zep Опубликовано 4 апреля, 2013 · Жалоба # /scripts/isg/ISG.pl show_services Virtual1 User IP-address NAT IP-address Port number Uniq. Identifier Durat. Octets-in Octets-out Rate-in Rate-out Service name Flags 172.16.3.2 0.0.0.0 Virtual1 EC54FDE7964EFAEE 33 576 0 512000 512000 6mbit SOU Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 4 апреля, 2013 · Жалоба zep, Ну вот есть ваша сессия. С вашим же сервисом. Что не так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zep Опубликовано 4 апреля, 2013 · Жалоба Трафик теряется в цепочке FORWARD -j ISG. Возможно проблемы в работе модуля ядра. # lsmod | grep ISG ipt_ISG 12060 4 x_tables 12845 6 ipt_MASQUERADE,xt_tcpudp,xt_state,iptable_nat,ipt_ISG,ip_tables Пока не понимаю как отладить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 4 апреля, 2013 · Жалоба zep, 1) Попробуйте для начала убрать сервисы вообще. Сервисы - это что-то вроде субсессии. 2) Из мира есть маршрут на этот ваш 91.91.91.91 через ISG-сервер? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zep Опубликовано 5 апреля, 2013 (изменено) · Жалоба zep, 1) Попробуйте для начала убрать сервисы вообще. Сервисы - это что-то вроде субсессии. 2) Из мира есть маршрут на этот ваш 91.91.91.91 через ISG-сервер? Убрал все сервисы. Все-равно не работает. # /scripts/isg/ISG.pl User IP-address NAT IP-address Port number Uniq. Identifier Durat. Octets-in Octets-out Rate-in Rate-out Service name Flags 172.16.3.2 0.0.0.0 Virtual1 7A6A6D1769E61063 65 912 0 0 0 Main session A # /scripts/isg/ISG.pl show_services Virtual1 User IP-address NAT IP-address Port number Uniq. Identifier Durat. Octets-in Octets-out Rate-in Rate-out Service name Flags 91.91.91.91 - это завуалированный адрес самого ISG (у него два интерфейса eth0 - 91.91.91.91 и eth1 - 172.16.3.1). С ним все в порядке. Если в iptables перед FORWARD -j ISG написать FORWARD -j ACCEPT трафик побежит. Порча я понимаю в модуле адра. Как его отладить? Изменено 5 апреля, 2013 пользователем zep Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 5 апреля, 2013 · Жалоба zep, Да вряд ли там есть какой-то баг. У меня на Debian все прекрасно работает. У вас, судя по счетчикам, вообще трафик в правило не попадает. Попробуйте-ка вместо -A FORWARD -s 172.16.3.0/24 -j ISG --session-init --init-mode src -A FORWARD -d 172.16.3.0/24 -j ISG сделать -A FORWARD -o eth0 -j ISG --session-init --init-mode src -A FORWARD -i eth0 -j ISG Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zep Опубликовано 5 апреля, 2013 · Жалоба Сделал. Не работает. Все так же трафик не проходит FORWARD # iptables -nvxL Chain FORWARD (policy DROP 5 packets, 240 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- lo * 0.0.0.0/0 127.0.0.1 0 0 ACCEPT all -- * lo 127.0.0.1 0.0.0.0/0 6 288 ISG all -- * eth0 0.0.0.0/0 0.0.0.0/0 ISG initiator src mode 0 0 ISG all -- eth0 * 0.0.0.0/0 0.0.0.0/0 ISG # ./ISGd.pl Refreshing traffic classification table 3 prefixes loaded to TC table ISG job initialization done for NAS '91.91.91.91', entering main loop Session '172.16.3.2' on 'Virtual1' accepted by '127.0.0.1:1812' Session '172.16.3.2' on 'Virtual1' finished Session '172.16.3.2' on 'Virtual1' accepted by '127.0.0.1:1812' Session '172.16.3.2' on 'Virtual1' finished Session '172.16.3.2' on 'Virtual1' accepted by '127.0.0.1:1812' # /scripts/isg/ISG.pl User IP-address NAT IP-address Port number Uniq. Identifier Durat. Octets-in Octets-out Rate-in Rate-out Service name Flags 172.16.3.2 0.0.0.0 Virtual1 1392AAAC5D90B3AC 48 720 0 0 0 Main session A Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Khimik Опубликовано 8 апреля, 2013 · Жалоба Chain FORWARD (policy DROP 5 packets, 240 bytes) Нужно поставить по умолчанию policy ACCEPT ( iptables -P FORWARD ACCEPT ) Пакеты с разрешенных сессий ISG пропускает дальше по цепочке, а неразрешенные дропает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 8 апреля, 2013 · Жалоба Chain FORWARD (policy DROP 5 packets, 240 bytes) Нужно поставить по умолчанию policy ACCEPT ( iptables -P FORWARD ACCEPT ) Пакеты с разрешенных сессий ISG пропускает дальше по цепочке, а неразрешенные дропает. Да, у него именно такая проблема и была. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ppavelp Опубликовано 8 мая, 2013 · Жалоба 2Abram: Можно в официальную ветку добавить идею с родительскими и дочерними ip от jsmax??? http://forum.nag.ru/forum/index.php?showtopic=53156&view=findpost&p=579049 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 12 мая, 2013 · Жалоба ppavelp, Я не автор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ua_mister Опубликовано 17 мая, 2013 · Жалоба Взаимодействие Linux-ISG с биллингом Abills кто нибудь пробовал? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 17 мая, 2013 · Жалоба Abram'а поспрошайте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 17 мая, 2013 · Жалоба Взаимодействие Linux-ISG с биллингом Abills кто нибудь пробовал? Угу. У меня работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ua_mister Опубликовано 17 мая, 2013 · Жалоба Взаимодействие Linux-ISG с биллингом Abills кто нибудь пробовал? Угу. У меня работает. Можете поделиться с общественностью мануальчиком по притачиванию Linux-ISG к Abills? А то на оффсайсе абиллса пусто, и судя по их форуму, Асмодеус так же на вас надеялся в этом вопросе...))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 17 мая, 2013 · Жалоба там не мануальчик надо а кусочек кода :)))) я когда то в тестовом виде прикрутил и допили под себя - а так как lISG не юзаю то так оно и похерилось .... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
isup Опубликовано 31 мая, 2013 (изменено) · Жалоба Подскажите кто использует, работает ли вместе ISG и NAT на одном серваке? У меня не пашет, правила стандартные iptables -A FORWARD -s 10.0.70.0/16 -j ISG --session-init iptables -A FORWARD -d 10.0.70.0/16 -j ISG iptables -t nat -A POSTROUTING -s 10.0.70.0/24 ! -d 10.0.0.0/16 -o vlan500 -j SNAT --to-source 91.237.... Все цепочки ACCEPT по FORWARD бегает а до POSTROUTING не добегает FORWARD 87350 5230K ISG all -- * * 10.0.0.0/16 0.0.0.0/0 ISG initiator src mode 83285 4997K ISG all -- * * 0.0.0.0/0 10.0.0.0/16 ISG POSTROUTING 0 0 SNAT all -- any vlan500 10.0.70.0/24 !10.0.0.0/16 to:91.237... Изменено 31 мая, 2013 пользователем isup Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 6 июня, 2013 · Жалоба Столкнулся с непонятной проблемой. Если применить tagged сервис к новой сессии через Radius-Accept в неактивированном виде. То трафик в этой сессии не обрабатывается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
isup Опубликовано 19 июня, 2013 (изменено) · Жалоба После загрузки все работает четко получаю сервисы User IP-address NAT IP-address Port number Uniq. Identifier Durat. Octets-in Octets-out Rate-in Rate-out Service name Flags 91.237.114.178 0.0.0.0 Virtual1 B8291B42F3D4C6DF 19 152400 0 0 0 LOCAL SOU 91.237.114.178 0.0.0.0 Virtual1 A60E21EA5A5E5623 0 0 0 0 0 INET SO 91.237.114.178 0.0.0.0 Virtual1 B6D70EFFE0F73C93 0 0 0 0 0 L4REDIR SZT 91.237.114.178 0.0.0.0 Virtual1 0384D5ABA7B3EF03 0 0 0 0 0 PEERS SO После первого сброса L4REDIR становится с флагами SOZT и редиректит как надо А После нескольких передергиваний ISGd и clear сессий В messages это Jun 19 20:05:22 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' finished Jun 19 20:05:24 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' accepted by '127.0.0.1:1812' Jun 19 20:05:24 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' finished Jun 19 20:05:25 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' accepted by '127.0.0.1:1812' Jun 19 20:05:25 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' finished В radreply это Wed Jun 19 20:05:29 2013 Packet-Type = Access-Accept Cisco-Account-Info += "ALOCAL" Cisco-Account-Info += "APEERS" Cisco-Account-Info += "AL4REDIR" Cisco-Account-Info += "AINET" Wed Jun 19 20:05:30 2013 Packet-Type = Access-Accept Cisco-Account-Info += "ALOCAL" Cisco-Account-Info += "APEERS" Cisco-Account-Info += "AL4REDIR" Cisco-Account-Info += "AINET" Что ему не нравится? PS Заметил вот что Сесия пытается стартануть с Jun 20 10:45:52 Jun 20 10:45:52 b ISG[2441]: Refreshing traffic classification table Jun 20 10:45:52 b ISG[2441]: 4 prefixes loaded to TC table Jun 20 10:45:52 b kernel: ipt_ISG: Listener daemon with pid 2444 registered Jun 20 10:45:52 b ISG[2444]: ISG job initialization done for NAS '192.168.1.140', entering main loop Jun 20 10:50:29 b ISG[2444]: Session '10.0.70.5' on 'Virtual1' accepted by '127.0.0.1:1812' Jun 20 10:50:29 b ISG[2444]: Session '10.0.70.5' on 'Virtual1' finished Jun 20 10:50:30 b ISG[2444]: Session '10.0.70.5' on 'Virtual1' accepted by '127.0.0.1:1812' Jun 20 10:50:30 b ISG[2444]: Session '10.0.70.5' on 'Virtual1' finished Наблюдаем, перегружаем ISGd.pl, делаем clear, но она долбится до бесконечности а потом в один прекрасный момент случается чудо Jun 20 11:52:11 b ISG[6728]: Session '10.0.70.5' on 'Virtual1' finished Jun 20 11:52:12 b ISG[6728]: Session '10.0.70.5' on 'Virtual1' accepted by '127.0.0.1:1812' Jun 20 11:52:13 b ISG[6728]: Service 'LOCAL' for '10.0.70.5' started Изменено 20 июня, 2013 пользователем isup Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimka88 Опубликовано 20 июня, 2013 (изменено) · Жалоба На сервере при нагрузке в не зависимости от нагрузки сервер начинает тормозить. OS debian 7, cpu I7, net intel 82576 в бондинге. Вот что пишет в лог. Jun 20 09:45:24 lISG kernel: [ 9676.551771] ------------[ cut here ]------------ Jun 20 09:45:24 lISG kernel: [ 9676.551781] WARNING: at /build/linux-dJLVDt/linux-3.2.46/net/sched/sch_generic.c:256 dev_watchdog+0xb6/0x109() Jun 20 09:45:24 lISG kernel: [ 9676.551784] Hardware name: X58-USB3 Jun 20 09:45:24 lISG kernel: [ 9676.551787] NETDEV WATCHDOG: eth1 (igb): transmit queue 0 timed out Jun 20 09:45:24 lISG kernel: [ 9676.551789] Modules linked in: igb(O) dca i2c_algo_bit xt_set iptable_filter ipt_REDIRECT ipt_ISG(O) xt_tcpudp iptabl$ Jun 20 09:45:24 lISG kernel: [ 9676.551841] Pid: 0, comm: swapper/0 Tainted: G O 3.2.0-4-686-pae #1 Debian 3.2.46-1 Jun 20 09:45:24 lISG kernel: [ 9676.551844] Call Trace: Jun 20 09:45:24 lISG kernel: [ 9676.551851] [<c1038544>] ? warn_slowpath_common+0x68/0x79 Jun 20 09:45:24 lISG kernel: [ 9676.551855] [<c123331f>] ? dev_watchdog+0xb6/0x109 Jun 20 09:45:24 lISG kernel: [ 9676.551859] [<c10385bd>] ? warn_slowpath_fmt+0x29/0x2d Jun 20 09:45:24 lISG kernel: [ 9676.551863] [<c123331f>] ? dev_watchdog+0xb6/0x109 Jun 20 09:45:24 lISG kernel: [ 9676.551867] [<c103cfa1>] ? local_bh_enable+0x2/0x2 Jun 20 09:45:24 lISG kernel: [ 9676.551872] [<c1042230>] ? run_timer_softirq+0x150/0x1f3 Jun 20 09:45:24 lISG kernel: [ 9676.551875] [<c1233269>] ? netif_tx_unlock+0x38/0x38 Jun 20 09:45:24 lISG kernel: [ 9676.551879] [<c103cfa1>] ? local_bh_enable+0x2/0x2 Jun 20 09:45:24 lISG kernel: [ 9676.551883] [<c103d035>] ? __do_softirq+0x94/0x12f Jun 20 09:45:24 lISG kernel: [ 9676.551887] [<c103cfa1>] ? local_bh_enable+0x2/0x2 Jun 20 09:45:24 lISG kernel: [ 9676.551889] <IRQ> [<c103d226>] ? irq_exit+0x32/0x80 Jun 20 09:45:24 lISG kernel: [ 9676.551897] [<c100c8bd>] ? do_IRQ+0x65/0x76 Jun 20 09:45:24 lISG kernel: [ 9676.551902] [<c12c84f0>] ? common_interrupt+0x30/0x38 Jun 20 09:45:24 lISG kernel: [ 9676.551906] [<c103007b>] ? update_group_power+0x67/0xbf Message from syslogd@lISG at Jun 20 13:04:43 ... kernel:[21598.435043] Process swapper/1 (pid: 0, ti=f2596000 task=f24e68c0 task.ti=f2592000) Message from syslogd@lISG at Jun 20 13:04:43 ... kernel:[21598.435096] Stack: Message from syslogd@lISG at Jun 20 13:04:43 ... kernel:[21598.435140] Call Trace: Message from syslogd@lISG at Jun 20 13:04:43 ... kernel:[21598.435295] <IRQ> Message from syslogd@lISG at Jun 20 13:04:43 ... kernel:[21598.435357] Code: 7c 24 2c 8b 7e 38 03 3c 85 64 4e 41 c1 89 54 24 34 8b 54 24 14 8b 5c 24 2c 8b 07 89 7c 24 08 03 5c 96 0c 89 44 24 38 0f b6 43 53 <8b> 74 24 18 8b 53 08 8b 4c 24 58 a8 08 0f 95 44 24 04 23 56 0c После рестарта iptables, сервер перестаёт тормозить. Используется nat 1-to-1. Подскажите в чем может быть причина? Изменено 20 июня, 2013 пользователем Dimka88 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 5 июля, 2013 · Жалоба А После нескольких передергиваний ISGd и clear сессий В messages это Jun 19 20:05:22 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' finished Jun 19 20:05:24 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' accepted by '127.0.0.1:1812' Jun 19 20:05:24 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' finished Jun 19 20:05:25 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' accepted by '127.0.0.1:1812' Jun 19 20:05:25 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' finished Можете прислать на почту sysoleg@yandex.ru файлики config.pl, tc.conf, профиль пользователя 91.237.114.178 (какие атрибуты в конфигурации радиус-сервера) и какие команды выполняете после того как пользователь успешно авторизован. Я попробую повторить у себя. Используется nat 1-to-1. Подскажите в чем может быть причина? Сколько записей 1-to-1 NAT? Покажите вывод iptables-save. Что говорит top, когда сервер тормозит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
isup Опубликовано 5 июля, 2013 (изменено) · Жалоба Можете прислать на почту sysoleg@yandex.ru файлики config.pl, tc.conf, профиль пользователя 91.237.114.178 (какие атрибуты в конфигурации радиус-сервера) и какие команды выполняете после того как пользователь успешно авторизован. Я попробую повторить у себя. .Здравствуйте, сейчас все стер, ставлю lisg на другую систему и будет другой биллинг, о результатах сообщу. Изменено 5 июля, 2013 пользователем isup Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcym Опубликовано 13 июля, 2013 · Жалоба А можно автору нескромный вопрос, IPv6 в ISGd может появится в ближайшем обозримом будующием ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfedu Опубликовано 18 июля, 2013 · Жалоба Abram'а поспрошайте. Abram предлагает свою модификацию к Abills за $, а бесплатных аналогов нет, только если самому пилить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 28 июля, 2013 · Жалоба а что значит # /opt/ISG/bin/ISGd.pl Use of uninitialized value $nas_ip in length at /opt/ISG/bin/ISGd.pl line 70. проблема в использовании SELinux. Отключил его на время тестов... Хотя при этом стартует и работает. П.С. Вроде все настроил, но что то работает ничего. дело было в echo 1 >/proc/sys/net/ipv4/ip_forward Еще вопрос, косяк это или так и должно быть ./ISG.pl show_services Virtual15 User IP-address NAT IP-address Port number Uniq. Identifier Durat. Octets-in Octets-out Rate-in Rate-out Service name Flags показывает только заголовки, хотя без параметров ISG.pl показывает сессии Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...