 2007-03-17 19:56:41 Автор Share Опубликовано: 2007-03-17 19:56:41 Логи компиляции покажите. Если установлен ГСС 4.0.0 или подобный то советую его обновить. Ссылка на сообщение Поделиться на других сайтах
neuch 0 Опубликовано: 2007-03-19 08:19:49 Share Опубликовано: 2007-03-19 08:19:49 На федору 5 встал без проблем, конфигуратор и маршрутизатор коннектятся без проблем, но в инет не идут (произвёл настройки по примеру с сайта), может кто подкинет рабочие примеры конфигурационных файлов ? Ссылка на сообщение Поделиться на других сайтах
neuch 0 Опубликовано: 2007-03-19 08:24:32 Share Опубликовано: 2007-03-19 08:24:32 на FC5 установилось без проблем! конфигуратор и авторизатор коннектятся без проблем, но клиентов в инет выпустить не могу!?!? Может для виндовых клиентов какие особые настройки? Или в федоре надо что то отдельно прописать? Подскажите новичку Ссылка на сообщение Поделиться на других сайтах
neuch 0 Опубликовано: 2007-03-19 08:48:02 Share Опубликовано: 2007-03-19 08:48:02 на FC5 установилось без проблем! конфигуратор и авторизатор коннектятся без проблем, но клиентов в инет выпустить не могу!?!? Может для виндовых клиентов какие особые настройки? Или в федоре надо что то отдельно прописать? Подскажите новичку Ссылка на сообщение Поделиться на других сайтах
Neelix 33 Опубликовано: 2007-03-19 08:49:46 Share Опубликовано: 2007-03-19 08:49:46 файрвол в студию Ссылка на сообщение Поделиться на других сайтах
neuch 0 Опубликовано: 2007-03-19 08:57:18 Share Опубликовано: 2007-03-19 08:57:18 Cсоздал по примеру с сайта исполняемый файл: #!/bin/bash #Машина в офисе office=192.168.0.21 #Машина администратора admin=192.168.0.210 #Адреса роутера server0=192.168.0.210 server1=192.168.1.2 #Интерфейс смотрящий на клиентов iface_cli=eth1 #Интерфейс смотрящий во внешний мир iface_world=eth0 #порты, на которых работает конфигуратор и маршрутизатор conf_port=5555 user_port1=5555 user_port2=5555 #Разрешаем форватинг пакетов echo "1" > /proc/sys/net/ipv4/ip_forward #Очищаем правила файрвола iptables -t filter -F iptables -t filter -X iptables -t nat -F iptables -t nat -X #Политика по умолчанию DROP: всем всё запрещено iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT DROP #Разрешаем пингам ходить всюду и всегда iptables -t filter -A INPUT -p icmp -j ACCEPT iptables -t filter -A FORWARD -p icmp -j ACCEPT iptables -t filter -A OUTPUT -p icmp -j ACCEPT #Разрешаем всё на локальном интерфейсе iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT #разрешить серверу общаться с внешним миром iptables -t filter -A INPUT -i $iface_world -j ACCEPT iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT # DNS iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT iptables -t filter -A FORVARD -p tcp --sport 53 -j ACCEPT iptables -t filter -A FORVARD -p tcp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT iptables -t filter -A FORVARD -p udp --sport 53 -j ACCEPT iptables -t filter -A FORVARD -p udp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT #SHH iptables -t filter -A INPUT -p tcp -s $office -d $server0 --dport 22 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d $office -s $server0 --sport 22 -j ACCEPT iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT #Stargazer configurator iptables -t filter -A INPUT -p tcp -s 192.168.0.0/24 -d $server0 --dport $conf_port -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d 192.168.0.0/24 -s $server0 --sport $conf_port -j ACCEPT #UDP stargazer InetAccess iptables -t filter -A INPUT -p udp -s 192.168.0.0/24 --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT iptables -t filter -A OUTPUT -p udp -d 192.168.0.0/24 --dport $user_port1 -s $server0 -j ACCEPT #Маскарад iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE Ссылка на сообщение Поделиться на других сайтах
neuch 0 Опубликовано: 2007-03-19 09:05:09 Share Опубликовано: 2007-03-19 09:05:09 у меня server0 смотрит в локалку, а server1 смотрит на АДСЛ модем, может тут с нумерацией проблема? Ссылка на сообщение Поделиться на других сайтах
Wapr-Old 0 Опубликовано: 2007-03-19 09:28:46 Share Опубликовано: 2007-03-19 09:28:46 Всё это хорошо, но где правила, пускающие клиента в инет? (и потом, я мож не совсем копенгаген в iptables, но для маскарада я бы указал конкретный входной и выходной интерфейсы, а не все подряд адреса) Ссылка на сообщение Поделиться на других сайтах
neuch 0 Опубликовано: 2007-03-19 09:34:47 Share Опубликовано: 2007-03-19 09:34:47 често говоря не знаю подскажите как сделать правильно, до этого в мандриве всё делалось двумя кнопками а к прописке команд и правил вручную ещё только привыкаю Ссылка на сообщение Поделиться на других сайтах
Neelix 33 Опубликовано: 2007-03-19 09:46:49 Share Опубликовано: 2007-03-19 09:46:49 скрипт OnConnect давай Ссылка на сообщение Поделиться на других сайтах
Neelix 33 Опубликовано: 2007-03-19 09:49:27 Share Опубликовано: 2007-03-19 09:49:27 #SHH iptables -t filter -A INPUT -p tcp -s $office -d $server0 --dport 22 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d $office -s $server0 --sport 22 -j ACCEPT iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT это лишнее, лучше просто открыть 22 порт абсолютно всем Ссылка на сообщение Поделиться на других сайтах
Neelix 33 Опубликовано: 2007-03-19 09:52:59 Share Опубликовано: 2007-03-19 09:52:59 user_port1=5555 user_port2=5555 можно сделать одним user_port=5555 #UDP stargazer InetAccess iptables -t filter -A INPUT -p udp -s 192.168.0.0/24 --sport $user_port -d $server0 --dport $user_port -j ACCEPT iptables -t filter -A OUTPUT -p udp -d 192.168.0.0/24 --dport $user_port -s $server0 -j ACCEPT Ссылка на сообщение Поделиться на других сайтах
neuch 0 Опубликовано: 2007-03-26 16:43:25 Share Опубликовано: 2007-03-26 16:43:25 Теперь все без регистрации и авторизации легко бегут в инет, SG трафик считает (если запущен авторизатор) но ключен он или выключен - всё равно инет достуен через шлюз всем!!! Ссылка на сообщение Поделиться на других сайтах
neuch 0 Опубликовано: 2007-03-26 16:49:32 Share Опубликовано: 2007-03-26 16:49:32 вот скрип по примеру образца с сайта : #!/bin/bash #Машина в офисе office=192.168.0.21 #Машина администратора admin=192.168.0.210 #Адреса роутера server0=192.168.0.210 server1=11.222.333.444 #Интерфейс смотрящий на клиентов iface_cli=eth0 #Интерфейс смотрящий во внешний мир iface_world=eth1 #порты, на которых работает конфигуратор и маршрутизатор conf_port=4444 user_port1=4444 user_port2=4443 IPTABLES="/sbin/iptables" #/sbin/depmod -a #/sbin/modprobe ip_tables #/sbin/modprobe ip_conntrack #/sbin/modprobe iptable_filter #/sbin/modprobe iptable_mangle #/sbin/modprobe iptable_nat #/sbin/modprobe ipt_LOG #/sbin/modprobe ipt_limit #/sbin/modprobe ipt_state #Разрешаем форватинг пакетов echo "1" > /proc/sys/net/ipv4/ip_forward #Очищаем правила файрвола $IPTABLES -t filter -F $IPTABLES -t filter -X $IPTABLES -t nat -F $IPTABLES -t nat -X #Политика по умолчанию DROP: всем всё запрещено $IPTABLES -t filter -P INPUT DROP $IPTABLES -t filter -P FORWARD DROP $IPTABLES -t filter -P OUTPUT DROP #================================ #$IPTABLES -P FORWARD DENY #$IPTABLES -A FORWARD -s 192.168.0.0/24 -d 11.222.333.444 -j ACCEPT #$IPTABLES -A FORWARD -s 11.222.333.444 -d 192.168.0.0/24 -j ACCEPT $IPTABLES -A FORWARD -i $iface_cli -j ACCEPT $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT #Разрешаем пингам ходить всюду и всегда $IPTABLES -t filter -A INPUT -p icmp -j ACCEPT $IPTABLES -t filter -A FORWARD -p icmp -j ACCEPT $IPTABLES -t filter -A OUTPUT -p icmp -j ACCEPT #Разрешаем всё на локальном интерфейсе $IPTABLES -t filter -A INPUT -d 127.0.0.1 -j ACCEPT $IPTABLES -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT #разрешить серверу общаться с внешним миром $IPTABLES -t filter -A INPUT -i $iface_world -j ACCEPT $IPTABLES -t filter -A OUTPUT -o $iface_world -j ACCEPT # DNS #iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT #iptables -t filter -A FORVARD -p tcp --sport 53 -j ACCEPT #iptables -t filter -A FORVARD -p tcp --dport 53 -j ACCEPT #iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT #iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT #iptables -t filter -A FORVARD -p udp --sport 53 -j ACCEPT #iptables -t filter -A FORVARD -p udp --dport 53 -j ACCEPT #iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT #SHH $IPTABLES -t filter -A INPUT -p tcp -s $office -d $server0 --dport 22 -j ACCEPT $IPTABLES -t filter -A OUTPUT -p tcp -d $office -s $server0 --sport 22 -j ACCEPT $IPTABLES -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT $IPTABLES -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT #Stargazer configurator $IPTABLES -t filter -A INPUT -p tcp -s 192.168.0.0/24 -d $server0 --dport $conf_port -j ACCEPT $IPTABLES -t filter -A OUTPUT -p tcp -d 192.168.0.0/24 -s $server0 --sport $conf_port -j ACCEPT #UDP stargazer InetAccess $IPTABLES -t filter -A INPUT -p udp -s 192.168.0.0/24 --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT $IPTABLES -t filter -A OUTPUT -p udp -d 192.168.0.0/24 --dport $user_port1 -s $server0 -j ACCEPT #Маскарад #$IPTABLES -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE $IPTABLES -t nat -A POSTROUTING -o $iface_world -j SNAT --to-source $server1 Да при его запуске становится невозможным попасть в локальную сеть (Win) Ссылка на сообщение Поделиться на других сайтах
neuch 0 Опубликовано: 2007-03-26 16:52:25 Share Опубликовано: 2007-03-26 16:52:25 OnConnect #!/bin/bash ip=$2 iptables -t filter -A INPUT -s $ip -j ACCEPT iptables -t filter -A FORWARD -s $ip -j ACCEPT iptables -t filter -A FORWARD -d $ip -j ACCEPT iptables -t filter -A OUTPUT -d $ip -j ACCEPT OnDisconnect #!/bin/bash ip=$2 iptables -t filter -D INPUT -s $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D INPUT -s $ip -j ACCEPT done ################################## iptables -t filter -D FORWARD -s $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D FORWARD -s $ip -j ACCEPT done ################################## iptables -t filter -D FORWARD -d $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D FORWARD -d $ip -j ACCEPT done ################################## iptables -t filter -D OUTPUT -d $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D OUTPUT -d $ip -j ACCEPT done всё брал с сайта разработчика, может где я сглупил? Ну очень хочется найти ошибку Ссылка на сообщение Поделиться на других сайтах
egor2fsys 5 Опубликовано: 2007-03-26 17:56:48 Автор Share Опубликовано: 2007-03-26 17:56:48 $IPTABLES -A FORWARD -i $iface_cli -j ACCEPT $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT фигня, пускаем всех. $IPTABLES -t nat -A POSTROUTING -o $iface_world -j SNAT --to-source $server1 а это в он конект, только с указанием айпи адреса клиента. Мораль: учите построение iptables и как им пользоваться. Ссылка на сообщение Поделиться на других сайтах
neuch 0 Опубликовано: 2007-03-26 19:23:52 Share Опубликовано: 2007-03-26 19:23:52 Уважаемый egor2fsys ! Эта фигня написана в руководстве по iptables , к сожалению я сам такое придумать не в состоянии Я ж говорю, он считает трафик и даже авторизатор переводит в состояние "ОТКЛЮЧЕН" при превышении лимита, но ВСЁ дело в том, что доступ в интернет есть не зависимо от того запущен авторизатор или нет!!! превышен лимит или нет!! Я и прошу показать ошибку, которая это допускает Плиз Ссылка на сообщение Поделиться на других сайтах
neuch 0 Опубликовано: 2007-03-26 19:41:57 Share Опубликовано: 2007-03-26 19:41:57 "$IPTABLES -t nat -A POSTROUTING -o $iface_world -j SNAT --to-source $server1 а это в он конект, только с указанием айпи адреса клиента. Прошу прощения, но server1 это мой реальный адрес в интернете - пробовал ставить адрес сетевухи которая смотрит в инет - эффект нулевой. Т.е. эту строчку помещаем в Он коннект и вводим ip адрес, но кого??? Мой реальный айпишник? Прошу не ругать за тупость Ссылка на сообщение Поделиться на других сайтах
neuch 0 Опубликовано: 2007-03-26 19:51:37 Share Опубликовано: 2007-03-26 19:51:37 Я так понимаю, что доступ в инет должен появляться только после запуска авторизатора, и после его отключения пропадать. Я клиента настроил так: В настройках сетевого окружения в свойствах сети прописал шлюз (машину с SG) и прописал внешний сервер DNS, т.к. без него нет соединения. в результате машина клиента идёт в инет "напрямую" т.е. без указания в приложениях каких либо прокси и т.п., как будто машина клиента напрямую подключена к инету. Меня это очень устраивает т.к. это даёт возможность работать некоторым прогам, которые не умеют или отказываются работать через прокси! Осталось решить последнюю проблему: доступ в инт через авторизатор. Только не говорите; иди учи, иди читай, так и я могу ответить, я прошу конкретной помощи Ссылка на сообщение Поделиться на других сайтах
Neelix 33 Опубликовано: 2007-03-26 20:46:29 Share Опубликовано: 2007-03-26 20:46:29 нет сил написать все, ты разберись сначала что тебе нужно! Ссылка на сообщение Поделиться на других сайтах
egor2fsys 5 Опубликовано: 2007-03-27 03:56:33 Автор Share Опубликовано: 2007-03-27 03:56:33 Уважаемый egor2fsys ! Эта фигня написана в руководстве по iptables , к сожалению я сам такое придумать не в состоянии Я ж говорю, он считает трафик и даже авторизатор переводит в состояние "ОТКЛЮЧЕН" при превышении лимита, но ВСЁ дело в том, что доступ в интернет есть не зависимо от того запущен авторизатор или нет!!! превышен лимит или нет!! Я и прошу показать ошибку, которая это допускает Плиз Я наверно ослеп, но хоть убейте, не вижу там строчек про разрешение всем ходить через форвард. Те две строчки надо убирать. А то у вас получается что вы открыли всем форвард и сделали НАТ - велком в интернет без авторизации. В он конект надо написать для НАТирования клиента: $IPTABLES -t nat -A POSTROUTING -s $ip -o $iface_world -j SNAT --to-source $server1 Соотв. в дисконекте надо не забыть удалить данное правило. Ну и из общего скрипта фаервола убрать НАТирование всех клиентов. З. Ы. поучите таки фаервол, для начала хотя бы порядок похождения пакетов: http://www.opennet.ru/docs/RUS/iptables/ Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВойти
Уже зарегистрированы? Войдите здесь.
Войти сейчас