forum.opennet.ru - "Вопрос по iptables(Linux)" (5)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Вопрос по iptables(Linux)"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Вопрос по iptables(Linux)"
Сообщение от flusher on 16-Фев-04, 00:47 (MSK)
Нород Возник вопрос... В общем. Существует Stargazer для учёта биллинга... Динамически добавляются правила.. -A PREROUTING -s 192.168.0.2 -i eth1 -j ACCEPT когда пользователь логинится... Когда делает логоф система удаляет это правило... Но в существует таймаут 90 секунд. если пользоваетел продолжает работать, то пока он 90 секунд не сделает перерыв, у него будет доступ в инет... Это последнее правило в цепочке построутинг -A PREROUTING -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.1 -i eth1 -j DROP Может я неправильно сделал??? Какие есть идеи...
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Вопрос по iptables(Linux), Edik, 13:27 , 16-Фев-04, (1)
- Вопрос по iptables(Linux), flusher, 15:57 , 16-Фев-04, (4)
Вопрос по iptables(Linux), vt, 13:52 , 16-Фев-04, (2)
- Вопрос по iptables(Linux), Edik, 14:25 , 16-Фев-04, (3)
  - Вопрос по iptables(Linux), vt, 18:09 , 16-Фев-04, (5)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Вопрос по iptables(Linux)"

Сообщение от Edik on 16-Фев-04, 13:27  (MSK)

>Нород Возник вопрос... В общем.
>Существует Stargazer для учёта биллинга...
>Динамически добавляются правила..
>-A PREROUTING -s 192.168.0.2 -i eth1 -j ACCEPT
>когда пользователь логинится...
>Когда  делает логоф система удаляет это правило...
>Но в существует таймаут 90 секунд. если пользоваетел продолжает работать, то пока
>он 90 секунд не сделает перерыв, у него будет доступ в
>инет...
>Это последнее правило в цепочке построутинг
>-A PREROUTING -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.1 -i eth1 -j DROP
>Может я неправильно сделал??? Какие есть идеи...

Подробнее проблемму, если можно. Или задачу в целом.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Вопрос по iptables(Linux)"

Сообщение от flusher on 16-Фев-04, 15:57  (MSK)

>>Нород Возник вопрос... В общем.
>>Существует Stargazer для учёта биллинга...
>>Динамически добавляются правила..
>>-A PREROUTING -s 192.168.0.2 -i eth1 -j ACCEPT
>>когда пользователь логинится...
>>Когда  делает логоф система удаляет это правило...
>>Но в существует таймаут 90 секунд. если пользоваетел продолжает работать, то пока
>>он 90 секунд не сделает перерыв, у него будет доступ в
>>инет...
>>Это последнее правило в цепочке построутинг
>>-A PREROUTING -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.1 -i eth1 -j DROP
>>Может я неправильно сделал??? Какие есть идеи...
>
>
>Подробнее проблемму, если можно. Или задачу в целом.

В общем правила
iptables -t nat -A PREROUTING -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.1 -i eth1 -j DROP
iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source zzz.zzz.zzz.zzz
iptabler -t nat -A POSTROUTING -o gre1 -j SNAT --to-source xxx.xxx.xxx.xxx
Мне теперь надо сделать чтоб при авторизации пользователя добавлялось правило типа
iptables -t nat -I PREROUTING 1 -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.1 -i eth1 -j ACCEPT
А после нажатия типа logoff Это правило удалялось...
Это всё работает... Но возникает ситуация что если пользовател сделал logoff то в течении 90 секунд он может выйти в инет... И эти 90 секунд отсчитываются заново.. Если он в течении 90 секунд ничего в инет не посылал, то потом фаервол его не пустит.. Не понятно почему.... Может как-то надо сбрасывать фаервол???

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Вопрос по iptables(Linux)"

Сообщение от vt on 16-Фев-04, 13:52  (MSK)

Не надо пользоваться PREROUTING для этих целей,
надо - INPUT или FORWARD

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Вопрос по iptables(Linux)"

Сообщение от Edik on 16-Фев-04, 14:25  (MSK)

>Не надо пользоваться PREROUTING для этих целей,
>надо - INPUT или FORWARD
Могу не согласиться. Если в iptables построенны давольно сложные правила, то PREROUTING и POSTROUTING в таблице MANGLE очень удобно использовать.

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Вопрос по iptables(Linux)"

Сообщение от vt on 16-Фев-04, 18:09  (MSK)

>>Не надо пользоваться PREROUTING для этих целей,
>>надо - INPUT или FORWARD
>Могу не согласиться. Если в iptables построенны давольно сложные правила, то PREROUTING
>и POSTROUTING в таблице MANGLE очень удобно использовать.
Со мной - да, а с man iptables ? :)
Кстати, в обоих случаях (
-A PREROUTING -s 192.168.0.2 -i eth1 -j ACCEPT
-A PREROUTING -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.1 -i eth1 -j DROP
)
без "-t mangle" будет использоваться таблица filter

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Вопрос по iptables(Linux)"
Сообщение от Edik on 16-Фев-04, 13:27 (MSK)
>Нород Возник вопрос... В общем. >Существует Stargazer для учёта биллинга... >Динамически добавляются правила.. >-A PREROUTING -s 192.168.0.2 -i eth1 -j ACCEPT >когда пользователь логинится... >Когда делает логоф система удаляет это правило... >Но в существует таймаут 90 секунд. если пользоваетел продолжает работать, то пока >он 90 секунд не сделает перерыв, у него будет доступ в >инет... >Это последнее правило в цепочке построутинг >-A PREROUTING -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.1 -i eth1 -j DROP >Может я неправильно сделал??? Какие есть идеи... Подробнее проблемму, если можно. Или задачу в целом.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Вопрос по iptables(Linux)"
	Сообщение от flusher on 16-Фев-04, 15:57 (MSK)
	>>Нород Возник вопрос... В общем. >>Существует Stargazer для учёта биллинга... >>Динамически добавляются правила.. >>-A PREROUTING -s 192.168.0.2 -i eth1 -j ACCEPT >>когда пользователь логинится... >>Когда делает логоф система удаляет это правило... >>Но в существует таймаут 90 секунд. если пользоваетел продолжает работать, то пока >>он 90 секунд не сделает перерыв, у него будет доступ в >>инет... >>Это последнее правило в цепочке построутинг >>-A PREROUTING -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.1 -i eth1 -j DROP >>Может я неправильно сделал??? Какие есть идеи... > > >Подробнее проблемму, если можно. Или задачу в целом. В общем правила iptables -t nat -A PREROUTING -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.1 -i eth1 -j DROP iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source zzz.zzz.zzz.zzz iptabler -t nat -A POSTROUTING -o gre1 -j SNAT --to-source xxx.xxx.xxx.xxx Мне теперь надо сделать чтоб при авторизации пользователя добавлялось правило типа iptables -t nat -I PREROUTING 1 -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.1 -i eth1 -j ACCEPT А после нажатия типа logoff Это правило удалялось... Это всё работает... Но возникает ситуация что если пользовател сделал logoff то в течении 90 секунд он может выйти в инет... И эти 90 секунд отсчитываются заново.. Если он в течении 90 секунд ничего в инет не посылал, то потом фаервол его не пустит.. Не понятно почему.... Может как-то надо сбрасывать фаервол???
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "Вопрос по iptables(Linux)"
Сообщение от vt on 16-Фев-04, 13:52 (MSK)
Не надо пользоваться PREROUTING для этих целей, надо - INPUT или FORWARD
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Вопрос по iptables(Linux)"
	Сообщение от Edik on 16-Фев-04, 14:25 (MSK)
	>Не надо пользоваться PREROUTING для этих целей, >надо - INPUT или FORWARD Могу не согласиться. Если в iptables построенны давольно сложные правила, то PREROUTING и POSTROUTING в таблице MANGLE очень удобно использовать.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Вопрос по iptables(Linux)"
	Сообщение от vt on 16-Фев-04, 18:09 (MSK)
	>>Не надо пользоваться PREROUTING для этих целей, >>надо - INPUT или FORWARD >Могу не согласиться. Если в iptables построенны давольно сложные правила, то PREROUTING >и POSTROUTING в таблице MANGLE очень удобно использовать. Со мной - да, а с man iptables ? :) Кстати, в обоих случаях ( -A PREROUTING -s 192.168.0.2 -i eth1 -j ACCEPT -A PREROUTING -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.1 -i eth1 -j DROP ) без "-t mangle" будет использоваться таблица filter
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх