Биллинговая система Nodeny
23 Ноября 2024, 19:10:17 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Прекращена поддержка версии Nodeny 49
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: 1 [2]
  Печать  
Автор Тема: Адреса групп в таблицы ipfw  (Прочитано 19032 раз)
elite
Начальник планеты
NoDeny
Спец
*

Карма: 52
Offline Offline

Сообщений: 1226

In LAN we trust!

358714596
Просмотр профиля
« Ответ #15 : 31 Декабря 2009, 10:14:49 »

elite, можно пример по первому пункту?
по второму я бы сказал это хорошо, но вот какие в сумме задержки будут?
к примеру у меня сейчас 15-30 мс до яндекса, с таким линком примерно 40-50 будет, это как бы не очень хорошо в моем случае, ибо народ в CS'ы играет, спложной трезвон начнется изза увеличения...
по первому пункту:
Код:
nat pass on vlan4 inet from <allusers> to any -> 10.11.10.202/31 source-hash sticky-address
что-то типа такого
10.11.10.201 - машинка на линухе, на которой поднимается несколько пппое-соединений ОГО (правда, у меня не ого, но все равно Улыбающийся ), и эта машинка с линуксом маршрутизирует пакеты от 10.11.10.202 в один канал, от 10.11.10.203 - в другой
за счет применения source-hash sticky-address (можно наверно что-то одно из них Улыбающийся ) весь трафик пользователя идет только через одного внешнего аплинка, а не скачет из канала в канал

а насчет задержек - ну да, фактически вырастает на пинг до сервера
« Последнее редактирование: 31 Декабря 2009, 10:16:53 от elite » Записан
elite
Начальник планеты
NoDeny
Спец
*

Карма: 52
Offline Offline

Сообщений: 1226

In LAN we trust!

358714596
Просмотр профиля
« Ответ #16 : 31 Декабря 2009, 10:17:50 »

Только интересна примерная цена аренды такого сервера?
читай мыло ))
« Последнее редактирование: 31 Декабря 2009, 10:19:51 от elite » Записан
dark
NoDeny
Пользователь
*

Карма: 2
Offline Offline

Сообщений: 38


Просмотр профиля
« Ответ #17 : 11 Января 2010, 15:37:56 »

Так занялся модификацией чего сам хотел в первом посте и наткнулся на грабли: как правильно передать поле grp из таблицы users в подпрограмму sub Allow{} в nofire.pl?

пробовал так $grp=$p->{grp};
возвращает почему-то всегда еденицу  Непонимающий

я так понимаю что гдето в sql запросе надо добавить выборку по этому полю?
Записан
dark
NoDeny
Пользователь
*

Карма: 2
Offline Offline

Сообщений: 38


Просмотр профиля
« Ответ #18 : 20 Января 2010, 12:54:18 »

Вобщем доделал что пожелал, юзеры в разных таблицах
Код:
ipfw table 41 list
172.2.2.4/32 0
172.2.2.7/32 0
172.2.2.10/32 0

ipfw table 42 list
172.2.2.6/32 0
172.2.2.9/32 0
172.2.2.12/32 0

теперь они разруливаются исходя из таблиц, а не на основании подсетей

Код:
ipfw add 300 setfib 1 ip from "table(41)" to not "table(30)" in
ipfw add 310 setfib 2 ip from "table(42)" to not "table(30)" in
ipfw add 320 setfib 3 ip from "table(43)" to not "table(30)" in

Памятка: table(30) - отдельное направление локалки , сформированное биллингом.

кому нужно выложу диффы noserver.pl и nofire.pl
Записан
blackjack
NoDeny
Старожил
*

Карма: 24
Offline Offline

Сообщений: 352


Просмотр профиля Email
« Ответ #19 : 20 Января 2010, 13:34:16 »

конечно выложи
тоже надо группы забивать в разные таблицы
Записан
lans999
NoDeny
Пользователь
*

Карма: 0
Offline Offline

Сообщений: 59


Просмотр профиля
« Ответ #20 : 15 Марта 2010, 23:28:37 »

конечно выложи
тоже надо группы забивать в разные таблицы

Тоже интересует как это сделать. Или подскажите как одного клиента из локалки пускать по второму маршруту.
При ipfw add 60 setfib 1 all from 172.16.0.1 to any ни  чего не происходит
rc.firewall
Код:
#!/bin/sh -
f='/sbin/ipfw'

ifOut='vr1'

${f} -f flush



${f} add 10 allow gre from any to any via vr0
${f} add 40 allow tcp from any to me 1723
${f} add 41 allow tcp from me 1723 to any

${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any

${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me

${f} add 200 skipto 500 ip from any to any via ${ifOut}

${f} add 300 skipto 4500 ip from any to any in

${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 420 divert 1 ip from any to any
${f} add 450 divert 2 ip from any to any
${f} add 490 allow ip from any to any

${f} add 500 skipto 32500 ip from any to any in
${f} add 510 divert 1 ip from any to any
${f} add 540 allow ip from any to any


${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723

${f} add 2100 deny ip from any to any

${f} add 32490 deny ip from any to any
${f} add 32490 deny ip from any to any

При удалении всех правил кроме ipfw add 60 setfib 1 all from 172.16.0.1 to any, все работает, клиент 172.16.0.1 ходит через шлюз указанный в setfib 1
Записан
lans999
NoDeny
Пользователь
*

Карма: 0
Offline Offline

Сообщений: 59


Просмотр профиля
« Ответ #21 : 21 Марта 2010, 15:18:33 »

У меня немного другая ситуация.
vr0 (ip 192.168.2.254) - смотрит в локалку
vr1 (ip 10.0.0.4) - смотрит на два роутера 10.0.0.1 и 10.0.0.6 (все в одной подсети)
defaultrouter="10.0.0.6"
192.168.254.2 клиент, которого нужно пускать через 10.0.0.1
setfib -0 route add default 10.0.0.6
setfib -1 route add default 10.0.0.1

Как при этом должен выглядеть rc.firewall?
Записан
dark
NoDeny
Пользователь
*

Карма: 2
Offline Offline

Сообщений: 38


Просмотр профиля
« Ответ #22 : 26 Марта 2010, 22:42:12 »

долго не было меня, вобщем: фаервол примерно настроен так, как из второго примера how-to

Цитировать
ipfw add 300 setfib 1 ip from "table(41)" to any in
ipfw add 310 setfib 2 ip from "table(42)" to any in
ipfw add 320 setfib 3 ip from "table(43)" to not "table(30)" in

добавим маршруты по дефолту:
Цитировать
setfib -1 route add default 0.0.0.1
setfib -2 route add default 0.0.0.2
setfib -3 route add default 0.0.0.3
и т.д.

в таблицах 41,42,43 - юзеры, которым присвоен свой канал. (можно изменить, найдя соответствующую функцию в коде)

вобщем вот диффы изменений, в итоге получится вот так:
http://www.img15.4picture.ru/pictures/b30ab8005ae18bb37440a9181e62d9a3.jpg


Записан
PulsarK
Новичок
*

Карма: 0
Offline Offline

Сообщений: 4



Просмотр профиля
« Ответ #23 : 03 Июня 2011, 10:32:28 »

В начале темы говорилось об изменениях конфига IPCADа при смене "divert" на "tee" в IPFW. Можете поподробней рассказать об этих изменениях?
Записан
dark
NoDeny
Пользователь
*

Карма: 2
Offline Offline

Сообщений: 38


Просмотр профиля
« Ответ #24 : 23 Октября 2011, 23:19:32 »

Elite, покажи пожалуйста пример,  и удалось ли такое сделать на практике?

Цитировать
2) сервер в инете - до него стоим впн и объединяем все
второй вариант очень красивый, позволяет получить скорость практически Nx8 (для N-адсл ого по 8 мбит) и, что очень немаловажно, суммирует аплоад, что особенно важно при использовании нескольких ого
ну и еще реальный статический ип получаем бонусом


PulsarK, ничего сложного, меняешь divert на tee в правилах ipfw и ipcad.conf
Записан
elite
Начальник планеты
NoDeny
Спец
*

Карма: 52
Offline Offline

Сообщений: 1226

In LAN we trust!

358714596
Просмотр профиля
« Ответ #25 : 25 Октября 2011, 00:42:28 »

Elite, покажи пожалуйста пример,  и удалось ли такое сделать на практике?

Цитировать
2) сервер в инете - до него стоим впн и объединяем все
второй вариант очень красивый, позволяет получить скорость практически Nx8 (для N-адсл ого по 8 мбит) и, что очень немаловажно, суммирует аплоад, что особенно важно при использовании нескольких ого
ну и еще реальный статический ип получаем бонусом


PulsarK, ничего сложного, меняешь divert на tee в правилах ipfw и ipcad.conf
мм.. да, даже все работало Улыбающийся
Записан
dark
NoDeny
Пользователь
*

Карма: 2
Offline Offline

Сообщений: 38


Просмотр профиля
« Ответ #26 : 25 Октября 2011, 15:23:51 »

Elite, так вы покажете пример? интересует как добились суммирования аплоада.

У меня сейчас похожее решение работает, но без промежуточного сервера, проблема в том, что аплоад суммируется только в качалках типа download master, торренты.
Записан
smallcms
NoDeny
Старожил
*

Карма: 64
Offline Offline

Сообщений: 279



Просмотр профиля WWW
« Ответ #27 : 25 Октября 2011, 17:04:51 »

Elite, так вы покажете пример? интересует как добились суммирования аплоада.

У меня сейчас похожее решение работает, но без промежуточного сервера, проблема в том, что аплоад суммируется только в качалках типа download master, торренты.
О BGP с провом договоритесь и будет Вам суммирование каналов Улыбающийся
Записан

dark
NoDeny
Пользователь
*

Карма: 2
Offline Offline

Сообщений: 38


Просмотр профиля
« Ответ #28 : 26 Октября 2011, 05:17:35 »

Провайдеры все разные...
Записан
elite
Начальник планеты
NoDeny
Спец
*

Карма: 52
Offline Offline

Сообщений: 1226

In LAN we trust!

358714596
Просмотр профиля
« Ответ #29 : 26 Октября 2011, 09:59:28 »

Elite, так вы покажете пример? интересует как добились суммирования аплоада.

У меня сейчас похожее решение работает, но без промежуточного сервера, проблема в том, что аплоад суммируется только в качалках типа download master, торренты.
суммирование аплоада промежуточным сервером добились...
Записан
Страниц: 1 [2]
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!