IPTABLES запутался уже совсем

[admin4ek]

ситуация такая, есть билинг, с веб авторизацией, всех не авторизированых хочу перекинуть на страницу авторизации, все получается, но он какой бы адресс дальше не вводил после авторизации, у него открывается страница авторизации на любом адрессе типа i.ua, mail.ru.......


$IPT -t nat -A PREROUTING -s 192.168.5.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 9443
$IPT -t nat -A PREROUTING -s 192.168.5.0/24 -p tcp --dport 443 -j REDIRECT --to-ports 9443
$IPT -A FORWARD -j DROP
$IPT -t nat -A POSTROUTING  -s 192.168.5.0/24 -j SNAT --to-source $EXT_IP

билинг  форвардит клиентов по таким правилам

$IPT -I FORWARD -s %IP -d 0/0 -j ACCEPT
$IPT -I FORWARD -s 0/0 -d %IP -j ACCEPT

[Mam(O)n]

но он какой бы адресс дальше не вводил после авторизации, у него открывается страница авторизации на любом адрессе типа i.ua, mail.ru.......

И какой механизм работает после успешной авторизации? Что было сделано для того, чтобы после авторизации клиент получал прямой интернет а не редирект на авторизацию?

[admin4ek]

но он какой бы адресс дальше не вводил после авторизации, у него открывается страница авторизации на любом адрессе типа i.ua, mail.ru.......

И какой механизм работает после успешной авторизации? Что было сделано для того, чтобы после авторизации клиент получал прямой интернет а не редирект на авторизацию?

так вот я задаю тот же вопрос, не могу разобратся, как сделать так чтоб юзак снчала ишол на авторизацию а потом дальше.

[Mam(O)n]

Вот у тебя редиректит сейчас всю твою подсеть 192.168.5.0/24 этими правилами:

$IPT -t nat -A PREROUTING -s 192.168.5.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 9443
$IPT -t nat -A PREROUTING -s 192.168.5.0/24 -p tcp --dport 443 -j REDIRECT --to-ports 9443

А тебе надо сделать так, чтоб авторизованные пользователи не попадали под этот редирект. Лучше всего будет вместо этих правил сделать новую цепочку, в конце которой делать редиректы:

$IPT -t nat -N REDIR_AUTH
$IPT -t nat -A REDIR_AUTH -j REDIRECT --to 9443
$IPT -t nat -A PREROUTING -s 192.168.5.0/24 -p tcp -m multiport --dports 80,443 -j REDIR_AUTH

А потом в начало добавлять правила возврата из цепочки для авторизировавшихся пользователей:

Код: [Выделить]

$IPT -t nat -I REDIR_AUTH -j RETURN

[admin4ek]

root@TK-net:~# /etc/init.d/rc.iptables restart
рестарт : iptablesiptables v1.3.8: Need TCP or UDP with port specification
Try `iptables -h' or 'iptables --help' for more information.

[Mam(O)n]

Значит надо добавить то, чего просит. Замени плохую строчку на:

Код: [Выделить]

$IPT -t nat -A REDIR_AUTH -p tcp -m multiport --dports 80,443 -j REDIRECT --to 9443

[admin4ek]

root@TK-net:~# /etc/init.d/rc.iptables restart
рестарт : iptablesiptables: No chain/target/match by that name
iptables v1.3.8: Need TCP or UDP with port specification
Try `iptables -h' or 'iptables --help' for more information.

[Mam(O)n]

Ну и чего там у тебя в скрипте, мне телепатить надо?

[admin4ek]

(Нажмите, чтобы показать/скрыть)

#!/bin/bash
IPT="/sbin/iptables"
INTERFACE="eth1";

######## INTERFACES #########
INET="eth0"
############################################################################################
# Начало скрипта
start_fw()
    {
# включаем пересылку пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

# стандартные действия
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP

/sbin/depmod -a

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state


# удаляем все имеющиеся правила
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -X -t nat
$IPT -X -t mangle


$IPT -A FORWARD -j DROP

$IPT -t nat -I REDIR_AUTH -j RETURN
$IPT -t nat -N REDIR_AUTH
$IPT -t nat -A REDIR_AUTH -j REDIRECT --to-ports  80
$IPT -t nat -A REDIR_AUTH -p tcp -m multiport --dports 80,443 -j REDIRECT --to 9443

$IPT -t nat -A POSTROUTING  -s 192.168.5.0/24 -j SNAT --to-source 81.25.225.234


}


#############################Скрипт################################
case "$1" in start) echo -n "ЗАПУСК: iptables"
    start_fw
    echo "."
    ;;
stop) echo -n "ОСТАНОВКА : iptables"
    iptables -F
    iptables -X
    echo "."
    ;;
save) echo -n "Сохранение : iptables"
    iptables-save > /etc/rules-save
    echo "."
    ;;
restart) echo -n "рестарт : iptables"
    iptables -F
    iptables -X
    start_fw
        echo "."
    ;;
reload|force-reload) echo -n "перезагрузка конфигурации firewall: iptables"
    echo "."
    ;;
    *) echo "Usage: /etc/init.d/rc.iptables
start|stop|restart|reload|force-reload"
    exit 1
    ;;
esac
exit 0

[Mam(O)n]

$IPT -t nat -A REDIR_AUTH -j REDIRECT --to-ports  80

Я просил её заменить а не исправить по своему усмотрению... Выпиливай...

$IPT -t nat -I REDIR_AUTH -j RETURN

Эти правила будешь потом добавлять, когда пользователи буду авторизовываться, с указанием -s адрес_клиента.

[admin4ek]

$IPT -t nat -I REDIR_AUTH -s %IP -j RETURN вставил в билинг и все заработало
Спсибо большое, все заработало, только когда чел отключается его больше не редиректит на страницу авторизации, как обратно вернуть его в цепочку??? Каким правилом?

[Mam(O)n]

$IPT -t nat -I REDIR_AUTH -s %IP -j RETURN вставил в билинг и все заработало
Каким правилом?

Ну ясен красен, надо удалять нужное правило, которое создал биллинг. Хинт: -I заменить на -D

[admin4ek]

Спасибо ДОБРЫЙ ЧЕЛОВЕК!!!!!!!!

[admin4ek]

вечно забываю про -D     ))))))))))))