rfw + gentoo linux + cisco uBR 7114e

dmn · Сообщение **dmn** » Вс дек 04, 2005 15:52

Коллеги, у меня возникла проблема с utm5_rfw.

Система:
UTM 5.1.10-015
gentoo linux 2005.1
маршрутизатор - cisco uBR 7114e

В общем в логах rfw.log видно следующее:

Код: Выделить всё

 Notice&#58; Dec 03 15&#58;36&#58;56 RFW Config&#58; Pid file found&#58; /var/run/utm5_rfw.pid; Overwriting
 ERROR &#58; Dec 03 15&#58;36&#58;56 RFW Config&#58; Can't open pid file /var/run/utm5_rfw.pid&#58; Permission denied
 Notice&#58; Dec 03 15&#58;36&#58;56 UTM5 RFW&#58; Version 5.1.10-015-linux starting
 Notice&#58; Dec 03 15&#58;36&#58;56 RFW Config&#58; Processing config file&#58; /netup/utm5/rfw5.cfg
 Info  &#58; Dec 03 15&#58;36&#58;56 UTM5 Logger&#58; New `*CRIT  &#58; ' stream&#58; /netup/utm5/log/rfw.log
 Info  &#58; Dec 03 15&#58;36&#58;56 UTM5 Logger&#58; New ` Info  &#58; ' stream&#58; /netup/utm5/log/rfw.log
&#91;b&#93;rcmd&#58; socket&#58; Permission denied&#91;/b&#93;
gger&#58; New ` Info  &#58; ' stream&#58; /netup/utm5/log/rfw.log
 Info  &#58; Dec 03 15&#58;36&#58;56 UTM5 Logger&#58; New `?Debug &#58; ' stream&#58; /netup/utm5/log/rfw.log
 Info  &#58; Dec 03 15&#58;36&#58;56 UTM5 Logger&#58; New `?Debug &#58; ' stream&#58; /netup/utm5/log/rfw.log
 Info  &#58; Dec 03 15&#58;36&#58;56 RFW URFA&#91;plugin&#93;&#58; Worker thread created
 Info  &#58; Dec 03 15&#58;36&#58;56 RFW URFA&#91;plugin&#93;&#58; Worker thread created
 Info  &#58; Dec 03 15&#58;36&#58;56 RFW URFA&#91;plugin&#93;&#58; &#91;worker&#93;&#58; Thread created
 Info  &#58; Dec 03 15&#58;36&#58;56 RFW URFA&#91;plugin&#93;&#58; &#91;worker&#93;&#58; Thread created
?Debug &#58; Dec 03 15&#58;36&#58;56 RFW URFA&#91;plugin&#93;&#58; Sending name&#58; 192.168.0.1
?Debug &#58; Dec 03 15&#58;36&#58;56 RFW URFA&#91;plugin&#93;&#58; Got 'exec' command...
?Debug &#58; Dec 03 15&#58;36&#58;56 FWCntl&#58; Send rule<access-template 105 UTM1 host 192.168.11.1 any> to remote cisco <192.168.0.1>
?Debug &#58; Dec 03 15&#58;36&#58;56 FWCntl&#58; Call RSH&#58; host 192.168.0.1, port 514, login netup, pass netup, cmd access-template 105 UTM1 host 192.168.11.1 any
 ERROR &#58; Dec 03 15&#58;36&#58;56 FWCntl&#58; RSH Connection error!
 ERROR &#58; Dec 03 15&#58;36&#58;56 FWCntl&#58; RSH Connection error!
 ERROR &#58; Dec 03 15&#58;36&#58;56 FWCntl&#58; RSH failed!
 ERROR &#58; Dec 03 15&#58;36&#58;56 FWCntl&#58; RSH failed!

cat /etc/utm5/rfw5.cfg

Код: Выделить всё

firewall_type=cisco
#sudo_path=/usr/bin/sudo
#firewall_path=/sbin/iptables
#firewall_flush_cmd=/usr/sbin/iptables -F
#dont_fork=yes
cisco_ip=192.168.0.1

rfw_name=192.168.0.1
core_host=127.0.0.1
core_port=11758
rfw_login=netup
rfw_password=netup
#rfw_ssl_type=none

cat /etc/conf.d/utm5_rfw.conf

Код: Выделить всё

USERNAME="netup"
# GROUPNAME="netup"
LOG_FILENAME="/netup/utm5/log/rfw.log"
ARGS="-f"

пользователь netup создан в системе.
в админке пользователь пароль (netup netup) указан для доступа к Cisco.
на cisco пользователь также указан:

Код: Выделить всё

username netup privilege 8 password 0 netup

no ip rcmd domain-lookup
ip rcmd rsh-enable
ip rcmd remote-host netup 192.168.0.2 netup enable


access-list 105 permit ip host 192.168.0.50 any
access-list 105 permit ip host 192.168.0.2 any
access-list 106 dynamic UTM2 permit ip any any
access-list 106 permit ip any host 192.168.0.50
access-list 106 permit ip any host 192.168.0.2

Руками su netup "rsh -l netup 192.168.0.1 access-template 105 UTM1 host 192.168.11.2 any" правила добавляются...

В чем проблема? Я уже все испробовал, ничего не получается...

Да, и еще меня смущает:

В rfw.log

Код: Выделить всё

&#91;b&#93;rcmd&#58; socket&#58; Permission denied&#91;/b&#93;

Сколько правил - столько будет и Permission denied...

Жду помощи...

Отзовитесь люди добрые....

Сообщение **aospan** » Вс дек 04, 2005 16:20

Проще всего определить проблему посмотрев на содержимое пакетов между биллингом и циской по rsh. Для этого запустите tcpdump примерно так:
tcpdump -nXli eth0 -s 0 port 514 | more

включите или выключите абоненту интернет (так, что бы пошли правила на циску). Вывод tcpdump перешлите сюда для анализа (можно не присылать - посмотрите сами в пакете должно быть указано от какого логина и с каким логином идет общение). Так же неплохо было бы увидеть настройки циски относительно пользователей, аксесс листов и т.д.

dmn · Сообщение **dmn** » Вс дек 04, 2005 18:56

В данный момент не на работе. Вывод пришлю чуть позже.

Мне тут один умный человек подсказал, что может быть проблема в ядре, так как gentoo 2005.1 базируется на ядре 2.6. Он мне посоветовал поставить 2.4

Были ли подобные проблемы ранее с версией ядра?

PS Я не до конца понял как мне снимать статистику VPN сессий... Просветите, пожалуйста. pptpd поднят на биллинговом сервере, там же radiusclient. Кошка не позволяет сделать себя в роле VPN сервера.

Сообщение **aospan** » Вс дек 04, 2005 22:40

Крайне маловероятно, что дело в ядре 2.6 (практически нереально). Была проблема с версией glibc. Вот ссылка на обсуждение viewtopic.php?t=1120

Перешлите пожалуйста вывод tcpdump - будет более понятно, что происходит.

По поводу учета VPN. Необходимо установить коллектор (ndsad) на VPN-сервер и снимать NetFlow.

dmn · Сообщение **dmn** » Пн дек 05, 2005 07:39

На портах пусто, если делать /etc/init.d/utm5_rfw start

если руками su netup "rsh -l netup 192.168.0.1 access-template 105 UTM1 host 192.168.11.2 any"

Код: Выделить всё

reading from file /tcp, link-type EN10MB &#40;Ethernet&#41;
11&#58;40&#58;37.546509 IP 192.168.0.2.1023 > 192.168.0.1.shell&#58; S 1532162936&#58;1532162936&#40;0&#41; win 5840 <mss 1460,sackOK,timestamp 63930341 0,nop,wscale 2>
11&#58;40&#58;37.547473 IP 192.168.0.1.shell > 192.168.0.2.1023&#58; S 742508007&#58;742508007&#40;0&#41; ack 1532162937 win 4128 <mss 1460>
11&#58;40&#58;37.547509 IP 192.168.0.2.1023 > 192.168.0.1.shell&#58; . ack 1 win 5840
11&#58;40&#58;37.547565 IP 192.168.0.2.1023 > 192.168.0.1.shell&#58; P 1&#58;6&#40;5&#41; ack 1 win 5840
11&#58;40&#58;37.745353 IP 192.168.0.1.shell > 192.168.0.2.1023&#58; . ack 6 win 4123
11&#58;40&#58;37.745396 IP 192.168.0.2.1023 > 192.168.0.1.shell&#58; P 6&#58;65&#40;59&#41; ack 1 win 5840
11&#58;40&#58;37.746103 IP 192.168.0.1.shell > 192.168.0.2.1023&#58; P 1&#58;2&#40;1&#41; ack 65 win 4064
11&#58;40&#58;37.746128 IP 192.168.0.2.1023 > 192.168.0.1.shell&#58; . ack 2 win 5840
11&#58;40&#58;37.749977 IP 192.168.0.1.shell > 192.168.0.2.1023&#58; P 2&#58;58&#40;56&#41; ack 65 win 4128
11&#58;40&#58;37.749993 IP 192.168.0.2.1023 > 192.168.0.1.shell&#58; . ack 58 win 5840
11&#58;40&#58;37.752348 IP 192.168.0.1.shell > 192.168.0.2.1023&#58; P 58&#58;59&#40;1&#41; ack 65 win 4128
11&#58;40&#58;37.752370 IP 192.168.0.2.1023 > 192.168.0.1.shell&#58; . ack 59 win 5840
11&#58;40&#58;37.852414 IP 192.168.0.1.shell > 192.168.0.2.1023&#58; FP 59&#58;59&#40;0&#41; ack 65 win 4128
11&#58;40&#58;37.852623 IP 192.168.0.2.1023 > 192.168.0.1.shell&#58; F 65&#58;65&#40;0&#41; ack 60 win 5840
11&#58;40&#58;37.853288 IP 192.168.0.1.shell > 192.168.0.2.1023&#58; . ack 66 win 4128

access-lists на cisco:

Код: Выделить всё

access-list 105 dynamic UTM1 permit ip any any
access-list 105 permit ip host 192.168.0.50 any
access-list 105 permit ip host 192.168.0.2 any
access-list 105 permit ip host 192.168.0.1 any
access-list 106 dynamic UTM2 permit ip any any
access-list 106 permit ip any host 192.168.0.50
access-list 106 permit ip any host 192.168.0.2
access-list 106 permit ip any host 192.168.0.1

glibc-2.3.5

есть подозрение на то, что сама Gentoo не разрешает пользователю netup использовать rsh и вообще rcmd...

Сообщение **aospan** » Пн дек 05, 2005 09:50

Если на порту обмена нет значит действительно ОС запрещает коннект. Посмотрите правила файрволл либо попробуйте для начала запустить рфв от рута. Проверьте ОС на наличие включенного selinux - с ним обычно разные чудеса творятся ...

dmn · Сообщение **dmn** » Пн дек 05, 2005 10:33

на фаерволе нет никаких правил.

Selinux нет.

dmn · Сообщение **dmn** » Ср дек 07, 2005 06:21

Товарищи. В общем похоже проблема с правами непривелигироанного пользователя к превелигированным портам. В данном конкретном случае пользователя netup к порту 514.

Под рутом работает,но после третьего правила помирает. Приходится килять.

Подскажите как решить проблему. Всё на 155 раз проверил. Все конфиги верные. Ставили на 2 разных машины с gentoo. Результат одинаковый. Может где-то в ядре глянуть? Только где?

Горю! А шапку не хочется ставить, так как никогда с ней дела не имел.

Сообщение **aospan** » Ср дек 07, 2005 09:48

dmn писал(а):Товарищи. В общем похоже проблема с правами непривелигироанного пользователя к превелигированным портам. В данном конкретном случае пользователя netup к порту 514.

Под рутом работает,но после третьего правила помирает. Приходится килять.

Подскажите как решить проблему. Всё на 155 раз проверил. Все конфиги верные. Ставили на 2 разных машины с gentoo. Результат одинаковый. Может где-то в ядре глянуть? Только где?

Горю! А шапку не хочется ставить, так как никогда с ней дела не имел.

rsh действительно открывает "обратный" коннект на машину клиента и причем похоже на порты ниже 1024. Скорее всего обычному пользователю это не даст сделать ... пускайте от рута либо смотрите как заставить работать иначе. А по поводу 3 обращений от рута - как выглядит "после третьего правила помирает" ? Желательно описывать подробно во избежание лишних вопросов и потери времени

dmn · Сообщение **dmn** » Пн дек 12, 2005 09:08

При попытке запустить от рута происходит следующее:

Код: Выделить всё

# tail -f /netup/utm5/log/rfw.log
 Notice&#58; Dec 12 12&#58;53&#58;51 FWCntl&#58; Can't shutdown&#40;sock&#41; while recv data from rsh soscket ... Error&#58;<Bad file descriptor>
 Notice&#58; Dec 12 12&#58;53&#58;51 FWCntl&#58; Can't shutdown&#40;sock&#41; while recv data from rsh soscket ... Error&#58;<Bad file descriptor>
?Debug &#58; Dec 12 12&#58;53&#58;51 RFW URFA&#91;plugin&#93;&#58; Got 'exec' command...
?Debug &#58; Dec 12 12&#58;53&#58;51 FWCntl&#58; Send rule<access-template 106 UTM2 any host 192.168.15.4> to remote cisco <192.168.0.1>
?Debug &#58; Dec 12 12&#58;53&#58;51 FWCntl&#58; Call RSH&#58; host 192.168.0.1, port 514, login netup, pass netup, cmd access-template 106 UTM2 any host 192.168.15.4
 Notice&#58; Dec 12 12&#58;53&#58;52 FWCntl&#58; Can't shutdown&#40;rfd&#41; while recv data from rsh soscket ... Error&#58;<Bad file descriptor>
 Notice&#58; Dec 12 12&#58;53&#58;52 FWCntl&#58; Can't shutdown&#40;rfd&#41; while recv data from rsh soscket ... Error&#58;<Bad file descriptor>
 Notice&#58; Dec 12 12&#58;53&#58;52 FWCntl&#58; Can't shutdown&#40;sock&#41; while recv data from rsh soscket ... Error&#58;<Bad file descriptor>
 Notice&#58; Dec 12 12&#58;53&#58;52 FWCntl&#58; Can't shutdown&#40;sock&#41; while recv data from rsh soscket ... Error&#58;<Bad file descriptor>
?Debug &#58; Dec 12 12&#58;53&#58;52 RFW URFA&#91;plugin&#93;&#58; Got ping from core. Sending reply...
*** glibc detected *** malloc&#40;&#41;&#58; memory corruption &#40;fast&#41;&#58; 0x080976e0 ***

И всё! процесс помирает.

glibc-2.3.5-r2
Ставил glibc-2.3.5-r1, glibc-2.3.5. результат тот же. При чем на 2х разных машинах.

В чем проблема?

Сообщение **aospan** » Пн дек 12, 2005 10:42

dmn писал(а):При попытке запустить от рута происходит следующее:

Код: Выделить всё

# tail -f /netup/utm5/log/rfw.log
 Notice&#58; Dec 12 12&#58;53&#58;51 FWCntl&#58; Can't shutdown&#40;sock&#41; while recv data from rsh soscket ... Error&#58;<Bad file descriptor>
 Notice&#58; Dec 12 12&#58;53&#58;51 FWCntl&#58; Can't shutdown&#40;sock&#41; while recv data from rsh soscket ... Error&#58;<Bad file descriptor>
?Debug &#58; Dec 12 12&#58;53&#58;51 RFW URFA&#91;plugin&#93;&#58; Got 'exec' command...
?Debug &#58; Dec 12 12&#58;53&#58;51 FWCntl&#58; Send rule<access-template 106 UTM2 any host 192.168.15.4> to remote cisco <192.168.0.1>
?Debug &#58; Dec 12 12&#58;53&#58;51 FWCntl&#58; Call RSH&#58; host 192.168.0.1, port 514, login netup, pass netup, cmd access-template 106 UTM2 any host 192.168.15.4
 Notice&#58; Dec 12 12&#58;53&#58;52 FWCntl&#58; Can't shutdown&#40;rfd&#41; while recv data from rsh soscket ... Error&#58;<Bad file descriptor>
 Notice&#58; Dec 12 12&#58;53&#58;52 FWCntl&#58; Can't shutdown&#40;rfd&#41; while recv data from rsh soscket ... Error&#58;<Bad file descriptor>
 Notice&#58; Dec 12 12&#58;53&#58;52 FWCntl&#58; Can't shutdown&#40;sock&#41; while recv data from rsh soscket ... Error&#58;<Bad file descriptor>
 Notice&#58; Dec 12 12&#58;53&#58;52 FWCntl&#58; Can't shutdown&#40;sock&#41; while recv data from rsh soscket ... Error&#58;<Bad file descriptor>
?Debug &#58; Dec 12 12&#58;53&#58;52 RFW URFA&#91;plugin&#93;&#58; Got ping from core. Sending reply...
*** glibc detected *** malloc&#40;&#41;&#58; memory corruption &#40;fast&#41;&#58; 0x080976e0 ***

И всё! процесс помирает.

glibc-2.3.5-r2
Ставил glibc-2.3.5-r1, glibc-2.3.5. результат тот же. При чем на 2х разных машинах.

В чем проблема?

Вот очень похожая тема - viewtopic.php?t=1120 Решилось установкой glibc - 2.3.5. Странно, но у вас как раз эта версия ?

dmn · Сообщение **dmn** » Пн дек 12, 2005 10:59

Да, именно эта версия.

Именно 2.3.5 вот это меня и смущает.

Есть идеи?

Сообщение **aospan** » Пн дек 12, 2005 11:35

dmn писал(а):Да, именно эта версия.

Именно 2.3.5 вот это меня и смущает.

Есть идеи?

в той ветке немного иначе падало (просто эксепшн какой-то не ловился). У вас посерьезнее: "*** glibc detected *** malloc(): memory corruption (fast): 0x080976e0 *** " - похоже, что-то серьезное при работе с памятью. Можете прогнать memtest86 ?
Попробуйте скомпилировать утилиту как описано в теме по ссылке - прогоните ее "кучу" раз - падает ?

dmn · Сообщение **dmn** » Пн дек 12, 2005 11:42

aospan писал(а):Можете прогнать memtest86 ?

Хм... Как?

aospan писал(а):Попробуйте скомпилировать утилиту как описано в теме по ссылке - прогоните ее "кучу" раз - падает ?

Нет, не падает.

dmn · Сообщение **dmn** » Пн дек 12, 2005 13:48

Прогнал первые 3 теста memtest86. Пока никаких ошибок.