О правилах firewall, что выполняются при входе юзера по VPN

ss · Сообщение ss » Пн янв 31, 2005 18:46

Не первый раз вообще-то спрашиваю, но...

Ситуация: при включении/выключении Инета пользователю в web-интерфейсе UTM (звездочка рядом с ID) правила iptables добавляются/удаляются соответственно.

При отработке tsave пользователи, у которых на балансе <0 блокируются, правила iptables удаляются.

НО! При подключении/отключении пользователя по VPN никаких действий с правилами iptables не происходит.

Система:
Slackware 10.0, 2.4.26
NetUP UTM 3.0 [1 [19 okt 2002]]

root@gw:~# cat /etc/sudoers |grep -v ^#
root ALL=(ALL) ALL
www ALL= NOPASSWD: /usr/sbin/iptables
www ALL= NOPASSWD: /usr/bin/mysqladmin
www ALL= NOPASSWD: /usr/bin/mysqldump
www ALL= NOPASSWD: /bin/echo
www ALL= NOPASSWD: /bin/mv
www ALL= NOPASSWD: /bin/arp

root@gw:~# cat /etc/apache/httpd.conf |grep -E (^User\|^Group\)
User www
Group www

root@gw:~# cat /netup/utm/utm.cfg |grep firewall
firewall_type=iptables
firewall_path=/usr/sbin/iptables

root@gw:~# ls -la /usr/sbin/iptables
-rwxr-xr-x 1 root bin 47772 2004-06-18 08:30 /usr/sbin/iptables*

All Firewall rules
ID Login Firewall rule Comments
1 usersgroup1 -s UIP -j ACCEPT
2 usersgroup1 -d UIP -j ACCEPT

Сейчас использую это (ip-down соответствующий), но это неудобно:

root@gw:~# cat /etc/ppp/ip-up
#!/bin/bash
IPT=/usr/sbin/iptables
UIP=$5
IFACE=$1
$IPT -N $IFACE
$IPT -A FORWARD -s $UIP -j $IFACE
$IPT -A FORWARD -d $UIP -j $IFACE
$IPT -A $IFACE -s $UIP -j ACCEPT
$IPT -A $IFACE -d $UIP -j ACCEPT

Хочу разобраться, почему не работает как нужно. Можете чем-то помочь?

ss · Сообщение ss » Пт фев 04, 2005 15:18

нашел у себя NetUP UTM 3.0 [[1 +update 25 feb 2003]], обсновился. Проблема осталась.

за март 2003 у меня обновления точно нет, а на сентябрь думаю ничего не даст. Хотя, щас попробую...

ss · Сообщение ss » Ср фев 16, 2005 14:01

Ой, а вы знаете, я как раз никуда не спешу

И настроение у меня игривое.

Два года спрашиваю - ноль реакции, посему, на этот раз, буду поднимать пока кто-то не ответит

dalex · Сообщение **dalex** » Чт фев 17, 2005 09:06

Два года спрашиваю - ноль реакции, посему, на этот раз, буду поднимать пока кто-то не ответит Smile

тебе здесь никто и не обязан отвечать.

ss · Сообщение ss » Чт фев 17, 2005 16:45

dalex писал(а): тебе здесь никто и не обязан отвечать.

О, это я знаю

Более того считаю навязчивость дурным тоном. Но еще более дурным, считаю декомпиляцию закрытого продукта для выяснения причины, к примеру. Поэтому и выбрал меньшее зло

Да и не прошу я сильно многого. Какие деньги оно стоит, так оно и работает, это понятно и я ничего против не имею. Но я хочу разобраться, что не так.

Считайте, что это just4fun, поскольку имея модуль коммутируемых я могу передать в скрипт ID пользователя (чтоб создать цепочки с правильными именами), поэтому вообщем-то все работает где-то как и было задумано.

Skylord

ss писал(а):
dalex писал(а): тебе здесь никто и не обязан отвечать.
О, это я знаю Более того считаю навязчивость дурным тоном. Но еще более дурным, считаю декомпиляцию закрытого продукта для выяснения причины, к примеру. Поэтому и выбрал меньшее зло

А, может, ты выбрал лень?

Легче по форуме флудить, чем исходники разок глянуть.

Да и не прошу я сильно многого. Какие деньги оно стоит, так оно и работает, это понятно и я ничего против не имею. Но я хочу разобраться, что не так.

А что вообще не так? Твой вопрос: "При подключении/отключении пользователя по VPN никаких действий с правилами iptables не происходит. <...> Хочу разобраться, почему не работает как нужно. Можете чем-то помочь?"
Ответ: а с какой стати в принципе что-то должно выполнятся при подключении пользователя по VPN? Это заявлено в функционале биллинга? Все действия со всеми файрволлами происходят в двух случаях: блокировании/разблокировании пользователя и включении/выключении интернета пользователю. При чем тут подключение по VPN? Биллингу вообще по фиг, каким способом юзер подключается - этим NAS занимается. Более того, я вообще не понимаю необходимости манипуляций с файрволлом именно при подключении/отключении VPN'а. Почему нельзя все правилами назначить заранее? Все равно у VPN адресное пространство не пересекается с основным...
Опять же - если тебе такая фича зачем-то очень нужна, то ты поступил совершенно правильно: реализовал ее руками самостоятельно, как дополнительную возможность, не предусмотренную в биллинге изначально разработчиками. Честь тебе и хвала. Все так делают. На всех биллингах, а не только на УТМ....
В общем, рекомендую, не заниматься флеймом, успокоиться и не теребить разработчиков и окружающих. Есть куда более насущные проблемы.

ss · Сообщение ss » Сб фев 19, 2005 13:58

Уважаемый! Я сожалею, но боюсь, что вы мало понимаете о чем речь

Skylord писал(а): А, может, ты выбрал лень? Легче по форуме флудить, чем исходники разок глянуть.

я, как и вы, не имею права декомпилировать UTM. И _никогда_ не занимался флудом и прочими глупостями, это исключение.

Ответ: а с какой стати в принципе что-то должно выполнятся при подключении пользователя по VPN?

Тут я бы предпочел просто сказать RTFM, но подозреваю, что вы тут же будете кричать, что я ничерта сам не понял.

Допустим, есть VPN-пользователь. Что должно происходить, когда он подключается? Судя по тому, что указывается в настройках UTM и описывается в руководстве администатора, должны создаваться правила в цепочке с именем u$ID (где ID - номер пользователя в системе) и в ней разрешаться прохождение пакетов для пользователя. А в FORWARD должна добавляться ссылка на эту цепочку.

При окончании средств на счету пользователя, эта цепочка удаляется из программы main при отработке tsave. Также, если пользователь сам отключается от Сети, правила должны удаляться. Если вы не понимаете, почему, это ваши проблемы.

Или я не прав? Ну, вот как раз это добавление/удаление правил при подключении/отключении пользователя у меня и не работает. Есть ли в UTM _нормально_реализованная_возможность передать это дело сторонним скриптам? Нет (покупку модуля коммутируемых соединений для этой цели я не рассматриваю). Это еще один довод в пользу того, что это должна делать UTM.

В общем, рекомендую, не заниматься флеймом, успокоиться и не теребить разработчиков и окружающих.

Я спокоен, как никогда. А если лично вам что-то мешает - это уже не мои заботы.

Есть куда более насущные проблемы.

У кого? У меня - нет, меня интересует эта.

Victor · Сообщение **Victor** » Сб фев 19, 2005 16:20

я, как и вы, не имею права декомпилировать UTM.

Даже если разработчики не желают исправялть баги в нем? Ваш вариант действий, кроме как декомпилировать исходники?

ss · Сообщение ss » Сб фев 19, 2005 18:59

Victor писал(а): Даже если разработчики не желают исправялть баги в нем? Ваш вариант действий, кроме как декомпилировать исходники?

А вас кто-то просил UTM покупать?

Мой вариант - потратить время и разобраться. Обычно - свое

В большинстве возникавших вопросов, именно таким образом я уже разобрался

Skylord

ss писал(а):
Ответ: а с какой стати в принципе что-то должно выполнятся при подключении пользователя по VPN?
Тут я бы предпочел просто сказать RTFM, но подозреваю, что вы тут же будете кричать, что я ничерта сам не понял.

Допустим, есть VPN-пользователь. Что должно происходить, когда он подключается?

Ничего. Если он подключился - значит радиус его авторизовал и со счетом у него все в порядке. Коллектор начинает считать трафик, проходящий по созданному туннелю и скармливает его в УТМ.

Судя по тому, что указывается в настройках UTM и описывается в руководстве администатора, должны создаваться правила в цепочке с именем u$ID (где ID - номер пользователя в системе) и в ней разрешаться прохождение пакетов для пользователя. А в FORWARD должна добавляться ссылка на эту цепочку.

Нет. Читай еще раз мануал. Я же сказал: все действия со всеми файрволлами происходят в двух случаях - блокировании/разблокировании пользователя и включении/выключении интернета пользователю. Ткни мне пальцем в место в руководстве, где написано, что манипуляции с файрволлом должны производится еще и при подключении юзера по VPN.

При окончании средств на счету пользователя, эта цепочка удаляется из программы main при отработке tsave.

Именно так!

Также, если пользователь сам отключается от Сети, правила должны удаляться.

С какой стати?

Ну отключился... Ну и фиг с ним... Пусть файрвольные правила висят дальше - они никому и никак не мешают. Более того - у меня, например, УТМ управляет несколькими маршрутизаторами и когда у юзера кончаются деньги он полностью отрубается от сети (а не только от инета). Так что мне, например, совершенно не надо, чтобы правила привязывались к подключению/отключению от VPN. А часть юзеров у меня без VPN - им что делать?

Если вы не понимаете, почему, это ваши проблемы.

Не понимаю.

Но у меня-то как раз никаких проблем нет. Меня (и всех остальных - судя по отсутствию возгласов поддержки в пользу твоего мнения) полностью устраивает имеющаяся система. Так как хочешь ты теоретически можно сделать и включить такой функционал в УТМ. Но это геморно (учитывая моменты, которые я указал выше) и совершенно не нужно.

Или я не прав?

Не прав.

Ну, вот как раз это добавление/удаление правил при подключении/отключении пользователя у меня и не работает. Есть ли в UTM _нормально_реализованная_возможность передать это дело сторонним скриптам?

Повторяю еще раз: биллинг вообще не имеет никакого отношения к тому, как подключается пользователь. Хоть напрямую, хоть по VPN, хоть по PPPoE, хоть по диалапу... УТМ4 в силу своей дискретности не контролирует подключения пользователей в активном режиме. Он только обрабатывает трафик с заданным интервалом. И чем тебя твой вариант со скриптом из ppp не устраивает? У меня, скажем, из ppp вызывается скрипт, который контролирует с какого IP юзер подключается к VPN. И ладушки. И совершенно мне для этого УТМ не нужен.

Нет (покупку модуля коммутируемых соединений для этой цели я не рассматриваю).
Это еще один довод в пользу того, что это должна делать UTM.

Все предложения по тому, что УТМ должен (ИМХО, все-таки мужской род, т.к. хоть и "биллинговая система", но "UserTrafManager") делать, очевидно, лучше высказывать в ветке про пятую версию... На четвертую Нетуп забил.

Victor · Сообщение **Victor** » Вс фев 20, 2005 00:18

А вас кто-то просил UTM покупать?

Лично я пожинаю плоды покупки биллинга другим лицом. НИКОГДА бы не купил, если бы сам выбирал.
Да и причем здесь просил/не просил? Таким образом можно подвести аналогию: Вы купили новые жигули, но паспортную скорость в 120км он не развивает, максимум 90. Жрет бензина не паспортные 10, а все 15, и не работают дворники в темное время суток (хотя в инструкции об этой тонкости ничего не сказано). Кто виноват? Я или производитель?

dalex · Сообщение **dalex** » Пн фев 21, 2005 10:36

ы купили новые жигули, но паспортную скорость в 120км он не развивает, максимум 90. Жрет бензина не паспортные 10, а все 15, и не работают дворники в темное время суток (хотя в инструкции об этой тонкости ничего не сказано). Кто виноват? Я или производитель?

таки знали же что покупали

только в отличие от автомобилей, когда можно купить не жигули а мерседес за другую сумму, здесь биллинг купленный за 10000 зеленых не даст вам гарантии что все будет работать нормально (и этому есть реальные примеры и подтверждения). А раз покупаете биллинг за 800 баксов вместо 10000 то уж на эти деньги он точно работает.

Victor · Сообщение **Victor** » Пн фев 21, 2005 12:34

странная логика...
Вот буквально сейчас разбираюсь с очередным глюком. Насчитало пользователю 101Мб трафика. Звонит и грит, что не качал. Делаю запрос из мускуля в таблицу детальной статистики - сумма 21Мб. А вот, теперь скажите, должен ли биллинг стоящий деньги (неважно какие) НАЁБЫВАТЬ клиентов, считая что-то у себя в нутрях неправильно и опять же, скорей всего из-за косяка(на момент написания еще не закончил разбираться) с одинаковыми ip, выданными радиусом! Я в ахуе... и трансе... Уже и звонил и писал сюда по этой проблеме - толку ноль! И после этого пусть мне кто-то попробует возразить, что я не имею права декомпилировать исходники.

ss · Сообщение ss » Вт фев 22, 2005 15:57

Victor писал(а):странная логика...
Вот буквально сейчас разбираюсь с очередным глюком. Насчитало пользователю 101Мб трафика. Звонит и грит, что не качал. Делаю запрос из мускуля в таблицу детальной статистики - сумма 21Мб.

У меня вообще хохма была, что клиентам за час гигабайты засчитывались

) А выяснилось, что сам себе был злобный Буратино

Это я к тому, что кричать надо бы _после_ того, как разобрался, а не в процессе

Вот как я, например

) И то не уверен в своей правоте.

ss · Сообщение ss » Вт фев 22, 2005 17:58

2Skylord: Ок, давай вы мне объясните, как будут блокироваться пользователи, которые превысили свой лимит и, возможно, я скажу вам спасибо. Хотя и вряд ли

Что случается, если деньги кончились? Срабарывает tsave и убирает цепочки u$ID, правильно? Следовательно, UTM рассчитывает на то, что они вообще есть.

Ну и как мне создать такие цепочки из внешнего скрипта, который про $ID ничего не знает?