Проблемы начинаются сразу после перезапуска utm5_rfw со включенным параметром dont_fork=yes
А именно - скрипты включения/выключения файрвола вызываются только для первого ip адреса абонента а иногда (без видимой причины) не вызываются вообще. То есть даже если всё проходит то абоненты с несколькими ip адресами не отключатся.
Вставил в конце всех скриптов exit 0 - не помогло.
Получается что толку от этого параметра ноль - групповые операции все равно не работают что с ним что без него.
utm5_rfw не работает если поставить dont_fork=yes
Re: utm5_rfw не работает если поставить dont_fork=yes
dont_fork указывает рфв не выполнять следующее правило, пока не выполнится предыдущее ... посмотрите, возможно у вас просто некоторые правила "зависают" при попытке применить их. Это может происходить по разным причинам.SergKz писал(а):Проблемы начинаются сразу после перезапуска utm5_rfw со включенным параметром dont_fork=yes
А именно - скрипты включения/выключения файрвола вызываются только для первого ip адреса абонента а иногда (без видимой причины) не вызываются вообще. То есть даже если всё проходит то абоненты с несколькими ip адресами не отключатся.
Вставил в конце всех скриптов exit 0 - не помогло.
Получается что толку от этого параметра ноль - групповые операции все равно не работают что с ним что без него.
посмотрел ещё раз - в списке процессов скрипты включения/выключения файрвола не зависают.
тем не менее только скрипт вызывается только с первым адресом из назначенных абоненту.
пример скрипта:
===
#cat gt_of
#!/bin/sh
rnet=`echo $1 | awk 'BEGIN{s="Local"}/$MY_REAL_NET./{s="Real"}END{print s}'`
rsubnet=`echo $1 | awk 'BEGIN{s=""}/\.0/{s="/24"}END{print s}'`
date '+%d.%m.%Y %H:%M:%S' >> /var/log/utmip.log
echo $0 $1 $2 $3 $4 >> /var/log/utmip.log;
case $rnet in
Real)
echo "Internet off for real ip " $1/$2 >> /var/log/utmip.log;
ssh -q gt iptables -D FORWARD -i eth3 -d $1/$2 -j ACCEPT
ssh -q gt iptables -t nat -D POSTROUTING -s $1/$2 -o eth3 -j ACCEPT
;;
Local)
echo "Internet off for local ip " $1/$2 >> /var/log/utmip.log;
ssh -q gt iptables -D FORWARD -i eth3 -d $1/$2
ssh -q gt iptables -t nat -D POSTROUTING -s $1/$2 -o eth3 -j SNAT --to-source 62.33.186.1
;;
esac
тем не менее только скрипт вызывается только с первым адресом из назначенных абоненту.
пример скрипта:
===
#cat gt_of
#!/bin/sh
rnet=`echo $1 | awk 'BEGIN{s="Local"}/$MY_REAL_NET./{s="Real"}END{print s}'`
rsubnet=`echo $1 | awk 'BEGIN{s=""}/\.0/{s="/24"}END{print s}'`
date '+%d.%m.%Y %H:%M:%S' >> /var/log/utmip.log
echo $0 $1 $2 $3 $4 >> /var/log/utmip.log;
case $rnet in
Real)
echo "Internet off for real ip " $1/$2 >> /var/log/utmip.log;
ssh -q gt iptables -D FORWARD -i eth3 -d $1/$2 -j ACCEPT
ssh -q gt iptables -t nat -D POSTROUTING -s $1/$2 -o eth3 -j ACCEPT
;;
Local)
echo "Internet off for local ip " $1/$2 >> /var/log/utmip.log;
ssh -q gt iptables -D FORWARD -i eth3 -d $1/$2
ssh -q gt iptables -t nat -D POSTROUTING -s $1/$2 -o eth3 -j SNAT --to-source 62.33.186.1
;;
esac
-
Lex
- NetUP Team
- Сообщения: 623
- Зарегистрирован: Ср мар 09, 2005 12:12
- Откуда: НетАП
- Контактная информация:
Для работы utm5_rfw необходим только сам исполняемый файл и файл конфигурации + стандартные системные библиотеки.SergKz писал(а):минутку? это как?
сколько помню utm5-rfw отдельно от остального биллинга не ставится
или это очередная ступень "обработки напильником"?
выдрать путём эксперимента файлы необходимые этому сервису, перетащить их на роутер, и вписать адрес сервера где биллинг живёт?
почему "обработка напильником" ? Данный функционал изначально предусматривался и довольно широко используется (есть сети, где большое количество удаленных рвф коннектятся к одному ядру - всё работает на ура).SergKz писал(а):минутку? это как?
сколько помню utm5-rfw отдельно от остального биллинга не ставится
или это очередная ступень "обработки напильником"?
выдрать путём эксперимента файлы необходимые этому сервису, перетащить их на роутер, и вписать адрес сервера где биллинг живёт?
Жалко только в документации указание на то, что utm5_rfw надо запускать на роутере а не на сервере биллинга, можно отыскать только косвенные....
Также как указания какие именно файлы надо переписывать на роутер кроме utm5_rfw и его конфига. А также надо ли создавать дерево каталогов аналогично серверу биллинга?
Вообще-то отдельно устанавливаемый модуль хорошо бы и оформлять в виде отдельного инсталяционного пакета...
В общем будем экспериментировать похоже... отключив на время эксперимента телефон в офисе
Также как указания какие именно файлы надо переписывать на роутер кроме utm5_rfw и его конфига. А также надо ли создавать дерево каталогов аналогично серверу биллинга?
Вообще-то отдельно устанавливаемый модуль хорошо бы и оформлять в виде отдельного инсталяционного пакета...
В общем будем экспериментировать похоже... отключив на время эксперимента телефон в офисе