Гость Guest_ispolin Опубликовано: 2004-08-20 00:32:23 Share Опубликовано: 2004-08-20 00:32:23 Если включить аську и подконектится, при включенном авторизаторе, а потом его выключить, то аська продолжает работать! Как от этого избавится и почему это происходит? Ссылка на сообщение Поделиться на других сайтах
egor2fsys 5 Опубліковано: 2004-08-20 03:42:47 Share Опубліковано: 2004-08-20 03:42:47 мдя, у меня такая же проблема .... причем даже не помогает удаление или очистка правил в таблице НАТ ... я наблюдал за этим и вот что понял - не рвутся именно текущие сессии, если попробывать выйти из аськи, а потом снова зайти то уже никто никуда никого не пустит ... хотелось буслышать ваши решения проблемы ... очистку и удаление правил из ьаблиц фаервола не предлагать - уже испробовано и не помогает Ссылка на сообщение Поделиться на других сайтах
POWERLan 0 Опубліковано: 2004-08-20 05:28:12 Share Опубліковано: 2004-08-20 05:28:12 Самое обидное что по аське можна файло ганаять, почту проверять. Ссылка на сообщение Поделиться на других сайтах
POWERLan 0 Опубліковано: 2004-08-20 05:35:43 Share Опубліковано: 2004-08-20 05:35:43 Примитивно но то что придумал на гарячую руку... заблокировать фаерволом IP серверов аськи, поставить сквид и аську чтобы юзера пускали через сквид... Так походу конект после отключения рвать будет Ссылка на сообщение Поделиться на других сайтах
Гость Guest Опубліковано: 2004-08-20 07:44:08 Share Опубліковано: 2004-08-20 07:44:08 Люди! Смотрити правила которые у вас прописнаы в файрволе. Чтобы прибить все, достаточно юзеру запретить все в цепочках OUTPUT INPUT и FORWARD в таблице filter Ссылка на сообщение Поделиться на других сайтах
Hash 0 Опубліковано: 2004-08-20 08:54:46 Share Опубліковано: 2004-08-20 08:54:46 Все намного легче. FORWARD должен быть DROP, после отключения авторизатора. Ссылка на сообщение Поделиться на других сайтах
nn 7 Опубліковано: 2004-08-20 09:43:21 Share Опубліковано: 2004-08-20 09:43:21 Да была такая бага, надо скрипты под себя править. Как поток открывается - потом можно качать до отключения компа. Это касалось не только аськи но и hhtp и ftp так что если не стоял traffallwaysON то трафик не считался! Для исправления: Политику по умолчанию для цепочки FORWARD ставим в DROP iptables -t filter -P FORWARD DROP Потомм в OnConnect разрешаем FORWARD iptables -t filter -A FORWARD -s $2 -j ACCEPT iptables -t filter -A FORWARD -d $2 -j ACCEPT А в OnDisconnect отменяем разрешённое. iptables -t filter -D FORWARD -s $2 -j ACCEPT iptables -t filter -D FORWARD -d $2 -j ACCEPT Ссылка на сообщение Поделиться на других сайтах
egor2fsys 5 Опубліковано: 2004-08-20 11:41:14 Share Опубліковано: 2004-08-20 11:41:14 гы, у меня так и настроено уже давно, однако это мало помогает ОСь - РХ 9,0 Ссылка на сообщение Поделиться на других сайтах
Hash 0 Опубліковано: 2004-08-20 13:17:03 Share Опубліковано: 2004-08-20 13:17:03 Причиной того, что содениение остается активным, является модуль iptable_nat, который в свою очередь использует ip_conntrack. Дело в том, что в iptables один модуль на каждый target. При удалении записи модуль сразу не выгружается, если есть соединения подобные вышеописаным. Кому интересно, читать /usr/src/linux/net/ipv4/netfilter =) гы, у меня так и настроено уже давно, однако это мало помогаетОСь - РХ 9,0 Да, DROP в FORWARD решает эту проблему. У меня решает. Ссылка на сообщение Поделиться на других сайтах
nn 7 Опубліковано: 2004-08-20 19:35:44 Share Опубліковано: 2004-08-20 19:35:44 гы, у меня так и настроено уже давно, однако это мало помогаетОСь - РХ 9,0 У тебя именно цепочка netfilter используется? Я долго экспериментировал с разными цепочками, именно с netfilter потоки закрываюся. Еще маскарадинг вырубаю тоже, хотя к-ца не обязательно это. Система RH 7.2, СТГ1 у меня еще, на 9 я как-то людям пробовал, что-то не срослось... Для временного решения проблемы я ставил trafficallwaysOn Замечено было в логах, что некоторые юзера включаюся, потом сразу вытыкаются. Тут-то подозрения и появились. Так читать логи время от времени полезно! Ссылка на сообщение Поделиться на других сайтах
Hash 0 Опубліковано: 2004-08-20 20:08:10 Share Опубліковано: 2004-08-20 20:08:10 У тебя именно цепочка netfilter используется? Наверное filter? Ссылка на сообщение Поделиться на других сайтах
den68 0 Опубліковано: 2004-08-20 20:15:26 Share Опубліковано: 2004-08-20 20:15:26 гы, у меня так и настроено уже давно, однако это мало помогаетОСь - РХ 9,0 Максимально вычурное решение для ИПТаблес: OnConnect: #!/bin/bash . /etc/stargazer/ip_config.conf CDATA=`date +"%d-%m-%Y %H:%M"` user=$1 ip=$2 cash=$3 echo "${CDATA} CONNECT [USER:${user},IP:${ip},CASH:${cash}]" >> /var/log/stargazer.logon iptables -t nat -D POSTROUTING -o ${INET_IFACE} -s $ip -d 0.0.0.0/0 -j DROP while [ $? -eq 0 ] do iptables -t nat -D POSTROUTING -o ${INET_IFACE} -s $ip -d 0.0.0.0/0 -j DROP done iptables -t nat -I POSTROUTING -o ${INET_IFACE} -s $ip -d 0.0.0.0/0 -j MASQUERADE ################################################################ # 110 port ###################################################### iptables -t nat -D PREROUTING -p tcp -s $ip --dport 110 -j DROP while [ $? -eq 0 ] do iptables -t nat -D PREROUTING -p tcp -s $ip --dport 110 -j DROP done iptables -t nat -D PREROUTING -p udp -s $ip --dport 110 -j DROP while [ $? -eq 0 ] do iptables -t nat -D PREROUTING -p udp -s $ip --dport 110 -j DROP done ################################################################ # 25 port ###################################################### iptables -t nat -D PREROUTING -p tcp -s $ip --dport 25 -j DROP while [ $? -eq 0 ] do iptables -t nat -D PREROUTING -p tcp -s $ip --dport 25 -j DROP done iptables -t nat -D PREROUTING -p udp -s $ip --dport 25 -j DROP while [ $? -eq 0 ] do iptables -t nat -D PREROUTING -p udp -s $ip --dport 25 -j DROP done ################################################################ # 80 port ###################################################### iptables -t nat -D PREROUTING -p tcp -s $ip --dport 80 -j DROP while [ $? -eq 0 ] do iptables -t nat -D PREROUTING -p tcp -s $ip --dport 80 -j DROP done iptables -t nat -D PREROUTING -p udp -s $ip --dport 80 -j DROP while [ $? -eq 0 ] do iptables -t nat -D PREROUTING -p udp -s $ip --dport 80 -j DROP done ################################################################ # 3128 port ###################################################### iptables -t nat -D PREROUTING -p tcp -s $ip --dport 3128 -j DROP while [ $? -eq 0 ] do iptables -t nat -D PREROUTING -p tcp -s $ip --dport 3128 -j DROP done iptables -t nat -D PREROUTING -p udp -s $ip --dport 3128 -j DROP while [ $? -eq 0 ] do iptables -t nat -D PREROUTING -p udp -s $ip --dport 3128 -j DROP done ################################################################ #iptables -t filter -I INPUT -p icmp -s $ip -j ACCEPT # iptables -t filter -I INPUT -s $ip -j ACCEPT iptables -t filter -I FORWARD -s $ip -j ACCEPT iptables -t filter -I FORWARD -d $ip -j ACCEPT iptables -t filter -I OUTPUT -d $ip -j ACCEPT OnDisconnect: #!/bin/bash . /etc/stargazer/ip_config.conf CDATA=`date +"%d-%m-%Y %H:%M"` user=$1 ip=$2 cash=$3 echo "${CDATA} DISCONNECT [USER:${user},IP:${ip},CASH:${cash}]" >> /var/log/stargazer.logon iptables -t filter -D INPUT -s $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D INPUT -s $ip -j ACCEPT done ################################## iptables -t filter -D FORWARD -s $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D FORWARD -s $ip -j ACCEPT done ################################## iptables -t filter -D FORWARD -d $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D FORWARD -d $ip -j ACCEPT done ################################## iptables -t filter -D OUTPUT -d $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D OUTPUT -d $ip -j ACCEPT done ################################## # iptables -t nat -D POSTROUTING -o ${INET_IFACE} -s $ip -d 0.0.0.0/0 -j MASQUERADE while [ $? -eq 0 ] do iptables -t nat -D POSTROUTING -o ${INET_IFACE} -s $ip -d 0.0.0.0/0 -j MASQUERADE done #=================# # # iptables -t filter -I INPUT -i ${LOCAL_IFACE} -p udp -s $ip --dport 8000:65535 -j REJECT # # 110 port iptables -t nat -I PREROUTING -p tcp -s $ip --dport 110 -j DROP iptables -t nat -I PREROUTING -p udp -s $ip --dport 110 -j DROP # # 25 port iptables -t nat -I PREROUTING -p tcp -s $ip --dport 25 -j DROP iptables -t nat -I PREROUTING -p udp -s $ip --dport 25 -j DROP # # 80 port iptables -t nat -I PREROUTING -p tcp -s $ip --dport 80 -j DROP iptables -t nat -I PREROUTING -p udp -s $ip --dport 80 -j DROP # # 3128 port iptables -t nat -I PREROUTING -p tcp -s $ip --dport 3128 -j DROP iptables -t nat -I PREROUTING -p udp -s $ip --dport 3128 -j DROP # iptables -t nat -I POSTROUTING -o ${INET_IFACE} -s $ip -d 0.0.0.0/0 -j DROP Избыточно - но зато с гарантией. Ссылка на сообщение Поделиться на других сайтах
Foster 0 Опубліковано: 2004-08-20 22:34:18 Share Опубліковано: 2004-08-20 22:34:18 почему не может быть просто: INPUT - ACCEPT OUTPUT - ACCEPT FORWARD - DROP а при коннекте: FORWARD - ACCEPT POSTROUTING - MASQUERADE ? Ссылка на сообщение Поделиться на других сайтах
stg-34 0 Опубліковано: 2004-08-21 12:19:30 Share Опубліковано: 2004-08-21 12:19:30 почему не может быть просто:INPUT - ACCEPT OUTPUT - ACCEPT FORWARD - DROP а при коннекте: FORWARD - ACCEPT POSTROUTING - MASQUERADE ? Если у тебя INPUT - ACCEPT OUTPUT - ACCEPT то без авторизации тебе доступны ресурсы на сервере, но которм работает биллинг. Если тебя это утраивает то нет вопросов, а если, скажем у тебя там же видео или музыка, то это лажа Ссылка на сообщение Поделиться на других сайтах
Foster 0 Опубліковано: 2004-08-22 21:14:04 Share Опубліковано: 2004-08-22 21:14:04 это все понятно вопрос только в том, чтобы в этот момент юзвери не посылали в инет запросы и не считались. Ссылка на сообщение Поделиться на других сайтах
POWERLan 0 Опубліковано: 2004-08-23 11:58:34 Share Опубліковано: 2004-08-23 11:58:34 Вобщем помимо аськи ещё и контра работает )))) Ссылка на сообщение Поделиться на других сайтах
XoRe 0 Опубліковано: 2004-09-21 12:06:29 Share Опубліковано: 2004-09-21 12:06:29 гЫЫЫЫЫЫ))))) Ребята, извините меня конечно, но я сижу и чуть не мру от смеха =)))))) ГЫЫЫЫЫЫЫЫЫЫЫЫЫЫ Мой вам совет - ставьте фряху =))))))))))))))))))))) там это дело просто ipfw add deny all from IP to any и вся любовь =)) P.S. А лучше не deny, а reset, т.к. тогда от сервера-шлюза сразу приходит сообщение о недоступности ресурса и не тратится время на таймауты (это я так, может кто заинтересуется Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас