Ну разобрался. Радиус как ни странно, на этот раз был непричем. Но факт глюка остался. Судя по логу со сквида (прозрачного) пользователеь скачал эти 100 с хвостиком метров, судя по отчету по ВПН сессии, тоже скачал... а вот судя по детальному отчету трафика, он скачал 20 метров... где правда?У меня вообще хохма была, что клиентам за час гигабайты засчитывались ) А выяснилось, что сам себе был злобный Буратино Это я к тому, что кричать надо бы _после_ того, как разобрался, а не в процессе
О правилах firewall, что выполняются при входе юзера по VPN
NetUP UTM 4.0 [1 +update 17 may 2004], NetUP RADIUS SERVER [], RH Linux 9.0
Гм. Так и будут. Человек сидит по VPN. Исперпал трафик и деньги. tsave его блокирует. Туннель висит дальше, но трафик через него не проходит, т.к. правила удалены. Клиент размышляет к чему бы это, пробует отключиться-подключиться и видит, тут его уже посылает radius и клиент видит, что кончились деньги.ss писал(а):2Skylord: Ок, давай вы мне объясните, как будут блокироваться пользователи, которые превысили свой лимит и, возможно, я скажу вам спасибо. Хотя и вряд ли
Или что-то другое имеется в виду? Тогда сформулируй как-то иначе вопрос...
Нет. Ты обращал внимание, что при каждом запуске tsave от шлет файрволлу команды на ВСЕХ заблокированных/выключенных пользователей, даже если они были выключены раньше. Если правил с таким номер нет - файрволл тихонько ругается, но УТМа это полностью устраивает.Что случается, если деньги кончились? Срабарывает tsave и убирает цепочки u$ID, правильно? Следовательно, UTM рассчитывает на то, что они вообще есть.
Если ты все-таки очень хочешь использовать внешние скрипты (хотя я от тебя так и не дождался полноценного ответа по пунктам на мое предыдущее сообщение, где я высказывал свое мнение, почему все эти внешние скрипты тут совершенно не нужны), то кто мешает делать прямые запросы к базе? У тебя есть туннельный адрес клиент, который выдается радиусом из таблицы УТМа. Кто мешает написать буквально одну строчку с одним select'ом, который ищет в users uid для пользователя с таким ip?Ну и как мне создать такие цепочки из внешнего скрипта, который про $ID ничего не знает?
Ну и какие правила/цепочки удалит tsave? Пытается удалить (да, все конечно), цепочки u$ID, НО КТО ИХ СОЗДАСТ?Skylord писал(а): Гм. Так и будут. Человек сидит по VPN. Исперпал трафик и деньги. tsave его блокирует. Туннель висит дальше, но трафик через него не проходит, т.к. правила удалены. Клиент размышляет к чему бы это, пробует отключиться-подключиться и видит, тут его уже посылает radius и клиент видит, что кончились деньги.
Или что-то другое имеется в виду? Тогда сформулируй как-то иначе вопрос...
Формулирую вопрос иначе: какими правилами у вас открывается доступ пользователям в Инет? Если можно, кусок скрипта в студию пожалуйста.
NetUP UTM 3.0 [[1 +update 25 feb 2003]] + dial-up модуль; Slackware Linux
Да нет никакого скрипта! Обычные правила включения вписанные в настройки УТМа - практически прямо из руководства пользователя. При загрузке компа с биллингом (что требуется, естественно, очень редко) запускается tsave -f, который применяет правила на локальном компе и на всех удаленных маршрутизаторах. Это первый этап в процессе которого создаются все правила. А дальше - обычная работа. Типа, заблокировали юзера - удалились правила. Добавили юзеру деньги, включили инет - появились правила...ss писал(а):
Ну и какие правила/цепочки удалит tsave? Пытается удалить (да, все конечно), цепочки u$ID, НО КТО ИХ СОЗДАСТ?
Формулирую вопрос иначе: какими правилами у вас открывается доступ пользователям в Инет? Если можно, кусок скрипта в студию пожалуйста.
А какие правила? Пример, можно?Skylord писал(а): При загрузке компа с биллингом (что требуется, естественно, очень редко) запускается tsave -f, который применяет правила на локальном компе и на всех удаленных маршрутизаторах. Это первый этап в процессе которого создаются все правила.
Один из нас крепко кое-чего не понимает и мне хочется убедиться, что это не я
NetUP UTM 3.0 [[1 +update 25 feb 2003]] + dial-up модуль; Slackware Linux
Я же говорю - практически прямо из мануала. Могу мануал и процитировать:ss писал(а):А какие правила? Пример, можно?Skylord писал(а): При загрузке компа с биллингом (что требуется, естественно, очень редко) запускается tsave -f, который применяет правила на локальном компе и на всех удаленных маршрутизаторах. Это первый этап в процессе которого создаются все правила.
для добавления -
/sbin/ipfw add RULE_ID allow ip from any to UIP
/sbin/ipfw add RULE_ID allow ip from UIP to any
для удаления -
/sbin/ipfw delete RULE_ID
/sbin/ipfw delete RULE_ID
Ну, на самом деле есть еще несколько правил (например, которые заворачивают http на Сквид, или для безлимитных тарифов - ограничение скорости), но не суть.
Да, да верно, еще можно сделать в прпавилахSkylord писал(а):Я же говорю - практически прямо из мануала. Могу мануал и процитировать:ss писал(а):А какие правила? Пример, можно?Skylord писал(а): При загрузке компа с биллингом (что требуется, естественно, очень редко) запускается tsave -f, который применяет правила на локальном компе и на всех удаленных маршрутизаторах. Это первый этап в процессе которого создаются все правила.
для добавления -
/sbin/ipfw add RULE_ID allow ip from any to UIP
/sbin/ipfw add RULE_ID allow ip from UIP to any
для удаления -
/sbin/ipfw delete RULE_ID
/sbin/ipfw delete RULE_ID
Ну, на самом деле есть еще несколько правил (например, которые заворачивают http на Сквид, или для безлимитных тарифов - ограничение скорости), но не суть.
killall pptpctrl
Шутка.Но еще можно написать скрипт на perl'e, который проанализирует, после обработки tsave'a, какому юзеру замочить vnp соединения.
_______________
Зарубежный электрошокер В Москве.
Последний раз редактировалось tariely Пт дек 25, 2009 09:57, всего редактировалось 1 раз.
Это у вас вбито в настройках UTM? И что же, `tsave -f` из вашего UTM 3 запускает у вас эти правила при старте системы?Skylord писал(а): /sbin/ipfw add RULE_ID allow ip from any to UIP
/sbin/ipfw add RULE_ID allow ip from UIP to any
для удаления -
/sbin/ipfw delete RULE_ID
/sbin/ipfw delete RULE_ID
Тогда может дадите ответ на вопрос, поставленный в начале треда - почему у меня этого не происходит?
NetUP UTM 3.0 [[1 +update 25 feb 2003]] + dial-up модуль; Slackware Linux
Зачем на Перле? Смысл? Можно проще: вызывать не ipfw, а скрипт, который, скажем, анализирует в правиле наличие слова "delete", если оно есть - проверяет существование правила с таким номером (ибо если правила уже нет, то и обрубать нечего - у юзера vpn просто не подключиться, по крайней мере, если использовать мои конфиги для FreeRadius'аtariely писал(а): Да, да верно, еще можно сделать в прпавилах
killall pptpctrl
Но еще можно написать скрипт на perl'e, который проанализирует, после обработки tsave'a, какому юзеру замочить vnp соединения.
), удаляет его, а потом по указанному ip выясняет процесс ppp и завершает его корректным pppctl....Ага.ss писал(а): Это у вас вбито в настройках UTM?
Неа. Из четвертого.И что же, `tsave -f` из вашего UTM 3 запускает у вас эти правила при старте системы?
))))) А зачем вообще нужен такой антиквариат, как УТМ3? Его еще кто-то пользует? Наверное, из-за версии твоего УТМа...Тогда может дадите ответ на вопрос, поставленный в начале треда - почему у меня этого не происходит?