IPtables нужна помощь

[admin4ek]

/sbin/depmod -a

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
а это удалено у меня на сервере.

это осталось от старого скрипта,там он был очень большой...
Пользователь решил продолжить мысль 30 Мая 2011, 16:18:37:http://billing.tk-net.com.ua:9443/   открыт и работает, я же говорю, я немогу заупстить всех пользуков в форвард, так как на IPN они будут с бесплатным инетом если ввести подобные правила, нужно для них открыть только 80 443 9443 порты, а остальное закрыто и не форварде.

[podkovyrsty]

Почему всех то?
Вопрос был - почему не пускает вас, без подключения, на авторизатор.
Я ответил, потому что вы обращаетесь к серверу с адреса, которому не разрешен форвард в обе стороны до и от нужного порта на нужном ip вашего сервера.

[admin4ek]

потому Вы имеете виду что мне нужно сделать форвард на сеть 192.168.4.0/22 что в свою очередь даст интеренет на всю подсеть, без прохождения авторизации, мало того они в шейпре не попадут((
а мну нужно чтоб все попадали на страницу авторизации только, если они не подключены.

[victor00000]

покажи  php файл.
программу пхп запустить iptables есть, но непомню.

[admin4ek]

я же говорю  что с пхп нет проблем я проверил по все порта открывается, все четко

[AnrDaemon]

-A FORWARD -j DROP
вообще-то пишется как
-P FORWARD DROP
...

[admin4ek]

-A FORWARD -j DROP
вообще-то пишется как
-P FORWARD DROP
...

Вроде как да, но без него раньше не работало это точно))

[AnrDaemon]

Наверняка потому что правила через заднее место написаны.

[admin4ek]

собственно говоря для этого сюда и обратился, я не настаиваю на этом скрипте, я написал с целью сделать правильно, и надеюсь на помощь тех людей кто пооптнее чем я в этом воропросе. как говориться век живи век учись
Пользователь решил продолжить мысль 30 Мая 2011, 17:42:23:http://abills.net.ua/wiki/doku.php/abills:index#struktura_sistemy     вот собственно сама структура системы

[AnrDaemon]

Так правила то покажите. А то третья страница топика, а мы их в глаза не видели.

[admin4ek]

у меня это все организовано следующим образом:
Есть сервер (один) на нем установлен биллинг (abills) на нем у меня 2-а типа авторизации.
прицип такой:

1 PPPoE пользователь пытается подключиться к инету pppoe-server отправляет данные radiusclint(om) на  freeradius-server то в свою очередь сверят с БД и отправляют обратно данные с параметрами сесии. используется дополнительная программа которая подключается к 80 порту т.е. по HTTP  и считывает давнные для пользователя, типа (личный кабинет пользователя)

2 авторизация по IP MAC логин и пасс
Принцеп такой.
есть подсеть которая по умолчанию должна быть в дропе, при попытке войти на любой сайт должен сработать редирект и пользователя должно перекинуть на 80 или 9443 порт сервера для дальнейшего прохожденя авторизации, после авторизации сервер через пхп скрипты добавляет в айпитаблес правила типа
это правило должно его вернуть из цепочки редиректа на 80 порт на форвард на сети 0/0 и с сетей 0/0 на его айпи адрес

(Нажмите, чтобы показать/скрыть)

$conf{IPN_FW_START_RULE}="sudo iptables -t nat -I REDIR_AUTH -s %IP -j RETURN; sudo iptables -I FORWARD -s %IP -d 0/0 -j ACCEPT; sudo iptables -I FORWARD -s 0/0 -d %IP -j ACCEPT; sudo /usr/abills/libexec/linkupdown ipn up eth1 %LOGIN %IP". ' > /dev/null 2>&1;'. "/usr/local/bin/sudo /sbin/ipfw -q add %NUM allow ip from %IP to any; /usr/local/bin/sudo /sbin/ipfw -q add %NUM allow ip from any to %IP";

после отключения мы должны его вывести из форварда и отправить в цепь, в которой он будет попадать опять на редирект

(Нажмите, чтобы показать/скрыть)

$conf{IPN_FW_STOP_RULE}="sudo iptables -I FORWARD -s %IP -d 0/0 -j DROP; sudo iptables -I FORWARD -s 0/0 -d %IP -j DROP; sudo /usr/abills/libexec/linkupdown ipn down eth2 %LOGIN %IP". ' > /dev/null 2>&1;'. "/usr/local/bin/sudo /sbin/ipfw -q delete %NUM";

[AnrDaemon]

Так правила то покажите. А то третья страница топика, а мы их в глаза не видели.

Правила iptables покажите...
iptables-save
....

[admin4ek]

вот

(Нажмите, чтобы показать/скрыть)

sudo iptables-save
# Generated by iptables-save v1.4.4 on Fri May 27 13:38:56 2011
*mangle
:PREROUTING ACCEPT [14018711:9292525444]
:INPUT ACCEPT [986373:162116164]
:FORWARD ACCEPT [13013293:9128405830]
:OUTPUT ACCEPT [968773:182162528]
:POSTROUTING ACCEPT [13804314:9299014063]
COMMIT
# Completed on Fri May 27 13:38:56 2011
# Generated by iptables-save v1.4.4 on Fri May 27 13:38:56 2011
*nat
:PREROUTING ACCEPT [1112268:76236113]
:OUTPUT ACCEPT [11661:1298003]
:POSTROUTING ACCEPT [11205:1185717]
:REDIR_AUTH - [0:0]
-A PREROUTING -s 192.168.4.0/22 -p tcp -m multiport --dports 80,443 -j REDIR_AUT                                                                              H
-A POSTROUTING -s 192.168.160.0/24 -j SNAT --to-source 78.154.170.75
-A POSTROUTING -s 192.168.4.0/22 -j SNAT --to-source 78.154.170.75
-A REDIR_AUTH -p tcp -m multiport --dports 80,443 -j REDIRECT --to-ports 9443
COMMIT
# Completed on Fri May 27 13:38:56 2011
# Generated by iptables-save v1.4.4 on Fri May 27 13:38:56 2011
*filter
:INPUT ACCEPT [986377:162116364]
:FORWARD DROP [177144:11571350]
:OUTPUT ACCEPT [967280:182023267]
-A FORWARD -d 192.168.160.0/24 -j ACCEPT
-A FORWARD -s 192.168.160.0/24 -j ACCEPT
-A FORWARD -s 78.154.170.75/32 -d 192.168.4.0/22 -j ACCEPT
-A FORWARD -s 192.168.4.0/22 -d 78.154.170.75/32 -j ACCEPT
-A FORWARD -s 192.168.5.2/32 -d 192.168.4.0/22 -j ACCEPT
-A FORWARD -s 192.168.4.0/22 -d 192.168.5.2/32 -j ACCEPT
COMMIT
# Completed on Fri May 27 13:38:56 2011
root@router:~#

а проблем заключается в редиректе, как сделать редирект чтоб он работал???
Пользователь решил продолжить мысль 30 Мая 2011, 18:13:41:

вот тут IPTABLES

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
LAN_IFACE="eth0"
INET_IFACE="eth1"
#MY_IP='78.154.170.75'
IPT="/sbin/iptables"

# Начало скрипта
start_fw()
    {
# включаем пересылку пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP

$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -X -t nat
$IPT -X -t mangle

$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

$IPT -A INPUT -p TCP  --dport 22 -j ACCEPT

$IPT -A INPUT -p UDP -s 0/0 --sport 53 -j ACCEPT
$IPT -A INPUT -p UDP -s 0/0  --dport 53 -j ACCEPT

$IPT -A INPUT -p TCP -s 0/0 --sport 80 -j ACCEPT
$IPT -A INPUT -p TCP -s 0/0  --dport 80 -j ACCEPT

$IPT -A FORWARD -p tcp -m tcp -s 0/0 --dport 80 -j ACCEPT


$IPT -A INPUT -p TCP -s 0/0 --sport 9443 -j ACCEPT
$IPT -A INPUT -p TCP -s 0/0  --dport 9443 -j ACCEPT



$IPT -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT


#Не авторизированых на авторизацию


#$IPT -A FORWARD -j DROP

#$IPT -t nat -N REDIR_AUTH

#$IPT -t nat -A REDIR_AUTH -p tcp -m multiport --dports 80,443 -j REDIRECT --to 9443
#$IPT -t nat -A PREROUTING -s 192.168.5.12 -p tcp -m multiport --dports 80,443 -j REDIR_AUTH


#инет на PPPOe
$IPT -A FORWARD -i ppp+ -o eth1 -j ACCEPT
$IPT -I FORWARD -s 192.168.160.0/24 -d 0/0 -j ACCEPT
$IPT -I FORWARD -s 0/0 -d 192.168.160.0/24 -j ACCEPT
$IPT -t nat -A POSTROUTING  -s 192.168.160.0/24 -j SNAT --to-source 78.154.170.75

#Инет на IPN

$IPT -t nat -A POSTROUTING  -s 192.168.4.0/22 -j SNAT --to-source 78.154.170.75


}

когда раскоменчиваю то не попадаю не в редирект не на страницу авторизации

вот еще на всякий случай
локалка ( с нее все конектятся)
ip сервера 192.168.5.3/22 eth0
ip мой 192.168.7.221

PPPoE 192.168.160.0/24
виртуальный шлюз на сервере 192.168.160.1

внешка сервера 78.x.x.x eth1

[AnrDaemon]

-A REDIR_AUTH -p tcp -m multiport --dports 80,443 -j REDIRECT --to-ports 9443

зачем по второму разу гонять проверки?
Просто
-A REDIR_AUTH -j REDIRECT --to-ports 9443

Где у вас в filter
-A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
первым правилом потерялось?

[admin4ek]

можна на пальцах плиз, доцент тупой, не понимает.
я просто боюсь ковырять то клиенты подключены, а каждый лишний раз им приходиться переподключатся
Пользователь решил продолжить мысль 30 Мая 2011, 18:41:03:если я правильно понялто мне нужно добавить
-A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
и заменить -A REDIR_AUTH -p tcp -m multiport --dports 80,443 -j REDIRECT --to-ports 9443 на -A REDIR_AUTH -j REDIRECT --to-ports 9443