Jump to content

Пре-релизы Stargazer 2.4


Recommended Posts

Тогда вопрос к автору ;) ВЫШЛИТЕ ПЛИЗ сырцы на авторизатор 2.60.8 на мыльце neom(сабака)gala.net

ЗЫ а когда релиз планируется?

Link to post
Share on other sites
  • Replies 324
  • Created
  • Last Reply

Top Posters In This Topic

Всем привет!

Скажите пожалуйста, потому что я что-то не пойму.. ;) Что надо добавлять в скрипт Onconect OnDisconect для выбора направлений?

 

Всем спасибо!

Link to post
Share on other sites

и тишина должна быть в библиотеке (с) :(=)

зы че там по поводу исходников ? похоже автор (мой нижайший поклон ему за реально хороший биллинг) пропал, а хотелось бы получить исходные тексты хотябы на тот авторизатор который на сегодня рабочий 2.60.8 а уж потом дождаться стабильной версии :( илди подскажите че поправить чтобы исходники от 2.55 кажись подошли к новому серву а то говорит типа обновите версию авторизатора :(

Link to post
Share on other sites

Не могу поставить 2.4 на Мандриву 2006 и SuSe10. и там и там выдаёт одинаковую ошибку. Рекомендованную для Stg библиотеку установил. На форуме был вопрос про Stg и мандриву 2006, но ответа так и нет. Они что в принципе не совместимы??? Может кто знает как решить эту проблему?

Link to post
Share on other sites

На федору 5 встал без проблем, конфигуратор и маршрутизатор коннектятся без проблем, но в инет не идут :) (произвёл настройки по примеру с сайта), может кто подкинет рабочие примеры конфигурационных файлов ?

Link to post
Share on other sites

на FC5 установилось без проблем! конфигуратор и авторизатор коннектятся без проблем, но клиентов в инет выпустить не могу!?!? Может для виндовых клиентов какие особые настройки? Или в федоре надо что то отдельно прописать? Подскажите новичку :)

Link to post
Share on other sites

на FC5 установилось без проблем! конфигуратор и авторизатор коннектятся без проблем, но клиентов в инет выпустить не могу!?!? Может для виндовых клиентов какие особые настройки? Или в федоре надо что то отдельно прописать? Подскажите новичку :)

Link to post
Share on other sites

Cсоздал по примеру с сайта исполняемый файл:

#!/bin/bash

#Машина в офисе

office=192.168.0.21

#Машина администратора

admin=192.168.0.210

 

#Адреса роутера

server0=192.168.0.210

server1=192.168.1.2

 

#Интерфейс смотрящий на клиентов

iface_cli=eth1

 

#Интерфейс смотрящий во внешний мир

iface_world=eth0

 

#порты, на которых работает конфигуратор и маршрутизатор

conf_port=5555

user_port1=5555

user_port2=5555

 

#Разрешаем форватинг пакетов

echo "1" > /proc/sys/net/ipv4/ip_forward

 

#Очищаем правила файрвола

iptables -t filter -F

iptables -t filter -X

iptables -t nat -F

iptables -t nat -X

 

#Политика по умолчанию DROP: всем всё запрещено

iptables -t filter -P INPUT DROP

iptables -t filter -P FORWARD DROP

iptables -t filter -P OUTPUT DROP

 

#Разрешаем пингам ходить всюду и всегда

iptables -t filter -A INPUT -p icmp -j ACCEPT

iptables -t filter -A FORWARD -p icmp -j ACCEPT

iptables -t filter -A OUTPUT -p icmp -j ACCEPT

 

#Разрешаем всё на локальном интерфейсе

iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT

iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT

 

#разрешить серверу общаться с внешним миром

iptables -t filter -A INPUT -i $iface_world -j ACCEPT

iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT

 

# DNS

iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT

iptables -t filter -A FORVARD -p tcp --sport 53 -j ACCEPT

iptables -t filter -A FORVARD -p tcp --dport 53 -j ACCEPT

iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT

iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT

iptables -t filter -A FORVARD -p udp --sport 53 -j ACCEPT

iptables -t filter -A FORVARD -p udp --dport 53 -j ACCEPT

iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT

 

#SHH

iptables -t filter -A INPUT -p tcp -s $office -d $server0 --dport 22 -j ACCEPT

iptables -t filter -A OUTPUT -p tcp -d $office -s $server0 --sport 22 -j ACCEPT

iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT

iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT

 

#Stargazer configurator

iptables -t filter -A INPUT -p tcp -s 192.168.0.0/24 -d $server0 --dport $conf_port -j ACCEPT

iptables -t filter -A OUTPUT -p tcp -d 192.168.0.0/24 -s $server0 --sport $conf_port -j ACCEPT

 

#UDP stargazer InetAccess

iptables -t filter -A INPUT -p udp -s 192.168.0.0/24 --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT

iptables -t filter -A OUTPUT -p udp -d 192.168.0.0/24 --dport $user_port1 -s $server0 -j ACCEPT

 

#Маскарад

iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE

Link to post
Share on other sites

Всё это хорошо, но где правила, пускающие клиента в инет?

(и потом, я мож не совсем копенгаген в iptables, но для маскарада я бы указал конкретный входной и выходной интерфейсы, а не все подряд адреса)

Link to post
Share on other sites

често говоря не знаю :) подскажите как сделать правильно, до этого в мандриве всё делалось двумя кнопками а к прописке команд и правил вручную ещё только привыкаю :)

Link to post
Share on other sites

#SHH

iptables -t filter -A INPUT -p tcp -s $office -d $server0 --dport 22 -j ACCEPT

iptables -t filter -A OUTPUT -p tcp -d $office -s $server0 --sport 22 -j ACCEPT

iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT

iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT

 

это лишнее, лучше просто открыть 22 порт абсолютно всем

Link to post
Share on other sites

user_port1=5555

user_port2=5555

 

можно сделать одним

user_port=5555

#UDP stargazer InetAccess

iptables -t filter -A INPUT -p udp -s 192.168.0.0/24 --sport $user_port -d $server0 --dport $user_port -j ACCEPT

iptables -t filter -A OUTPUT -p udp -d 192.168.0.0/24 --dport $user_port -s $server0 -j ACCEPT

Link to post
Share on other sites

Теперь все без регистрации и авторизации легко бегут в инет, SG трафик считает (если запущен авторизатор) но ключен он или выключен - всё равно инет достуен через шлюз всем!!!

Link to post
Share on other sites

вот скрип по примеру образца с сайта :

 

#!/bin/bash

#Машина в офисе

office=192.168.0.21

#Машина администратора

admin=192.168.0.210

 

#Адреса роутера

server0=192.168.0.210

server1=11.222.333.444

 

#Интерфейс смотрящий на клиентов

iface_cli=eth0

 

#Интерфейс смотрящий во внешний мир

iface_world=eth1

 

#порты, на которых работает конфигуратор и маршрутизатор

conf_port=4444

user_port1=4444

user_port2=4443

IPTABLES="/sbin/iptables"

#/sbin/depmod -a

#/sbin/modprobe ip_tables

#/sbin/modprobe ip_conntrack

#/sbin/modprobe iptable_filter

#/sbin/modprobe iptable_mangle

#/sbin/modprobe iptable_nat

#/sbin/modprobe ipt_LOG

#/sbin/modprobe ipt_limit

#/sbin/modprobe ipt_state

 

#Разрешаем форватинг пакетов

echo "1" > /proc/sys/net/ipv4/ip_forward

 

#Очищаем правила файрвола

$IPTABLES -t filter -F

$IPTABLES -t filter -X

$IPTABLES -t nat -F

$IPTABLES -t nat -X

 

#Политика по умолчанию DROP: всем всё запрещено

$IPTABLES -t filter -P INPUT DROP

$IPTABLES -t filter -P FORWARD DROP

$IPTABLES -t filter -P OUTPUT DROP

#================================

#$IPTABLES -P FORWARD DENY

#$IPTABLES -A FORWARD -s 192.168.0.0/24 -d 11.222.333.444 -j ACCEPT

#$IPTABLES -A FORWARD -s 11.222.333.444 -d 192.168.0.0/24 -j ACCEPT

$IPTABLES -A FORWARD -i $iface_cli -j ACCEPT

$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#Разрешаем пингам ходить всюду и всегда

$IPTABLES -t filter -A INPUT -p icmp -j ACCEPT

$IPTABLES -t filter -A FORWARD -p icmp -j ACCEPT

$IPTABLES -t filter -A OUTPUT -p icmp -j ACCEPT

 

#Разрешаем всё на локальном интерфейсе

$IPTABLES -t filter -A INPUT -d 127.0.0.1 -j ACCEPT

$IPTABLES -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT

 

#разрешить серверу общаться с внешним миром

$IPTABLES -t filter -A INPUT -i $iface_world -j ACCEPT

$IPTABLES -t filter -A OUTPUT -o $iface_world -j ACCEPT

 

# DNS

#iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT

#iptables -t filter -A FORVARD -p tcp --sport 53 -j ACCEPT

#iptables -t filter -A FORVARD -p tcp --dport 53 -j ACCEPT

#iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT

#iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT

#iptables -t filter -A FORVARD -p udp --sport 53 -j ACCEPT

#iptables -t filter -A FORVARD -p udp --dport 53 -j ACCEPT

#iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT

 

#SHH

$IPTABLES -t filter -A INPUT -p tcp -s $office -d $server0 --dport 22 -j ACCEPT

$IPTABLES -t filter -A OUTPUT -p tcp -d $office -s $server0 --sport 22 -j ACCEPT

$IPTABLES -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT

$IPTABLES -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT

 

#Stargazer configurator

$IPTABLES -t filter -A INPUT -p tcp -s 192.168.0.0/24 -d $server0 --dport $conf_port -j ACCEPT

$IPTABLES -t filter -A OUTPUT -p tcp -d 192.168.0.0/24 -s $server0 --sport $conf_port -j ACCEPT

 

#UDP stargazer InetAccess

$IPTABLES -t filter -A INPUT -p udp -s 192.168.0.0/24 --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT

$IPTABLES -t filter -A OUTPUT -p udp -d 192.168.0.0/24 --dport $user_port1 -s $server0 -j ACCEPT

 

#Маскарад

#$IPTABLES -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE

$IPTABLES -t nat -A POSTROUTING -o $iface_world -j SNAT --to-source $server1

 

Да при его запуске становится невозможным попасть в локальную сеть (Win)

Link to post
Share on other sites

OnConnect

 

#!/bin/bash

 

ip=$2

 

iptables -t filter -A INPUT -s $ip -j ACCEPT

iptables -t filter -A FORWARD -s $ip -j ACCEPT

iptables -t filter -A FORWARD -d $ip -j ACCEPT

iptables -t filter -A OUTPUT -d $ip -j ACCEPT

 

 

OnDisconnect

 

#!/bin/bash

 

ip=$2

 

iptables -t filter -D INPUT -s $ip -j ACCEPT

while [ $? -eq 0 ]

do

iptables -t filter -D INPUT -s $ip -j ACCEPT

done

 

##################################

 

iptables -t filter -D FORWARD -s $ip -j ACCEPT

while [ $? -eq 0 ]

do

iptables -t filter -D FORWARD -s $ip -j ACCEPT

done

 

##################################

 

iptables -t filter -D FORWARD -d $ip -j ACCEPT

while [ $? -eq 0 ]

do

iptables -t filter -D FORWARD -d $ip -j ACCEPT

done

 

##################################

 

iptables -t filter -D OUTPUT -d $ip -j ACCEPT

while [ $? -eq 0 ]

do

iptables -t filter -D OUTPUT -d $ip -j ACCEPT

done

 

всё брал с сайта разработчика, может где я сглупил? Ну очень хочется найти ошибку :)

Link to post
Share on other sites

$IPTABLES -A FORWARD -i $iface_cli -j ACCEPT

$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

 

фигня, пускаем всех.

 

$IPTABLES -t nat -A POSTROUTING -o $iface_world -j SNAT --to-source $server1

а это в он конект, только с указанием айпи адреса клиента.

 

Мораль: учите построение iptables и как им пользоваться.

Link to post
Share on other sites

Уважаемый egor2fsys ! Эта фигня написана в руководстве по iptables :) , к сожалению я сам такое придумать не в состоянии :)

Я ж говорю, он считает трафик и даже авторизатор переводит в состояние "ОТКЛЮЧЕН" при превышении лимита, но ВСЁ дело в том, что доступ в интернет есть не зависимо от того запущен авторизатор или нет!!! превышен лимит или нет!!

Я и прошу показать ошибку, которая это допускает :) Плиз :)

Link to post
Share on other sites

"$IPTABLES -t nat -A POSTROUTING -o $iface_world -j SNAT --to-source $server1

а это в он конект, только с указанием айпи адреса клиента.

Прошу прощения, но server1 это мой реальный адрес в интернете - пробовал ставить адрес сетевухи которая смотрит в инет - эффект нулевой. Т.е. эту строчку помещаем в Он коннект и вводим ip адрес, но кого??? Мой реальный айпишник?

Прошу не ругать за тупость

Link to post
Share on other sites

Я так понимаю, что доступ в инет должен появляться только после запуска авторизатора, и после его отключения пропадать. Я клиента настроил так: В настройках сетевого окружения в свойствах сети прописал шлюз (машину с SG) и прописал внешний сервер DNS, т.к. без него нет соединения. в результате машина клиента идёт в инет "напрямую" т.е. без указания в приложениях каких либо прокси и т.п., как будто машина клиента напрямую подключена к инету. Меня это очень устраивает т.к. это даёт возможность работать некоторым прогам, которые не умеют или отказываются работать через прокси! Осталось решить последнюю проблему: доступ в инт через авторизатор. Только не говорите; иди учи, иди читай, так и я могу ответить, я прошу конкретной помощи :)

Link to post
Share on other sites
Уважаемый egor2fsys ! Эта фигня написана в руководстве по iptables :) , к сожалению я сам такое придумать не в состоянии :)

Я ж говорю, он считает трафик и даже авторизатор переводит в состояние "ОТКЛЮЧЕН" при превышении лимита, но ВСЁ дело в том, что доступ в интернет есть не зависимо от того запущен авторизатор или нет!!! превышен лимит или нет!!

Я и прошу показать ошибку, которая это допускает :) Плиз :)

Я наверно ослеп, но хоть убейте, не вижу там строчек про разрешение всем ходить через форвард. Те две строчки надо убирать. А то у вас получается что вы открыли всем форвард и сделали НАТ - велком в интернет без авторизации.

 

В он конект надо написать для НАТирования клиента:

 

$IPTABLES -t nat -A POSTROUTING -s $ip -o $iface_world -j SNAT --to-source $server1

 

Соотв. в дисконекте надо не забыть удалить данное правило. Ну и из общего скрипта фаервола убрать НАТирование всех клиентов.

 

З. Ы. поучите таки фаервол, для начала хотя бы порядок похождения пакетов:

http://www.opennet.ru/docs/RUS/iptables/

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.


×
×
  • Create New...