Биллинговая система Nodeny
23 Ноября 2024, 06:30:23 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Прекращена поддержка версии Nodeny 49
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: [1]
  Печать  
Автор Тема: После смены аплинка, пропал интернет у абонентов  (Прочитано 5685 раз)
Tooreagen
Старожил
****

Карма: -7
Offline Offline

Сообщений: 257


Просмотр профиля Email
« : 14 Декабря 2015, 09:52:34 »

Все привет! Поменял аплинк, ничего особо не изменилось, только имя интерфейса было em0 стало ng0 (РРРоЕ mpd5). Во всех конфигах поменял, перезагрузил NAS но инет не работает. Только с правилом 00001 allow ip from any to any только его удаляю сразу инет пропадает. Не могу понять в чем дело. Доступ от NAS к базе есть. Привожу конфиги, помогите пожалуйста кто может.

/etc/rc.firewall
Код:
#!/bin/sh -
f='/sbin/ipfw'

ifOut='ng0'

ifVia=''
ifRecv=''
tmp_or=''
for i in $ifOut
  do
    ifVia="${ifVia}${tmp_or}via $i"
    ifRecv="${ifRecv}${tmp_or}recv $i"
    tmp_or=' or '
  done

${f} -f flush

# mysql slave server (kernel)
${f} table 101 add 188.239.193.xxx

${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any

${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me

${f} add 200 skipto 500 ip from any to any { $ifVia }

${f} add 300 skipto 4500 ip from any to any in

${f} add 400 skipto 450 ip from any to any { $ifRecv }
${f} add 420 divert 1 ip from any to any
${f} add 450 divert 2 ip from any to any
${f} add 490 allow ip from any to any

${f} add 500 skipto 32500 ip from any to any in
${f} add 510 divert 1 ip from any to any
${f} add 540 allow ip from any to any


${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 22,80,443,5006
${f} add 2030 allow ip from "table(101)" to any
${f} add 2050 deny ip from any to any { $ifVia }
${f} add 2060 allow udp from any to any 53,7723

${f} add 2100 deny ip from any to any

${f} add 4500 allow ip from any to "table(100)"
${f} add 32490 deny ip from any to any

${f} add 32500 allow ip from "table(100)" to any



/etc/pf.conf
Код:
ext_if = "ng0"

set limit states 128000
set optimization aggressive

nat pass on $ext_if from 172.16.2.0/24 to any -> ($ext_if)
nat pass on $ext_if from 172.16.20.0/24 to any -> ($ext_if)
nat pass on $ext_if from 172.16.21.0/24 to any -> ($ext_if)


Учетка nodeny
Код:
GRANT USAGE ON *.* TO 'nodeny'@'188.239.193.xxx' IDENTIFIED BY PASSWORD '*99F2A34EA573AB90BBA8B1E486382C';

GRANT SELECT, EXECUTE ON `nodeny`.* TO 'nodeny'@'188.239.193.xxx';

GRANT UPDATE ON `nodeny`.`ip_pool` TO 'nodeny'@'188.239.193.xxx';

GRANT INSERT, UPDATE ON `nodeny`.`mac_uid` TO 'nodeny'@'188.239.193.xxx';


ps ax | grep no
Код:
  839 v0- S       30:27.32 /usr/bin/perl /usr/local/nodeny/noserver.pl -d
75661  0  S+       0:00.00 grep no
Записан
vddav
Старожил
****

Карма: 3
Offline Offline

Сообщений: 251


Просмотр профиля Email
« Ответ #1 : 14 Декабря 2015, 10:16:01 »

дай ipfw list
Записан
Tooreagen
Старожил
****

Карма: -7
Offline Offline

Сообщений: 257


Просмотр профиля Email
« Ответ #2 : 14 Декабря 2015, 10:47:49 »

Код:
00001 allow ip from any to any
00050 allow tcp from any to me dst-port 22
00051 allow tcp from me 22 to any
00110 allow ip from any to any via lo0
00120 skipto 1000 ip from me to any
00130 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160 skipto 2000 ip from any to me
00200 skipto 500 ip from any to any via ng0
00300 skipto 4500 ip from any to any in
00400 skipto 450 ip from any to any recv ng0
00420 divert 1 ip from any to any
00450 divert 2 ip from any to any
00490 allow ip from any to any
00500 skipto 32500 ip from any to any in
00510 divert 1 ip from any to any
00540 allow ip from any to any
01000 allow udp from any 53,7723 to any
01010 allow tcp from any to any setup keep-state
01020 allow udp from any to any keep-state
01100 allow ip from any to any
02000 check-state
02010 allow icmp from any to any
02020 allow tcp from any to any dst-port 22,80,443,5006
02030 allow ip from table(101) to any
02050 deny ip from any to any via ng0
02060 allow udp from any to any dst-port 53,7723
02100 deny ip from any to any
04500 allow ip from any to table(100)
05000 skipto 18501 ip from table(21) to table(11)
05001 allow ip from table(41) to table(11)
18500 deny ip from any to any
18501 pipe tablearg ip from table(21) to any
32000 deny ip from any to any
32490 deny ip from any to any
32500 allow ip from table(100) to any
33000 skipto 46501 ip from table(11) to table(31)
33001 allow ip from table(11) to table(41)
46500 deny ip from any to any
46501 pipe tablearg ip from any to table(31)
60000 deny ip from any to any
65535 deny ip from any to any

Записан
vddav
Старожил
****

Карма: 3
Offline Offline

Сообщений: 251


Просмотр профиля Email
« Ответ #3 : 14 Декабря 2015, 11:09:24 »

если с
Код:
ipfw table 100 add 8.8.8.8 
затем
Код:
ipfw delete 1 
будет у абонов пинг на восьмерки?
 и в таблицах 21,31 есть абонов ипы?
Код:
 
ipfw table 21 list
ipfw table 31 list
Записан
Tooreagen
Старожил
****

Карма: -7
Offline Offline

Сообщений: 257


Просмотр профиля Email
« Ответ #4 : 14 Декабря 2015, 11:47:15 »

Пинг на 8.8.8.8 пропадает. В таблицах 21 и 31 куча ip абонов
Записан
vddav
Старожил
****

Карма: 3
Offline Offline

Сообщений: 251


Просмотр профиля Email
« Ответ #5 : 14 Декабря 2015, 12:03:33 »

чета подозревака на диверт, че там ipcad? заменить на "tee"
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #6 : 14 Декабря 2015, 12:29:01 »

И вообще, запущен ли ipcad и запущен ли он с правильным конфигом?
Записан
Tooreagen
Старожил
****

Карма: -7
Offline Offline

Сообщений: 257


Просмотр профиля Email
« Ответ #7 : 14 Декабря 2015, 13:24:02 »

я тоже об этом подумал! собирал еще один NAS и была проблема с divert. Но на этом NASe и другом аплинке работало же. Ладно, тогда нужно довести до ума сбор трафика.

Не пойму где прописывать эти правила:

Код:
# NoDeny Kernel
${f} table 101 add 1.2.3.1
${f} add 2030 allow ip from "table(101)" to any

На сервере базы или NASе?

Конфиг ipcad правильно написан?
Код:
capture-ports enable;
interface divert port 1 netflow-disable;
interface divert port 2 netflow-disable;
rsh enable at 127.0.0.1;
rsh root@127.0.0.1 admin;
rsh root@188.239.193.удаленныйNAS admin;
rsh ttl = 3;
rsh timeout = 30;
dumpfile = ipcad.dump;
chroot = /tmp;
memory_limit = 50m;


ipcad с самого сервера собирает трафик, с удаленного NAS нет
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #8 : 14 Декабря 2015, 13:47:58 »

Проверить что ipcad запущен и собирает трафик:

Код:
rsh 127.0.0.1 show ip acco

Да, судя по твоему конфигу ты не совсем понимаешь для чего нужен и как работает ipcad.

1) ipcad должен запускаться на NAS, т.е там где идет трафик, т.е там где фаервол divert-тит его
2) rsh enable указывает на каком адресе слушать запросы о получении трафика. У тебя сервер биллинга не достучится до айпикада, поскольку он запущен на 127.0.0.1
3) rsh root@188.239.193.удаленныйNAS admin; - здесь надо не 188.239.193.удаленныйNAS, а сервер NoDeny
Записан
Tooreagen
Старожил
****

Карма: -7
Offline Offline

Сообщений: 257


Просмотр профиля Email
« Ответ #9 : 14 Декабря 2015, 13:51:19 »


Собирает:

Код:
Accounting data age is     0
Accounting data age exact 46
Accounting data saved 1450093773
Interface 2: received ??, 5 m average 12440567 bytes/sec, 10277 pkts/sec, dropped ??
Interface 1: received ??, 5 m average 1071355 bytes/sec, 8383 pkts/sec, dropped ??
Flow entries made: 41894
Memory usage: 10% (5697584 from 52428800)
Free slots for rsh clients: 9
IPCAD uptime is 46 minutes


И это же видно в биллинге
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #10 : 14 Декабря 2015, 13:52:32 »

я ответил выше, что конфиг у тебя неправильный и вероятно ты его вообще не на том сервере запускаешь
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #11 : 14 Декабря 2015, 13:55:08 »

Не пойму где прописывать эти правила:

Код:
# NoDeny Kernel
${f} table 101 add 1.2.3.1
${f} add 2030 allow ip from "table(101)" to any

На сервере базы или NASе?
тут ты абсолютно отказался думать. Словами же написано "NoDeny Kernel" - ядро NoDeny. Следовательно, да и просто логически нужно править фаервол NAS-а - ведь ты написал о проблеме с NAS-ом, а не с тем, что у тебя кран в квартире течет
Записан
cojiict
Старожил
****

Карма: 0
Offline Offline

Сообщений: 341


Просмотр профиля Email
« Ответ #12 : 14 Декабря 2015, 14:50:25 »

а взагалі в новому релізі є ось таке:
Код:
#use_ipcad_divert=YES
if [ $use_ipcad_divert ]; then
  ${f} add 420 divert 1 ip from any to any
  ${f} add 450 divert 2 ip from any to any
Записан
Страниц: [1]
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!