The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Вопрос по iptables(Linux)"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Вопрос по iptables(Linux)"
Сообщение от flusher emailИскать по авторуВ закладки on 16-Фев-04, 00:47  (MSK)
Нород Возник вопрос... В общем.
Существует Stargazer для учёта биллинга...
Динамически добавляются правила..
-A PREROUTING -s 192.168.0.2 -i eth1 -j ACCEPT
когда пользователь логинится...
Когда  делает логоф система удаляет это правило...
Но в существует таймаут 90 секунд. если пользоваетел продолжает работать, то пока он 90 секунд не сделает перерыв, у него будет доступ в инет...
Это последнее правило в цепочке построутинг
-A PREROUTING -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.1 -i eth1 -j DROP
Может я неправильно сделал??? Какие есть идеи...
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Вопрос по iptables(Linux)"
Сообщение от Edik emailИскать по авторуВ закладки on 16-Фев-04, 13:27  (MSK)
>Нород Возник вопрос... В общем.
>Существует Stargazer для учёта биллинга...
>Динамически добавляются правила..
>-A PREROUTING -s 192.168.0.2 -i eth1 -j ACCEPT
>когда пользователь логинится...
>Когда  делает логоф система удаляет это правило...
>Но в существует таймаут 90 секунд. если пользоваетел продолжает работать, то пока
>он 90 секунд не сделает перерыв, у него будет доступ в
>инет...
>Это последнее правило в цепочке построутинг
>-A PREROUTING -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.1 -i eth1 -j DROP
>Может я неправильно сделал??? Какие есть идеи...


Подробнее проблемму, если можно. Или задачу в целом.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Вопрос по iptables(Linux)"
Сообщение от flusher emailИскать по авторуВ закладки on 16-Фев-04, 15:57  (MSK)
>>Нород Возник вопрос... В общем.
>>Существует Stargazer для учёта биллинга...
>>Динамически добавляются правила..
>>-A PREROUTING -s 192.168.0.2 -i eth1 -j ACCEPT
>>когда пользователь логинится...
>>Когда  делает логоф система удаляет это правило...
>>Но в существует таймаут 90 секунд. если пользоваетел продолжает работать, то пока
>>он 90 секунд не сделает перерыв, у него будет доступ в
>>инет...
>>Это последнее правило в цепочке построутинг
>>-A PREROUTING -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.1 -i eth1 -j DROP
>>Может я неправильно сделал??? Какие есть идеи...
>
>
>Подробнее проблемму, если можно. Или задачу в целом.


В общем правила
iptables -t nat -A PREROUTING -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.1 -i eth1 -j DROP
iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source zzz.zzz.zzz.zzz
iptabler -t nat -A POSTROUTING -o gre1 -j SNAT --to-source xxx.xxx.xxx.xxx
Мне теперь надо сделать чтоб при авторизации пользователя добавлялось правило типа
iptables -t nat -I PREROUTING 1 -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.1 -i eth1 -j ACCEPT
А после нажатия типа logoff Это правило удалялось...
Это всё работает... Но возникает ситуация что если пользовател сделал logoff то в течении 90 секунд он может выйти в инет... И эти 90 секунд отсчитываются заново.. Если он в течении 90 секунд ничего в инет не посылал, то потом фаервол его не пустит.. Не понятно почему.... Может как-то надо сбрасывать фаервол???

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Вопрос по iptables(Linux)"
Сообщение от vt Искать по авторуВ закладки on 16-Фев-04, 13:52  (MSK)
Не надо пользоваться PREROUTING для этих целей,
надо - INPUT или FORWARD


  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Вопрос по iptables(Linux)"
Сообщение от Edik emailИскать по авторуВ закладки on 16-Фев-04, 14:25  (MSK)
>Не надо пользоваться PREROUTING для этих целей,
>надо - INPUT или FORWARD
Могу не согласиться. Если в iptables построенны давольно сложные правила, то PREROUTING и POSTROUTING в таблице MANGLE очень удобно использовать.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Вопрос по iptables(Linux)"
Сообщение от vt Искать по авторуВ закладки on 16-Фев-04, 18:09  (MSK)
>>Не надо пользоваться PREROUTING для этих целей,
>>надо - INPUT или FORWARD
>Могу не согласиться. Если в iptables построенны давольно сложные правила, то PREROUTING
>и POSTROUTING в таблице MANGLE очень удобно использовать.

Со мной - да, а с man iptables ? :)

Кстати, в обоих случаях (
-A PREROUTING -s 192.168.0.2 -i eth1 -j ACCEPT
-A PREROUTING -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.1 -i eth1 -j DROP
)
без "-t mangle" будет использоваться таблица filter

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру