URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 40587
[ Назад ]
Исходное сообщение
"Вопрос по iptables(Linux)"
Отправлено flusher , 16-Фев-04 00:47 
Нород Возник вопрос... В общем.
Существует Stargazer для учёта биллинга...
Динамически добавляются правила..
-A PREROUTING -s 192.168.0.2 -i eth1 -j ACCEPT
когда пользователь логинится...
Когда  делает логоф система удаляет это правило...
Но в существует таймаут 90 секунд. если пользоваетел продолжает работать, то пока он 90 секунд не сделает перерыв, у него будет доступ в инет...
Это последнее правило в цепочке построутинг
-A PREROUTING -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.1 -i eth1 -j DROP
Может я неправильно сделал??? Какие есть идеи...
Содержание
Сообщения в этом обсуждении
"Вопрос по iptables(Linux)"
Отправлено Edik , 16-Фев-04 13:27 
>Нород Возник вопрос... В общем.
>Существует Stargazer для учёта биллинга...
>Динамически добавляются правила..
>-A PREROUTING -s 192.168.0.2 -i eth1 -j ACCEPT
>когда пользователь логинится...
>Когда  делает логоф система удаляет это правило...
>Но в существует таймаут 90 секунд. если пользоваетел продолжает работать, то пока
>он 90 секунд не сделает перерыв, у него будет доступ в
>инет...
>Это последнее правило в цепочке построутинг
>-A PREROUTING -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.1 -i eth1 -j DROP
>Может я неправильно сделал??? Какие есть идеи...


Подробнее проблемму, если можно. Или задачу в целом.


"Вопрос по iptables(Linux)"
Отправлено flusher , 16-Фев-04 15:57 
>>Нород Возник вопрос... В общем.
>>Существует Stargazer для учёта биллинга...
>>Динамически добавляются правила..
>>-A PREROUTING -s 192.168.0.2 -i eth1 -j ACCEPT
>>когда пользователь логинится...
>>Когда  делает логоф система удаляет это правило...
>>Но в существует таймаут 90 секунд. если пользоваетел продолжает работать, то пока
>>он 90 секунд не сделает перерыв, у него будет доступ в
>>инет...
>>Это последнее правило в цепочке построутинг
>>-A PREROUTING -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.1 -i eth1 -j DROP
>>Может я неправильно сделал??? Какие есть идеи...
>
>
>Подробнее проблемму, если можно. Или задачу в целом.


В общем правила
iptables -t nat -A PREROUTING -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.1 -i eth1 -j DROP
iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source zzz.zzz.zzz.zzz
iptabler -t nat -A POSTROUTING -o gre1 -j SNAT --to-source xxx.xxx.xxx.xxx
Мне теперь надо сделать чтоб при авторизации пользователя добавлялось правило типа
iptables -t nat -I PREROUTING 1 -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.1 -i eth1 -j ACCEPT
А после нажатия типа logoff Это правило удалялось...
Это всё работает... Но возникает ситуация что если пользовател сделал logoff то в течении 90 секунд он может выйти в инет... И эти 90 секунд отсчитываются заново.. Если он в течении 90 секунд ничего в инет не посылал, то потом фаервол его не пустит.. Не понятно почему.... Может как-то надо сбрасывать фаервол???

"Вопрос по iptables(Linux)"
Отправлено vt , 16-Фев-04 13:52 
Не надо пользоваться PREROUTING для этих целей,
надо - INPUT или FORWARD


"Вопрос по iptables(Linux)"
Отправлено Edik , 16-Фев-04 14:25 
>Не надо пользоваться PREROUTING для этих целей,
>надо - INPUT или FORWARD
Могу не согласиться. Если в iptables построенны давольно сложные правила, то PREROUTING и POSTROUTING в таблице MANGLE очень удобно использовать.


"Вопрос по iptables(Linux)"
Отправлено vt , 16-Фев-04 18:09 
>>Не надо пользоваться PREROUTING для этих целей,
>>надо - INPUT или FORWARD
>Могу не согласиться. Если в iptables построенны давольно сложные правила, то PREROUTING
>и POSTROUTING в таблице MANGLE очень удобно использовать.

Со мной - да, а с man iptables ? :)

Кстати, в обоих случаях (
-A PREROUTING -s 192.168.0.2 -i eth1 -j ACCEPT
-A PREROUTING -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.1 -i eth1 -j DROP
)
без "-t mangle" будет использоваться таблица filter