Биллинговая система Nodeny
22 Ноября 2024, 16:04:09 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Прекращена поддержка версии Nodeny 49
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: [1]
  Печать  
Автор Тема: доступ к DNS и на один сайт наружу не авторизованым (всем)  (Прочитано 6081 раз)
bnet
NoDeny
Пользователь
*

Карма: 6
Offline Offline

Сообщений: 85


Просмотр профиля
« : 11 Мая 2011, 20:54:18 »

внутри сети стоит сервер с чатом и сервером контры.
его адрес 172.20.0.129, DNS имя - game.my.net и chat.my.net

1.
авторизация пользователей по пппое.
если пользователь не авторизован, он неможет даже пропинговать game.my.net, видимо авторизованым доступа к DNS нету.
Как организовать доступ к game.my.net и chat.my.net для не авторизированых (всем)?

2.
нужно организовать доступ на определенный сайт снаружи сети всем пользователям сети, независимо от состояния учетной записи в билинге

Код:
ifOut='em0'
${f} -f flush

${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any

${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me

${f} add 200 skipto 700 ip from any to any via ${ifOut}

${f} add 300 fwd 127.0.0.1,8080 tcp from not 'table(0)' to not me 80 in
${f} add 310 fwd 127.0.0.1,8081 tcp from 'table(35)' to not me 80 in
${f} add 350 skipto 4500 ip from any to any in

${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 520 tee 1 ip from any to any
${f} add 550 tee 2 ip from any to any
${f} add 590 allow ip from any to any

${f} add 700 skipto 32500 ip from any to any in
${f} add 710 tee 1 ip from any to any
${f} add 740 allow ip from any to any


${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2100 allow udp from any to any 53,7723
${f} add 2110 allow tcp from any to any 1194

${f} add 2200 deny ip from any to any

${f} add 32490 deny ip from any to any

к этому всему еще имеется проблема с косяками в записи в график загрузки канала
http://clip2net.com/clip/m23857/1305139826-clip-25kb.png

спасибо!
Записан
0xbad0c0d3
гуру nodeny )
NoDeny
Спец
*

Карма: 116
Offline Offline

Сообщений: 1059



Просмотр профиля
« Ответ #1 : 11 Мая 2011, 21:19:05 »

А DNS чей? Ваш или что-то типа 8.8.8.8 или прововский?
Ну, а что бы пускать на сайт вне сети нужно добавить разрешающее правило после
Код:
pipe tablearg ip from any to table(10)
и
Код:
allow ip from table(11) to any
т.е.
Код:
pipe tablearg ip from any to table(10);
allow tcp from site_ip to table(2);
и
Код:
allow ip from table(11) to any
allow tcp from table(2) to site_ip;
« Последнее редактирование: 11 Мая 2011, 21:24:07 от 0xbad0c0d3 » Записан
poxy.
NoDeny
Спец
*

Карма: 10
Offline Offline

Сообщений: 844



Просмотр профиля
« Ответ #2 : 11 Мая 2011, 21:23:13 »


2.
нужно организовать доступ на определенный сайт снаружи сети всем пользователям сети, независимо от состояния учетной записи в билинге

Код:
ifOut='em0'
${f} -f flush

${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any

${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me

${f} add 200 skipto 700 ip from any to any via ${ifOut}

${f} add 300 fwd 127.0.0.1,8080 tcp from not 'table(0)' to not me 80 in
${f} add 310 fwd 127.0.0.1,8081 tcp from 'table(35)' to not me 80 in
${f} add 350 skipto 4500 ip from any to any in

${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 520 tee 1 ip from any to any
${f} add 550 tee 2 ip from any to any
${f} add 590 allow ip from any to any

${f} add 700 skipto 32500 ip from any to any in
${f} add 710 tee 1 ip from any to any
${f} add 740 allow ip from any to any


${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2100 allow udp from any to any 53,7723
${f} add 2110 allow tcp from any to any 1194

${f} add 2200 deny ip from any to any

${f} add 32490 deny ip from any to any

спасибо!
Тут ответ: http://forum.nodeny.com.ua/index.php?topic=639.0
Цитировать
к этому всему еще имеется проблема с косяками в записи в график загрузки канала
http://clip2net.com/clip/m23857/1305139826-clip-25kb.png
Вы чем статистику снимаете? Случайно не floow-tools и netflow?


Записан
bnet
NoDeny
Пользователь
*

Карма: 6
Offline Offline

Сообщений: 85


Просмотр профиля
« Ответ #3 : 11 Мая 2011, 21:24:51 »

Код:
DNS мой

my.net
$TTL 3600
@<----->IN<---->SOA<--->www.my.net. root.www.my.net.  (
<------><------><------>2010020413
<------><------><------>3600
<------><------><------>900
<------><------><------>3600000
<------><------><------>3600 )
@<----->IN<---->NS<---->ns.my.net.
ns<---->IN<---->A<----->177.2.1.3
cpanel<>IN<---->A<----->177.2.1.3
@<----->IN<---->A<----->177.2.1.3
www<--->IN<---->A<----->177.2.1.3
ftp<--->IN<---->A<----->177.2.1.3
admin<->IN<---->A<----->172.20.0.1
stat<-->IN<---->A<----->172.20.0.1
chat<-->IN<---->A<----->172.20.0.129
game<-->IN<---->A<----->172.20.0.129
Записан
0xbad0c0d3
гуру nodeny )
NoDeny
Спец
*

Карма: 116
Offline Offline

Сообщений: 1059



Просмотр профиля
« Ответ #4 : 11 Мая 2011, 21:27:22 »

Тогда не понимаю вопроса. т.к. на данный момент 53-й порт разрешен для всех кто не на ifOut
Что отвечает DNS на запросы внутри сети если абон не авторизован?

Да и вообще тут одни противоречия:
Цитировать
авторизация пользователей по пппое.
если пользователь не авторизован, он неможет даже пропинговать game.my.net, видимо авторизованым доступа к DNS нету.
Как организовать доступ к game.my.net и chat.my.net для не авторизированых (всем)?
« Последнее редактирование: 11 Мая 2011, 21:29:24 от 0xbad0c0d3 » Записан
ankos
NoDeny
Пользователь
*

Карма: 2
Offline Offline

Сообщений: 45


Просмотр профиля Email
« Ответ #5 : 12 Мая 2011, 08:11:49 »

А вообще как он может попасть, если ІР ДНС сервера он получает от РРРоЕ, и откуда клиентской машине знать где находятся эти сайты? Для того, чтобы юзер мог попасть на сайты, покрайней мере у него на интерфейсе должны быть прописаны ІР, Шлюз и ДНС провайдера.
Записан
goletsa
NoDeny
Спец
*

Карма: 21
Offline Offline

Сообщений: 973


Просмотр профиля
« Ответ #6 : 12 Мая 2011, 12:48:36 »

А вообще как он может попасть, если ІР ДНС сервера он получает от РРРоЕ, и откуда клиентской машине знать где находятся эти сайты? Для того, чтобы юзер мог попасть на сайты, покрайней мере у него на интерфейсе должны быть прописаны ІР, Шлюз и ДНС провайдера.
ну наверняка есть еще dhcp который может все это выдавать.
Записан
bnet
NoDeny
Пользователь
*

Карма: 6
Offline Offline

Сообщений: 85


Просмотр профиля
« Ответ #7 : 12 Мая 2011, 13:27:18 »

первый вопрос решился, dhcp стоит, выдает диапазон, но как оказалось днс не обслуживал сесь диапазон выдаваемых в dhcp адресов.
Записан
Страниц: [1]
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!