Устанвока 2.4

[aliens 0]

Здравствуйте!

Поставил пл СТАРГЕЙЗЕР 2.4 НА Федора Кор 5, авторизатор соединяется,все хорошо, но вопрос, надо ли настраивать iptables для работы старгейзера? по документации 2.0 нормально будет? а то в доках к 2.4 ничего об этом не сказано....

 

И вопросец, в 2.4 в стандартных скриптах OnConnect реализован (под линух) шейпер? и как он работает? динамический? или можно резервирвоат ьпод отдельных пользователей канал?

[egor2fsys 5]

Правила фаервола для 2.4 можно оставить такими же как и для 2.0.

Шейпера в стандартных скриптах нет, однако поиском по форуму можно найти скрипты и с шейпером.

[aliens 0]

спасибо за ответ, вопрос такой,а без цейпера стандартный скрипт нормально будет канал делить между людьми??

и еще вопрос,если у меня 2 интерфейса, 1 смотрит в локалку,второй в сторону провайдера, и подключается к интернету через вторйо интерфейс поВПН, мне в правилах фаервола что надо указывать?? интерфейс в сторону провайдера? или ppp0 ?

[aliens 0]

появился тут вопросец... в версии 2.4 в стандартных скриптах OnConnect и т.п. никак правила фаервола не задействованы, т.е. надо брать какой то из готовых правил с форума? или с 2.0 примеров? или же стандартные с 2.4 будут работать?

[Neelix 33]

Лучше напиши свой скрипт OnConnect с нужными тебе правилами iptables.

[aliens 0]

хех.... пока сам не смогу... хотелось бы использовать првоереный скрипт...

[egor2fsys 5]

В поиск по форуму. Где-то был целый топ с примерами скриптов и ничем больше.

[aliens 0]

а дайте пожалуйста начальные правила фаервола пожалуйста

[aliens 0]

Подскажите,а будет ли такое работать?? или я зря губу раскатал ) (надо открыть аську не учитывая ее)

 

#ICQ открыть

iptables -t filter -A INPUT -p tcp -s 192.168.4.0/24 -j ACCEPT

iptables -t filter -A FORWARD -p tcp -s 205.188.0.0/16 --sport 5190 -j ACCEPT

iptables -t filter -A FORWARD -p tcp -d 64.12.0.0/16 --dport 5190 -j ACCEPT

iptables -t filter -A OUTPUT -p tcp -d 192.168.4.0/24 --dport 5190 -j ACCEPT

 

#Маскарад

iptables -t nat -A POSTROUTING -p tcp -d 0.0.0.0/0 -j MASQUERADE

[Slava 1]

Подскажите,а будет ли такое работать?? или я зря губу раскатал ) (надо открыть аську не учитывая ее)

 

#ICQ открыть

iptables -t filter -A INPUT -p tcp -s 192.168.4.0/24 -j ACCEPT

iptables -t filter -A FORWARD -p tcp -s 205.188.0.0/16 --sport 5190 -j ACCEPT

iptables -t filter -A FORWARD -p tcp -d 64.12.0.0/16 --dport 5190 -j ACCEPT

iptables -t filter -A OUTPUT -p tcp -d 192.168.4.0/24 --dport 5190 -j ACCEPT

 

#Маскарад

iptables -t nat -A POSTROUTING -p tcp -d 0.0.0.0/0 -j MASQUERADE

вот вариант без дополнительных модулей но можно передавать файлы по icq

iptables -A FORWARD -s 192.168.4.0/24 -d 64.12.0.0/16 -p tcp --dport 5190 -j ACCEPT

iptables -A FORWARD -s 192.168.4.0/24 -d 205.188.0.0/16 -p tcp --dport 5190 -j ACCEP

iptables -A FORWARD -d 192.168.4.0/24 -s 64.12.0.0/16 -p tcp --sport 5190 -j ACCEPT

iptables -A FORWARD -d 192.168.4.0/24 -s 205.188.0.0/16 -p tcp --sport 5190 -j ACCEP

 

iptables -t filter -A FORWARD -d 192.168.4.0/24 -s 205.188.0.0/16 -p icmp -j ACCEPT

iptables -t filter -A FORWARD -d 192.168.4.0/24 -s 64.12.0.0/16 -p icmp -j ACCEPT

iptables -t filter -A FORWARD -s 192.168.4.0/24 -d 205.188.0.0/16 -p icmp -j ACCEPT

iptables -t filter -A FORWARD -s 192.168.4.0/24 -d 64.12.0.0/16 -p icmp -j ACCEPT

 

iptables -t nat -I POSTROUTING 1 -s 192.168.4.0/24 -d 64.12.0.0/16 -j MASQUERADE

iptables -t nat -I POSTROUTING 1 -s 192.168.4.0/24 -d 205.188.0.0/16 -j MASQUERADE

iptables -t nat -I POSTROUTING 1 -d 192.168.4.0/24 -s 64.12.0.0/16 -j MASQUERADE

iptables -t nat -I POSTROUTING 1 -d 192.168.4.0/24 -s 205.188.0.0/16 -j MASQUERADE

 

вот так файло не пройдет но нужно пересобрать ядро и iptables с поддержкой connbytes

 

iptables -A FORWARD -s 192.168.4.0/24 -d 64.12.0.0/16 -p tcp --dport 5190 -m connbytes --connbytes :50000 --connbytes-dir both --connbytes-mode bytes -j ACCEPT

iptables -A FORWARD -s 192.168.4.0/24 -d 205.188.0.0/16 -p tcp --dport 5190 -m connbytes --connbytes :50000 --connbytes-dir both --connbytes-mode bytes -j ACCEP

iptables -A FORWARD -d 192.168.4.0/24 -s 64.12.0.0/16 -p tcp --sport 5190 -m connbytes --connbytes :50000 --connbytes-dir both --connbytes-mode bytes -j ACCEPT

iptables -A FORWARD -d 192.168.4.0/24 -s 205.188.0.0/16 -p tcp --sport 5190 -m connbytes --connbytes :50000 --connbytes-dir both --connbytes-mode bytes -j ACCEP

iptables -t filter -A FORWARD -d 192.168.4.0/24 -s 205.188.0.0/16 -p icmp -j ACCEPT

iptables -t filter -A FORWARD -d 192.168.4.0/24 -s 64.12.0.0/16 -p icmp -j ACCEPT

iptables -t filter -A FORWARD -s 192.168.4.0/24 -d 205.188.0.0/16 -p icmp -j ACCEPT

iptables -t filter -A FORWARD -s 192.168.4.0/24 -d 64.12.0.0/16 -p icmp -j ACCEPT

 

iptables -t nat -I POSTROUTING 1 -s 192.168.4.0/24 -d 64.12.0.0/16 -j MASQUERADE

iptables -t nat -I POSTROUTING 1 -s 192.168.4.0/24 -d 205.188.0.0/16 -j MASQUERADE

iptables -t nat -I POSTROUTING 1 -d 192.168.4.0/24 -s 64.12.0.0/16 -j MASQUERADE

iptables -t nat -I POSTROUTING 1 -d 192.168.4.0/24 -s 205.188.0.0/16 -j MASQUERADE

 

и в rules не забудь прописать

ALL 64.12.0.0/16 DIR2

ALL 205.188.0.0/16 DIR2

и сделать бесплатным это направление (если хочеш чтоб ICQ пользовалия бесплатно)

либо

ALL 64.12.0.0/16 NULL

ALL 205.188.0.0/16 NULL

так старгайзер трафик ICQ учитывать не будет

[aliens 0]

большое спасибо!

[aliens 0]

хм... азметил глюк,используя первый случай(с передачей файлов) аська ен конектится пока не вклчюишь авторизатор.... а потом если выключить авторизатор то ася пашет нормально...

[Neelix 33]

Тут возможны 2 варианта:

1. Скрипты выполняются нормально, аська может и работает, но со временем отвалится.

2. Скрипты OnDisconnect неправильно убирают правило, поэтому аська остается торчать.

На форуме писалось, что я такой крутой, взломал старгейзер....бла-бла-бла...руки просто кривые были, и не сделал все как надо.

[Slava 1]

хм... азметил глюк,используя первый случай(с передачей файлов) аська ен конектится пока не вклчюишь авторизатор.... а потом если выключить авторизатор то ася пашет нормально...

Покажи скрипты онконнект и он дисконнект.

и покажи вывод команд

iptables -t nat -nL

iptables -t filter -nL

iptables -t mangle -nL

[aliens 0]

вот скрипт OnConnect

#!/bin/bash
ip=$2
iptables -t filter -A INPUT -s $ip -j ACCEPT
iptables -t filter -A FORWARD -s $ip -j ACCEPT
iptables -t filter -A FORWARD -d $ip -j ACCEPT
iptables -t filter -A OUTPUT -d $ip -j ACCEPT

 

OnDisconnect

#!/bin/bash
ip=$2
iptables -t filter -D INPUT -s $ip -j ACCEPT
while [ $? -eq 0 ]
do
iptables -t filter -D INPUT -s $ip -j ACCEPT
done
iptables -t filter -D FORWARD -s $ip -j ACCEPT
while [ $? -eq 0 ]
do
iptables -t filter -D FORWARD -s $ip -j ACCEPT
done
iptables -t filter -D FORWARD -d $ip -j ACCEPT
while [ $? -eq 0 ]
do
iptables -t filter -D FORWARD -d $ip -j ACCEPT
done
iptables -t filter -D OUTPUT -d $ip -j ACCEPT
while [ $? -eq 0 ]
do
iptables -t filter -D OUTPUT -d $ip -j ACCEPT
done

 

вывод буит ночью...

[seima 6]

А у меня другой прикол: у юзера на щету денег допустим на 2 мб, он ставит закачку фильма. срабатует скрипт ОнДисконект и его IP удаляется с таблици разрешонных, загрузить новые данные с нета он не может но этот фильм качаться таки продолжает. Как настроить ОнДисконект ятобы его мгновенно рубало с сервера и был открыт доступ только по 5555 порту?

[egor2fsys 5]

В поиск. Примеры уже были.