Включить ограничение доступа на всех внутренних интерфейсах...

[aha]

AltLinux-Ковчег.
Установлен как есть "из коробки"!
Заведен пользователь в группу wheel.
Брандмауэр --- Внутренние сети ---- Разрешенные клиенты - заведен ИП-шник с привязкой к МАК-адресу, ограничен в скорости 32 кбайт/сек,
Дополнительно разрешенные соединения: - для данного ИП-шника галочки установлены напротив всех пунктов.

Хочу ограничить доступ в И-нет, чтобы кроме указанного ИП-шника более никто не мог пойти в И-нет.
Начитавшись справки - ставлю галочку в пункте "Включить ограничение доступа на всех внутренних интерфейсах:"
И все. Мало того, что вышеуказанный ИП-шник не может попасть в И-нет после применения данных опций, этот ИП-шник (будучи Админом в данной системе) - не может прицепиться по ВЭБ-интерфейсу, и в принципе вообще никто не может прицепиться к ВЭБ-интерфейсу.

Вопросы:
1) как вернуть все "взад", или, вернее, в каком файлике и какой параметр нужно изменить через консоль, чтобы убрать опцию "Включить ограничение доступа на всех внутренних интерфейсах:" и смочь подключиться через ВЭБ-интерфейс;
2) что я не так делаю?

[Skull]

1) как вернуть все "взад", или, вернее, в каком файлике и какой параметр нужно изменить через консоль, чтобы убрать опцию "Включить ограничение доступа на всех внутренних интерфейсах:" и смочь подключиться через ВЭБ-интерфейс;

Код: [Выделить]

service iptables stop

2) что я не так делаю?

Попробуйте обновить систему (или пакет alterator-net-iptables).

[aha]

iptables stop - помогло, в систему вошел! Спасибо!
Систему обновил сразу же, как только установил, но воз пока и ныне там.
При установке крыжика - прописанные клиенты не идут в И-нет  :(

[Skull]

iptables stop - помогло, в систему вошел! Спасибо!
Систему обновил сразу же, как только установил, но воз пока и ныне там.
При установке крыжика - прописанные клиенты не идут в И-нет  :(

Я проверял на версии из Sisyphus, сначала разрешил клиенту, потом снял галочку для всех (По умолчанию). Работает. Сервер в режиме шлюза. Но там чуть более новая версия. Я перенёс в p5 из 5.1. Завтра обновите систему и проверьте.

[aha]

Не зря говорят, что ход событий повторяется, только двигаясь по спирали - уже на более высоком уровне.
Добрался до АльтЛинукс Школьный сервер 5.0.2.

Установлен как есть "из коробки"!
eth0 - внутренняя сеть (192.168.1.1)
eth1 - внешняя сеть (х.х.х.х)
"Отправлен" на обновление, обновился... перезапущен (на всякий случай).
Заведен пользователь admin, "зареган"в группе wheel.
Прокси-сервер - сервис включен, режим проксирования - прозрачный, порт назначен - 3456, разрешенные сети - 192.168.1.0/24
Брандмауэр - Внешние сети - Режим работы - "Шлюз (NAT)", галочка напротив eth1
Разрешить входящие соединения на внешних интерфейсах: - Центр управления системой (www) и Удалённый доступ (SSH)
Брандмауэр - Внутренние сети - Разрешенные клиенты - добавлен ИП-шник (пользователь admin) с привязкой к МАК-адресу, ограничен в скорости 64 кбайт/сек.
Дополнительно разрешенные соединения: - для данного ИП-шника галочки установлены напротив всех пунктов.
И-нет идет, но идет в том числе и для всех машин из внутренней сети у кого прописан прокси...
Вновь хочу ограничить доступ в И-нет, чтобы кроме указанного ИП-шника более никто не мог пойти в И-нет.
Для этого ставлю галочку в пункте "Включить ограничение доступа на всех внутренних интерфейсах:"
И все. И-нет пропадает... порт прокси не отзывается (проверял tcping.exe 192.168.1.1 3456)

Где рыть?

[aha]

В ходе долгих "опытов", просмотров всевозможных мануалов и т.д. и т.п. выяснил одну небезынтересную весЧь:

при использовании портов для прокси, отличных(!) от 3128 и при включении режима
"ограничение доступа на всех внутренних интерфейсах:" в правилах брандмауэра порт прокси прописывается только 3128, но никак не тот порт, который указывается пользователем при настройке... (в моем случае 3456).
Когда вернул все "взад" (порт прокси указал 3128) и включил "ограничение доступа на всех внутренних интерфейсах:" - все заработало как часики, и-нет пошел только для опред. пользователей, в т.ч. со всеми предустановленными ограничениями...

Отсюда вопросы:
1) как нарядить всеж таки "свой" порт на прокси
2) ставить в заголовке темы РЕШЕНО?

[varalt]

В ходе долгих "опытов", просмотров всевозможных мануалов и т.д. и т.п. выяснил одну небезынтересную весЧь:

при использовании портов для прокси, отличных(!) от 3128 и при включении режима
"ограничение доступа на всех внутренних интерфейсах:" в правилах брандмауэра порт прокси прописывается только 3128, но никак не тот порт, который указывается пользователем при настройке... (в моем случае 3456).
Когда вернул все "взад" (порт прокси указал 3128) и включил "ограничение доступа на всех внутренних интерфейсах:" - все заработало как часики, и-нет пошел только для опред. пользователей, в т.ч. со всеми предустановленными ограничениями...

Отсюда вопросы:
1) как нарядить всеж таки "свой" порт на прокси
2) ставить в заголовке темы РЕШЕНО?

Skull, может быть, обновить справку в Кентавре с учетом вышесказанного или как-то связать порт прокси с ограничением доступа?
aha, пока не ставьте в заголовке темы "Решено", подождем, что скажут нам.
P.S. Порт для прокси Вы меняли где конкретно, в разделе "Прокси-сервер"?

[aha]

Skull, может быть, обновить справку в Кентавре с учетом вышесказанного или как-то связать порт прокси с ограничением доступа?
aha, пока не ставьте в заголовке темы "Решено", подождем, что скажут нам.
P.S. Порт для прокси Вы меняли где конкретно, в разделе "Прокси-сервер"?

Да, менял в разделе Прокси-сервер - Порт прокси-сервера:

Самое обидное, год назад я плюнул на все, некогда было разбираться, а ларчик-то просто открывался.
Но... неужели ВСЕ по умолчанию пользуют прокси на 3128 портуи ни у кого и никогда не было желания что-то изменить? Почему именно так и никак иначе? мало ли что в жизни бывает? даже от чуть-чуть продвинутых юзверей (которые знают, что прокси всегда на 3128) спрятать в локалке проксю - ведь тоже вариант? да мало ли чего еще...

[aha]

Наткнулся на ответ совершенно случайно, когда пошел в Брандмауэре в Ручной режим управелния и стал внимательно вчитываться в таблицу filter/INPUT, увидел там среди прочих вот такую запись:

-i eth0 -s 192.168.1.2  -m mac --mac-source 00:01:02:03:04:05 -p tcp --dport 3128 -j ACCEPT

и сразу осенило - позвольте(!) а где же мой порт 3456? все перерыл - не нашел, тогда воткнул по умолчанию - и все запело

Это Alterator чудит?

[varalt]

Наткнулся на ответ совершенно случайно, когда пошел в Брандмауэре в Ручной режим управелния и стал внимательно вчитываться в таблицу filter/INPUT, увидел там среди прочих вот такую запись:

-i eth0 -s 192.168.1.2  -m mac --mac-source 00:01:02:03:04:05 -p tcp --dport 3128 -j ACCEPT

и сразу осенило - позвольте(!) а где же мой порт 3456? все перерыл - не нашел, тогда воткнул по умолчанию - и все запело

Это Alterator чудит?

Скорее всего, недоработка Alterator`а, но Вы всё равно молодец, коли нашли ошибку. Сам искал в своё время - не нашел!
Нужно будет Вам написать в багзилу с описанием проблемы и со ссылкой на данную тему. Надеюсь, что успеют поправить данную ошибку до выхода финального релиза Кентавра.

[varalt]

Skull, может быть, обновить справку в Кентавре с учетом вышесказанного или как-то связать порт прокси с ограничением доступа?
aha, пока не ставьте в заголовке темы "Решено", подождем, что скажут нам.
P.S. Порт для прокси Вы меняли где конкретно, в разделе "Прокси-сервер"?

Да, менял в разделе Прокси-сервер - Порт прокси-сервера:

Самое обидное, год назад я плюнул на все, некогда было разбираться, а ларчик-то просто открывался.
Но... неужели ВСЕ по умолчанию пользуют прокси на 3128 портуи ни у кого и никогда не было желания что-то изменить? Почему именно так и никак иначе? мало ли что в жизни бывает? даже от чуть-чуть продвинутых юзверей (которые знают, что прокси всегда на 3128) спрятать в локалке проксю - ведь тоже вариант? да мало ли чего еще...

Вы правы, порт прокси могут указать другой, но Альтовцы решили назначить этот порт в целях безопасности: ведь во многих предприятиях любят ставить 8080 порт, хотя данный порт в Кентавре уже используется.   

[aha]

В багзиллу написал, не знаю (разбираться некогда было) - примут ли мои "слёзы чаяния" модеры, все ли там я правильно в багзилле написал...

Надеюсь модеры доберуться до этой темы сами!

Не поленюсь "освежать" тему, рискуя быть забаненым за флуд!

[varalt]

В багзиллу написал, не знаю (разбираться некогда было) - примут ли мои "слёзы чаяния" модеры, все ли там я правильно в багзилле написал...

Надеюсь модеры доберуться до этой темы сами!

Не поленюсь "освежать" тему, рискуя быть забаненым за флуд!

Где тут ссылка на твой баг в багзиле?  >:( А то искать твой баг там... :(
Посмотрел бы, как оформлена...

[Skull]

Где тут ссылка на твой баг в багзиле?  >:( А то искать твой баг там... :(
Посмотрел бы, как оформлена...

Нормально оформлена. Единственное, я её перенёс на alterator-squid. Но описание вполне достойное. См. https://bugzilla.altlinux.org/26427

[aha]

Где тут ссылка на твой баг в багзиле?  >:( А то искать твой баг там... :(
Посмотрел бы, как оформлена...

Нормально оформлена. Единственное, я её перенёс на alterator-squid. Но описание вполне достойное. См. https://bugzilla.altlinux.org/26427

Вах.... редко услышишь похвалу от модераторов, все чаще баны и предупреждения!...