myth Posted January 16, 2016 (edited) · Report post #!/bin/sh data=`date +%F` hour=`date +%H` user="xxxxx" pass="xxxxxxx" db="abills" sql="SELECT * FROM errors_log WHERE date > '$data $hour:00:00' AND log_type =4" RES=`mysql -h127.0.0.1 -u $user -p$pass $db -e "$sql"` #printf "$RES" >test printf "$RES" |grep REJECT |awk '{print $15}'|sort -nr |uniq -dc >/var/www/BAN printf "$RES" |grep Disable |awk '{print $10}'|sort -nr| sed 's/^[ \t]*//;s/[ \t]*$//' | sed 's/^[CID: \t]*//;s/[ \t]*$//' |sort|uniq -dc >>/var/www/BAN #Добавляем в бан, если произошло более 40 попыток коннекта cat /var/www/BAN |sort -nr |awk '$1>"40" {print}'|cut -c 9-25 |uniq >/var/www/filter.txt #printf "$mac" cut -c 94-110 #cat /var/www/filter.txt На другом конце #!/bin/sh wget 192.168.35.2/filter.txt -O /etc/filter.txt cat /etc/filter.txt >/etc/accel-filter.txt /usr/bin/expect -c ' log_user 0 # Открываем telnet сессию на удалённом сервере, и ждем запроса имени пользователя. spawn telnet 127.0.0.1 2000 # Посылаем пароль. expect "Password:" # Посылаем пароль и ждем приглашения ввода командного интерпретатора. send "123\r" expect "accel-ppp" # Посылаем команду, и ждем следующего приглашения ввода командного интерпретатора. send "pppoe mac-filter reload\r" expect "accel-ppp" # send "pppoe mac-filter show\r" # expect "accel-ppp" # Завершаем сессию telnet, и ждем символа конца строки (eof). send "exit\r" expect eof ' #echo "11:22:33:44:55:66" >/etc/accel-filter.txt exit 0 Если кто-нибудь оптимизирует, буду рад). Запуск по крону раз в час. На соседний сервер закачиваю wget ом. Понимаю, что костыль, но лучше, чем никак. Edited January 16, 2016 by myth Share this post Link to post Share on other sites
myth Posted January 16, 2016 (edited) · Report post Нету идей по оптимизации? Может быть можно к fail2ban прикрутить? Edited January 16, 2016 by myth Share this post Link to post Share on other sites
myth Posted January 17, 2016 (edited) · Report post И почему-то не работает accel-cmd. Выдает Communication with accel-ppp closed , а также после команды "reload" перестает подгружаться файл с мак фильтром без явных ошибок. В чем может быть причина? Версия 1.10 Edited January 17, 2016 by myth Share this post Link to post Share on other sites
xeb Posted January 18, 2016 · Report post к слову, аксель в IPoE в каком-нибудь виде с IPv6 дружит или нет? при shared=0 Share this post Link to post Share on other sites
NiTr0 Posted January 18, 2016 · Report post т.е. только vlan per user? ок, понял, буду так значит крутить. Share this post Link to post Share on other sites
pashaumka Posted January 20, 2016 (edited) · Report post Ув. Xeb... иногда проскакивает такая чушь show sessions ppp8 | kostev | f0:7d:68:4d:98:59 | 10.35.1.25 | 25600/10240 | pppoe | | active | 09:27:28 ppp113 | sluckaya | b8:70:f4:26:4e:96 | ppp113 | sluckaya | b8:70:f4:26:4e:96 | 10.35.1.29 | 512 ppp88 | aquaphor | bc:ae:c5:3b:2c:04 | 10.35.1.31 | 5120/1536 | pppoe | | active | 09:23:39 ppp124 | skripnik | 00:17:31:f2:cf:eb | 10.35.1.34 | 5120/3072 | pppoe | | active | 09:22:14 Edited January 20, 2016 by pashaumka Share this post Link to post Share on other sites
SokolovS Posted January 22, 2016 · Report post Сейчас настроена выдача динамических IPv6 адресов через ipv6-pool, подскажите могу ли я добавить в RADIUS атрибуты Framed-IPv6-Prefix и Delegated-IPv6-Prefix и отключить в настройках accel-ppp модуль ipv6pool? Нужен ли при такой конфигурации модуль ipv6_dhcp или его можно тоже отключить? Share this post Link to post Share on other sites
taf_321 Posted January 25, 2016 · Report post Если есть соотвествующие атрибуты от RADIUS, то ipv6-pool не нужен. Share this post Link to post Share on other sites
zlolotus Posted January 26, 2016 · Report post Коллеги подскажите, кто нибудь использует accel с utm5 ? Иногда, но очень редко проскакивают двойные подключения. Не могли бы показать секцию [radius], может быть я где-то ступил. [radius] dictionary=/usr/local/share/accel-ppp/radius/dictionary nas-identifier=vpn8 nas-ip-address=192.168.0.8 gw-ip-address=172.16.0.1 $ server=192.x.0.x,xxx,auth-port=1812,acct-port=1813,req-limit=150,fail-time $ dae-server=192.x.0.x:3799,x verbose=1 #timeout=3 #max-try=3 #acct-timeout=120 acct-timeout=1000 #acct-delay-time=0 acct-interim-interval=300 Share this post Link to post Share on other sites
NiTr0 Posted January 26, 2016 · Report post двойные подключения - это некоторые роутеры долбятся, устанавливая 2 и более сессии. Share this post Link to post Share on other sites
nik247 Posted January 26, 2016 (edited) · Report post to zlolotus: Это пробовали? [common] single-session=replace Edited January 26, 2016 by nik247 Share this post Link to post Share on other sites
iValera Posted January 27, 2016 · Report post Сколько максимум клиентов/pps/Gbps удается снять с accel-ppp при: 1. PPPoE+shaping 2. PPPoE+shaping+NAT 2. IPoE+shaping+NAT Share this post Link to post Share on other sites
s.lobanov Posted January 27, 2016 · Report post Это делает ядро линукс, а не accel. Так что всё зависит от версии ядра и железа Share this post Link to post Share on other sites
zlolotus Posted January 27, 2016 · Report post to zlolotus: Это пробовали? [common] single-session=replace спасибо, нет не пробовал. А это поможет, если абоненты на разных насах? Share this post Link to post Share on other sites
nik247 Posted January 27, 2016 (edited) · Report post to zlolotus: Это пробовали? [common] single-session=replace спасибо, нет не пробовал. А это поможет, если абоненты на разных насах? Если это с конфига accel-ppp, то для двух НАСов помочь не сможет, только для одного. Edited January 27, 2016 by nik247 Share this post Link to post Share on other sites
zlolotus Posted January 28, 2016 · Report post Имеем accel-ppp с терминацией по ipoe (L2 shared и vlan per user) Столкнулись со следующей ситуацией: accel если не получает ответа от радиус сервера на запрос типа Interim-Update убивает сессии которые относятся к данному запросу. Вопрос: Можна сделать это опционально (убивание сессий если не пришел ответ от радиус сервера на Interim-Update запрос от accel )? т.е. чтобы можна включать и отключать этот функционал в конфиге. Коллеги, дико извиняюсь, если тема проскакивала(упорно гуглил :) ). Представим ситуацию.. Radius сервер недоступен, nas не получает ответа интерим апдейт. Как правило, нас уходит в панику. Или все-таки нет? Или по феньшую, тушаться сессии, для которых не пришел ответ интерим апдейт? Share this post Link to post Share on other sites
Dimka88 Posted January 28, 2016 (edited) · Report post Или по феньшую, тушаться сессии, для которых не пришел ответ интерим апдейт? Из Wiki accel-ppp http://accel-ppp.org/wiki/doku.php?id=ru:configfile#radius acct-timeout=n Specifies timeout to wait reply for Interim-Update packets. If n is greater than zero then session will be terminated after timeout exceeds. If n is zero then don't retransmit Interim-Update packets and don't terminate session. Edited January 28, 2016 by Dimka88 Share this post Link to post Share on other sites
kayot Posted January 28, 2016 · Report post При установленном acct-timeout=0 ничего не происходит, NAS работает автономно не отсылая апдейты. Share this post Link to post Share on other sites
Dmitry76 Posted January 28, 2016 · Report post Сколько максимум клиентов/pps/Gbps удается снять с accel-ppp при: 1. PPPoE+shaping 2. PPPoE+shaping+NAT 2. IPoE+shaping+NAT Уже писали, что зависит от железа/системы. На практике по п.1 у меня 7000/700kpps7Gbps Centos 6.7 + Xeon E5-1650 v3 @ 3.50GHz + Intel 82599ES 10-Gigabit Но уже почти в упор по железу. Share this post Link to post Share on other sites
_longhorn_ Posted January 28, 2016 · Report post Извиняюсь за оффтоп, но все же спрошу. Никто еще не пробовал 4.1.16 на pppoe? Там вроде как подкрутиличто-то. Сам буду пробовать не раньше следующего месяца. Share this post Link to post Share on other sites
NiTr0 Posted January 28, 2016 · Report post один из патчей вкрутили который я ручками на 4.1.14-15 накладывал, больше - не смотрел. пока откатился на 3.2 и 3.10, надоело экспериментировать. Share this post Link to post Share on other sites
byteplayer Posted January 30, 2016 · Report post один из патчей вкрутили который я ручками на 4.1.14-15 накладывал, больше - не смотрел. пока откатился на 3.2 и 3.10, надоело экспериментировать. А почему не на 3.2 или не на 3.10, а и на то и на то? И какая версия акселя? Сколько максимум клиентов/pps/Gbps удается снять с accel-ppp при: 1. PPPoE+shaping 2. PPPoE+shaping+NAT 2. IPoE+shaping+NAT Уже писали, что зависит от железа/системы. На практике по п.1 у меня 7000/700kpps7Gbps Centos 6.7 + Xeon E5-1650 v3 @ 3.50GHz + Intel 82599ES 10-Gigabit Но уже почти в упор по железу. А можно версию ОС, версию ядра и версию акселя? Share this post Link to post Share on other sites
NiTr0 Posted January 30, 2016 · Report post А почему не на 3.2 или не на 3.10, а и на то и на то? на паре серверов 3.2 собрал, на одном - 3.10 на пробу. и то и то стабильно работает. И какая версия акселя? 1.10 Share this post Link to post Share on other sites
byteplayer Posted January 30, 2016 (edited) · Report post А почему не на 3.2 или не на 3.10, а и на то и на то? на паре серверов 3.2 собрал, на одном - 3.10 на пробу. и то и то стабильно работает. И какая версия акселя? 1.10 А в чём принципиальное отличие 1.9 от 1.10? Что там сделано такого, без чего 1.9 уже не катит? Просто у автора есть всё собрано под Wheezy 7.9 (ядро 3.2.х), но версия 1.9, а 1.10 только в исходниках. Вот я и интересуюсь, что я получу, если я установлю готовые пакеты, и что, если соберу 1.10? Edited January 30, 2016 by byteplayer Share this post Link to post Share on other sites
NiTr0 Posted January 30, 2016 · Report post ну чейнжлог по коммитам гита можно посмотреть. в частности по IPoE там модификации. Share this post Link to post Share on other sites
