стоит удаленный шлюз на линуксе. На нем крутится utm5_rfw.
Несмотря на прикрученый скрипт, который в цикле удаляет правила при отключении интернетв они (правила) все равно умудряются плодится непонятно каким образом, что приводит к тому что при статусе интернет "выключен" все равно доступ есть. Особенно сильно это проявляется на пользователях у которых несколько ip-адресов в услуге передачи трафика.
Что делать? Кто как выходит из такой ситуации?
На UTM4 таких проблем не возникало.
utm5_rfw+linux. Плодятся правила. Не отлючается интернет.
-
Max Milkov
- Сообщения: 48
- Зарегистрирован: Пт янв 21, 2005 10:39
- Откуда: Санкт-Петербург
- Контактная информация:
Re: utm5_rfw+linux. Плодятся правила. Не отлючается интернет
К сожалению мы вышли из этой ситуации элементарно просто - до сих пор работаем на предидущем билде (5.1.10-006) т.к. сообщения о подобных проблемах появились от людей, проапдейтившихся на 5.1.10-007. Билд судя по форуму очень дырявый и сырой, о эксплуатации на реальных пользователях говорить не приходится.Nick писал(а):стоит удаленный шлюз на линуксе. На нем крутится utm5_rfw.
Несмотря на прикрученый скрипт, который в цикле удаляет правила при отключении интернетв они (правила) все равно умудряются плодится непонятно каким образом, что приводит к тому что при статусе интернет "выключен" все равно доступ есть. Особенно сильно это проявляется на пользователях у которых несколько ip-адресов в услуге передачи трафика.
Что делать? Кто как выходит из такой ситуации?
На UTM4 таких проблем не возникало.
UTM 5.1.10-008, SlackWare Linux, ipcad, FreeRadius, Apache 1.3.33, MySQL 4.0.21
-
Max Milkov
- Сообщения: 48
- Зарегистрирован: Пт янв 21, 2005 10:39
- Откуда: Санкт-Петербург
- Контактная информация:
К сожалению таково "качество" разработчиков UTM. Если с проектированием базы все более-менее нормально, то с системным программированием к сожалению полный "алис-капут" еще со времен UTM 4. Это особенно видно на попытках создать многозадачные/многопоточные приложения (ndsad и ядро).Nick писал(а):Млять....
rfw запускает все правила параллельно, а хотелось бы добиться последовательного выполнения. Ввели бы такую опцию что ли
Если в UTM принят такой "метод" управления файрволом, то ничего удивительного в имеющихся проблемах нет. Так и должно быть. 8(
UTM 5.1.10-008, SlackWare Linux, ipcad, FreeRadius, Apache 1.3.33, MySQL 4.0.21
Re: utm5_rfw+linux. Плодятся правила. Не отлючается интернет
Необходимо посмотреть логи при добавлении правил и при удалении. Исходя из этого можно думать как решить данную проблему. По тем данным, что вы привели очень сложно, что либо сказать ...Nick писал(а):стоит удаленный шлюз на линуксе. На нем крутится utm5_rfw.
Несмотря на прикрученый скрипт, который в цикле удаляет правила при отключении интернетв они (правила) все равно умудряются плодится непонятно каким образом, что приводит к тому что при статусе интернет "выключен" все равно доступ есть. Особенно сильно это проявляется на пользователях у которых несколько ip-адресов в услуге передачи трафика.
Что делать? Кто как выходит из такой ситуации?
На UTM4 таких проблем не возникало.
utm5_rfw действительно применяет правила параллельно. Сколько времени будут отрабатываться например 10000 правил последовательно при включении всем интернета после старта (есть сети где правил еще больше) ?Max Milkov писал(а):К сожалению таково "качество" разработчиков UTM. Если с проектированием базы все более-менее нормально, то с системным программированием к сожалению полный "алис-капут" еще со времен UTM 4. Это особенно видно на попытках создать многозадачные/многопоточные приложения (ndsad и ядро).Nick писал(а):Млять....
rfw запускает все правила параллельно, а хотелось бы добиться последовательного выполнения. Ввели бы такую опцию что ли
Если в UTM принят такой "метод" управления файрволом, то ничего удивительного в имеющихся проблемах нет. Так и должно быть. 8(
Просьба на будущее не постить таких сообщений - будем удалять ...
Если есть необходимость изменить функционал просьба связываться с нами по email (info@netup.ru) либо по телефону. Изменим под вас utm5_rfw.Nick писал(а):Млять....
rfw запускает все правила параллельно, а хотелось бы добиться последовательного выполнения. Ввели бы такую опцию что ли
-
Max Milkov
- Сообщения: 48
- Зарегистрирован: Пт янв 21, 2005 10:39
- Откуда: Санкт-Петербург
- Контактная информация:
Абылай, тогда можно уверенно утверждать что проблема именно в этом. При таком подходе часть правил не отработает. Я сталкивался с этим при написании собственного биллинга. Обычно в системные логи при этом сваливается сообщение от iptables о том, что ресурс не доступен или не загружен соотв. модуль. Вполне логично что нельзя одновременно из нескольких потоков изменять фаервол т.к. при этом его состояние будет неопределенным (например один поток добавляет правило, а другой, считая что оно уже есть удаляет его по номеру). В случае попытки массовой параллельной отработки правил файрвола одновременнные обращения происходят очень часто. Т.ч. необходимо контролировать код завершения предидущей операции. Файрвол в Linux можно формировать только последовательно, ни в коем случае не параллельно (сколько бы это времени не заняло)!aospan писал(а):utm5_rfw действительно применяет правила параллельно. Сколько времени будут отрабатываться например 10000 правил последовательно при включении всем интернета после старта (есть сети где правил еще больше) ?
Просьба на будущее не постить таких сообщений - будем удалять ...
UTM 5.1.10-008, SlackWare Linux, ipcad, FreeRadius, Apache 1.3.33, MySQL 4.0.21
наверняка есть какие-то механизмы блокировки ... видимо надо обращаться в список рассылки netfilter на этот счет. В противном случае получается, довольно неудобно работать с iptables.Max Milkov писал(а):Абылай, тогда можно уверенно утверждать что проблема именно в этом. При таком подходе часть правил не отработает. Я сталкивался с этим при написании собственного биллинга. Обычно в системные логи при этом сваливается сообщение от iptables о том, что ресурс не доступен или не загружен соотв. модуль. Вполне логично что нельзя одновременно из нескольких потоков изменять фаервол т.к. при этом его состояние будет неопределенным (например один поток добавляет правило, а другой, считая что оно уже есть удаляет его по номеру). В случае попытки массовой параллельной отработки правил файрвола одновременнные обращения происходят очень часто. Т.ч. необходимо контролировать код завершения предидущей операции. Файрвол в Linux можно формировать только последовательно, ни в коем случае не параллельно (сколько бы это времени не заняло)!aospan писал(а):utm5_rfw действительно применяет правила параллельно. Сколько времени будут отрабатываться например 10000 правил последовательно при включении всем интернета после старта (есть сети где правил еще больше) ?
Просьба на будущее не постить таких сообщений - будем удалять ...
Кстати, скрипт, который мы рекомендуем как раз делает попытки добавить/удалить правила если iptables сообщает об ошибке.
На данным момент вышел из положения тем, что в одном направлении FORWARD разрешен всегда, биллинг же отдает rfw комманды только на второе направление. Правила все равно плодятся но моим скриптом дубли успешно пристреливаются. Т.е. проблема с неудалением правил возникает только когда идет выполнение параллельно нескольких правил, прописаных в админском интерфейсе.