Вопрос по маршрутизации и биллингу.

[G-Dogg]

Еще раз вернусь к вопросу настройки скрипта

Код: [Выделить]

eth0      Link encap:Ethernet  HWaddr 00:1d:60:d4:51:dc 
          inet6 addr: fe80::21d:60ff:fed4:51dc/64 Диапазон:Ссылка
          ВВЕРХ BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:10030 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5323 errors:0 dropped:0 overruns:0 carrier:2
          коллизии:0 txqueuelen:1000
          RX bytes:7867947 (7.8 MB)  TX bytes:448412 (448.4 KB)

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Диапазон:Узел
          ВВЕРХ LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:2 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:0
          RX bytes:100 (100.0 B)  TX bytes:100 (100.0 B)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol) 
          inet addr:10.174.X.Y  P-t-P:10.174.X.Y  Mask:255.255.255.255
          ВВЕРХ POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:5239 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5099 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:30
          RX bytes:7282939 (7.2 MB)  TX bytes:322613 (322.6 KB)

это изобразил ifconfig! Что мне надо писать в разделе настроек инет подключения в iptables??

[MadKox]

В iptables надо писать ppp0.

[G-Dogg]

В iptables надо писать ppp0.

# 1.1 Настройка интернета
#

INET_IP="XXX.XXX.XXX.XXX" <- сюда пишем ай пи,к-рый я получаю от пропа по рррое
INET_IFACE="ppp0"
#INET_BROADCAST="194.236.50.255" закоментировть?

я правильно понял??

[MadKox]

ай пи,к-рый я получаю от пропа по рррое

Так все-таки ты его знаешь, или получаешь каждый раз? ifconfig всегда один и тот же IP выдает?

[G-Dogg]

ай пи,к-рый я получаю от пропа по рррое

Так все-таки ты его знаешь, или получаешь каждый раз? ifconfig всегда один и тот же IP выдает?

подключение комутируемое, но айпишник один и  тот же всегда

[MadKox]

Тогда все верно.

[G-Dogg]

еще вопрос, если я хочу ограничить юзеров по портам, куда они могут. т опишу в форварде следующее :

Код: [Выделить]

$IPTABLES -A FORWARD -i 192.168.1.Х -p tcp --dport номер порта -j ACCEPT
И так по каждому надо. для каждого порта? Или порты можно через запятую указать?

[MadKox]

Можно либо диапазоном, т.е. например:

Код: [Выделить]

$IPTABLES -A FORWARD -i 192.168.1.Х -p tcp --dport 22:80 -j ACCEPT
Либо через критерий мультипорт:

Код: [Выделить]

$IPTABLES -A FORWARD -i 192.168.1.Х -p tcp -m multiport --destination-port 21,23,80 -j ACCEPT


[G-Dogg]

Можно либо диапазоном, т.е. например:

Код: [Выделить]

$IPTABLES -A FORWARD -i 192.168.1.Х -p tcp --dport 22:80 -j ACCEPT
Либо через критерий мультипорт:

Код: [Выделить]

$IPTABLES -A FORWARD -i 192.168.1.Х -p tcp -m multiport --destination-port 21,23,80 -j ACCEPT


ЧТо-то я туплю, есть паривло

Код: [Выделить]

$IPTABLES -A FORWARD -i $LAN_IFACE -p tcp --dport $HTTPS -j ACCEPTОно действует на все компы в локальной сети , допустим 192.168.X.Y/24, т.е. все входящие пакеты на LAN_IFACE перебросятся, грубо говоря, на внешний (интернет) интерфейс на порт 443, а как мне сделать,чтобы по каждому хосту внутри локальной сети создать ограничения по внутреннему ай пи и доступным портам. Т.е. IP 1.2.3.4 ходит только на 80 и 5190, а 1.2.3.7 - на любые порты

[G-Dogg]

Можно либо диапазоном, т.е. например:

Код: [Выделить]

$IPTABLES -A FORWARD -i 192.168.1.Х -p tcp --dport 22:80 -j ACCEPT
Либо через критерий мультипорт:

Код: [Выделить]

$IPTABLES -A FORWARD -i 192.168.1.Х -p tcp -m multiport --destination-port 21,23,80 -j ACCEPT


ЧТо-то я туплю, есть паривло

Код: [Выделить]

$IPTABLES -A FORWARD -i $LAN_IFACE -p tcp --dport $HTTPS -j ACCEPTОно действует на все компы в локальной сети , допустим 192.168.X.Y/24, т.е. все входящие пакеты на LAN_IFACE перебросятся, грубо говоря, на внешний (интернет) интерфейс на порт 443, а как мне сделать,чтобы по каждому хосту внутри локальной сети создать ограничения по внутреннему ай пи и доступным портам. Т.е. IP 1.2.3.4 ходит только на 80 и 5190, а 1.2.3.7 - на любые порты

Походу в iptables я просто даю доступ всей подсети,а ограничиваю - сквидой )

[MadKox]

Можно и так и так. Я делаю это через iptables.
Т.е. например создаю цепочку https_users в которой

Код: [Выделить]

$IPTABLES -A https_users -s $USER1_IP -p tcp --dport $https -j RETURN
$IPTABLES -A https_users -s 0/0 -p tcp --dport $https -j DROP
А в таблице INPUT я бросаю все пакеты из локалки, идущие на 443-й порт в цепочку https_users и все =).

[G-Dogg]

А можно осветить пошаговую сборку и установку самбы и сквида для авторизации в домене Вин, а то прогуглил все, есть описания. но упущены мелочи, а мне они важны

[MadKox]

Никогда АД не заморачивался, так что вопрос не ко мне...

[G-Dogg]

а если сделать прозрачный прокси, можно без авторизации обойтись,а ограничивать по ай пишникам внутренней сети?

[MadKox]

Я так и делаю. Сначала я проверяю совпадает ли IP-адрес клиента с его MAC-адресом, если да - прозрачный сквид+самс с "авторизацией" по IP, если не совпадает - -j DROP.