myth Опубликовано 11 января, 2016 · Жалоба Чуть не забыл - еще стоит unbound(dns), apache(обращений очень мало, всего несколько в день). Сейчас тормозну все, что можно, очищу кэш и буду наблюдать. О результатах отпишусь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 11 января, 2016 · Жалоба еще раз говорю - если это кэш ФС, то это норма, более того - разумное и адекватное поведение системы - все, к чему было обращение, ложится в кэш, и лежит там пока не понадобится снова или пока не закончится свободная память. и не надо ничего чистить - будет системе нужна память, она сама из кэша самые старые данные выкинет, положив вместо них код. то в вендах корявых типа 2000/ХР (о 9х не говорю вообще) кэш жил своей непонятной жизнью... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 11 января, 2016 · Жалоба Спасибо, понял. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 13 января, 2016 (изменено) · Жалоба NiTr0, после долгих разборов выяснилось, что виной auth avg query time(5m/1m): 1007/1000 ms является reject_delay = 1 в конфиге радиуса.Установка ее в 0 исправляет это. Изменено 13 января, 2016 пользователем myth Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 14 января, 2016 · Жалоба Посетила интересная мысль - можно ли как-нибудь поженить Abills и mac-filter accel-ppp? Например, после 100 неудачных попыток авторизации мак адрес блокируется, скажем, на час. Поясняю зачем нужно - при отключении юзера из биллинга клиентские роутеры начинают засыпать сервер, и, как следствие, логи запросами авторизации. И это бы решило проблему... Или не биллинга - скриптами, или еще как. Никто подобным не заморачивался? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
telecom Опубликовано 14 января, 2016 · Жалоба Посетила интересная мысль - можно ли как-нибудь поженить Abills и mac-filter accel-ppp? Например, после 100 неудачных попыток авторизации мак адрес блокируется, скажем, на час. Поясняю зачем нужно - при отключении юзера из биллинга клиентские роутеры начинают засыпать сервер, и, как следствие, логи запросами авторизации. И это бы решило проблему... Или не биллинга - скриптами, или еще как. Никто подобным не заморачивался? BGBilling давно это реализовал... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 14 января, 2016 · Жалоба Ну, из-за такой мелочи глупо переходить на другой биллинг. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimka88 Опубликовано 14 января, 2016 (изменено) · Жалоба Посетила интересная мысль - можно ли как-нибудь поженить Abills и mac-filter accel-ppp? Например, после 100 неудачных попыток авторизации мак адрес блокируется, скажем, на час. Поясняю зачем нужно - при отключении юзера из биллинга клиентские роутеры начинают засыпать сервер, и, как следствие, логи запросами авторизации. И это бы решило проблему... Вы заглядывали в исходники Abills? Там нет ничего сложного для реализации данной ваших хотелок, но это должен делать не биллинг! Биллинг пусть занимается калькуляцией. Я как то давненько, так же интересовался подобным методом со стороны NAS, хотелось аналог port error disabled с возможностью восстановления через некоторое время, в общем реализовать не смог. Может ,xeb попробует реализовать? myth, напишите на форуме accel-ppp.org в разделе Feature requests. Изменено 14 января, 2016 пользователем Dimka88 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 14 января, 2016 (изменено) · Жалоба Да, вопрос интересный. Тоже постоянно получаем огромный auth_history в LB из-за вот таких запросов: #15 -- blocked #14 -- wrong password #11 -- user not found black list как таковой там есть, но клиент просто не сможет авторизоваться если его занести в radblacklog и запись всё равно журналируется. Изменено 14 января, 2016 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 14 января, 2016 · Жалоба Приходит на ум какой-то radiusproxy который банит по username или маку, чтоб не забивать accel таким функционалом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 14 января, 2016 · Жалоба Это как-то избавит nas от паразитной нагрузки? Когда таких юзеров десяток-два, это вообще ужас... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nik247 Опубликовано 14 января, 2016 (изменено) · Жалоба Это как-то избавит nas от паразитной нагрузки? Когда таких юзеров десяток-два, это вообще ужас... Я думаю минимум логи будут меньше засираться...Да и биллингу будет полегче. http://accel-ppp.org/forum/viewtopic.php?f=16&t=579 Изменено 14 января, 2016 пользователем nik247 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 14 января, 2016 · Жалоба nik247, http://accel-ppp.org/forum/viewtopic.php?f=16&t=578 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 14 января, 2016 · Жалоба nik247+ ко всему radius proxy - дополнительная прослойка, задержки, точка отказа.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pashaumka Опубликовано 14 января, 2016 (изменено) · Жалоба реализовал иначе биллинг в радиусе подменяет Framed-IP-address на Franed-Pool = block_po_oplate в Аккеле [ip-pool] gw-ip-address=91.A.R.34 #vendor=Cisco #attr=Cisco-AVPair attr=Framed-Pool 91.A.B.0/24,name=ip_pool_server_based 10.X.240.0/20,name=block_po_oplate в результате хомячкам выдается айпишка, и фаерволом на "заплати" Изменено 14 января, 2016 пользователем pashaumka Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nik247 Опубликовано 14 января, 2016 · Жалоба to pashaumka: При чем здесь блок по неоплате? Он есть и работает по похожему принципа, как Вы написали. Но мы говорили про случаи, когда например роутеры сходят с ума... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pashaumka Опубликовано 14 января, 2016 · Жалоба анализ логов и звонок абону/отключение на порту... у вас часто бывает эта ситуация? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 15 января, 2016 · Жалоба Погодите, нафига радиусу или биллингу разбираться блочить ли accel кого-то за постоянную долбежку, или нет? Это же все спокойно реализуется через fail2ban. Настройте парсинг логов, 10 неудачных попыток - посцлаем в accel команду на блок MAC. Через час посылаем команду на разблок. У себя это сделали очень давно, когда задолбали всякие говноDIR'ы, которые при каждом чихе начинают пытаться поднять по 100500 соединений. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 15 января, 2016 · Жалоба Погодите, нафига радиусу или биллингу разбираться блочить ли accel кого-то за постоянную долбежку, или нет? Это же все спокойно реализуется через fail2ban. Настройте парсинг логов, 10 неудачных попыток - посцлаем в accel команду на блок MAC. Через час посылаем команду на разблок. У себя это сделали очень давно, когда задолбали всякие говноDIR'ы, которые при каждом чихе начинают пытаться поднять по 100500 соединений. В логах должен MAC фигурировать ? Мы используем LB, MAC будет только если логи в debug режиме (или verbose), что значительно увеличивается нагрузку на диски и возрастает объём логов. Второй момент это когда речь о роутерах (клиент в блокировке, но на почти всех роутерах указано connect automatically) - постоянно получаем очень много записей blocked by balance, можно таких банить на какое то время, а если он сходил оплатил, а бан еще остался? и вот таких записей бывает много, думаю что от какой то вирусни... Их конечно можно банить безоговорочно. 25.12.2015 03:03:56 INFO 0x7f9b72bfd700 [RunAuthRequest] Access-Reject, <2:4H7AtRd>, {user <2:4H7AtRd> not found} 25.12.2015 03:04:03 INFO 0x7f9b72bfd700 [RunAuthRequest] Access-Reject, <^^2307>, {user <^^2307> not found} 25.12.2015 03:04:09 INFO 0x7f9b72bfd700 [RunAuthRequest] Access-Reject, <^M0'.[>&A7c2307>, {user <^M0'.[>&A7c2307> not found} 25.12.2015 03:04:15 INFO 0x7f9b72bfd700 [RunAuthRequest] Access-Reject, <^M^J7*[>WA9a2307>, {user <^M^J7*[>WA9a2307> not found} 25.12.2015 03:04:26 INFO 0x7f9b72bfd700 [RunAuthRequest] Access-Reject, <~4230>, {user <~42307> not found} 25.12.2015 03:04:31 INFO 0x7f9b72bfd700 [RunAuthRequest] Access-Reject, <a:DQAi9LYCNaFEhUQFFgCZu0fMGVZs0Nf::2307>, {user <a:DQAi9LYCNaFEhUQFFgCZu0fMGVZs0Nf::2307> not found} Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 15 января, 2016 · Жалоба Не понял, это кусок лога на стороне сервера RADIUS что ли? Если да, то он там нафиг не нужен. Парсить надо логи самого accel. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 15 января, 2016 · Жалоба Не понял, это кусок лога на стороне сервера RADIUS что ли? Если да, то он там нафиг не нужен. Парсить надо логи самого accel. Да, это с радиус сервера. Идея интересная, надо попробовать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 15 января, 2016 · Жалоба есть же в акселе лимит коннектов... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pashaumka Опубликовано 15 января, 2016 (изменено) · Жалоба УРА!!! accel-ppp + tp_link841 v10 работает с ipv6 со штатной прошивкой ( pppoe ) баги - accel-ppp не отдает в логи deleteged_ipv6_prefix и срочно надо именные префиксы для ipv6 framed_pool_name ( я уже писал ).. уже были преценденты (( Хотя появилась куча вопросов:::: как я могу судить по pre-ip-up то почему ipv префикс выдается абону, если он ещё не авторизовался??? CALLED_SID=00:15:17:91:80:ecCALLING_SID=00:1a:92:56:ad:01 IPV6_PREFIX=2001:67c:21f0:308b:d48d:5f7d:776d:3952/64 PWD=/ PEERNAME=lyannoi Изменено 15 января, 2016 пользователем pashaumka Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 16 января, 2016 · Жалоба к слову, аксель в IPoE в каком-нибудь виде с IPv6 дружит или нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 16 января, 2016 · Жалоба Налепил скриптик, вытягивающий маки из Абиллса, но что дальше? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...