Jump to content
Калькуляторы
# /scripts/isg/ISG.pl show_services Virtual1
User IP-address NAT IP-address  Port number   Uniq. Identifier Durat.  Octets-in  Octets-out Rate-in    Rate-out   Service name     Flags
172.16.3.2      0.0.0.0         Virtual1      EC54FDE7964EFAEE 33      576        0          512000     512000     6mbit            SOU

Share this post


Link to post
Share on other sites

zep,

Ну вот есть ваша сессия. С вашим же сервисом. Что не так?

Share this post


Link to post
Share on other sites

Трафик теряется в цепочке FORWARD -j ISG. Возможно проблемы в работе модуля ядра.

# lsmod | grep ISG

ipt_ISG                12060  4
x_tables               12845  6 ipt_MASQUERADE,xt_tcpudp,xt_state,iptable_nat,ipt_ISG,ip_tables

 

Пока не понимаю как отладить

Share this post


Link to post
Share on other sites

zep,

1) Попробуйте для начала убрать сервисы вообще. Сервисы - это что-то вроде субсессии.

2) Из мира есть маршрут на этот ваш 91.91.91.91 через ISG-сервер?

Share this post


Link to post
Share on other sites

zep,

1) Попробуйте для начала убрать сервисы вообще. Сервисы - это что-то вроде субсессии.

2) Из мира есть маршрут на этот ваш 91.91.91.91 через ISG-сервер?

 

Убрал все сервисы. Все-равно не работает.

 

# /scripts/isg/ISG.pl
User IP-address NAT IP-address  Port number   Uniq. Identifier Durat.  Octets-in  Octets-out Rate-in    Rate-out   Service name     Flags
172.16.3.2      0.0.0.0         Virtual1      7A6A6D1769E61063 65      912        0          0          0          Main session     A

# /scripts/isg/ISG.pl show_services Virtual1
User IP-address NAT IP-address  Port number   Uniq. Identifier Durat.  Octets-in  Octets-out Rate-in    Rate-out   Service name     Flags

 

91.91.91.91 - это завуалированный адрес самого ISG (у него два интерфейса eth0 - 91.91.91.91 и eth1 - 172.16.3.1). С ним все в порядке. Если в iptables перед FORWARD -j ISG написать FORWARD -j ACCEPT трафик побежит. Порча я понимаю в модуле адра. Как его отладить?

Edited by zep

Share this post


Link to post
Share on other sites

zep,

Да вряд ли там есть какой-то баг. У меня на Debian все прекрасно работает.

У вас, судя по счетчикам, вообще трафик в правило не попадает.

Попробуйте-ка вместо

-A FORWARD -s 172.16.3.0/24 -j ISG --session-init --init-mode src
-A FORWARD -d 172.16.3.0/24 -j ISG

сделать

-A FORWARD -o eth0 -j ISG --session-init --init-mode src
-A FORWARD -i eth0 -j ISG

Share this post


Link to post
Share on other sites

Сделал. Не работает. Все так же трафик не проходит FORWARD

 

# iptables -nvxL

Chain FORWARD (policy DROP 5 packets, 240 bytes)
   pkts      bytes target     prot opt in     out     source               destination
      0        0 ACCEPT     all  --  lo     *       0.0.0.0/0            127.0.0.1
      0        0 ACCEPT     all  --  *      lo      127.0.0.1            0.0.0.0/0
      6      288 ISG        all  --  *      eth0    0.0.0.0/0            0.0.0.0/0           ISG initiator src mode
      0        0 ISG        all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           ISG

 

# ./ISGd.pl
Refreshing traffic classification table
3 prefixes loaded to TC table
ISG job initialization done for NAS '91.91.91.91', entering main loop

Session '172.16.3.2' on 'Virtual1' accepted by '127.0.0.1:1812'
Session '172.16.3.2' on 'Virtual1' finished
Session '172.16.3.2' on 'Virtual1' accepted by '127.0.0.1:1812'
Session '172.16.3.2' on 'Virtual1' finished
Session '172.16.3.2' on 'Virtual1' accepted by '127.0.0.1:1812'

# /scripts/isg/ISG.pl
User IP-address NAT IP-address  Port number   Uniq. Identifier Durat.  Octets-in  Octets-out Rate-in    Rate-out   Service name     Flags
172.16.3.2      0.0.0.0         Virtual1      1392AAAC5D90B3AC 48      720        0          0          0          Main session     A

Share this post


Link to post
Share on other sites

Chain FORWARD (policy DROP 5 packets, 240 bytes)

Нужно поставить по умолчанию policy ACCEPT ( iptables -P FORWARD ACCEPT )

Пакеты с разрешенных сессий ISG пропускает дальше по цепочке, а неразрешенные дропает.

Share this post


Link to post
Share on other sites

Chain FORWARD (policy DROP 5 packets, 240 bytes)

Нужно поставить по умолчанию policy ACCEPT ( iptables -P FORWARD ACCEPT )

Пакеты с разрешенных сессий ISG пропускает дальше по цепочке, а неразрешенные дропает.

Да, у него именно такая проблема и была.

Share this post


Link to post
Share on other sites

Взаимодействие Linux-ISG с биллингом Abills кто нибудь пробовал?

Share this post


Link to post
Share on other sites

Взаимодействие Linux-ISG с биллингом Abills кто нибудь пробовал?

Угу. У меня работает.

Share this post


Link to post
Share on other sites

Взаимодействие Linux-ISG с биллингом Abills кто нибудь пробовал?

Угу. У меня работает.

 

Можете поделиться с общественностью мануальчиком по притачиванию Linux-ISG к Abills? А то на оффсайсе абиллса пусто, и судя по их форуму, Асмодеус так же на вас надеялся в этом вопросе...)))

Share this post


Link to post
Share on other sites

там не мануальчик надо а кусочек кода :))))

я когда то в тестовом виде прикрутил и допили под себя - а так как lISG не юзаю то так оно и похерилось ....

Share this post


Link to post
Share on other sites

Подскажите кто использует, работает ли вместе ISG и NAT на одном серваке?

У меня не пашет, правила стандартные

iptables -A FORWARD -s 10.0.70.0/16 -j ISG --session-init
iptables -A FORWARD -d 10.0.70.0/16 -j ISG
iptables -t nat -A POSTROUTING -s 10.0.70.0/24 ! -d 10.0.0.0/16 -o vlan500 -j SNAT --to-source 91.237....

 

Все цепочки ACCEPT по FORWARD бегает а до POSTROUTING не добегает

 

FORWARD      
87350 5230K ISG        all  --  *      *       10.0.0.0/16          0.0.0.0/0           ISG initiator src mode
83285 4997K ISG        all  --  *      *       0.0.0.0/0            10.0.0.0/16         ISG 

 

POSTROUTING 
0     0 SNAT       all  --  any    vlan500  10.0.70.0/24        !10.0.0.0/16         to:91.237...

Edited by isup

Share this post


Link to post
Share on other sites

Столкнулся с непонятной проблемой. Если применить tagged сервис к новой сессии через Radius-Accept в неактивированном виде. То трафик в этой сессии не обрабатывается.

Share this post


Link to post
Share on other sites

После загрузки все работает четко получаю сервисы

User IP-address NAT IP-address  Port number   Uniq. Identifier Durat.  Octets-in  Octets-out Rate-in    Rate-out   Service name     Flags
91.237.114.178       0.0.0.0         Virtual1      B8291B42F3D4C6DF 19      152400     0          0          0          LOCAL            SOU  
91.237.114.178       0.0.0.0         Virtual1      A60E21EA5A5E5623 0       0          0          0          0          INET             SO   
91.237.114.178       0.0.0.0         Virtual1      B6D70EFFE0F73C93 0       0          0          0          0          L4REDIR          SZT  
91.237.114.178       0.0.0.0         Virtual1      0384D5ABA7B3EF03 0       0          0          0          0          PEERS            SO  

После первого сброса L4REDIR становится с флагами SOZT и редиректит как надо

А После нескольких передергиваний ISGd и clear сессий

В messages это

Jun 19 20:05:22 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' finished
Jun 19 20:05:24 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' accepted by '127.0.0.1:1812'
Jun 19 20:05:24 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' finished
Jun 19 20:05:25 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' accepted by '127.0.0.1:1812'
Jun 19 20:05:25 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' finished

 

В radreply это

Wed Jun 19 20:05:29 2013
       Packet-Type = Access-Accept
       Cisco-Account-Info += "ALOCAL"
       Cisco-Account-Info += "APEERS"
       Cisco-Account-Info += "AL4REDIR"
       Cisco-Account-Info += "AINET"
Wed Jun 19 20:05:30 2013
       Packet-Type = Access-Accept
       Cisco-Account-Info += "ALOCAL"
       Cisco-Account-Info += "APEERS"
       Cisco-Account-Info += "AL4REDIR"
       Cisco-Account-Info += "AINET"

Что ему не нравится?

 

PS Заметил вот что

Сесия пытается стартануть с Jun 20 10:45:52

Jun 20 10:45:52 b ISG[2441]: Refreshing traffic classification table
Jun 20 10:45:52 b ISG[2441]: 4 prefixes loaded to TC table
Jun 20 10:45:52 b kernel: ipt_ISG: Listener daemon with pid 2444 registered
Jun 20 10:45:52 b ISG[2444]: ISG job initialization done for NAS '192.168.1.140', entering main loop
Jun 20 10:50:29 b ISG[2444]: Session '10.0.70.5' on 'Virtual1' accepted by '127.0.0.1:1812'
Jun 20 10:50:29 b ISG[2444]: Session '10.0.70.5' on 'Virtual1' finished
Jun 20 10:50:30 b ISG[2444]: Session '10.0.70.5' on 'Virtual1' accepted by '127.0.0.1:1812'
Jun 20 10:50:30 b ISG[2444]: Session '10.0.70.5' on 'Virtual1' finished

Наблюдаем, перегружаем ISGd.pl, делаем clear, но она долбится до бесконечности а потом в один прекрасный момент случается чудо

Jun 20 11:52:11 b ISG[6728]: Session '10.0.70.5' on 'Virtual1' finished
Jun 20 11:52:12 b ISG[6728]: Session '10.0.70.5' on 'Virtual1' accepted by '127.0.0.1:1812'
Jun 20 11:52:13 b ISG[6728]: Service 'LOCAL' for '10.0.70.5' started

Edited by isup

Share this post


Link to post
Share on other sites

На сервере при нагрузке в не зависимости от нагрузки сервер начинает тормозить. OS debian 7, cpu I7, net intel 82576 в бондинге.

Вот что пишет в лог.

Jun 20 09:45:24 lISG kernel: [ 9676.551771] ------------[ cut here ]------------
Jun 20 09:45:24 lISG kernel: [ 9676.551781] WARNING: at /build/linux-dJLVDt/linux-3.2.46/net/sched/sch_generic.c:256 dev_watchdog+0xb6/0x109()
Jun 20 09:45:24 lISG kernel: [ 9676.551784] Hardware name: X58-USB3
Jun 20 09:45:24 lISG kernel: [ 9676.551787] NETDEV WATCHDOG: eth1 (igb): transmit queue 0 timed out
Jun 20 09:45:24 lISG kernel: [ 9676.551789] Modules linked in: igb(O) dca i2c_algo_bit xt_set iptable_filter ipt_REDIRECT ipt_ISG(O) xt_tcpudp iptabl$
Jun 20 09:45:24 lISG kernel: [ 9676.551841] Pid: 0, comm: swapper/0 Tainted: G           O 3.2.0-4-686-pae #1 Debian 3.2.46-1
Jun 20 09:45:24 lISG kernel: [ 9676.551844] Call Trace:
Jun 20 09:45:24 lISG kernel: [ 9676.551851]  [<c1038544>] ? warn_slowpath_common+0x68/0x79
Jun 20 09:45:24 lISG kernel: [ 9676.551855]  [<c123331f>] ? dev_watchdog+0xb6/0x109
Jun 20 09:45:24 lISG kernel: [ 9676.551859]  [<c10385bd>] ? warn_slowpath_fmt+0x29/0x2d
Jun 20 09:45:24 lISG kernel: [ 9676.551863]  [<c123331f>] ? dev_watchdog+0xb6/0x109
Jun 20 09:45:24 lISG kernel: [ 9676.551867]  [<c103cfa1>] ? local_bh_enable+0x2/0x2
Jun 20 09:45:24 lISG kernel: [ 9676.551872]  [<c1042230>] ? run_timer_softirq+0x150/0x1f3
Jun 20 09:45:24 lISG kernel: [ 9676.551875]  [<c1233269>] ? netif_tx_unlock+0x38/0x38
Jun 20 09:45:24 lISG kernel: [ 9676.551879]  [<c103cfa1>] ? local_bh_enable+0x2/0x2
Jun 20 09:45:24 lISG kernel: [ 9676.551883]  [<c103d035>] ? __do_softirq+0x94/0x12f
Jun 20 09:45:24 lISG kernel: [ 9676.551887]  [<c103cfa1>] ? local_bh_enable+0x2/0x2
Jun 20 09:45:24 lISG kernel: [ 9676.551889]  <IRQ>  [<c103d226>] ? irq_exit+0x32/0x80
Jun 20 09:45:24 lISG kernel: [ 9676.551897]  [<c100c8bd>] ? do_IRQ+0x65/0x76
Jun 20 09:45:24 lISG kernel: [ 9676.551902]  [<c12c84f0>] ? common_interrupt+0x30/0x38
Jun 20 09:45:24 lISG kernel: [ 9676.551906]  [<c103007b>] ? update_group_power+0x67/0xbf

 

Message from syslogd@lISG at Jun 20 13:04:43 ...
kernel:[21598.435043] Process swapper/1 (pid: 0, ti=f2596000 task=f24e68c0 task.ti=f2592000)

Message from syslogd@lISG at Jun 20 13:04:43 ...
kernel:[21598.435096] Stack:

Message from syslogd@lISG at Jun 20 13:04:43 ...
kernel:[21598.435140] Call Trace:

Message from syslogd@lISG at Jun 20 13:04:43 ...
kernel:[21598.435295]  <IRQ> 

Message from syslogd@lISG at Jun 20 13:04:43 ...
kernel:[21598.435357] Code: 7c 24 2c 8b 7e 38 03 3c 85 64 4e 41 c1 89 54 24 34 8b 54 24 14 8b 5c 24 2c 8b 07 89 7c 24 08 03 5c 96 0c 89 44 24 38 0f b6 43 53 <8b> 74 24 18 8b 53 08 8b 4c 24 58 a8 08 0f 95 44 24 04 23 56 0c 

 

После рестарта iptables, сервер перестаёт тормозить. Используется nat 1-to-1. Подскажите в чем может быть причина?

Edited by Dimka88

Share this post


Link to post
Share on other sites

А После нескольких передергиваний ISGd и clear сессий

В messages это

Jun 19 20:05:22 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' finished
Jun 19 20:05:24 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' accepted by '127.0.0.1:1812'
Jun 19 20:05:24 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' finished
Jun 19 20:05:25 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' accepted by '127.0.0.1:1812'
Jun 19 20:05:25 b ISG[7695]: Session '91.237.114.178' on 'Virtual1' finished

 

Можете прислать на почту sysoleg@yandex.ru файлики config.pl, tc.conf, профиль пользователя 91.237.114.178 (какие атрибуты в конфигурации радиус-сервера) и какие команды выполняете после того как пользователь успешно авторизован. Я попробую повторить у себя.

 

Используется nat 1-to-1. Подскажите в чем может быть причина?

Сколько записей 1-to-1 NAT? Покажите вывод iptables-save. Что говорит top, когда сервер тормозит?

Share this post


Link to post
Share on other sites

Можете прислать на почту sysoleg@yandex.ru файлики config.pl, tc.conf, профиль пользователя 91.237.114.178 (какие атрибуты в конфигурации радиус-сервера) и какие команды выполняете после того как пользователь успешно авторизован. Я попробую повторить у себя.

.

Здравствуйте, сейчас все стер, ставлю lisg на другую систему и будет другой биллинг, о результатах сообщу.

Edited by isup

Share this post


Link to post
Share on other sites

А можно автору нескромный вопрос, IPv6 в ISGd может появится в ближайшем обозримом будующием ?

Share this post


Link to post
Share on other sites

Abram'а поспрошайте.

Abram предлагает свою модификацию к Abills за $, а бесплатных аналогов нет, только если самому пилить.

Share this post


Link to post
Share on other sites

а что значит

# /opt/ISG/bin/ISGd.pl

Use of uninitialized value $nas_ip in length at /opt/ISG/bin/ISGd.pl line 70.

проблема в использовании SELinux. Отключил его на время тестов...

 

Хотя при этом стартует и работает.

 

П.С. Вроде все настроил, но что то работает ничего.

 

дело было в echo 1 >/proc/sys/net/ipv4/ip_forward

 

Еще вопрос, косяк это или так и должно быть

 

./ISG.pl show_services Virtual15
User IP-address NAT IP-address  Port number   Uniq. Identifier Durat.  Octets-in  Octets-out Rate-in    Rate-out   Service name     Flags

показывает только заголовки, хотя без параметров ISG.pl показывает сессии

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now