1.Пользователь подключается по VPN на NAS(сервер доступа)
2.NAS спрашивает у UTM есть ли бабки на счету у пользователя и если есть то выдает IP и разрешает подключиться по VPN(так должно работать но не работает ибо он даже если их нет он разрешает)
Редактировать правила на включение и отключение на UTM я могу.
Вот rc.firewall
Код: Выделить всё
#!/bin/sh
ipfw -q flush
inet="xl0"
lan="fxp0"
inet_ip="10.10.40.2"
ipfw -q add allow ip from any to any via ${lan}
#ipfw -q add allow ip from any to 80.237.127.50
#ipfw -q add allow ip from to me
ipfw -q add allow ip from me to 10.10.0.0/16
ipfw -q add divert 8668 ip from 192.168.0.0/24 to any out via ${inet}
ipfw -q add divert 8668 ip from any to ${inet_ip} in via ${inet}
ipfw -q add allow tcp from any to me 1723
ipfw -q add allow gre from any to any
ipfw -q add allow icmp from any to any
ipfw -q add allow udp from any to any dst-port 53 in keep-state
ipfw -q add allow udp from any to any out keep-state
ipfw -q add deny tcp from 192.168.0.0/24 to me via ${lan}
ipfw -q add allow ip from me to any
ipfw -q add allow tcp from any to any established
ipfw -q add allow ip from any to any via lo0
ipfw -q add allow ip from any to any
ipfw -q add deny log logamount 30 ip from any to 127.0.0.0/8 via ${inet}
ipfw -q add deny log logamount 30 ip from 127.0.0.0/8 to any via ${inet}
Выдаваемые VPN IP -192/168.0.0/24(статические не из пула)
UTM генерирует как то хитро номер правила и добавляет его в конец всех правил файрвола.
Код: Выделить всё
su-2.05b# ipfw show
00100 27228 4085845 allow ip from any to any via fxp0
00200 23 10526 allow ip from me to 10.10.0.0/16
00300 2763 381659 divert 8668 ip from 192.168.0.0/24 to any out via xl0
00400 3112 1509021 divert 8668 ip from any to 10.10.40.2 in via xl0
00500 0 0 allow tcp from any to me dst-port 1723
00600 0 0 allow gre from any to any
00700 40 2384 allow icmp from any to any
00800 1749 148759 allow udp from any to any dst-port 53 in keep-state
00900 0 0 allow tcp from any to any dst-port 513 in keep-state
01000 0 0 allow tcp from any to any dst-port 3050 in keep-state
01100 1077 68417 allow udp from any to any out keep-state
01200 0 0 deny tcp from 192.168.0.0/24 to me via fxp0
01300 3041 411052 allow ip from me to any
01400 6835 3215815 allow tcp from any to any established
01500 12 1008 allow ip from any to any via lo0
01600 336 22720 allow ip from any to any
01700 0 0 deny log logamount 30 ip from any to 127.0.0.0/8 via xl0
01800 0 0 deny log logamount 30 ip from 127.0.0.0/8 to any via xl0
[b]05041 0 0 allow ip from 192.168.0.100 to any[/b] #это его правило
65535 8 624 deny ip from any to any
1.Что написать в правилах на включение пользователя для того чтоб при подключении у него был инет(т.е он натился) и была определенная скорость.
2.Что написать в правилах на выключение чтобы он смог посмотреть баланс на удаленном серве по вебу а собсно остальное запретить
Заранее спасибо.
