Перейти к содержимому
Калькуляторы

Чуть не забыл - еще стоит unbound(dns), apache(обращений очень мало, всего несколько в день). Сейчас тормозну все, что можно, очищу кэш и буду наблюдать. О результатах отпишусь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

еще раз говорю - если это кэш ФС, то это норма, более того - разумное и адекватное поведение системы - все, к чему было обращение, ложится в кэш, и лежит там пока не понадобится снова или пока не закончится свободная память.

 

и не надо ничего чистить - будет системе нужна память, она сама из кэша самые старые данные выкинет, положив вместо них код.

 

то в вендах корявых типа 2000/ХР (о 9х не говорю вообще) кэш жил своей непонятной жизнью...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

NiTr0, после долгих разборов выяснилось, что виной auth avg query time(5m/1m): 1007/1000 ms является

reject_delay = 1 в конфиге радиуса.Установка ее в 0 исправляет это.

Изменено пользователем myth

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Посетила интересная мысль - можно ли как-нибудь поженить Abills и mac-filter accel-ppp? Например, после 100 неудачных попыток авторизации мак адрес блокируется, скажем, на час. Поясняю зачем нужно - при отключении юзера из биллинга клиентские роутеры начинают засыпать сервер, и, как следствие, логи запросами авторизации. И это бы решило проблему...

 

Или не биллинга - скриптами, или еще как. Никто подобным не заморачивался?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Посетила интересная мысль - можно ли как-нибудь поженить Abills и mac-filter accel-ppp? Например, после 100 неудачных попыток авторизации мак адрес блокируется, скажем, на час. Поясняю зачем нужно - при отключении юзера из биллинга клиентские роутеры начинают засыпать сервер, и, как следствие, логи запросами авторизации. И это бы решило проблему...

 

Или не биллинга - скриптами, или еще как. Никто подобным не заморачивался?

BGBilling давно это реализовал...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну, из-за такой мелочи глупо переходить на другой биллинг.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Посетила интересная мысль - можно ли как-нибудь поженить Abills и mac-filter accel-ppp? Например, после 100 неудачных попыток авторизации мак адрес блокируется, скажем, на час. Поясняю зачем нужно - при отключении юзера из биллинга клиентские роутеры начинают засыпать сервер, и, как следствие, логи запросами авторизации. И это бы решило проблему...

Вы заглядывали в исходники Abills? Там нет ничего сложного для реализации данной ваших хотелок, но это должен делать не биллинг! Биллинг пусть занимается калькуляцией. Я как то давненько, так же интересовался подобным методом со стороны NAS, хотелось аналог port error disabled с возможностью восстановления через некоторое время, в общем реализовать не смог.

Может ,xeb попробует реализовать?

myth, напишите на форуме accel-ppp.org в разделе Feature requests.

Изменено пользователем Dimka88

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, вопрос интересный. Тоже постоянно получаем огромный auth_history в LB из-за вот таких запросов:

#15 -- blocked

#14 -- wrong password

#11 -- user not found

 

black list как таковой там есть, но клиент просто не сможет авторизоваться если его занести в radblacklog и запись всё равно журналируется.

Изменено пользователем hsvt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Приходит на ум какой-то radiusproxy который банит по username или маку, чтоб не забивать accel таким функционалом

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это как-то избавит nas от паразитной нагрузки?

 

Когда таких юзеров десяток-два, это вообще ужас...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это как-то избавит nas от паразитной нагрузки?

Когда таких юзеров десяток-два, это вообще ужас...

Я думаю минимум логи будут меньше засираться...

Да и биллингу будет полегче.

http://accel-ppp.org/forum/viewtopic.php?f=16&t=579

Изменено пользователем nik247

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

nik247+ ко всему radius proxy - дополнительная прослойка, задержки, точка отказа....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

реализовал иначе

биллинг в радиусе подменяет Framed-IP-address на Franed-Pool = block_po_oplate

 

в Аккеле

 

[ip-pool]

gw-ip-address=91.A.R.34

#vendor=Cisco

#attr=Cisco-AVPair

attr=Framed-Pool

91.A.B.0/24,name=ip_pool_server_based

10.X.240.0/20,name=block_po_oplate

 

в результате хомячкам выдается айпишка, и фаерволом на "заплати"

Изменено пользователем pashaumka

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

to pashaumka:

При чем здесь блок по неоплате?

Он есть и работает по похожему принципа, как Вы написали.

Но мы говорили про случаи, когда например роутеры сходят с ума...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

анализ логов и звонок абону/отключение на порту...

у вас часто бывает эта ситуация?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Погодите, нафига радиусу или биллингу разбираться блочить ли accel кого-то за постоянную долбежку, или нет? Это же все спокойно реализуется через fail2ban. Настройте парсинг логов, 10 неудачных попыток - посцлаем в accel команду на блок MAC. Через час посылаем команду на разблок. У себя это сделали очень давно, когда задолбали всякие говноDIR'ы, которые при каждом чихе начинают пытаться поднять по 100500 соединений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Погодите, нафига радиусу или биллингу разбираться блочить ли accel кого-то за постоянную долбежку, или нет? Это же все спокойно реализуется через fail2ban. Настройте парсинг логов, 10 неудачных попыток - посцлаем в accel команду на блок MAC. Через час посылаем команду на разблок. У себя это сделали очень давно, когда задолбали всякие говноDIR'ы, которые при каждом чихе начинают пытаться поднять по 100500 соединений.

 

В логах должен MAC фигурировать ? Мы используем LB, MAC будет только если логи в debug режиме (или verbose), что значительно увеличивается нагрузку на диски и возрастает объём логов. Второй момент это когда речь о роутерах (клиент в блокировке, но на почти всех роутерах указано connect automatically) - постоянно получаем очень много записей blocked by balance, можно таких банить на какое то время, а если он сходил оплатил, а бан еще остался?

 

и вот таких записей бывает много, думаю что от какой то вирусни... Их конечно можно банить безоговорочно.

 

25.12.2015 03:03:56 INFO        0x7f9b72bfd700  [RunAuthRequest]        Access-Reject, <2:4H7AtRd>, {user <2:4H7AtRd> not found}
25.12.2015 03:04:03 INFO        0x7f9b72bfd700  [RunAuthRequest]        Access-Reject, <^^2307>, {user <^^2307> not found}
25.12.2015 03:04:09 INFO        0x7f9b72bfd700  [RunAuthRequest]        Access-Reject, <^M0'.[>&A7c2307>, {user <^M0'.[>&A7c2307> not found}
25.12.2015 03:04:15 INFO        0x7f9b72bfd700  [RunAuthRequest]        Access-Reject, <^M^J7*[>WA9a2307>, {user <^M^J7*[>WA9a2307> not found}
25.12.2015 03:04:26 INFO        0x7f9b72bfd700  [RunAuthRequest]        Access-Reject, <~4230>, {user <~42307> not found}
25.12.2015 03:04:31 INFO        0x7f9b72bfd700  [RunAuthRequest]        Access-Reject, <a:DQAi9LYCNaFEhUQFFgCZu0fMGVZs0Nf::2307>, {user <a:DQAi9LYCNaFEhUQFFgCZu0fMGVZs0Nf::2307> not found}

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не понял, это кусок лога на стороне сервера RADIUS что ли? Если да, то он там нафиг не нужен. Парсить надо логи самого accel.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не понял, это кусок лога на стороне сервера RADIUS что ли? Если да, то он там нафиг не нужен. Парсить надо логи самого accel.

 

Да, это с радиус сервера. Идея интересная, надо попробовать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

есть же в акселе лимит коннектов...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

УРА!!! accel-ppp + tp_link841 v10 работает с ipv6 со штатной прошивкой ( pppoe )

 

баги - accel-ppp не отдает в логи deleteged_ipv6_prefix

 

и срочно надо именные префиксы для ipv6 framed_pool_name ( я уже писал ).. уже были преценденты ((

 

Хотя появилась куча вопросов::::

 

как я могу судить по pre-ip-up то почему ipv префикс выдается абону, если он ещё не авторизовался???

CALLED_SID=00:15:17:91:80:ec

CALLING_SID=00:1a:92:56:ad:01

IPV6_PREFIX=2001:67c:21f0:308b:d48d:5f7d:776d:3952/64

PWD=/

PEERNAME=lyannoi

Изменено пользователем pashaumka

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

к слову, аксель в IPoE в каком-нибудь виде с IPv6 дружит или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Налепил скриптик, вытягивающий маки из Абиллса, но что дальше?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.