Jump to content
Калькуляторы

Чуть не забыл - еще стоит unbound(dns), apache(обращений очень мало, всего несколько в день). Сейчас тормозну все, что можно, очищу кэш и буду наблюдать. О результатах отпишусь.

Share this post


Link to post
Share on other sites

еще раз говорю - если это кэш ФС, то это норма, более того - разумное и адекватное поведение системы - все, к чему было обращение, ложится в кэш, и лежит там пока не понадобится снова или пока не закончится свободная память.

 

и не надо ничего чистить - будет системе нужна память, она сама из кэша самые старые данные выкинет, положив вместо них код.

 

то в вендах корявых типа 2000/ХР (о 9х не говорю вообще) кэш жил своей непонятной жизнью...

Share this post


Link to post
Share on other sites

NiTr0, после долгих разборов выяснилось, что виной auth avg query time(5m/1m): 1007/1000 ms является

reject_delay = 1 в конфиге радиуса.Установка ее в 0 исправляет это.

Edited by myth

Share this post


Link to post
Share on other sites

Посетила интересная мысль - можно ли как-нибудь поженить Abills и mac-filter accel-ppp? Например, после 100 неудачных попыток авторизации мак адрес блокируется, скажем, на час. Поясняю зачем нужно - при отключении юзера из биллинга клиентские роутеры начинают засыпать сервер, и, как следствие, логи запросами авторизации. И это бы решило проблему...

 

Или не биллинга - скриптами, или еще как. Никто подобным не заморачивался?

Share this post


Link to post
Share on other sites

Посетила интересная мысль - можно ли как-нибудь поженить Abills и mac-filter accel-ppp? Например, после 100 неудачных попыток авторизации мак адрес блокируется, скажем, на час. Поясняю зачем нужно - при отключении юзера из биллинга клиентские роутеры начинают засыпать сервер, и, как следствие, логи запросами авторизации. И это бы решило проблему...

 

Или не биллинга - скриптами, или еще как. Никто подобным не заморачивался?

BGBilling давно это реализовал...

Share this post


Link to post
Share on other sites

Ну, из-за такой мелочи глупо переходить на другой биллинг.

Share this post


Link to post
Share on other sites

Посетила интересная мысль - можно ли как-нибудь поженить Abills и mac-filter accel-ppp? Например, после 100 неудачных попыток авторизации мак адрес блокируется, скажем, на час. Поясняю зачем нужно - при отключении юзера из биллинга клиентские роутеры начинают засыпать сервер, и, как следствие, логи запросами авторизации. И это бы решило проблему...

Вы заглядывали в исходники Abills? Там нет ничего сложного для реализации данной ваших хотелок, но это должен делать не биллинг! Биллинг пусть занимается калькуляцией. Я как то давненько, так же интересовался подобным методом со стороны NAS, хотелось аналог port error disabled с возможностью восстановления через некоторое время, в общем реализовать не смог.

Может ,xeb попробует реализовать?

myth, напишите на форуме accel-ppp.org в разделе Feature requests.

Edited by Dimka88

Share this post


Link to post
Share on other sites

Да, вопрос интересный. Тоже постоянно получаем огромный auth_history в LB из-за вот таких запросов:

#15 -- blocked

#14 -- wrong password

#11 -- user not found

 

black list как таковой там есть, но клиент просто не сможет авторизоваться если его занести в radblacklog и запись всё равно журналируется.

Edited by hsvt

Share this post


Link to post
Share on other sites

Приходит на ум какой-то radiusproxy который банит по username или маку, чтоб не забивать accel таким функционалом

Share this post


Link to post
Share on other sites

Это как-то избавит nas от паразитной нагрузки?

 

Когда таких юзеров десяток-два, это вообще ужас...

Share this post


Link to post
Share on other sites

Это как-то избавит nas от паразитной нагрузки?

Когда таких юзеров десяток-два, это вообще ужас...

Я думаю минимум логи будут меньше засираться...

Да и биллингу будет полегче.

http://accel-ppp.org/forum/viewtopic.php?f=16&t=579

Edited by nik247

Share this post


Link to post
Share on other sites

nik247+ ко всему radius proxy - дополнительная прослойка, задержки, точка отказа....

Share this post


Link to post
Share on other sites

реализовал иначе

биллинг в радиусе подменяет Framed-IP-address на Franed-Pool = block_po_oplate

 

в Аккеле

 

[ip-pool]

gw-ip-address=91.A.R.34

#vendor=Cisco

#attr=Cisco-AVPair

attr=Framed-Pool

91.A.B.0/24,name=ip_pool_server_based

10.X.240.0/20,name=block_po_oplate

 

в результате хомячкам выдается айпишка, и фаерволом на "заплати"

Edited by pashaumka

Share this post


Link to post
Share on other sites

to pashaumka:

При чем здесь блок по неоплате?

Он есть и работает по похожему принципа, как Вы написали.

Но мы говорили про случаи, когда например роутеры сходят с ума...

Share this post


Link to post
Share on other sites

анализ логов и звонок абону/отключение на порту...

у вас часто бывает эта ситуация?

Share this post


Link to post
Share on other sites

Погодите, нафига радиусу или биллингу разбираться блочить ли accel кого-то за постоянную долбежку, или нет? Это же все спокойно реализуется через fail2ban. Настройте парсинг логов, 10 неудачных попыток - посцлаем в accel команду на блок MAC. Через час посылаем команду на разблок. У себя это сделали очень давно, когда задолбали всякие говноDIR'ы, которые при каждом чихе начинают пытаться поднять по 100500 соединений.

Share this post


Link to post
Share on other sites

Погодите, нафига радиусу или биллингу разбираться блочить ли accel кого-то за постоянную долбежку, или нет? Это же все спокойно реализуется через fail2ban. Настройте парсинг логов, 10 неудачных попыток - посцлаем в accel команду на блок MAC. Через час посылаем команду на разблок. У себя это сделали очень давно, когда задолбали всякие говноDIR'ы, которые при каждом чихе начинают пытаться поднять по 100500 соединений.

 

В логах должен MAC фигурировать ? Мы используем LB, MAC будет только если логи в debug режиме (или verbose), что значительно увеличивается нагрузку на диски и возрастает объём логов. Второй момент это когда речь о роутерах (клиент в блокировке, но на почти всех роутерах указано connect automatically) - постоянно получаем очень много записей blocked by balance, можно таких банить на какое то время, а если он сходил оплатил, а бан еще остался?

 

и вот таких записей бывает много, думаю что от какой то вирусни... Их конечно можно банить безоговорочно.

 

25.12.2015 03:03:56 INFO        0x7f9b72bfd700  [RunAuthRequest]        Access-Reject, <2:4H7AtRd>, {user <2:4H7AtRd> not found}
25.12.2015 03:04:03 INFO        0x7f9b72bfd700  [RunAuthRequest]        Access-Reject, <^^2307>, {user <^^2307> not found}
25.12.2015 03:04:09 INFO        0x7f9b72bfd700  [RunAuthRequest]        Access-Reject, <^M0'.[>&A7c2307>, {user <^M0'.[>&A7c2307> not found}
25.12.2015 03:04:15 INFO        0x7f9b72bfd700  [RunAuthRequest]        Access-Reject, <^M^J7*[>WA9a2307>, {user <^M^J7*[>WA9a2307> not found}
25.12.2015 03:04:26 INFO        0x7f9b72bfd700  [RunAuthRequest]        Access-Reject, <~4230>, {user <~42307> not found}
25.12.2015 03:04:31 INFO        0x7f9b72bfd700  [RunAuthRequest]        Access-Reject, <a:DQAi9LYCNaFEhUQFFgCZu0fMGVZs0Nf::2307>, {user <a:DQAi9LYCNaFEhUQFFgCZu0fMGVZs0Nf::2307> not found}

Share this post


Link to post
Share on other sites

Не понял, это кусок лога на стороне сервера RADIUS что ли? Если да, то он там нафиг не нужен. Парсить надо логи самого accel.

Share this post


Link to post
Share on other sites

Не понял, это кусок лога на стороне сервера RADIUS что ли? Если да, то он там нафиг не нужен. Парсить надо логи самого accel.

 

Да, это с радиус сервера. Идея интересная, надо попробовать.

Share this post


Link to post
Share on other sites

УРА!!! accel-ppp + tp_link841 v10 работает с ipv6 со штатной прошивкой ( pppoe )

 

баги - accel-ppp не отдает в логи deleteged_ipv6_prefix

 

и срочно надо именные префиксы для ipv6 framed_pool_name ( я уже писал ).. уже были преценденты ((

 

Хотя появилась куча вопросов::::

 

как я могу судить по pre-ip-up то почему ipv префикс выдается абону, если он ещё не авторизовался???

CALLED_SID=00:15:17:91:80:ec

CALLING_SID=00:1a:92:56:ad:01

IPV6_PREFIX=2001:67c:21f0:308b:d48d:5f7d:776d:3952/64

PWD=/

PEERNAME=lyannoi

Edited by pashaumka

Share this post


Link to post
Share on other sites

к слову, аксель в IPoE в каком-нибудь виде с IPv6 дружит или нет?

Share this post


Link to post
Share on other sites

Налепил скриптик, вытягивающий маки из Абиллса, но что дальше?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now