myth Опубликовано 16 января, 2016 (изменено) · Жалоба #!/bin/sh data=`date +%F` hour=`date +%H` user="xxxxx" pass="xxxxxxx" db="abills" sql="SELECT * FROM errors_log WHERE date > '$data $hour:00:00' AND log_type =4" RES=`mysql -h127.0.0.1 -u $user -p$pass $db -e "$sql"` #printf "$RES" >test printf "$RES" |grep REJECT |awk '{print $15}'|sort -nr |uniq -dc >/var/www/BAN printf "$RES" |grep Disable |awk '{print $10}'|sort -nr| sed 's/^[ \t]*//;s/[ \t]*$//' | sed 's/^[CID: \t]*//;s/[ \t]*$//' |sort|uniq -dc >>/var/www/BAN #Добавляем в бан, если произошло более 40 попыток коннекта cat /var/www/BAN |sort -nr |awk '$1>"40" {print}'|cut -c 9-25 |uniq >/var/www/filter.txt #printf "$mac" cut -c 94-110 #cat /var/www/filter.txt На другом конце #!/bin/sh wget 192.168.35.2/filter.txt -O /etc/filter.txt cat /etc/filter.txt >/etc/accel-filter.txt /usr/bin/expect -c ' log_user 0 # Открываем telnet сессию на удалённом сервере, и ждем запроса имени пользователя. spawn telnet 127.0.0.1 2000 # Посылаем пароль. expect "Password:" # Посылаем пароль и ждем приглашения ввода командного интерпретатора. send "123\r" expect "accel-ppp" # Посылаем команду, и ждем следующего приглашения ввода командного интерпретатора. send "pppoe mac-filter reload\r" expect "accel-ppp" # send "pppoe mac-filter show\r" # expect "accel-ppp" # Завершаем сессию telnet, и ждем символа конца строки (eof). send "exit\r" expect eof ' #echo "11:22:33:44:55:66" >/etc/accel-filter.txt exit 0 Если кто-нибудь оптимизирует, буду рад). Запуск по крону раз в час. На соседний сервер закачиваю wget ом. Понимаю, что костыль, но лучше, чем никак. Изменено 16 января, 2016 пользователем myth Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 16 января, 2016 (изменено) · Жалоба Нету идей по оптимизации? Может быть можно к fail2ban прикрутить? Изменено 16 января, 2016 пользователем myth Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 17 января, 2016 (изменено) · Жалоба И почему-то не работает accel-cmd. Выдает Communication with accel-ppp closed , а также после команды "reload" перестает подгружаться файл с мак фильтром без явных ошибок. В чем может быть причина? Версия 1.10 Изменено 17 января, 2016 пользователем myth Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xeb Опубликовано 18 января, 2016 · Жалоба к слову, аксель в IPoE в каком-нибудь виде с IPv6 дружит или нет? при shared=0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 18 января, 2016 · Жалоба т.е. только vlan per user? ок, понял, буду так значит крутить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pashaumka Опубликовано 20 января, 2016 (изменено) · Жалоба Ув. Xeb... иногда проскакивает такая чушь show sessions ppp8 | kostev | f0:7d:68:4d:98:59 | 10.35.1.25 | 25600/10240 | pppoe | | active | 09:27:28 ppp113 | sluckaya | b8:70:f4:26:4e:96 | ppp113 | sluckaya | b8:70:f4:26:4e:96 | 10.35.1.29 | 512 ppp88 | aquaphor | bc:ae:c5:3b:2c:04 | 10.35.1.31 | 5120/1536 | pppoe | | active | 09:23:39 ppp124 | skripnik | 00:17:31:f2:cf:eb | 10.35.1.34 | 5120/3072 | pppoe | | active | 09:22:14 Изменено 20 января, 2016 пользователем pashaumka Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SokolovS Опубликовано 22 января, 2016 · Жалоба Сейчас настроена выдача динамических IPv6 адресов через ipv6-pool, подскажите могу ли я добавить в RADIUS атрибуты Framed-IPv6-Prefix и Delegated-IPv6-Prefix и отключить в настройках accel-ppp модуль ipv6pool? Нужен ли при такой конфигурации модуль ipv6_dhcp или его можно тоже отключить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 25 января, 2016 · Жалоба Если есть соотвествующие атрибуты от RADIUS, то ipv6-pool не нужен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zlolotus Опубликовано 26 января, 2016 · Жалоба Коллеги подскажите, кто нибудь использует accel с utm5 ? Иногда, но очень редко проскакивают двойные подключения. Не могли бы показать секцию [radius], может быть я где-то ступил. [radius] dictionary=/usr/local/share/accel-ppp/radius/dictionary nas-identifier=vpn8 nas-ip-address=192.168.0.8 gw-ip-address=172.16.0.1 $ server=192.x.0.x,xxx,auth-port=1812,acct-port=1813,req-limit=150,fail-time $ dae-server=192.x.0.x:3799,x verbose=1 #timeout=3 #max-try=3 #acct-timeout=120 acct-timeout=1000 #acct-delay-time=0 acct-interim-interval=300 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 26 января, 2016 · Жалоба двойные подключения - это некоторые роутеры долбятся, устанавливая 2 и более сессии. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nik247 Опубликовано 26 января, 2016 (изменено) · Жалоба to zlolotus: Это пробовали? [common] single-session=replace Изменено 26 января, 2016 пользователем nik247 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iValera Опубликовано 27 января, 2016 · Жалоба Сколько максимум клиентов/pps/Gbps удается снять с accel-ppp при: 1. PPPoE+shaping 2. PPPoE+shaping+NAT 2. IPoE+shaping+NAT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 27 января, 2016 · Жалоба Это делает ядро линукс, а не accel. Так что всё зависит от версии ядра и железа Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zlolotus Опубликовано 27 января, 2016 · Жалоба to zlolotus: Это пробовали? [common] single-session=replace спасибо, нет не пробовал. А это поможет, если абоненты на разных насах? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nik247 Опубликовано 27 января, 2016 (изменено) · Жалоба to zlolotus: Это пробовали? [common] single-session=replace спасибо, нет не пробовал. А это поможет, если абоненты на разных насах? Если это с конфига accel-ppp, то для двух НАСов помочь не сможет, только для одного. Изменено 27 января, 2016 пользователем nik247 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zlolotus Опубликовано 28 января, 2016 · Жалоба Имеем accel-ppp с терминацией по ipoe (L2 shared и vlan per user) Столкнулись со следующей ситуацией: accel если не получает ответа от радиус сервера на запрос типа Interim-Update убивает сессии которые относятся к данному запросу. Вопрос: Можна сделать это опционально (убивание сессий если не пришел ответ от радиус сервера на Interim-Update запрос от accel )? т.е. чтобы можна включать и отключать этот функционал в конфиге. Коллеги, дико извиняюсь, если тема проскакивала(упорно гуглил :) ). Представим ситуацию.. Radius сервер недоступен, nas не получает ответа интерим апдейт. Как правило, нас уходит в панику. Или все-таки нет? Или по феньшую, тушаться сессии, для которых не пришел ответ интерим апдейт? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimka88 Опубликовано 28 января, 2016 (изменено) · Жалоба Или по феньшую, тушаться сессии, для которых не пришел ответ интерим апдейт? Из Wiki accel-ppp http://accel-ppp.org/wiki/doku.php?id=ru:configfile#radius acct-timeout=n Specifies timeout to wait reply for Interim-Update packets. If n is greater than zero then session will be terminated after timeout exceeds. If n is zero then don't retransmit Interim-Update packets and don't terminate session. Изменено 28 января, 2016 пользователем Dimka88 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 28 января, 2016 · Жалоба При установленном acct-timeout=0 ничего не происходит, NAS работает автономно не отсылая апдейты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dmitry76 Опубликовано 28 января, 2016 · Жалоба Сколько максимум клиентов/pps/Gbps удается снять с accel-ppp при: 1. PPPoE+shaping 2. PPPoE+shaping+NAT 2. IPoE+shaping+NAT Уже писали, что зависит от железа/системы. На практике по п.1 у меня 7000/700kpps7Gbps Centos 6.7 + Xeon E5-1650 v3 @ 3.50GHz + Intel 82599ES 10-Gigabit Но уже почти в упор по железу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_longhorn_ Опубликовано 28 января, 2016 · Жалоба Извиняюсь за оффтоп, но все же спрошу. Никто еще не пробовал 4.1.16 на pppoe? Там вроде как подкрутиличто-то. Сам буду пробовать не раньше следующего месяца. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 28 января, 2016 · Жалоба один из патчей вкрутили который я ручками на 4.1.14-15 накладывал, больше - не смотрел. пока откатился на 3.2 и 3.10, надоело экспериментировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
byteplayer Опубликовано 30 января, 2016 · Жалоба один из патчей вкрутили который я ручками на 4.1.14-15 накладывал, больше - не смотрел. пока откатился на 3.2 и 3.10, надоело экспериментировать. А почему не на 3.2 или не на 3.10, а и на то и на то? И какая версия акселя? Сколько максимум клиентов/pps/Gbps удается снять с accel-ppp при: 1. PPPoE+shaping 2. PPPoE+shaping+NAT 2. IPoE+shaping+NAT Уже писали, что зависит от железа/системы. На практике по п.1 у меня 7000/700kpps7Gbps Centos 6.7 + Xeon E5-1650 v3 @ 3.50GHz + Intel 82599ES 10-Gigabit Но уже почти в упор по железу. А можно версию ОС, версию ядра и версию акселя? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 30 января, 2016 · Жалоба А почему не на 3.2 или не на 3.10, а и на то и на то? на паре серверов 3.2 собрал, на одном - 3.10 на пробу. и то и то стабильно работает. И какая версия акселя? 1.10 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
byteplayer Опубликовано 30 января, 2016 (изменено) · Жалоба А почему не на 3.2 или не на 3.10, а и на то и на то? на паре серверов 3.2 собрал, на одном - 3.10 на пробу. и то и то стабильно работает. И какая версия акселя? 1.10 А в чём принципиальное отличие 1.9 от 1.10? Что там сделано такого, без чего 1.9 уже не катит? Просто у автора есть всё собрано под Wheezy 7.9 (ядро 3.2.х), но версия 1.9, а 1.10 только в исходниках. Вот я и интересуюсь, что я получу, если я установлю готовые пакеты, и что, если соберу 1.10? Изменено 30 января, 2016 пользователем byteplayer Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 30 января, 2016 · Жалоба ну чейнжлог по коммитам гита можно посмотреть. в частности по IPoE там модификации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...