Проблемма с фаерволом.

[Tooreagen]

Не, я понял, что у вас за мпд 1000 человек, а авторизовано 80 в биллинге.


Я ушел с 11.1 на 9.2, не победил.Разделю айпи по мпд , чтобы уменьшить таблицы а потом попробую опять.
на 11.1 вроде много изменений в ipfw

Не правильно поняли))) В биллинге до 1000, авторизованы РРРоЕ 80, есть участок сети с РРРоЕ, остальные DHCP

[Tooreagen]

Еще обратил внимание в консоль выпадают сообщения:

Код:

notfound: 172.16.21.139/32 0
Line 7: Deleting record failed: record not found
notfound: 172.16.21.139/32 0
Line 5: Deleting record failed: record not found
notfound: 172.16.21.124/32 0
Line 7: Deleting record failed: record not found
notfound: 172.16.30.43/32 0
Line 7: Deleting record failed: record not found
notfound: 172.16.21.124/32 0
Line 5: Deleting record failed: record not found
notfound: 172.16.20.215/32 0
Line 7: Deleting record failed: record not found
notfound: 172.16.20.220/32 0
Line 7: Deleting record failed: record not found
notfound: 172.16.20.220/32 0
Line 5: Deleting record failed: record not found

Это те ip которые потом уже не появляются в таблицах. Что выход только старую версию системы ставить?

[ale1975]

Да, на 11.1 тоже заметил такую херню, делал перенаправление вывода информации работы носервер в файл, там были похожие записи, но не разобрался.

[ale1975]

Еще вопрос по носервер, если всё работает нормально и вдруг кто-то решил зайти в инет и подключился, носервер должен увидеть это и занести в таблицу ipfw его айпи. Он просто добавляет его или делает сброс правил и заново наполняет таблицы?

[Efendy]

Еще вопрос по носервер, если всё работает нормально и вдруг кто-то решил зайти в инет и подключился, носервер должен увидеть это и занести в таблицу ipfw его айпи. Он просто добавляет его или делает сброс правил и заново наполняет таблицы?

Просто добавляет. Удаление ip отсутствующего в таблице приведет к ошибке и прервется цепочка выполнения команд (об этом я писал выше)

Код:

Line 7: Deleting record failed: record not found

скорее всего это и есть признак, что была нарушена цепочка.

Можно попытаться понять что именно привело. Для этого в nifire.pm нужно найти строку:

Код:

unlink $file_ipfw;

и закомментировать ее (в начале поставить символ "решетка" - #)

Рестартануть noserver. В итоге, nofire НЕ будет удалять файлы, которые от отправляет на ipfw. Эти файлы должны появляться в папке logs с именами ipfw_число.

Когда мы обнаружим рассинхрон, нам нужно стопануть noserver. После чего по-порядку запускать файлы пока не увидим какой файл не понравлся ipfw:

Код:

ipfw /путь_к_файлу/ipfw_число  

Насколько я помню, нужно указывать полный путь к файлу, иначе ipfw подумает, что это не файл, а команда.

Также важно запускать файлы строго в порядке увеличения числа в имени

[Tooreagen]

Сделал как говорили. Выпала одна ошибка:

Код:

root@base:/usr/home/sergey # notfound: 172.16.30.43/32 0
Line 7: Deleting record failed: record not found

Образовалось три файла:

Код:

ipfw_1859153.89186555
ipfw_1859224.41242774
ipfw_1859234.45142617

После запуска первого файла выдает такое:

Код:

oot@base:/usr/home/sergey # ipfw /usr/local/nodeny/logs/ipfw_1859153.89186555
18500 deny ip from any to any
46500 deny ip from any to any
60000 deny ip from any to any
32000 deny ip from any to any
05000 skipto 18501 ip from table(21) to table(11)
18501 pipe tablearg ip from table(21) to any
33000 skipto 46501 ip from table(11) to table(31)
46501 pipe tablearg ip from any to table(31)
05001 allow ip from table(41) to table(11)
33001 allow ip from table(11) to table(41)
added: 0.0.0.0/0 0
added: 172.16.30.4/32 1006
added: 172.16.30.4/32 1001
exists: 172.16.30.4/32 1006
Line 29: Adding record failed: record already exists

Больше файлы не запускал.

[Efendy]

так прикрепи файл /usr/local/nodeny/logs/ipfw_1859153.89186555 (добавь расширение txt)

[Tooreagen]

прикрепил

[Efendy]

Все записи дублируются. Никто не вносил изменения в noserver или  nofire?

[Tooreagen]

Никто ничего не делал 100%. Все настроено согласно инструкции. Могу еще один настроить для проверки

[WideAreaNetwork]

FreeBSD 11.0-RELEASE-p12
NoDeny rev.462

Доступ в интернет открыт. В адресной строке введите нужный вам сайт.

ipfw table all list | grep ip_abona
тут либо один раз показывает его адрес, я так понимаю либо в 21 либо в 31 таблице, либо вообще не выводится

проблему заметил у тех абонов у которых либо бонус добавлен, либо кредит создан, о отключении и включении учетки я не догадался))) просто отправлял сообщение с принудительным прочтением, и когда абон нажимал "Прочитал внимательно" доступ открывался, либо ребут сервака, что очень не кошерно, это как-то лечится?

[Efendy]

Никто ничего не делал 100%. Все настроено согласно инструкции. Могу еще один настроить для проверки

Я разобрался в чем у тебя бок. Ты зачем врубил "всегда онлайн" в учетках абонов, при этом они авторизуются? Либо одно либо другое должно быть. А так, конечно, я сделаю защиту от такого

[Efendy]

тут либо один раз показывает его адрес, я так понимаю либо в 21 либо в 31 таблице, либо вообще не выводится

еще есть 41 таблица - в нее попадают те, у кого скорость 100 мбит (или другая, выше той, которая в конфиге называется "скорость, начиная с которой шейп не применяется")

[WideAreaNetwork]

FreeBSD 11.0-RELEASE-p12
NoDeny rev.462

Доступ в интернет открыт. В адресной строке введите нужный вам сайт.

ipfw table all list | grep ip_abona
тут либо один раз показывает его адрес, я так понимаю либо в 21 либо в 31 таблице, либо вообще не выводится

проблему заметил у тех абонов у которых либо бонус добавлен, либо кредит создан, о отключении и включении учетки я не догадался))) просто отправлял сообщение с принудительным прочтением, и когда абон нажимал "Прочитал внимательно" доступ открывался, либо ребут сервака, что очень не кошерно, это как-то лечится?

еще одно вылезло, когда списывается кредит у абона тоже пропадает инет, баланс у него плюсовой так как во время кредита пополнил его, ipfw table all list | grep ip_abona - вообще пусто
и как выше писали помогает отключение/включение

[WideAreaNetwork]

если все выполнить по инструкции "Ответ #49" (Извините, вы не можете размещать ссылки!) - это поможет найти проблему? или все таки дело во FreeBSD 11.0? и другого варианта как перейти на 10.3 нету?