Jump to content

Пре-релизы Stargazer 2.4


Recommended Posts

  • Replies 324
  • Created
  • Last Reply

Top Posters In This Topic

Кстати более удобно юзать вместо

$IPTABLES -t nat -A POSTROUTING -s $ip -o $iface_world -j SNAT --to-source $server1

строку вот такого вида

$IPTABLES -t nat -A POSTROUTING -s $ip -o $iface_world -j MASQUERADE

тогда ты не привязан к внешнему айпишнику сервака :) потому шо вздумается твоему прову сменить тебе сеточку и будешь ты переколбашивать все правила отплясывая от нового адреса :)

Link to post
Share on other sites

О примногоуважаемый egor2fsys, а немогли бы вы снизойти ко мне с ответом по поводу исходников на старый авторизатор (см выше посты) или сказать ориентировочные сроки нового билда или релиза STG 2.4 ???

буду безгранично благодарен за ответ :00:

Link to post
Share on other sites

час от часу не легче :)

вот что имею,

#!/bin/bash

#Машина в офисе

office=192.168.0.21

#Машина администратора

admin=192.168.0.210

 

#Адреса роутера

server0=192.168.0.210

server1=11.222.333.444

 

#Интерфейс смотрящий на клиентов

iface_cli=eth0

 

#Интерфейс смотрящий во внешний мир

iface_world=eth1

 

#порты, на которых работает конфигуратор и маршрутизатор

conf_port=4444

user_port=4444

#user_port2=4443

IPTABLES="/sbin/iptables"

/sbin/depmod -a

/sbin/modprobe ip_tables

/sbin/modprobe ip_conntrack

/sbin/modprobe iptable_filter

/sbin/modprobe iptable_mangle

/sbin/modprobe iptable_nat

/sbin/modprobe ipt_LOG

/sbin/modprobe ipt_limit

/sbin/modprobe ipt_state

 

#Разрешаем форватинг пакетов

echo "1" > /proc/sys/net/ipv4/ip_forward

 

#Очищаем правила файрвола

iptables -t filter -F

iptables -t filter -X

iptables -t nat -F

iptables -t nat -X

 

#Политика по умолчанию DROP: всем всё запрещено

iptables -t filter -P INPUT DROP

iptables -t filter -P FORWARD DROP

iptables -t filter -P OUTPUT DROP

 

#Разрешаем пингам ходить всюду и всегда

iptables -t filter -A INPUT -p icmp -j ACCEPT

iptables -t filter -A FORWARD -p icmp -j ACCEPT

iptables -t filter -A OUTPUT -p icmp -j ACCEPT

 

#Разрешаем всё на локальном интерфейсе

iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT

iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT

 

#разрешить серверу общаться с внешним миром

iptables -t filter -A INPUT -i $iface_world -j ACCEPT

iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT

 

#Stargazer configurator

iptables -t filter -A INPUT -p tcp -s 192.168.0.0/24 -d $server0 --dport $conf_port -j ACCEPT

iptables -t filter -A OUTPUT -p tcp -d 192.168.0.0/24 -s $server0 --sport $conf_port -j ACCEPT

 

#UDP stargazer InetAccess

iptables -t filter -A INPUT -p udp -s 192.168.0.0/24 --sport $user_port -d $server0 --dport $user_port -j ACCEPT

iptables -t filter -A OUTPUT -p udp -d 192.168.0.0/24 --dport $user_port -s $server0 -j ACCEPT

#Маскарад

#iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE

#$IPTABLES -t nat -A POSTROUTING -o $iface_world -j SNAT --to-source $server1

 

Две нижние строчки закоммнентировал, т.к. при использовании любой из них инт пингуется в не зависимости от того включен авторизатор или нет? но приложения в инет не ходят (тоже не зависимо от состояния авторизатора)

В он коннект по совету прописал:

#!/bin/bash

 

ip=$2

 

$IPTABLES -t filter -A INPUT -s $ip -j ACCEPT

$IPTABLES -t filter -A FORWARD -s $ip -j ACCEPT

$IPTABLES -t filter -A FORWARD -d $ip -j ACCEPT

$IPTABLES -t filter -A OUTPUT -d $ip -j ACCEPT

#$IPTABLES -t nat -A POSTROUTING -s $ip -o $iface_world -j SNAT --to-source 11.222.333.444

$IPTABLES -t nat -A POSTROUTING -s $ip -o $iface_world -j MASQUERADE

от варианта использования двух нижнизх строк ничего не меняется, что они есть, что их нет

Link to post
Share on other sites

совсем забыл отметить интересный факт - после запускиа этих правил, не могу выйти в локальную сеть с машины с установленным SG

Link to post
Share on other sites

Наверное лучше будет так разрешить

$IPTABLES -t nat -A POSTROUTING -i $iface_lan -o $iface_wan -j SNAT --to-source $ip_wan

Или хочется для каждого юзера отдельно писать такое правило? А смысл?

 

Набери route -n и посмотри дефолт гейтвей, я не вижу, где это прописывается.

Да и не только дефолт...

 

А вообще посмотри сюда http://local.com.ua/forum/index.php?showtopic=2020

Link to post
Share on other sites
Кстати более удобно юзать вместо

$IPTABLES -t nat -A POSTROUTING -s $ip -o $iface_world -j SNAT --to-source $server1

строку вот такого вида

$IPTABLES -t nat -A POSTROUTING -s $ip -o $iface_world -j MASQUERADE

тогда ты не привязан к внешнему айпишнику сервака :) потому шо вздумается твоему прову сменить тебе сеточку и будешь ты переколбашивать все правила отплясывая от нового адреса ;)

Маскарад более требователен к ресурсам, чем снат, поэтому в тех случаях когда известен внешний адрес лучше использовать снат.

Link to post
Share on other sites
  • 3 weeks later...

Просто прописать правильно RULES

И будет считать по направлениям...

А что и когда открывать/закрывать решать тебе и редактить OnConect и OnDisconect

Link to post
Share on other sites

Господа разработчики - пишу Вам, как к последним от кого еще можно ждать помощи, живем мы худо и бедно читаем тырнет и форумы но все напрасно, на днях замучали юзера - он признался во всем что он делал грешного и чего хотел сделать непутевого. Да все напрасно оказалось - врал сорванец. Остались теперь только Вы - раскройте же сИкрет работы с скриптом OnConnect по направлениям! Если можно с примером, пожалуйста..

Смиренно, Ваш cristal.

Link to post
Share on other sites

Господа авторы может поделитесь свеженькой версией 2.4 сервера и авторизатора под него с исходниками :( а то уже больше 3 месяцев прошло и тишинааааааа :)

Link to post
Share on other sites
А почитать соседний форум религия не позволяет чтоль?

 

п.с. совсем обленились ))

2 Alferov а ссылку дать лень да ?

А по поводу того что не читал соседнюю ветку - как то все работа - наскоками бегло читал форум ничего подобного не попало на глаза, и почемуто я был уверен что фсе вопросы относительно релиза обсуждаются здесь.... ну как то тема обязывает что ли..

Link to post
Share on other sites
А почитать соседний форум религия не позволяет чтоль?

 

п.с. совсем обленились ))

2 Alferov а ссылку дать лень да ?

А по поводу того что не читал соседнюю ветку - как то все работа - наскоками бегло читал форум ничего подобного не попало на глаза, и почемуто я был уверен что фсе вопросы относительно релиза обсуждаются здесь.... ну как то тема обязывает что ли..

Про включение направлений в скриптах уже клавиатура устала писать. Все расписано по 10 раз уже, причем с примерами видоизменения скриптов и парсинга передаваемой последовательности 0 и 1.

 

З. Ы. еще раз увижу вопрос или тему про направления - снесу без предупреждения. Имейте совесть пожалуйста и юзайте поиск.

Link to post
Share on other sites
  • 2 months later...

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.


×
×
  • Create New...