Биллинговая система Nodeny

Главная категория => Курилка => Тема начата: bnet от 11 Мая 2011, 20:54:18


Название: доступ к DNS и на один сайт наружу не авторизованым (всем)
Отправлено: bnet от 11 Мая 2011, 20:54:18
внутри сети стоит сервер с чатом и сервером контры.
его адрес 172.20.0.129, DNS имя - game.my.net и chat.my.net

1.
авторизация пользователей по пппое.
если пользователь не авторизован, он неможет даже пропинговать game.my.net, видимо авторизованым доступа к DNS нету.
Как организовать доступ к game.my.net и chat.my.net для не авторизированых (всем)?

2.
нужно организовать доступ на определенный сайт снаружи сети всем пользователям сети, независимо от состояния учетной записи в билинге

Код:
ifOut='em0'
${f} -f flush

${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any

${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me

${f} add 200 skipto 700 ip from any to any via ${ifOut}

${f} add 300 fwd 127.0.0.1,8080 tcp from not 'table(0)' to not me 80 in
${f} add 310 fwd 127.0.0.1,8081 tcp from 'table(35)' to not me 80 in
${f} add 350 skipto 4500 ip from any to any in

${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 520 tee 1 ip from any to any
${f} add 550 tee 2 ip from any to any
${f} add 590 allow ip from any to any

${f} add 700 skipto 32500 ip from any to any in
${f} add 710 tee 1 ip from any to any
${f} add 740 allow ip from any to any


${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2100 allow udp from any to any 53,7723
${f} add 2110 allow tcp from any to any 1194

${f} add 2200 deny ip from any to any

${f} add 32490 deny ip from any to any

к этому всему еще имеется проблема с косяками в записи в график загрузки канала
http://clip2net.com/clip/m23857/1305139826-clip-25kb.png

спасибо!

Название: Re: доступ к DNS и на один сайт наружу не авторизованым (всем)
Отправлено: 0xbad0c0d3 от 11 Мая 2011, 21:19:05
А DNS чей? Ваш или что-то типа 8.8.8.8 или прововский?
Ну, а что бы пускать на сайт вне сети нужно добавить разрешающее правило после
Код:
pipe tablearg ip from any to table(10)
и
Код:
allow ip from table(11) to any
т.е.
Код:
pipe tablearg ip from any to table(10);
allow tcp from site_ip to table(2);
и
Код:
allow ip from table(11) to any
allow tcp from table(2) to site_ip;

Название: Re: доступ к DNS и на один сайт наружу не авторизованым (всем)
Отправлено: poxy. от 11 Мая 2011, 21:23:13
Цитата: bnet от 11 Мая 2011, 20:54:18

2.
нужно организовать доступ на определенный сайт снаружи сети всем пользователям сети, независимо от состояния учетной записи в билинге

Код:
ifOut='em0'
${f} -f flush

${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any

${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me

${f} add 200 skipto 700 ip from any to any via ${ifOut}

${f} add 300 fwd 127.0.0.1,8080 tcp from not 'table(0)' to not me 80 in
${f} add 310 fwd 127.0.0.1,8081 tcp from 'table(35)' to not me 80 in
${f} add 350 skipto 4500 ip from any to any in

${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 520 tee 1 ip from any to any
${f} add 550 tee 2 ip from any to any
${f} add 590 allow ip from any to any

${f} add 700 skipto 32500 ip from any to any in
${f} add 710 tee 1 ip from any to any
${f} add 740 allow ip from any to any


${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2100 allow udp from any to any 53,7723
${f} add 2110 allow tcp from any to any 1194

${f} add 2200 deny ip from any to any

${f} add 32490 deny ip from any to any

спасибо!
Тут ответ: http://forum.nodeny.com.ua/index.php?topic=639.0
Цитировать
к этому всему еще имеется проблема с косяками в записи в график загрузки канала
http://clip2net.com/clip/m23857/1305139826-clip-25kb.png
Вы чем статистику снимаете? Случайно не floow-tools и netflow?



Название: Re: доступ к DNS и на один сайт наружу не авторизованым (всем)
Отправлено: bnet от 11 Мая 2011, 21:24:51
Код:
DNS мой

my.net 
$TTL 3600
@<----->IN<---->SOA<--->www.my.net. root.www.my.net.  (
<------><------><------>2010020413
<------><------><------>3600
<------><------><------>900
<------><------><------>3600000
<------><------><------>3600 )
@<----->IN<---->NS<---->ns.my.net.
ns<---->IN<---->A<----->177.2.1.3
cpanel<>IN<---->A<----->177.2.1.3
@<----->IN<---->A<----->177.2.1.3
www<--->IN<---->A<----->177.2.1.3
ftp<--->IN<---->A<----->177.2.1.3
admin<->IN<---->A<----->172.20.0.1
stat<-->IN<---->A<----->172.20.0.1
chat<-->IN<---->A<----->172.20.0.129
game<-->IN<---->A<----->172.20.0.129

Название: Re: доступ к DNS и на один сайт наружу не авторизованым (всем)
Отправлено: 0xbad0c0d3 от 11 Мая 2011, 21:27:22
Тогда не понимаю вопроса. т.к. на данный момент 53-й порт разрешен для всех кто не на ifOut
Что отвечает DNS на запросы внутри сети если абон не авторизован?

Да и вообще тут одни противоречия:
Цитировать
авторизация пользователей по пппое.
если пользователь не авторизован, он неможет даже пропинговать game.my.net, видимо авторизованым доступа к DNS нету.
Как организовать доступ к game.my.net и chat.my.net для не авторизированых (всем)?

Название: Re: доступ к DNS и на один сайт наружу не авторизованым (всем)
Отправлено: ankos от 12 Мая 2011, 08:11:49
А вообще как он может попасть, если ІР ДНС сервера он получает от РРРоЕ, и откуда клиентской машине знать где находятся эти сайты? Для того, чтобы юзер мог попасть на сайты, покрайней мере у него на интерфейсе должны быть прописаны ІР, Шлюз и ДНС провайдера.

Название: Re: доступ к DNS и на один сайт наружу не авторизованым (всем)
Отправлено: goletsa от 12 Мая 2011, 12:48:36
Цитата: ankos от 12 Мая 2011, 08:11:49
А вообще как он может попасть, если ІР ДНС сервера он получает от РРРоЕ, и откуда клиентской машине знать где находятся эти сайты? Для того, чтобы юзер мог попасть на сайты, покрайней мере у него на интерфейсе должны быть прописаны ІР, Шлюз и ДНС провайдера.
ну наверняка есть еще dhcp который может все это выдавать.

Название: Re: доступ к DNS и на один сайт наружу не авторизованым (всем)
Отправлено: bnet от 12 Мая 2011, 13:27:18
первый вопрос решился, dhcp стоит, выдает диапазон, но как оказалось днс не обслуживал сесь диапазон выдаваемых в dhcp адресов.


Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines