Перейти к содержимому
Калькуляторы
# /scripts/isg/ISG.pl show_services Virtual1
User IP-address NAT IP-address  Port number   Uniq. Identifier Durat.  Octets-in  Octets-out Rate-in    Rate-out   Service name     Flags
172.16.3.2      0.0.0.0         Virtual1      EC54FDE7964EFAEE 33      576        0          512000     512000     6mbit            SOU

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

zep,

Ну вот есть ваша сессия. С вашим же сервисом. Что не так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Трафик теряется в цепочке FORWARD -j ISG. Возможно проблемы в работе модуля ядра.

# lsmod | grep ISG

ipt_ISG                12060  4
x_tables               12845  6 ipt_MASQUERADE,xt_tcpudp,xt_state,iptable_nat,ipt_ISG,ip_tables

 

Пока не понимаю как отладить

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

zep,

1) Попробуйте для начала убрать сервисы вообще. Сервисы - это что-то вроде субсессии.

2) Из мира есть маршрут на этот ваш 91.91.91.91 через ISG-сервер?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

zep,

1) Попробуйте для начала убрать сервисы вообще. Сервисы - это что-то вроде субсессии.

2) Из мира есть маршрут на этот ваш 91.91.91.91 через ISG-сервер?

 

Убрал все сервисы. Все-равно не работает.

 

# /scripts/isg/ISG.pl
User IP-address NAT IP-address  Port number   Uniq. Identifier Durat.  Octets-in  Octets-out Rate-in    Rate-out   Service name     Flags
172.16.3.2      0.0.0.0         Virtual1      7A6A6D1769E61063 65      912        0          0          0          Main session     A

# /scripts/isg/ISG.pl show_services Virtual1
User IP-address NAT IP-address  Port number   Uniq. Identifier Durat.  Octets-in  Octets-out Rate-in    Rate-out   Service name     Flags

 

91.91.91.91 - это завуалированный адрес самого ISG (у него два интерфейса eth0 - 91.91.91.91 и eth1 - 172.16.3.1). С ним все в порядке. Если в iptables перед FORWARD -j ISG написать FORWARD -j ACCEPT трафик побежит. Порча я понимаю в модуле адра. Как его отладить?

Изменено пользователем zep

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

zep,

Да вряд ли там есть какой-то баг. У меня на Debian все прекрасно работает.

У вас, судя по счетчикам, вообще трафик в правило не попадает.

Попробуйте-ка вместо

-A FORWARD -s 172.16.3.0/24 -j ISG --session-init --init-mode src
-A FORWARD -d 172.16.3.0/24 -j ISG

сделать

-A FORWARD -o eth0 -j ISG --session-init --init-mode src
-A FORWARD -i eth0 -j ISG

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сделал. Не работает. Все так же трафик не проходит FORWARD

 

# iptables -nvxL

Chain FORWARD (policy DROP 5 packets, 240 bytes)
   pkts      bytes target     prot opt in     out     source               destination
      0        0 ACCEPT     all  --  lo     *       0.0.0.0/0            127.0.0.1
      0        0 ACCEPT     all  --  *      lo      127.0.0.1            0.0.0.0/0
      6      288 ISG        all  --  *      eth0    0.0.0.0/0            0.0.0.0/0           ISG initiator src mode
      0        0 ISG        all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           ISG

 

# ./ISGd.pl
Refreshing traffic classification table
3 prefixes loaded to TC table
ISG job initialization done for NAS '91.91.91.91', entering main loop

Session '172.16.3.2' on 'Virtual1' accepted by '127.0.0.1:1812'
Session '172.16.3.2' on 'Virtual1' finished
Session '172.16.3.2' on 'Virtual1' accepted by '127.0.0.1:1812'
Session '172.16.3.2' on 'Virtual1' finished
Session '172.16.3.2' on 'Virtual1' accepted by '127.0.0.1:1812'

# /scripts/isg/ISG.pl
User IP-address NAT IP-address  Port number   Uniq. Identifier Durat.  Octets-in  Octets-out Rate-in    Rate-out   Service name     Flags
172.16.3.2      0.0.0.0         Virtual1      1392AAAC5D90B3AC 48      720        0          0          0          Main session     A

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Chain FORWARD (policy DROP 5 packets, 240 bytes)

Нужно поставить по умолчанию policy ACCEPT ( iptables -P FORWARD ACCEPT )

Пакеты с разрешенных сессий ISG пропускает дальше по цепочке, а неразрешенные дропает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Chain FORWARD (policy DROP 5 packets, 240 bytes)

Нужно поставить по умолчанию policy ACCEPT ( iptables -P FORWARD ACCEPT )

Пакеты с разрешенных сессий ISG пропускает дальше по цепочке, а неразрешенные дропает.

Да, у него именно такая проблема и была.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2Abram:

Можно в официальную ветку добавить идею с родительскими и дочерними ip от jsmax???

 

http://forum.nag.ru/forum/index.php?showtopic=53156&view=findpost&p=579049

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Взаимодействие Linux-ISG с биллингом Abills кто нибудь пробовал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Взаимодействие Linux-ISG с биллингом Abills кто нибудь пробовал?

Угу. У меня работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Взаимодействие Linux-ISG с биллингом Abills кто нибудь пробовал?

Угу. У меня работает.

 

Можете поделиться с общественностью мануальчиком по притачиванию Linux-ISG к Abills? А то на оффсайсе абиллса пусто, и судя по их форуму, Асмодеус так же на вас надеялся в этом вопросе...)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

там не мануальчик надо а кусочек кода :))))

я когда то в тестовом виде прикрутил и допили под себя - а так как lISG не юзаю то так оно и похерилось ....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите кто использует, работает ли вместе ISG и NAT на одном серваке?

У меня не пашет, правила стандартные

iptables -A FORWARD -s 10.0.70.0/16 -j ISG --session-init
iptables -A FORWARD -d 10.0.70.0/16 -j ISG
iptables -t nat -A POSTROUTING -s 10.0.70.0/24 ! -d 10.0.0.0/16 -o vlan500 -j SNAT --to-source 91.237....

 

Все цепочки ACCEPT по FORWARD бегает а до POSTROUTING не добегает

 

FORWARD      
87350 5230K ISG        all  --  *      *       10.0.0.0/16          0.0.0.0/0           ISG initiator src mode
83285 4997K ISG        all  --  *      *       0.0.0.0/0            10.0.0.0/16         ISG 

 

POSTROUTING 
0     0 SNAT       all  --  any    vlan500  10.0.70.0/24        !10.0.0.0/16         to:91.237...

Изменено пользователем isup

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Столкнулся с непонятной проблемой. Если применить tagged сервис к новой сессии через Radius-Accept в неактивированном виде. То трафик в этой сессии не обрабатывается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

После загрузки все работает четко получаю сервисы

User IP-address NAT IP-address  Port number   Uniq. Identifier Durat.  Octets-in  Octets-out Rate-in    Rate-out   Service name     Flags
91.237.114.178       0.0.0.0         Virtual1      B8291B42F3D4C6DF 19      152400     0          0          0          LOCAL            SOU  
91.237.114.178       0.0.0.0         Virtual1      A60E21EA5A5E5623 0       0          0          0          0          INET             SO   
91.237.114.178       0.0.0.0         Virtual1      B6D70EFFE0F73C93 0       0          0          0          0          L4REDIR          SZT  
91.237.114.178       0.0.0.0         Virtual1      0384D5ABA7B3EF03 0       0          0          0          0          PEERS            SO  

После первого сброса L4REDIR становится с флагами SOZT и редиректит как надо

А После нескольких передергиваний ISGd и clear сессий

В messages это

Jun 19 20:05:22 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' finished
Jun 19 20:05:24 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' accepted by '127.0.0.1:1812'
Jun 19 20:05:24 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' finished
Jun 19 20:05:25 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' accepted by '127.0.0.1:1812'
Jun 19 20:05:25 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' finished

 

В radreply это

Wed Jun 19 20:05:29 2013
       Packet-Type = Access-Accept
       Cisco-Account-Info += "ALOCAL"
       Cisco-Account-Info += "APEERS"
       Cisco-Account-Info += "AL4REDIR"
       Cisco-Account-Info += "AINET"
Wed Jun 19 20:05:30 2013
       Packet-Type = Access-Accept
       Cisco-Account-Info += "ALOCAL"
       Cisco-Account-Info += "APEERS"
       Cisco-Account-Info += "AL4REDIR"
       Cisco-Account-Info += "AINET"

Что ему не нравится?

 

PS Заметил вот что

Сесия пытается стартануть с Jun 20 10:45:52

Jun 20 10:45:52 b ISG[2441]: Refreshing traffic classification table
Jun 20 10:45:52 b ISG[2441]: 4 prefixes loaded to TC table
Jun 20 10:45:52 b kernel: ipt_ISG: Listener daemon with pid 2444 registered
Jun 20 10:45:52 b ISG[2444]: ISG job initialization done for NAS '192.168.1.140', entering main loop
Jun 20 10:50:29 b ISG[2444]: Session '10.0.70.5' on 'Virtual1' accepted by '127.0.0.1:1812'
Jun 20 10:50:29 b ISG[2444]: Session '10.0.70.5' on 'Virtual1' finished
Jun 20 10:50:30 b ISG[2444]: Session '10.0.70.5' on 'Virtual1' accepted by '127.0.0.1:1812'
Jun 20 10:50:30 b ISG[2444]: Session '10.0.70.5' on 'Virtual1' finished

Наблюдаем, перегружаем ISGd.pl, делаем clear, но она долбится до бесконечности а потом в один прекрасный момент случается чудо

Jun 20 11:52:11 b ISG[6728]: Session '10.0.70.5' on 'Virtual1' finished
Jun 20 11:52:12 b ISG[6728]: Session '10.0.70.5' on 'Virtual1' accepted by '127.0.0.1:1812'
Jun 20 11:52:13 b ISG[6728]: Service 'LOCAL' for '10.0.70.5' started

Изменено пользователем isup

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На сервере при нагрузке в не зависимости от нагрузки сервер начинает тормозить. OS debian 7, cpu I7, net intel 82576 в бондинге.

Вот что пишет в лог.

Jun 20 09:45:24 lISG kernel: [ 9676.551771] ------------[ cut here ]------------
Jun 20 09:45:24 lISG kernel: [ 9676.551781] WARNING: at /build/linux-dJLVDt/linux-3.2.46/net/sched/sch_generic.c:256 dev_watchdog+0xb6/0x109()
Jun 20 09:45:24 lISG kernel: [ 9676.551784] Hardware name: X58-USB3
Jun 20 09:45:24 lISG kernel: [ 9676.551787] NETDEV WATCHDOG: eth1 (igb): transmit queue 0 timed out
Jun 20 09:45:24 lISG kernel: [ 9676.551789] Modules linked in: igb(O) dca i2c_algo_bit xt_set iptable_filter ipt_REDIRECT ipt_ISG(O) xt_tcpudp iptabl$
Jun 20 09:45:24 lISG kernel: [ 9676.551841] Pid: 0, comm: swapper/0 Tainted: G           O 3.2.0-4-686-pae #1 Debian 3.2.46-1
Jun 20 09:45:24 lISG kernel: [ 9676.551844] Call Trace:
Jun 20 09:45:24 lISG kernel: [ 9676.551851]  [<c1038544>] ? warn_slowpath_common+0x68/0x79
Jun 20 09:45:24 lISG kernel: [ 9676.551855]  [<c123331f>] ? dev_watchdog+0xb6/0x109
Jun 20 09:45:24 lISG kernel: [ 9676.551859]  [<c10385bd>] ? warn_slowpath_fmt+0x29/0x2d
Jun 20 09:45:24 lISG kernel: [ 9676.551863]  [<c123331f>] ? dev_watchdog+0xb6/0x109
Jun 20 09:45:24 lISG kernel: [ 9676.551867]  [<c103cfa1>] ? local_bh_enable+0x2/0x2
Jun 20 09:45:24 lISG kernel: [ 9676.551872]  [<c1042230>] ? run_timer_softirq+0x150/0x1f3
Jun 20 09:45:24 lISG kernel: [ 9676.551875]  [<c1233269>] ? netif_tx_unlock+0x38/0x38
Jun 20 09:45:24 lISG kernel: [ 9676.551879]  [<c103cfa1>] ? local_bh_enable+0x2/0x2
Jun 20 09:45:24 lISG kernel: [ 9676.551883]  [<c103d035>] ? __do_softirq+0x94/0x12f
Jun 20 09:45:24 lISG kernel: [ 9676.551887]  [<c103cfa1>] ? local_bh_enable+0x2/0x2
Jun 20 09:45:24 lISG kernel: [ 9676.551889]  <IRQ>  [<c103d226>] ? irq_exit+0x32/0x80
Jun 20 09:45:24 lISG kernel: [ 9676.551897]  [<c100c8bd>] ? do_IRQ+0x65/0x76
Jun 20 09:45:24 lISG kernel: [ 9676.551902]  [<c12c84f0>] ? common_interrupt+0x30/0x38
Jun 20 09:45:24 lISG kernel: [ 9676.551906]  [<c103007b>] ? update_group_power+0x67/0xbf

 

Message from syslogd@lISG at Jun 20 13:04:43 ...
kernel:[21598.435043] Process swapper/1 (pid: 0, ti=f2596000 task=f24e68c0 task.ti=f2592000)

Message from syslogd@lISG at Jun 20 13:04:43 ...
kernel:[21598.435096] Stack:

Message from syslogd@lISG at Jun 20 13:04:43 ...
kernel:[21598.435140] Call Trace:

Message from syslogd@lISG at Jun 20 13:04:43 ...
kernel:[21598.435295]  <IRQ> 

Message from syslogd@lISG at Jun 20 13:04:43 ...
kernel:[21598.435357] Code: 7c 24 2c 8b 7e 38 03 3c 85 64 4e 41 c1 89 54 24 34 8b 54 24 14 8b 5c 24 2c 8b 07 89 7c 24 08 03 5c 96 0c 89 44 24 38 0f b6 43 53 <8b> 74 24 18 8b 53 08 8b 4c 24 58 a8 08 0f 95 44 24 04 23 56 0c 

 

После рестарта iptables, сервер перестаёт тормозить. Используется nat 1-to-1. Подскажите в чем может быть причина?

Изменено пользователем Dimka88

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А После нескольких передергиваний ISGd и clear сессий

В messages это

Jun 19 20:05:22 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' finished
Jun 19 20:05:24 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' accepted by '127.0.0.1:1812'
Jun 19 20:05:24 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' finished
Jun 19 20:05:25 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' accepted by '127.0.0.1:1812'
Jun 19 20:05:25 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' finished

 

Можете прислать на почту sysoleg@yandex.ru файлики config.pl, tc.conf, профиль пользователя 91.237.114.178 (какие атрибуты в конфигурации радиус-сервера) и какие команды выполняете после того как пользователь успешно авторизован. Я попробую повторить у себя.

 

Используется nat 1-to-1. Подскажите в чем может быть причина?

Сколько записей 1-to-1 NAT? Покажите вывод iptables-save. Что говорит top, когда сервер тормозит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можете прислать на почту sysoleg@yandex.ru файлики config.pl, tc.conf, профиль пользователя 91.237.114.178 (какие атрибуты в конфигурации радиус-сервера) и какие команды выполняете после того как пользователь успешно авторизован. Я попробую повторить у себя.

.

Здравствуйте, сейчас все стер, ставлю lisg на другую систему и будет другой биллинг, о результатах сообщу.

Изменено пользователем isup

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А можно автору нескромный вопрос, IPv6 в ISGd может появится в ближайшем обозримом будующием ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Abram'а поспрошайте.

Abram предлагает свою модификацию к Abills за $, а бесплатных аналогов нет, только если самому пилить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а что значит

# /opt/ISG/bin/ISGd.pl

Use of uninitialized value $nas_ip in length at /opt/ISG/bin/ISGd.pl line 70.

проблема в использовании SELinux. Отключил его на время тестов...

 

Хотя при этом стартует и работает.

 

П.С. Вроде все настроил, но что то работает ничего.

 

дело было в echo 1 >/proc/sys/net/ipv4/ip_forward

 

Еще вопрос, косяк это или так и должно быть

 

./ISG.pl show_services Virtual15
User IP-address NAT IP-address  Port number   Uniq. Identifier Durat.  Octets-in  Octets-out Rate-in    Rate-out   Service name     Flags

показывает только заголовки, хотя без параметров ISG.pl показывает сессии

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.