Просмотр сообщений
|
Страниц: [1] 2
|
1
|
Главная категория / Nodeny 49 / Re: ipfw с одной сетевой
|
: 17 Августа 2011, 21:08:34
|
Спасибо конечно за комплименты =) Но форум на то и форум чтобы глядя на простые примеры разбираться в сложных вещах) Кстати ваш форум очень отзывчивый в этом плане спасибо его щедрым участникам =)
|
|
|
2
|
Главная категория / Nodeny 49 / Re: сателлит для новичка
|
: 25 Июля 2011, 03:14:26
|
SELECT command denied to user 'test2'@'10.10.10.8' for table 'x2011x7x17' нет прав на выполнение команды SELECT для таблиц с трафиком, эти таблицы появляются динамически поэтому либо надо дать глобальные для базы права на SELECT либо для безопасности (для очень серьезных админов) написать скрипт, который будет добавлять права на селект новых таблиц каждый новый месяц Помогла выдача глобальных прав SELECTна bill Спасибо!
|
|
|
3
|
Главная категория / Nodeny 49 / Re: ipfw с одной сетевой
|
: 24 Июля 2011, 16:10:15
|
ты б полный текст привел, а то в голове все эти трансформации делать...
Полный текст вот ${f} add 110 allow ip from any to any via lo0 ${f} add 120 skipto 1000 ip from me to any ${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 ${f} add 160 skipto 2000 ip from any to me
${f} add 200 skipto 500 ip from any to any via ${ifOut} #via ipno ${f} add 300 skipto 4500 ip from any to any in
${f} add 400 skipto 450 ip from any to any recv ${ifOut} ${f} add 420 divert 1 ip from any to any ${f} add 450 divert 2 ip from any to any ${f} add 490 allow ip from any to any
${f} add 500 skipto 32500 ip from any to any in ${f} add 510 divert 1 ip from any to any ${f} add 540 allow ip from any to any
${f} add 1000 allow udp from any 53,7723 to any ${f} add 1010 allow tcp from any to any setup keep-state ${f} add 1020 allow udp from any to any keep-state ${f} add 1100 allow ip from any to any
${f} add 2000 check-state ${f} add 2010 allow icmp from any to any ${f} add 2020 allow tcp from any to any 80,443 ${f} add 2050 deny ip from any to any via ${ifOut} ${f} add 2060 allow udp from any to any 53,7723
${f} add 2100 deny ip from any to any
${f} add 32490 deny ip from any to any
|
|
|
4
|
Главная категория / Nodeny 49 / Re: ipfw с одной сетевой
|
: 23 Июля 2011, 17:55:15
|
здесь 10.0.0.0/8 сеть клиентов.
200 skipto 32500 ip from any to 10.0.0.0/8 in 210 skipto 510 ip from 10.0.0.0/8 to any out delete 400 delete 420 delete 500
останеться еще ${f} add 2050 deny ip from any to any via ${ifOut} я думаю оно неплохо замениться на следующее ${f} add 2051 deny ip from not 10.0.0.0/8 to 10.0.0.0/8 ${f} add 2052 deny ip from not 10.0.0.0/8 to me ${f} add 2053 deny ip from 10.0.0.0/8 to not 10.0.0.0/8 ${f} add 2054 deny ip from me to not 10.0.0.0/8 Что скажете?
|
|
|
5
|
Главная категория / Nodeny 49 / Re: ipfw с одной сетевой
|
: 23 Июля 2011, 17:40:14
|
здесь 10.0.0.0/8 сеть клиентов.
200 skipto 32500 ip from any to 10.0.0.0/8 in 210 skipto 510 ip from 10.0.0.0/8 to any out delete 400 delete 420 delete 500
останеться еще ${f} add 2050 deny ip from any to any via ${ifOut} я думаю оно неплохо замениться на следующее ${f} add 2051 deny ip from not 10.0.0.0/8 to 10.0.0.0/8 Что скажете? ${f} add 2052 deny ip from not 10.0.0.0/8 to me ${f} add 2053 deny ip from 10.0.0.0/8 to not 10.0.0.0/8 ${f} add 2054 deny ip from me to not 10.0.0.0/8
|
|
|
6
|
Главная категория / Nodeny 49 / Re: ipfw с одной сетевой
|
: 22 Июля 2011, 20:36:39
|
если я не ошибаюсь, то netgraph позволяет создать виртуальный интерфейс на база основного. Имхо так будет проще
Спасибо я тоже посматривал в сторону netgraph но я с ним пока еще не сталкивался)) .. Уже и так столько новых программ боюсь что скоро стены придется отмывать от моих взорвавшихся мозгов )) Хотелось бы средствами ipfw но если некто не подскажет возьмусь за netgraph
|
|
|
7
|
Главная категория / Nodeny 49 / Re: ipfw с одной сетевой
|
: 22 Июля 2011, 20:32:05
|
switch L2 + VLAN вам в помощь
p.s. а что нету 50 грн. на сетевуху?
+100ye заменача + 90ye каждая сетевуха.) плюс мать надо с нужными слотами под несколкьо сетевух хороших)) Я конечно беру по максимуму но экономия получится не маленькая...
|
|
|
9
|
Главная категория / Nodeny 49 / Re: Ограничение торрентов
|
: 22 Июля 2011, 02:27:51
|
ee /etc/all.pf ee pf.conf set limit staеtes 128000 set optimization aggressive table <all_ips> persist file "/etc/all.pf" pass in quick from <all_ips> to any keep state (source-track rule, max-src-states 1000)
Действие: Ограничение сессий количеством 1000 для адреса источника 192.168.254.22
|
|
|
10
|
Главная категория / Nodeny 49 / ipfw с одной сетевой
|
: 22 Июля 2011, 01:32:34
|
Задача сделать роутер с одной сеевой карточкой (экономия средств) будет делаться через алиасы Вопрос по фаеру какие строки будут идентичны строкам ниже если в качестве условия нельзя ставить интерфейс, а внутренние сети заранее определены. ${f} add 200 skipto 500 ip from any to any via ${ifOut} ${f} add 400 skipto 450 ip from any to any recv ${ifOut} дополнительный вопрос какие косяки могут быть с алиасами на роутере.
|
|
|
11
|
Главная категория / Nodeny 49 / Re: сателлит для новичка
|
: 17 Июля 2011, 02:32:27
|
Спасибо c ipcad я дествительно последний косяк устранил в фаере на серваке и трафик начало считать. Но ошибки продолжили сыпатся в perl noserver.pl -v.... хотя на первый взгляд все работает.... Кто знает насколько серьезны ошибки?
|
|
|
12
|
Главная категория / Nodeny 49 / Re: сателлит для новичка
|
: 16 Июля 2011, 23:51:00
|
Сыпяться вот такие ошибки в perl noserver.pl -v [noserver.pl:main 102] Для каждого клиента получим его трафик за текущий день. [nosat.pm:Sql 231] SELECT mid, SUM(`in`) as tin, SUM(`out`) as tout FROM x2011x7x17 WHERE class=1 GROUP BY mid DBD::mysql::st execute failed: SELECT command denied to user 'test2'@'10.10.10.8' for table 'x2011x7x17' at nosat.pm line 245. [nosat.pm:Sql 255] Ошибка. Сделаем soft-риконнект к БД. [nosat.pm:Sql 240] Запрос не выполнен - нет соединения с БД [noserver.pl:LoadClientInfo 323] Получение данных клиентов [noserver.pl:LoadClientInfo 346] Получим все модификаторы скоростей (опции). [nosat.pm:Sql 231] SELECT uid,options FROM users_trf WHERE options<>'' [nosat.pm:Sql 240] Запрос не выполнен - нет соединения с БД [noserver.pl:LoadClientInfo 355] Будем пользоваться утаревшими данными, если есть [nosat.pm:Sql 231] SELECT uid,uip,now_on,in1,out1 FROM users_trf [nosat.pm:Sql 240] Запрос не выполнен - нет соединения с БД [nosat.pm:Log 194] 17.07.2011 00:52:24 Error: SELECT SQL_BUFFER_RESULT uid,uip,now_on,in1,out1 FROM users_trf [noserver.pl:LoadClientInfo 366] Прекращаем выполнение подпрограммы. Следующий запуск через 7 сек [nosat.pm:ConnectToDB 210] Соединение с БД на сервере 10.10.10.3: OK [nosat.pm:SaveSatStateInDb 277] SaveSatStateInDb [noserver.pl:LoadClientInfo 323] Получение данных клиентов [noserver.pl:LoadClientInfo 346] Получим все модификаторы скоростей (опции). [nosat.pm:Sql 231] SELECT uid,options FROM users_trf WHERE options<>'' [nosat.pm:Sql 247] rows: 0 время: 0.00159 сек [nosat.pm:Sql 231] SELECT uid,uip,now_on,in1,out1 FROM users_trf [nosat.pm:Sql 247] rows: 4 время: 0.00072 сек [noserver.pl:LoadClientInfo 384] 10.10.11.218 новый для нас. Запомним в %All. Запуск из nofire.pl: &Add_To_All_Ip(10.10.11.218) [noserver.pl:LoadClientInfo 390] 10.10.11.218 трафик: 4444303861 за сутки: 0 состояние now_on: 1 [noserver.pl:LoadClientInfo 384] 10.254.4.3 новый для нас. Запомним в %All. Запуск из nofire.pl: &Add_To_All_Ip(10.254.4.3) [noserver.pl:LoadClientInfo 390] 10.254.4.3 трафик: 754993899 за сутки: 0 состояние now_on: 0 [noserver.pl:LoadClientInfo 384]
|
|
|
13
|
Главная категория / Nodeny 49 / Re: сателлит для новичка
|
: 16 Июля 2011, 22:38:59
|
Какая логика ipcad? Сервер подключается к сателлиту через 514 порт и забирает стату по трафику? Или сателлит получает стату локально и отправляет на сервер через мускул? Какие порты открыть на сервере и сателите для этого? Как настроить ipcad сервер у меня 10.10.10.3 а сателит 10.10.10.8 к примеру...
|
|
|
14
|
Главная категория / Nodeny 49 / Re: сателлит для новичка
|
: 16 Июля 2011, 21:35:50
|
ser970 с -v все стало видно) спасибо + ну чтож)) С авторизатором вроде как зашуршало но не считает трафик на удаленном сателлите может ipcad.conf виноват? ? capture-ports enable; interface divert port 1 netflow-disable; interface divert port 2 netflow-disable; rsh enable at 127.0.0.1; rsh root@127.0.0.1 admin; rsh ttl = 3; rsh timeout = 30; dumpfile = ipcad.dump; chroot = /tmp; memory_limit = 50m;
|
|
|
15
|
Главная категория / Nodeny 49 / Re: сателлит для новичка
|
: 16 Июля 2011, 02:28:13
|
Потиху начал разбираться... уткнулся на этом в папку с этим скриптом устанавливаем тестовый nofire.pl (из папки Satellites/TEST.OK поставки) и запускаем скрипт управления доступом: bash# perl noserver.pl Тестовый nofire.pl не управляем фаерволом, а просто выводит сообщения на экран какой ip и с какими параметрами (режим авторизации и пакет) скрипт noserver.pl указывает включить или отключить в фаерволе. Отключайте/включайте в админке доступ, разрешайте доступ без авторизации/с авторизацией, меняйте пакет тарификации, после чего смотрите вывод скрипта. Скрипт при стандартной настройке реагирует на изменение от 0 до 10 секунд. Т.е. вы должны убедиться, то при установке режима «клиент без авторизации» происходит включение абонента (скрипт выводит сообщение «ON: ip_клиента доп_параметры»), при изменении ключевых параметров (пакета тарификации клиента, дополнительных параметров) происходит отключение ip, затем сразу включение. Убедитесь, что скрипт реагирует на вывод клиента из обслуживаемой группы (должен отключить все включенные ip клиента), реагирует на включение/выключение доступа через админку, реагирует на изменение авторизации клиентов.
Проверку [root@satellite ~/nodeny49/satellites]# perl nocheck.pl Проверка прав на чтение таблиц:
1. SELECT COUNT(*) FROM users...OK
2. SELECT COUNT(*) FROM files...OK
3. SELECT COUNT(*) FROM nets...OK
4. SELECT COUNT(*) FROM plans2...OK
5. SELECT COUNT(*) FROM users_trf...OK
6. SELECT COUNT(*) FROM dopdata...OK
Проверки выполнены. Все ОК.
Дальше после переключений авторизации в PuTTY ни ответа не привета)
|
|
|
|