|
versus
|
 |
« Ответ #15 : 25 Января 2010, 12:00:04 » |
|
БРАВО! Наконец-то мы увидели ответ "при смене пакета, если администратор не блокирует доступ, то выводится предупреждение. Если администратор ставит пакет и НЕ ХОЧЕТ блокировать доступ - он имеет полное право так и поступить, поэтому фича носит чисто напоминающий характер. Дополнительно при запуске проверки NoDeny выводятся предупреждающие сообщения о каждом таком случае"
а именно это можно было в первый раз когда я спрашивал и сказать, а ты что делал: убеждал что эта галочка БЛОКИРУЕТ, а у меня кривые руки. Так что ненужно из меня делать дурака.
Ну я ж не знал что у тебя со зрением плохо, там чесно биллинг говорит что тебе надо делать. |
|
|
|
« Последнее редактирование: 25 Января 2010, 12:37:41 от versus »
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #16 : 25 Января 2010, 12:34:55 » |
|
значит неправильно настроен фаервол. В таблице 10 есть целевой ip? ipfw table 10 list | grep xx.xx.xx.xx |
|
|
|
|
Записан
|
|
|
|
evp
NoDeny
Постоялец
Карма: -6
 Offline
Сообщений: 113
|
|
« Ответ #17 : 25 Января 2010, 16:22:23 » |
|
есть такой # ipfw table 10 list | grep xx.xx.86.130
xx.xx.86.130/32 1020 |
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #18 : 25 Января 2010, 17:41:29 » |
|
запускай и покажи место, где оно разрешает доступ данному ипу |
|
|
|
|
Записан
|
|
|
|
evp
NoDeny
Постоялец
Карма: -6
Offline
Сообщений: 113
|
|
« Ответ #19 : 25 Января 2010, 23:16:06 » |
|
мне кажется, что постановка вами вопроса в корне неверна, по моему мнению это вы должны мне указать, почему ipfw не блокирует пользователя. Вот вывод команды ipfw show на сателлите, за которым сижу я: 00050 1201823 153952639 allow tcp from any to me
00051 1696292 2440280159 allow tcp from me to any
00052 1510070 135982204 allow ip from any to xx.xx.86.10,172.16.0.10
00053 1908868 1316155362 allow ip from xx.xx.86.10,172.16.0.10 to any
00110 12 1656 allow ip from any to any via lo0
00120 176721 23459404 skipto 1000 ip from me to any
00130 96914 5433356 deny icmp from any to any in icmptypes 5,9,13,14,15
,16,17
00160 187272 11709023 skipto 2000 ip from any to me
00200 584200344 444030287513 skipto 500 ip from any to any via re0
00300 321397668 270919475387 skipto 4500 ip from any to any in
00400 269286843 177497331526 skipto 450 ip from any to any recv re0
00420 6658752 4654874059 divert 1 ip from any to any
00450 275967984 182164373500 divert 2 ip from any to any
00490 275937521 182168724188 allow ip from any to any
00500 271756053 178266689126 skipto 32500 ip from any to any in
00510 312515515 265817306686 divert 1 ip from any to any
00540 312503052 265826563001 allow ip from any to any
01000 151922 21914620 allow udp from any 53,7723 to any
01010 0 0 allow tcp from any to any setup keep-state
01020 684 81468 allow udp from any to any keep-state
01100 24375 1483159 allow ip from any to any
02000 0 0 check-state
02010 23757 1448135 allow icmp from any to any
02020 0 0 allow tcp from any to any dst-port 80,443
02050 665 50242 deny ip from any to any via re0
02060 156067 9697058 allow udp from any to any dst-port 53,7723
02100 6524 493904 deny ip from any to any
05000 87909 7668205 deny ip from not table(0) to any
05001 0 0 skipto 5010 ip from table(127) to table(126)
05002 312817063 263877808841 skipto 5030 ip from any to not table(2)
05003 126 6593 deny ip from any to not table(1)
05004 8387032 6975325738 pipe tablearg ip from table(21) to any
05005 0 0 deny ip from any to any
05010 0 0 pipe tablearg ip from table(127) to any
05030 7431 338788 deny tcp from table(15) to any dst-port 25
05130 1594648 126652392 allow ip from table(31) to table(30)
05132 213787237 198815685929 allow ip from table(33) to table(32)
05400 97427747 64935131732 pipe tablearg ip from table(11) to any
32000 0 0 deny ip from any to any
32490 2136 120543 deny ip from any to any
33000 0 0 pipe tablearg ip from table(126) to table(127)
33001 268687702 177567322174 skipto 33010 ip from not table(2) to any
33002 1304100 533731981 pipe tablearg ip from any to table(20)
33003 1681236 133488038 deny ip from any to any
33130 810 45592 allow ip from table(30) to table(31)
33132 190036981 129480896498 allow ip from table(32) to table(33)
33400 78515303 48078243344 pipe tablearg ip from any to table(10)
65535 136455 8316523 deny ip from any to any Что тут неверно настроено? |
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #20 : 26 Января 2010, 00:39:04 » |
|
мне кажется, что постановка вами вопроса в корне неверна, по моему мнению это вы должны мне указать, почему ipfw не блокирует пользователя.
Отличная реализация постулата "клиент всегда прав". Ищите того, кому вы клиент |
|
|
|
|
Записан
|
|
|
|
evp
NoDeny
Постоялец
Карма: -6
Offline
Сообщений: 113
|
|
« Ответ #21 : 26 Января 2010, 00:45:23 » |
|
Efendy,вы, может быть, этого и не знаете, но я именно ваш клиент, с лицензией на 1000 юзеров. 
|
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #22 : 26 Января 2010, 01:56:15 » |
|
Efendy,вы, может быть, этого и не знаете, но я именно ваш клиент, с лицензией на 1000 юзеров. может. Я разработчик. Валентин техподдержка. Я просил привести вывод noserver-а с ключем -v. Можно не приводить. Тогда мой ответ: не знаю |
|
|
|
|
Записан
|
|
|
|
evp
NoDeny
Постоялец
Карма: -6
Offline
Сообщений: 113
|
|
« Ответ #23 : 26 Января 2010, 02:04:04 » |
|
Efendy,мне показалось, что вы просили не вывод noserver-а с ключем -v , а покажи место, где оно разрешает доступ данному ипу Показать это место я вам не могу по понятной причине: если бы мог не обращался бы к вам. Но, раз уж вы конкретизировали свою просьбу, то без труда: # perl noserver.pl -v
[nosat.pm:ConnectToDB 210]
[nosat.pm:Nosat_init 94]
[nosat.pm:Nosat_init 116]
[nosat.pm:Nosat_init 119] /var/run/noserver.pid
[nosat.pm:Nosat_init 125]
[nosat.pm:SaveSatStateInDb 277] SaveSatStateInDb
[nosat.pm:Log 194] 26.01.2010 01:59:16
|
|
|
|
« Последнее редактирование: 26 Января 2010, 02:05:50 от evp »
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #24 : 26 Января 2010, 09:43:37 » |
|
Отлично. Я понял. Нужно привести вывод noserver -v именно в том месте, где идет разрешение доступа к определенному айпишнику. Вы заинтересованы в решении вашей проблемы? Ок, ок, это моя проблема, мусолим дальше...
|
|
|
|
|
Записан
|
|
|
|
evp
NoDeny
Постоялец
Карма: -6
Offline
Сообщений: 113
|
|
« Ответ #25 : 26 Января 2010, 13:24:59 » |
|
Нужно привести вывод noserver -v именно в том месте, где идет разрешение доступа к определенному Простите, но я ничего не понял. Я привел вывод noserver-а. О каком месте идет речь? Я, честное слово, не понимаю. Будьте, пожалуйста, подробнее. |
|
|
|
« Последнее редактирование: 26 Января 2010, 13:26:33 от evp »
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #26 : 26 Января 2010, 13:33:27 » |
|
есть такой # ipfw table 10 list | grep xx.xx.86.130
xx.xx.86.130/32 1020 в этом видно, что в таблице 10 присутствует ip, который не должен там быть. Сам он туда не попадет, его туда может записать скрипт noserver.pl (исключаю вариант ручного вписывания). Для того, чтобы понять почему же скрипт добавляет к 10й таблце этот айпи, нужно запустить его (скрипт) в визуальном режиме, авторизоваться и посмотреть в лог, вкотором отобразится причина, почему скрипт считает целесообразным дать доступ данному ip. В вашем логе нет такой записи. Значит либо ситуация не имеет место, либо нужно таки привести эту информацию |
|
|
|
|
Записан
|
|
|
|
evp
NoDeny
Постоялец
Карма: -6
Offline
Сообщений: 113
|
|
« Ответ #27 : 26 Января 2010, 14:13:18 » |
|
Значит так. - выставил себе пакет "Заблокирован" с вышеприведенными характеристиками;
- проверил в клиентской статистике, что выставлен статус у меня и всех моих алиасов "закрыт (превышен лимит трафика)";
- на всякий случай сделал: Управление - перечитать список тарифов, обновить список клиентов, рестарт;
- опять же, на всякий случай, проверил, что мой ip соответствует такому в биллинге, подождал минут 15-20;
- зашел по ssh на сателлит, обслуживающий мою подсеть;
- из под root-а дал команды cd /usr/local/nodeny и perl noserver.pl -v;
- обнаружил, что вывод этой команды ничем не отличается от приведенного вывода выше (кроме даты и времени);
- # ipfw table 10 list | grep хх.хх.86.130
хх.хх.86.130/32 1008 - проверил, что доступ в Сеть до сих пор у меня есть;
- зашел на форум и пишу ответ;
- решил оставаться на этом пакете так долго, как это возможно.
P.S. noserver не рестартовал (может надо было?) P.P.S. в логах noserver-а за сегодняшнюю дату записи отсутствуют |
|
|
|
« Последнее редактирование: 26 Января 2010, 14:26:29 от evp »
|
Записан
|
|
|
|
|
versus
|
|
« Ответ #28 : 26 Января 2010, 14:30:37 » |
|
Значит так. - выставил себе пакет "Заблокирован" с вышеприведенными характеристиками;
- проверил в клиентской статистике, что выставлен статус у меня и всех моих алиасов "закрыт (превышен лимит трафика)";
- на всякий случай сделал: Управление - перечитать список тарифов, обновить список клиентов, рестарт;
- опять же, на всякий случай, проверил, что мой ip соответствует такому в биллинге, подождал минут 15-20;
- зашел по ssh на сателлит, обслуживающий мою подсеть;
- из под root-а дал команды cd /usr/local/nodeny и perl noserver.pl -v;
- обнаружил, что вывод этой команды ничем не отличается от приведенного вывода выше (кроме даты и времени);
- # ipfw table 10 list | grep хх.хх.86.130
хх.хх.86.130/32 1008 - проверил, что доступ в Сеть до сих пор у меня есть;
- зашел на форум и пишу ответ;
- решил оставаться на этом пакете так долго, как это возможно.
P.S. noserver не рестартовал (может надо было?) P.P.S. в логах noserver-а за сегодняшнюю дату записи отсутствуют Алгоритм не верный, просили сначала запустить носервер с параметром -v, А УЖ ПОТОМ ДЕЛАТЬ ВСЕ ДЕЙСТВИЯ С КЛИЕНТОМ!!!! потому что иначе получается поздно пить баржоми, уже прошли команды которые дают доступ клиенту. |
|
|
|
|
Записан
|
|
|
|
evp
NoDeny
Постоялец
Карма: -6
Offline
Сообщений: 113
|
|
« Ответ #29 : 26 Января 2010, 15:38:45 » |
|
Значит так. •из под root-а остановил noserver (никто из предыдущих ораторов об этом не упомянул, только Валентин в скайпе мне сказал об этом), далее perl noserver.pl -v > /root/file_noserver.txt; кстати, через 10 минут работы мне выдало: /: write failed, filesystem is full (отдельное спасибо за такую классную наводку); •выставил себе пакет "Заблокирован" с вышеприведенными характеристиками; •проверил в клиентской статистике, что выставлен статус у меня и всех моих алиасов "закрыт (превышен лимит трафика)"; •приступил к анализу файла file_noserver.txt; • xx.xx.86.130 новый для нас. Запомним в %All. Запуск из nofire.pl: &Add_To_All_Ip(xx.xx.86.130)
[ [1mnoserver.pl:LoadClientInfo [0m 390] xx.xx.86.130 трафик: 297127331210 за сутки: 4003962138 состояние now_on: 1
[ [1mnoserver.pl:LoadClientInfo [0m 390] xx.xx.86.130 трафик: 297127331210 за сутки: 4003962138 состояние now_on: 1
[ [1mnoserver.pl:LoadClientInfo [0m 533] ip: xx.xx.86.130 auth: no (всегда онлайн)
[ [1mnoserver.pl:Allow_inet [0m 219] ip: xx.xx.86.130 Userid: 5. Удовлетворяет условиям включения
[ [1mnoserver.pl:Allow_inet [0m 285] Текущий хеш всех актуальных данных клиента:
no 8 si:0 so:0 s2:0 sf: [7743][]
[ [1mnoserver.pl:Allow_inet [0m 290] Cовпадает с предыдущим. Клиент остается подключенным
...
(много аналогичных записей)
...
и вот:
[ [1mnoserver.pl:LoadClientInfo [0m 533] ip: xx.xx.86.130 auth: no (всегда онлайн)
[ [1mnoserver.pl:Allow_inet [0m 219] ip: xx.xx.86.130 Userid: 5. Удовлетворяет условиям включения
[ [1mnoserver.pl:Allow_inet [0m 285]
Текущий хеш всех актуальных данных клиента:
no 100 si:0 so:0 s2:0 sf:bdk [7743][]
[ [1mnoserver.pl:Allow_inet [0m 293]
Хеш данных изменился - отключим и включим. Предыдущий хеш:
no 8 si:0 so:0 s2:0 sf: [7743][]
[ [1mnoserver.pl:Deny_inet [0m 192] xx.xx.86.130 вызов &Deny из nofire.pl
[ [1mnoserver.pl:Allow_inet [0m 299] Вызов &Allow из nofire.pl ; •проверил, что доступ в Сеть до сих пор у меня есть; •зашел на форум и пишу ответ; •решил оставаться на этом пакете так долго, как это возможно. |
|
|
|
|
Записан
|
|
|
|
|
