Пре-релизы Stargazer 2.4

[neuch 0]

Спасибо за советы, как изменю, напишу что получится, ну и файрвол обязательно ещё раз проштудирую

[neom 8]

Кстати более удобно юзать вместо

$IPTABLES -t nat -A POSTROUTING -s $ip -o $iface_world -j SNAT --to-source $server1

строку вот такого вида

$IPTABLES -t nat -A POSTROUTING -s $ip -o $iface_world -j MASQUERADE

тогда ты не привязан к внешнему айпишнику сервака потому шо вздумается твоему прову сменить тебе сеточку и будешь ты переколбашивать все правила отплясывая от нового адреса

[neom 8]

О примногоуважаемый egor2fsys, а немогли бы вы снизойти ко мне с ответом по поводу исходников на старый авторизатор (см выше посты) или сказать ориентировочные сроки нового билда или релиза STG 2.4 ???

буду безгранично благодарен за ответ :00:

[neuch 0]

час от часу не легче

вот что имею,

#!/bin/bash

#Машина в офисе

office=192.168.0.21

#Машина администратора

admin=192.168.0.210

 

#Адреса роутера

server0=192.168.0.210

server1=11.222.333.444

 

#Интерфейс смотрящий на клиентов

iface_cli=eth0

 

#Интерфейс смотрящий во внешний мир

iface_world=eth1

 

#порты, на которых работает конфигуратор и маршрутизатор

conf_port=4444

user_port=4444

#user_port2=4443

IPTABLES="/sbin/iptables"

/sbin/depmod -a

/sbin/modprobe ip_tables

/sbin/modprobe ip_conntrack

/sbin/modprobe iptable_filter

/sbin/modprobe iptable_mangle

/sbin/modprobe iptable_nat

/sbin/modprobe ipt_LOG

/sbin/modprobe ipt_limit

/sbin/modprobe ipt_state

 

#Разрешаем форватинг пакетов

echo "1" > /proc/sys/net/ipv4/ip_forward

 

#Очищаем правила файрвола

iptables -t filter -F

iptables -t filter -X

iptables -t nat -F

iptables -t nat -X

 

#Политика по умолчанию DROP: всем всё запрещено

iptables -t filter -P INPUT DROP

iptables -t filter -P FORWARD DROP

iptables -t filter -P OUTPUT DROP

 

#Разрешаем пингам ходить всюду и всегда

iptables -t filter -A INPUT -p icmp -j ACCEPT

iptables -t filter -A FORWARD -p icmp -j ACCEPT

iptables -t filter -A OUTPUT -p icmp -j ACCEPT

 

#Разрешаем всё на локальном интерфейсе

iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT

iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT

 

#разрешить серверу общаться с внешним миром

iptables -t filter -A INPUT -i $iface_world -j ACCEPT

iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT

 

#Stargazer configurator

iptables -t filter -A INPUT -p tcp -s 192.168.0.0/24 -d $server0 --dport $conf_port -j ACCEPT

iptables -t filter -A OUTPUT -p tcp -d 192.168.0.0/24 -s $server0 --sport $conf_port -j ACCEPT

 

#UDP stargazer InetAccess

iptables -t filter -A INPUT -p udp -s 192.168.0.0/24 --sport $user_port -d $server0 --dport $user_port -j ACCEPT

iptables -t filter -A OUTPUT -p udp -d 192.168.0.0/24 --dport $user_port -s $server0 -j ACCEPT

#Маскарад

#iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE

#$IPTABLES -t nat -A POSTROUTING -o $iface_world -j SNAT --to-source $server1

 

Две нижние строчки закоммнентировал, т.к. при использовании любой из них инт пингуется в не зависимости от того включен авторизатор или нет? но приложения в инет не ходят (тоже не зависимо от состояния авторизатора)

В он коннект по совету прописал:

#!/bin/bash

 

ip=$2

 

$IPTABLES -t filter -A INPUT -s $ip -j ACCEPT

$IPTABLES -t filter -A FORWARD -s $ip -j ACCEPT

$IPTABLES -t filter -A FORWARD -d $ip -j ACCEPT

$IPTABLES -t filter -A OUTPUT -d $ip -j ACCEPT

#$IPTABLES -t nat -A POSTROUTING -s $ip -o $iface_world -j SNAT --to-source 11.222.333.444

$IPTABLES -t nat -A POSTROUTING -s $ip -o $iface_world -j MASQUERADE

от варианта использования двух нижнизх строк ничего не меняется, что они есть, что их нет

[neuch 0]

совсем забыл отметить интересный факт - после запускиа этих правил, не могу выйти в локальную сеть с машины с установленным SG

[Wapr-Old 0]

Наверное лучше будет так разрешить

$IPTABLES -t nat -A POSTROUTING -i $iface_lan -o $iface_wan -j SNAT --to-source $ip_wan

Или хочется для каждого юзера отдельно писать такое правило? А смысл?

 

Набери route -n и посмотри дефолт гейтвей, я не вижу, где это прописывается.

Да и не только дефолт...

 

А вообще посмотри сюда http://local.com.ua/forum/index.php?showtopic=2020

[neuch 0]

спасибо за совет, попробую

[egor2fsys 5]

Кстати более удобно юзать вместо

$IPTABLES -t nat -A POSTROUTING -s $ip -o $iface_world -j SNAT --to-source $server1

строку вот такого вида

$IPTABLES -t nat -A POSTROUTING -s $ip -o $iface_world -j MASQUERADE

тогда ты не привязан к внешнему айпишнику сервака потому шо вздумается твоему прову сменить тебе сеточку и будешь ты переколбашивать все правила отплясывая от нового адреса

Маскарад более требователен к ресурсам, чем снат, поэтому в тех случаях когда известен внешний адрес лучше использовать снат.

[Neelix 33]

у меня при маскараде, теряется часть пакетов!

[neom 8]

Шо ты имеешь ввиду под потерей пакетов? старик их не считает или потери в плане ICMP ?

[Neelix 33]

ICMP, пинги не проходят. Зато через SNAT все нормально.

[neom 8]

Видать шото ты наконфигурил не то у меня на маскараде все аж бегом бегает

[Neelix 33]

та все вроде то...

[silentman 0]

Прошу помощи!

Скажите пожалуйста, что надо писать в скрипты OnConect и OnDisconect для работы с направлениями?

 

Спасибо всем за помощ!!!

[_Dron_ 0]

Просто прописать правильно RULES

И будет считать по направлениям...

А что и когда открывать/закрывать решать тебе и редактить OnConect и OnDisconect

[cristal 0]

Господа разработчики - пишу Вам, как к последним от кого еще можно ждать помощи, живем мы худо и бедно читаем тырнет и форумы но все напрасно, на днях замучали юзера - он признался во всем что он делал грешного и чего хотел сделать непутевого. Да все напрасно оказалось - врал сорванец. Остались теперь только Вы - раскройте же сИкрет работы с скриптом OnConnect по направлениям! Если можно с примером, пожалуйста..

Смиренно, Ваш cristal.

[Alferov 0]

А почитать соседний форум религия не позволяет чтоль?

 

п.с. совсем обленились ))

[neom 8]

Господа авторы может поделитесь свеженькой версией 2.4 сервера и авторизатора под него с исходниками а то уже больше 3 месяцев прошло и тишинааааааа

[Колян 2]

Ага. Желательно бы еще и модуль мускуля. готов заплатить, но бютжет очень небольшой.

[cristal 0]

А почитать соседний форум религия не позволяет чтоль?

 

п.с. совсем обленились ))

2 Alferov а ссылку дать лень да ?

А по поводу того что не читал соседнюю ветку - как то все работа - наскоками бегло читал форум ничего подобного не попало на глаза, и почемуто я был уверен что фсе вопросы относительно релиза обсуждаются здесь.... ну как то тема обязывает что ли..

[Alferov 0]

Нет слов... (((

[egor2fsys 5]

А почитать соседний форум религия не позволяет чтоль?

 

п.с. совсем обленились ))

2 Alferov а ссылку дать лень да ?

А по поводу того что не читал соседнюю ветку - как то все работа - наскоками бегло читал форум ничего подобного не попало на глаза, и почемуто я был уверен что фсе вопросы относительно релиза обсуждаются здесь.... ну как то тема обязывает что ли..

Про включение направлений в скриптах уже клавиатура устала писать. Все расписано по 10 раз уже, причем с примерами видоизменения скриптов и парсинга передаваемой последовательности 0 и 1.

 

З. Ы. еще раз увижу вопрос или тему про направления - снесу без предупреждения. Имейте совесть пожалуйста и юзайте поиск.

[Neelix 33]

2 egor2fsys

 

Внесите пожалуйста на оф.сайт стг, чтобы тыкать точной ссылкой туда.

[zero_ua 0]

Народ ... где взять мод для stg "админ" и "юзер"?

а то сайт закрыли ...

[Render_ 0]

Народ ... где взять мод для stg "админ" и "юзер"?

а то сайт закрыли ...

http://stg.dp.ua/stg/