Перейти до

настройка старгайзера


Рекомендованные сообщения

Попогите пожалуйста настроить старгайзер

моя ситуация:

- eth0 - 10.0.0.1 - смотрит в сторону клиентов

- eth1 - 192.168.0.1 - смотрит в сторону другого компьютера с спутниковым обратным каналом (стоит Глобакс, 192.168.0.4:3128)

-------------------------------------

вот пример моей конфигурации:

------

файл fw

------

#!/bin/bash

office=10.0.0.3

admin=10.0.0.11

server0=10.0.0.1
server1=192.168.0.1

iface_cli=eth0

iface_world=eth1

conf_port=5555
user_port1=5555

"1" > /proc/sys/net/ipv4/ip_forward

iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A FORWARD -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT

iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT
iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT

iptables -t filter -A INPUT -i $iface_world -j ACCEPT
iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT

# DNS.
iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT

# SSH
iptables -t filter -A INPUT -p tcp -s $office -d $server0 --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp -d $office -s $server0 --sport 22 -j ACCEPT
iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT

# Stargazer configurator
iptables -t filter -A INPUT -p tcp -s 10.0.0.0/24 -d $server0 --dport $conf_port -j ACCEPT
iptables -t filter -A OUTPUT -p tcp -d 10.0.0.0/24 -s $server0 --sport $conf_port -j ACCEPT

# UDP stargazer InetAccess
iptables -t filter -A INPUT -p udp -s 10.0.0.0/24 --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT
iptables -t filter -A OUTPUT -p udp -d 10.0.0.0/24 --dport $user_port1 -s $server0 -j ACCEPT

#
iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE

 

-----------

файл OnConnect

----------

#!/bin/bash

ip=$2

iptables -t filter -A INPUT -s $ip -j ACCEPTiptables -t filter -A FORWARD -s $ip -j ACCEPTiptables -t filter -A FORWARD -d $ip -j ACCEPTiptables -t filter -A OUTPUT -d $ip -j ACCEPT

 

---------

файл OnDisconnect

---------

#!/bin/bash

ip=$2

iptables -t filter -D INPUT -s $ip -j ACCEPTwhile [ $? -eq 0 ]doiptables -t filter -D INPUT -s $ip -j ACCEPTdone

##################################

iptables -t filter -D FORWARD -s $ip -j ACCEPTwhile [ $? -eq 0 ]doiptables -t filter -D FORWARD -s $ip -j ACCEPTdone

##################################

iptables -t filter -D FORWARD -d $ip -j ACCEPTwhile [ $? -eq 0 ]doiptables -t filter -D FORWARD -d $ip -j ACCEPTdone

##################################

iptables -t filter -D OUTPUT -d $ip -j ACCEPTwhile [ $? -eq 0 ]doiptables -t filter -D OUTPUT -d $ip -j ACCEPTdone

 

------

файл rules

------

ALL     10.0.0.0/16	DIR0
ALL	192.168.0.1	DIR1 

ICMP	0.0.0.0/0	NULL

ALL	0.0.0.0/0	DIR3

 

------

файл stargazer.conf

------

# Файл настроек сервера stargazer

# Имя файла в котором определяются правила подсчета трафика
rules=/etc/stargazer/rules

# Рабочая директория сервере, тут содержатся данный о тарифах, изерах и админах
WorkDir=/var/stargazer/

# Имя лог файла куда пушутся события
LogFile=/var/log/stargazer.log

# Если юзер в течение UserTimeout секунд не подает признаков жизни, сервер отключит его
# (естественно, если клиент был подключен до этого)
UserTimeout=60

# Время через которое сервер повторяет проверку того, жив ли клиент. Также это время 
# через которое у клиента обновляется его статитстика. UserDelay должно быть в 
# 3...10 раз меньше чем UserTimeout
UserDelay=10

# Эта опция действительна только для сервера работающего со вторым типом тарифных планов
# Она определяет что будет передаватся программе InetAccess от сервера
# FreeMb = 0 - кол-во бесплатных мегабайт в пресчете на цену нулевого направления
# FreeMb = 1 - кол-во бесплатных мегабайт в пресчете на цену первого направления
# FreeMb = 2 - кол-во бесплатных мегабайт в пресчете на цену второго направления
# .................
# FreeMb = 9 - кол-во бесплатных мегабайт в пресчете на цену девятого направления
# FreeMb = cash - кол-во денег на которые юзер может бесплатно качать
# FreeMb = none - ничего не передавать
FreeMb=2

# Время через которое пишется детальная статистика
# возможные значения 3, 2, 1, 1/2, 1/4, 1/6
# 3 - раз в три часа, 1 - раз в чаc, 1/2 - раз в пол часа, 1/6 - раз в 10 мин
StatTime=1/6

# Номер порта по которому сервер слушает обращения конфигуратора 
adminPort=5555

# Номер порта по которому сервер ожидает обращения авторизатора
userPort=5555

# Максимальное кол-во юзеров. Эта величина влияет на кол-во памяти необходимой серверу  
MaxUsers=10

# for FreeBSD only 
# Имя интерфейсов на которых нужно вести подсчет трафика
# iface=ed0,ed1,rl0

# Опция определяющая менять ли местами upload и download
TurnTraff=no

# День снятия абонплаты
DayFee=1

# День, в который происходит обнуление счетчиков трафика
DayResetTraff=1

# Имена направлений. Пустые имена не будут отображаться
# ни в авторизаторе, ни в конфигураторе
DirName0=Internet
DirName1=
DirName2=
DirName3=
DirName4=
DirName5=
DirName6=
DirName7=
DirName8=
DirName9=

# "Разамазанное" снятие абонплаты. Каждый день
# 1/30 (1/31, 12/28) часть абонплаты
SpreadFee=no

# Владелец, группа и права доступа на файлы 
# статистики у пользователей
StatOwner=root
StatGroup=stg_stat
StatMode=640

# Владелец, группа и права доступа на файлы 
# конфигурации у пользователей
ConfOwner=root
ConfGroup=root
ConfMode=640

# Владелец, группа и права доступа на логи
# у пользователей
UserLogOwner=root
UserLogGroup=root
UserLogMode=640

# Разрешение на доступ конфигуратором
AdminOrder=allow,deny
AdminAllowFrom=all

# Разрешение на доступ авторизатором
UserOrder=allow,deny
UserAllowFrom=all

# Запрет на слишком частые обращения на порт авторизатора
FloodControl=no

#BigDB=no

----------------------------------------------------

"ТКНИТЕ НОСОМ, где неправильно"

Ссылка на сообщение
Поделиться на других сайтах
А что собственно не работает? Опиши точнее проблему.

нету инета у клиентов, я незнаю как прописать порт ГЛОБАКСА в айпитейблсАХ, и как потом у клиентов будет ?

и файл файл rules правильно ли переделан к моему случаю ?

и сами айпитейблСЫ

Ссылка на сообщение
Поделиться на других сайтах
Начнем с того, что rules неправильно, точнее в stargazer.conf не описываются направления.

DirName0=Internet
DirName1=
DirName2=

мне нужно считать интернет и все

Ссылка на сообщение
Поделиться на других сайтах

тогда

ALL 10.0.0.0/16 DIR0

все что будет попадать по этому назначению будет считаться как Internet

 

- eth0 - 10.0.0.1 - смотрит в сторону клиентов

локальный трафик будет у тебя считаться как Internet

 

зачем в rules описывал DIR1 и DIR2 тогда?

Ссылка на сообщение
Поделиться на других сайтах

Правильная настройка stargazer.conf будет такой:

DirName0=Internet
DirName1=LocalNet
DirName2=
и.т.д.

 

rules

 

TCP_UDP 10.0.0.0/16 DIR1
TCP_UDP 192.168.0.1 DIR0 
ICMP 0.0.0.0/0 NULL
TCP_UDP 0.0.0.0/0 DIR0

 

А в конфигураторе поставь 0 на цене локального трафика.

Ссылка на сообщение
Поделиться на других сайтах

нужно принудительно заворачивать все на прокси:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128

 

можно указать еще -s и -d для большей гибкости

Ссылка на сообщение
Поделиться на других сайтах
На машине с Globax интернет работает?

 

Если там все отлично работает, то сделай на этой тачке все через SNAT

на том кампе где Глобакс стоит ХР СП2

что такое СНАТ ???

можешь в аське написать ?

мой номер 323577026

Ссылка на сообщение
Поделиться на других сайтах

и ешо: ваще никакой трафик несчитается, даже тот что с самого сервера, локальный

мне кажется что проблема с АЙПИТЕЙБЛСами

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...