У меня такой вопрос. Сейчас вот собираемся переходить на 007.
В качестве маршрутизатора используем сервер с debian. Соответственно rfw настроили, команды научились на него посылать.
Соответственно вопрос. В утм есть несколько видок блокировок и раньше был замечен глюк, что если в панели управления, например, заблокировать пользователя несколько раз подряд(ну просто в выпадающем списке несколько раз выбрать вариант блокировки и сохранить изменения) то в iptables отправится несколько правил и соответственно при разблокировке удалится только одно, что не позволит пользователю работать дальше.
В 007 ситуация поменялась и можно использовать rfw с iptables напрямую или придется опять городить скрипт, который будет проверять наличие правил для данного пользователя и своевременно их чистить?
Вообще было бы неплохо увидеть вменяемое howto, потому что новая статья про rfw дает лишь общее представление, а основные проблемы возникают с конкретикой.
UTM 5.2-007 RFW
re:
На счет дебиана сказать к сожалению ничего не могу, у меня биллинг на freebsd стоит и стандартный ipfw, глюком с дублированием правил меня тоже не обделило, но тут есть момент, не знаю как у тебя, у меня сделано так, по умолчанию ip адресам запрпещенно ходить куда либо через внешний интерфейс, а уже тем, у кого баланс положительный, выше этого правила добавляются исключения (такому то разрешить, остальным запретить), но бывает когда перезапускаешь rfw то правило, включающее инет дублируется ну или тоже самое когда юзеру два раза инет подряд в админке включаешь, но когда нажимаешь отключить инет потом включить, все продублированные правила удаляются и все становится норм.
Re: re:
Ну эта мысль мне тоже приходила в голову. Мне просто интересно, если кто то на самом деле захочет использовать разные типы блокировок и назначать им разные правила, то по сути у него ничего не выйдет из-за отсутствия логики в утм или все таки разработчики подумали о том, что перед изменением состояния интернета или вида блокировки необходимо удалять старое правило и добавлять новое?murano писал(а):На счет дебиана сказать к сожалению ничего не могу, у меня биллинг на freebsd стоит и стандартный ipfw, глюком с дублированием правил меня тоже не обделило, но тут есть момент, не знаю как у тебя, у меня сделано так, по умолчанию ip адресам запрпещенно ходить куда либо через внешний интерфейс, а уже тем, у кого баланс положительный, выше этого правила добавляются исключения (такому то разрешить, остальным запретить), но бывает когда перезапускаешь rfw то правило, включающее инет дублируется ну или тоже самое когда юзеру два раза инет подряд в админке включаешь, но когда нажимаешь отключить инет потом включить, все продублированные правила удаляются и все становится норм.
Простой пример - пользователи с отрицательным балансом переводятся в карантинную подсеть с ограничениями, а заблокированные администратором - вообще лишаются ресурсов. Как это обыграть в биллинге?
Что мешает написать что то вроде для предотвращения дублейНу эта мысль мне тоже приходила в голову. Мне просто интересно, если кто то на самом деле захочет использовать разные типы блокировок и назначать им разные правила, то по сути у него ничего не выйдет из-за отсутствия логики в утм или все таки разработчики подумали о том, что перед изменением состояния интернета или вида блокировки необходимо удалять старое правило и добавлять новое?
Простой пример - пользователи с отрицательным балансом переводятся в карантинную подсеть с ограничениями, а заблокированные администратором - вообще лишаются ресурсов. Как это обыграть в биллинге?
Код: Выделить всё
if [ "$2" == "ON" ]; then
/sbin/iptables -D auth_users -s $1 -j ACCEPT > /dev/null 2>/dev/null ;
/sbin/iptables -I auth_users -s $1 -j ACCEPT > /dev/null 2>/dev/null;
exit 0;
fi
if [ "$2" == "OFF" ]; then
/sbin/iptables -D auth_users -s $1 -j ACCEPT > /dev/null 2>/dev/null;
exit 0;
fi
Враппер в любом случае лишним не будет.