Всем привет!
Подскажите пожалуйста как можно заставить iptables выполнять правлило prerouting - га только один раз, до установление соединения?
т.е
надо что бы клиент перед тем как ему откроются порты для доступа в инет, попал на страницу авторизации,авторизовался а потом уже мог набирать нужные ему адрес в браузере,для этого я сделал так :
iptables -t nat -A PREROUTING -s 10.0.3.0/24 -p tcp --dport 80 -j REDIRECT

но к сожалению это не работает ((, происходит следующие, клиента перебрасывается на страницу авторизации он авторизуется, после чего на следующей вкладке пытается ввести нужный ему адрес и его снова перебрасывает на страницу авторизации, не смотря на то что порты открыты и связь установлена ((
как это можно исправить?

Спасибо

miksoftдля справки:
Действие REDIRECT
Действие REDIRECTБез указания ключа --to-ports, перенаправления не происходит, т.е. пакет идет на тот порт, куда и был назначен.

пробовал и так, та же самая "задница"
iptables -t nat -A PREROUTING -s 10.0.3.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 80

перебрасывает на страницу авторизации , и каждый раз не зависимо от того авторизовался я или нет все равно на страницу авторизации кидает, постоянно ((, а надо что бы после авторизации я мог зайти на какой то ресурс

miksoftmiksoftА какой смысл с 80-ого порта перенаправлять на тот же 80-ый?Вопрос отменяется.

На сервере через который устанавливается доступ с нетом, стоит локальный веб сервер на котором "поднята" веб авторизация, локальный веб сервер работает на 80-м порту.Предполагается что при вводе клиентом юрл запрос по этому юрл передается на 80 порт, так вот этот запрос должен быть перехвачен фаерволом и отправлен на 80 порт локального веб-сервера(он работает тоже на 80) после чего клиент увидит страницу авториз., он вводит логи и пароль, на фаер. открываются порты и связь устанавливается.
Я тоже думаю добавить правило отмены редиректа в систему которая открывает порты для клиента, но проблема в том что пока что у меня не получается это сделать, не получается составить правило ((
Предполагаю что должно быть что то вроде этого
iptables -t nat -A PREROUTING -s USER_IP -p tcp --dport 80 -j АCCEPT
Но это не работает((, помогите составить правило, ман уже читал ну что то никаких идей ((
Спасибо

netwindвот это например http://www.chillispot.info/
так будет результативнее.
да и разве у netup нет готовых конфигураций?

есть вот такая конфигурация (http://www.netup.ru/UTM5/articles.php?n=4)

Скажу так, все инфа там изложена в образном виде, когда начинаешь настраивать то получается далеко на так как там написано, вот и приходиться "ребусы разгадывать" ((

netwindAleksandr G., а там есть apache, который выдает первый редирект ? попробуйте keep-alive отключить в нем.
Повторный запрос, похоже, и не доходит до iptables, а идет по старой схеме опять на авторизацию.
Проверьте это по счетчикам в таблице. В PREROUTING попадает только первый пакет из tcp-соединения. На каждый новый запрос счетчик должен увеличиваться на 1.

В апаче отключил кип-элайв, но ничего не поменялось (((, счетчики в таблице - имеется ввиду в разделе прироутинга?если да то там особо ничего не меняется не после того как я авторизовался не после того как я несколько раз обновил страницу с нужным мне юрл ((