Поскажите с чем могут быть связаны дублирование правил фаервола?
Причем это наблюдается не у всех абонентов, а только у какой-то части, причем зависмость я так найти и не смог.
Проверил настройки фаервола и правила - там все в норме.
Также интересно и то, что данный эффект замечен только на правилах отключения Интернета.
Лог
?Debug : May 04 11:33:07 FWCntl: Executing FW rule: table 10 add 10.193.16.24/32 is done.
?Debug : May 04 11:33:07 StreamConnection: Message id <0x4001>, handler returns 0
?Debug : May 04 11:33:21 StreamFirewall: Got 'exec' command...
?Debug : May 04 11:33:21 FWCntl: dont_fork disabled. Don't wait child process ...
?Debug : May 04 11:33:21 FWCntl: Executing command </usr/local/bin/sudo>
?Debug : May 04 11:33:21 FWCntl: Executing FW rule: table 9 add 10.193.4.58/32 is done.
?Debug : May 04 11:33:21 StreamConnection: Message id <0x4001>, handler returns 0
?Debug : May 04 11:33:22 StreamFirewall: Got 'exec' command...
?Debug : May 04 11:33:22 FWCntl: dont_fork disabled. Don't wait child process ...
?Debug : May 04 11:33:22 FWCntl: Executing command </usr/local/bin/sudo>
?Debug : May 04 11:33:22 FWCntl: Executing FW rule: table 10 add 10.0.18.22/32 is done.
?Debug : May 04 11:33:22 StreamConnection: Message id <0x4001>, handler returns 0
?Debug : May 04 11:33:22 StreamFirewall: Got ping from core. Sending reply...
?Debug : May 04 11:33:22 StreamConnection: Message id <0x4004>, handler returns 0
?Debug : May 04 11:33:26 StreamFirewall: Got 'exec' command...
?Debug : May 04 11:33:26 FWCntl: dont_fork disabled. Don't wait child process ...
?Debug : May 04 11:33:26 FWCntl: Executing command </usr/local/bin/sudo>
?Debug : May 04 11:33:26 FWCntl: Executing FW rule: table 1 delete 10.193.16.144/32 is done.
?Debug : May 04 11:33:26 StreamConnection: Message id <0x4001>, handler returns 0
?Debug : May 04 11:33:42 StreamFirewall: Got 'exec' command...
?Debug : May 04 11:33:42 FWCntl: dont_fork disabled. Don't wait child process ...
?Debug : May 04 11:33:42 FWCntl: Executing command </usr/local/bin/sudo>
?Debug : May 04 11:33:42 FWCntl: Executing FW rule: table 1 delete 10.0.1.241/32 is done.
?Debug : May 04 11:33:45 StreamFirewall: Got 'exec' command...
?Debug : May 04 11:33:45 FWCntl: Executing command </usr/local/bin/sudo>
?Debug : May 04 11:33:45 FWCntl: dont_fork disabled. Don't wait child process ...
?Debug : May 04 11:33:45 FWCntl: Executing FW rule: table 1 delete 10.0.1.241/32 is done.
?Debug : May 04 11:37:53 FWCntl: Executing command </usr/local/bin/sudo>
?Debug : May 04 11:37:53 FWCntl: dont_fork disabled. Don't wait child process ...
?Debug : May 04 11:37:53 FWCntl: Executing FW rule: table 1 delete 10.193.4.26/32 is done.
?Debug : May 04 11:37:53 StreamConnection: Message id <0x4001>, handler returns 0
?Debug : May 04 11:37:53 StreamFirewall: Got 'exec' command...
?Debug : May 04 11:37:53 FWCntl: dont_fork disabled. Don't wait child process ...
?Debug : May 04 11:37:53 FWCntl: Executing command </usr/local/bin/sudo>
?Debug : May 04 11:37:53 FWCntl: Executing FW rule: table 1 delete 10.193.4.26/32 is done.
Дублирование правил фаервола. Зачем?
Re: Дублирование правил фаервола. Зачем?
В голову приходит только второй лицевой счет на аккаунтеzooxel писал(а):Поскажите с чем могут быть связаны дублирование правил фаервола?
Причем это наблюдается не у всех абонентов, а только у какой-то части, причем зависмость я так найти и не смог.
Проверил настройки фаервола и правила - там все в норме.
Также интересно и то, что данный эффект замечен только на правилах отключения Интернета.
Лог
10.193.4.26/32 is done.[/b]
-
mikkey finn
- Сообщения: 1612
- Зарегистрирован: Пт ноя 10, 2006 15:23
думаю, примерно так:
у rfw и ядра идет какой-то диалог, кто кого опрашивает - НетАп его знает
В ходе диалога ядро говорит фаерволу: выруби вот это!
Фаервол молча вырубает...
Через N единиц времени ядро думает: а вдруг не вырубил, а вдруг не дошло...
Снова говорит: выруби его нафиг!
Фаервол опять молча отрубает...
У меня вот в правилах бывает что на учетку на каждый из привязанных юзеру адресов по 4-5 правил красуется в списке... Мож их НетАп-у в аренду сдавать, дополнительные строки в списке правил фаервола? У меня на BSD достаточно дешево выйдет Потому как памяти хватит и на это и на многое другое... А вот у кого-то на аппаратном рутере может не хватить памяти под правила и будет жопа.
Я конечно понимаю, что ленивый программер стремясь за маркетоидом будет делать софт совместимый со всем на свете (ага, через костыли вперемешку с граблями) и будет плакаться в жилетку, что не может предугадать, куда будут вписываться правила фаервола, а стало быть не знает как опросить фаервол о том, имеется ли у него такое правило или нет... И ведь не скажешь что врет, действительно не знает.
грустно...
у rfw и ядра идет какой-то диалог, кто кого опрашивает - НетАп его знает
В ходе диалога ядро говорит фаерволу: выруби вот это!
Фаервол молча вырубает...
Через N единиц времени ядро думает: а вдруг не вырубил, а вдруг не дошло...
Снова говорит: выруби его нафиг!
Фаервол опять молча отрубает...
У меня вот в правилах бывает что на учетку на каждый из привязанных юзеру адресов по 4-5 правил красуется в списке... Мож их НетАп-у в аренду сдавать, дополнительные строки в списке правил фаервола? У меня на BSD достаточно дешево выйдет
Потому как памяти хватит и на это и на многое другое... А вот у кого-то на аппаратном рутере может не хватить памяти под правила и будет жопа.Я конечно понимаю, что ленивый программер стремясь за маркетоидом будет делать софт совместимый со всем на свете (ага, через костыли вперемешку с граблями) и будет плакаться в жилетку, что не может предугадать, куда будут вписываться правила фаервола, а стало быть не знает как опросить фаервол о том, имеется ли у него такое правило или нет... И ведь не скажешь что врет, действительно не знает.
грустно...
Грустно всё это, господа... Жизнь заставила начать переход с авторизации по ip/mac на vpn. Взамен имеющейся 4-й версии пришлось купить 5-ю, потом к ней vpn-плагин... потом, придя к выводу о непригодности 5-й версии к практической эксплуатации, запросить radius-сервер к 4-й версии, получить отказ, реализовывать это всё своими силами на freeradius. Надёжно, с динамическим распределением адресов и полной прозрачностью функционирования, чего, естественно, не может дать 5-я версия.
на циско например жопы не будет,У меня на BSD достаточно дешево выйдет Потому как памяти хватит и на это и на многое другое... А вот у кого-то на аппаратном рутере может не хватить памяти под правила и будет жопа.
в лог упадет строка - что данный АКЛ уже содержит этот ИП. и дублирования правил не произойдет.
Вариант решения проблемы .. прислал нетап на вопрос в хотлайне
Можно написать скрипт, который бы котролировал удаление правил, например
/usr/bin/fw.sh
--begin
#!/bin/bash
case "$1" in
"-D")
while (/sbin/iptables $*)
do
echo "deleting...";
done
;;
"-A")
/sbin/iptables $*
;;
esac
--end
chmod +x /usr/bin/fw.sh
и добавить его в rfw5.cfg
firewall_path=/usr/bin/fw.sh
в биллинге правила не изменятся
-A ...
-D ...
Можно написать скрипт, который бы котролировал удаление правил, например
/usr/bin/fw.sh
--begin
#!/bin/bash
case "$1" in
"-D")
while (/sbin/iptables $*)
do
echo "deleting...";
done
;;
"-A")
/sbin/iptables $*
;;
esac
--end
chmod +x /usr/bin/fw.sh
и добавить его в rfw5.cfg
firewall_path=/usr/bin/fw.sh
в биллинге правила не изменятся
-A ...
-D ...
-
mikkey finn
- Сообщения: 1612
- Зарегистрирован: Пт ноя 10, 2006 15:23