UTM:5 RSH --> cisco 2600

[kirog]

Проблема: (в админке utm) не отключает юзеров от инета при отрицательном балансе, принудительном отключении.
Схема такая: PPPoE - DSLAM --> cisco catalyst 35 --> cisco 2600
log rfw:

Код: Выделить всё

?Debug &#58; Mar 20 13&#58;16&#58;19 FWCntl&#58; Send rule<clear access-template 105 test1 host 192.168.1.1 any> to remote cisco <192.168.1.35>
?Debug &#58; Mar 20 13&#58;16&#58;19 FWCntl&#58; Call RSH&#58; host 192.168.1.35, port 514, login netup, pass , cmd clear access-template 105 test1 host 192.168.1.1 any
 Notice&#58; Mar 20 13&#58;16&#58;19 FWCntl&#58; Can't shutdown&#40;rfd&#41; while recv data from rsh soscket ... Error&#58;<Bad file descriptor>
 Notice&#58; Mar 20 13&#58;16&#58;19 FWCntl&#58; Can't shutdown&#40;rfd&#41; while recv data from rsh soscket ... Error&#58;<Bad file descriptor>
 Notice&#58; Mar 20 13&#58;16&#58;19 FWCntl&#58; Can't shutdown&#40;sock&#41; while recv data from rsh soscket ... Error&#58;<Bad file descriptor>
 Notice&#58; Mar 20 13&#58;16&#58;19 FWCntl&#58; Can't shutdown&#40;sock&#41; while recv data from rsh soscket ... Error&#58;<Bad file descriptor>
?Debug &#58; Mar 20 13&#58;16&#58;19 RFW URFA&#91;plugin&#93;&#58; Got 'exec' command...
?Debug &#58; Mar 20 13&#58;16&#58;19 FWCntl&#58; Send rule<clear access-template 106 test2 any host 192.168.1.1 any> to remote cisco <192.168.1.35>
?Debug &#58; Mar 20 13&#58;16&#58;19 FWCntl&#58; Call RSH&#58; host 192.168.1.35, port 514, login netup, pass , cmd clear access-template 106 test2 any host 192.168.1.1
 Notice&#58; Mar 20 13&#58;16&#58;20 FWCntl&#58; Can't shutdown&#40;rfd&#41; while recv data from rsh soscket ... Error&#58;<Bad file descriptor>
 Notice&#58; Mar 20 13&#58;16&#58;20 FWCntl&#58; Can't shutdown&#40;rfd&#41; while recv data from rsh soscket ... Error&#58;<Bad file descriptor>
 Notice&#58; Mar 20 13&#58;16&#58;20 FWCntl&#58; Can't shutdown&#40;sock&#41; while recv data from rsh soscket ... Error&#58;<Bad file descriptor>
 Notice&#58; Mar 20 13&#58;16&#58;20 FWCntl&#58; Can't shutdown&#40;sock&#41; while recv data from rsh soscket ... Error&#58;<Bad file descriptor>
?Debug &#58; Mar 20 13&#58;16&#58;23 RFW URFA&#91;plugin&#93;&#58; Got ping from core. Sending reply...

к сведенью:
glibc-2.3.6
linux: 2.6.20-1.2312.1.112asp

Зарание спасибо!

[Dewil]

Код: Выделить всё

?Debug &#58; Mar 21 12&#58;21&#58;23 FWCntl&#58; Send rule<access-template 102 rfw host 172.17.1.157 any> to remote cisco <192.168.222.222>
?Debug &#58; Mar 21 12&#58;21&#58;23 FWCntl&#58; Call RSH&#58; host 192.168.222.222, port 514, login netup, pass *****, cmd access-template 102 rfw host 172.17.1.157 any
 Notice&#58; Mar 21 12&#58;21&#58;24 FWCntl&#58; Can't shutdown&#40;rfd&#41; while recv data from rsh soscket ... Error&#58;<Bad file descriptor>

Ошибки такие же выскакивают, но все прописывается корректно. Железка 2621xm.

[KSkostja]

нужно в конфиге RADIUS5.CFG добавить

radius_auth_mppe=enable - авторизация по VPN
radius_auth_vap=1 - не авторизовывать с отрицательным балансом

[kirog]

нужно в конфиге RADIUS5.CFG добавить

radius_auth_mppe=enable - авторизация по VPN
radius_auth_vap=1 - не авторизовывать с отрицательным балансом

Это давно прописано не помогает...

[kirog]

UP!
ну что так никто и не скажет в чем дело!?...
хотя бы намеками

[f.hokimov@mail.ru]

Привет всем! Кто нибудь решил данную проблему с Error:<Bad file descriptor> ? Подскажите пожалуйста.

[maxxsoft]

Боролся с кошками очень давно, в итоге переделал rfw на локальный и отправляю команды на кошки через скрипт. Делаю так:

rfw.cfg:

Код: Выделить всё

rfw_ssl_type=ssl3
firewall_type=local
sync_flags=enable:disable
firewall_path=/netup/utm5/rfw.sh
sudo_path=/usr/bin/sudo
dont_fork=yes

rfw.sh:

Код: Выделить всё

#!/bin/sh

#rfw
rsh rfw@10.0.10.41 "$*"

работает медленнее (из за dont_fork=yes), но зато стабильно.

[f.hokimov@mail.ru]

А разве на прямую не получилось передать правила? Неужели нет выхода из этой ситуации?

[f.hokimov@mail.ru]

Боролся с кошками очень давно, в итоге переделал rfw на локальный и отправляю команды на кошки через скрипт. Делаю так:

rfw.cfg:

Код: Выделить всё

rfw_ssl_type=ssl3
firewall_type=local
sync_flags=enable:disable
firewall_path=/netup/utm5/rfw.sh
sudo_path=/usr/bin/sudo
dont_fork=yes

rfw.sh:

Код: Выделить всё

#!/bin/sh

#rfw
rsh rfw@10.0.10.41 "$*"

работает медленнее (из за dont_fork=yes), но зато стабильно.

Я все таки разобрался в чем проблема. В моем случае необходимо было подключаться к удаленному серверу на базе FreeBSD по RSH с пользователем netup. По умолчанию пользователь Netup не имеет право выполнять команды связанные с IPFW. Для этого ему необходимо дать на это право. Я выполнил следующую команду :
chmod 6555 /sbin/ipfw
и все заработало.

[taf]

Я все таки разобрался в чем проблема. В моем случае необходимо было подключаться к удаленному серверу на базе FreeBSD по RSH с пользователем netup. По умолчанию пользователь Netup не имеет право выполнять команды связанные с IPFW. Для этого ему необходимо дать на это право. Я выполнил следующую команду :
chmod 6555 /sbin/ipfw
и все заработало.

Никогда так не делайте. Умные люди придумали для такого sudo

[f.hokimov@mail.ru]

Я все таки разобрался в чем проблема. В моем случае необходимо было подключаться к удаленному серверу на базе FreeBSD по RSH с пользователем netup. По умолчанию пользователь Netup не имеет право выполнять команды связанные с IPFW. Для этого ему необходимо дать на это право. Я выполнил следующую команду :
chmod 6555 /sbin/ipfw
и все заработало.

Никогда так не делайте. Умные люди придумали для такого sudo

Да я понимаю суть небезопасности данного метода, но в общем для меня необходимо было понять причины данной проблемы, которую я не мог найти...
А не подскажите как обойти это через sudo?

[taf]

man sudo
man sudoers

[maxxsoft]

А разве на прямую не получилось передать правила? Неужели нет выхода из этой ситуации?

Почему же, работало всё с кошками и напрямую, но нестабильно (часто пропускались правила), почему и применил другой метод с введением микротиков в сеть, заодно и привёл всё к единому стандарту, через локальный файрвол==>скрипт.

[Serp]

А разве на прямую не получилось передать правила? Неужели нет выхода из этой ситуации?

Почему же, работало всё с кошками и напрямую, но нестабильно (часто пропускались правила), почему и применил другой метод с введением микротиков в сеть, заодно и привёл всё к единому стандарту, через локальный файрвол==>скрипт.

А можно ли как-то сразу попасть на кошку в режим конфигурации? Сам сейчас использую локальный файервол со скриптом на Perl (+Expect.pm), хочется ускорить работу просто.

[maxxsoft]

А можно ли как-то сразу попасть на кошку в режим конфигурации? Сам сейчас использую локальный файервол со скриптом на Perl (+Expect.pm), хочется ускорить работу просто.

Других методов воздействия на интерактиквный диалог (типа expect) я не знаю, но на мой взгляд это не совсем безопастно в плане сохранения конфигурации, не дай бог перезагрузится или питание упадёт..., можно конечно рулить running-config`ом, например сгружать его, править, загружать и активировать, но тоже на мой взгляд метод опасный...