aliens 0 Опубликовано: 2007-01-04 01:59:06 Share Опубликовано: 2007-01-04 01:59:06 Здравствуйте,начала ставить старгейзер 2.4,все поставил, все хорошо,авторизация проходит, пинги между всеми интерфейсами ходят, но интернет не дает пользователям... вот скрипт OnConnect #!/bin/bash ip=$2 iptables -t filter -A INPUT -s $ip -j ACCEPT iptables -t filter -A FORWARD -s $ip -j ACCEPT iptables -t filter -A FORWARD -d $ip -j ACCEPT iptables -t filter -A OUTPUT -d $ip -j ACCEPT OnDisconnect #!/bin/bash ip=$2 iptables -t filter -D INPUT -s $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D INPUT -s $ip -j ACCEPT done iptables -t filter -D FORWARD -s $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D FORWARD -s $ip -j ACCEPT done iptables -t filter -D FORWARD -d $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D FORWARD -d $ip -j ACCEPT done iptables -t filter -D OUTPUT -d $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D OUTPUT -d $ip -j ACCEPT done файл rules ALL 0.0.0.0/0 DIR0 файл первичных настроек фаервола #!/bin/bash office=192.168.4.19 admin=192.168.4.24 server0=192.168.4.251 server1=192.168.1.5 iface_cli=eth0 iface_world=eth1 conf_port=5555 user_port1=5555 user_port2=5555 echo "1" > /proc/sys/net/ipv4/ip_forward iptables -t filter -F iptables -t filter -X iptables -t nat -F iptables -t nat -X iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT DROP iptables -t filter -A INPUT -p icmp -j ACCEPT iptables -t filter -A FORWARD -p icmp -j ACCEPT iptables -t filter -A OUTPUT -p icmp -j ACCEPT iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT iptables -t filter -A INPUT -i $iface_world -j ACCEPT iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT iptables -t filter -A INPUT -p tcp -s $office -d $server0 --dport 22 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d $office -s $server0 --sport 22 -j ACCEPT iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT iptables -t filter -A INPUT -p tcp -s 192.168.4.0/24 -d $server0 --dport $conf_port -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d 192.168.4.0/24 -s $server0 --sport $conf_port -j ACCEPT iptables -t filter -A INPUT -p udp -s 192.168.4.0/24 --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT iptables -t filter -A OUTPUT -p udp -d 192.168.4.0/24 --dport $user_port1 -s $server0 -j ACCEPT iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE Подключение к интернету осуществляется путем ADSL модема, который подключен к eth1 и при подключении создает ppp0 с динамическим ипом (каждый раз провайдер дает новый ип). С сервера пинги ходят везде, а с клиента ходят по всем интерфейсам и по ипу сайтов в интернете, но на страницы не заходит и по имени не пингует ( Подскажите пожалуйста,что может быть такогО? Ссылка на сообщение Поделиться на других сайтах
aliens 0 Опубликовано: 2007-01-04 02:00:21 Автор Share Опубликовано: 2007-01-04 02:00:21 а,и еще, если включен авторизатор, то раз в пару минут показывается как будто я что то скачал, на пару кб... мне кажется что это пинг снимается...как сделать чтоб не снимался? Ссылка на сообщение Поделиться на других сайтах
egor2fsys 5 Опубликовано: 2007-01-04 08:22:19 Share Опубликовано: 2007-01-04 08:22:19 ICMP <адрес сервера> NULL Ссылка на сообщение Поделиться на других сайтах
Neelix 33 Опубликовано: 2007-01-04 09:37:05 Share Опубликовано: 2007-01-04 09:37:05 Таже фигня, поднял Dial-In сервер через обычный модем. В опциях стоит proxyarp defaultroute ms-dns 192.168.0.1 в iptables все идет через SNAT только ДНС не работает, хотя пинги идут на все внешние ip. Если открывать броузером страницы, то хрен. А если телнетом подцепиться к 80 порту и сделать вручную запрос, то все ОК. Ссылка на сообщение Поделиться на других сайтах
egor2fsys 5 Опубликовано: 2007-01-04 11:35:27 Share Опубликовано: 2007-01-04 11:35:27 Ковырйте ДНС. У меня так было когда не было прав на работу диалапщиков с внутренним ДНС сервером. Ссылка на сообщение Поделиться на других сайтах
Neelix 33 Опубликовано: 2007-01-04 12:04:40 Share Опубликовано: 2007-01-04 12:04:40 Так а почему тогда не не открываются сайты напрямую через ip и через squid? Ссылка на сообщение Поделиться на других сайтах
aliens 0 Опубликовано: 2007-01-04 13:08:12 Автор Share Опубликовано: 2007-01-04 13:08:12 хм... а что ковырять та? хоть подскажите куда! т.к. на этом компе стоит локальный днс сервер, у которого 1 зона,все ее видят.все ок! но в инет не ходят =/ Тогда вопросец, OnConnect,OnDisconnect нормальные?? Ссылка на сообщение Поделиться на других сайтах
egor2fsys 5 Опубликовано: 2007-01-04 13:17:05 Share Опубликовано: 2007-01-04 13:17:05 Да правла вроде нормальные. А попробуйте поставить ДНС провайдера. Ссылка на сообщение Поделиться на других сайтах
Neelix 33 Опубликовано: 2007-01-04 13:19:09 Share Опубликовано: 2007-01-04 13:19:09 получается да, если пинги идут на другие сервера. Ставил ДНС прова, не помогает. Опять же, почему я могу телнетом подключиться, а броузером нет? Ссылка на сообщение Поделиться на других сайтах
aliens 0 Опубликовано: 2007-01-04 13:28:33 Автор Share Опубликовано: 2007-01-04 13:28:33 хм... egor2fsys поставить ДНС прова проблематично...т.к. они выдаются мне по адсл разные =/ как и ип.... Ссылка на сообщение Поделиться на других сайтах
aliens 0 Опубликовано: 2007-01-04 15:52:56 Автор Share Опубликовано: 2007-01-04 15:52:56 эм...еще извините за ламерский вопрос,надо ли что то прописывать через команды ip, route чтобы работало? Ссылка на сообщение Поделиться на других сайтах
Neelix 33 Опубликовано: 2007-01-04 15:57:00 Share Опубликовано: 2007-01-04 15:57:00 Жжошь! Чтобы ввести ДНС, явно роутинг не причем. vi спасет Вопрос в ответ, а как же ты до этого маршрутизацию делал? Ссылка на сообщение Поделиться на других сайтах
Max 0 Опубликовано: 2007-01-04 16:28:21 Share Опубликовано: 2007-01-04 16:28:21 может что то с mtu ? Ссылка на сообщение Поделиться на других сайтах
Neelix 33 Опубликовано: 2007-01-04 16:45:35 Share Опубликовано: 2007-01-04 16:45:35 Пробовал менять и MTU и MRU. Все опции перепробовал. Файрвол не причем, отклал на время. В маршутизации тоже маловероятно, потому что при подключении срабатывает ifup-ppp и создается маршрут на default gw, это видно из того, что пинг идет на другие сервера. Хотя пинг с модемной тачки идет на сервер, а с сервера не идет тачку. ХЕЗ Ссылка на сообщение Поделиться на других сайтах
Slava 1 Опубликовано: 2007-01-04 17:45:30 Share Опубликовано: 2007-01-04 17:45:30 хм... egor2fsys поставить ДНС прова проблематично...т.к. они выдаются мне по адсл разные =/ как и ип.... Вариант №1 поставить squid Вариант №2 если всетаки нужен НАТ то попробуй записать у себя все возможные ДНС сервера провайдера не думаю что их бесчисленное множество т.к. для пинга по имени с сервера, адреса ДНС серверов должны у тебя быть прописаны в файле /etc/resolv.conf и в файле /etc/named.conf пишеш следующее: acl "net" {твоя локальная подсеть ;}; options { directory "/var/named"; listen-on { 127.0.0.1; локальный ip сервера; }; forwarders { ДНС1; ДНС2; ДНС3;}; }; в строчке forwarders { ДНС1; ДНС2; ДНС3;}; пишеш все ДНС сервера своего провайдера потом прописываеш на клиенте ДНС и шлюз IP твоего сервера и все должно заработать Ссылка на сообщение Поделиться на других сайтах
Neelix 33 Опубликовано: 2007-01-04 18:00:16 Share Опубликовано: 2007-01-04 18:00:16 У меня все так и стоит. У юзеров локалки все отлично работает, а у dialup хрен. Ссылка на сообщение Поделиться на других сайтах
aliens 0 Опубликовано: 2007-01-05 11:47:54 Автор Share Опубликовано: 2007-01-05 11:47:54 Жжошь!Чтобы ввести ДНС, явно роутинг не причем. vi спасет Вопрос в ответ, а как же ты до этого маршрутизацию делал? делал по ману с стг 2.0..там про маршрутизацию нчиего...я и подумал что только правил iptables и назначение дефолтного интерфейса хватит... если не хватит, то подскажите что писать та плиз Ссылка на сообщение Поделиться на других сайтах
Neelix 33 Опубликовано: 2007-01-08 20:31:23 Share Опубликовано: 2007-01-08 20:31:23 Так оно и должно быть. Если клиенты все у тебя в одной сети, то шлюза по умолчания в таблице маршрутизации должно хватить. Лучше запиши команду route в rc.local route add default gw IP_Шлюза dev ethX если в скрипте OnConnect разрешается FORWARD, и в скрипте инициализации iptables, поднимается NAT, то интернет должен работать. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВойти
Уже зарегистрированы? Войдите здесь.
Войти сейчас