Jump to content
Калькуляторы

Поставил. Пробуем.

Интересует, как сделать для пользователей с реальными адресами IP чтоб сессия стартовала при попытке подключения снаружи ( из интернета ) внутрь?

Сейчас сессия стартует только при прохождении исходящего пакета в направлении из локалки наружу.

 

Задействовать -m state --state NEW не хотелось бы по соображениям производительности.

 

Share this post


Link to post
Share on other sites

LostSoul, если реальник отдается пользователю на компьютер, а не средствами 1-to-1 NAT, то можете попробовать загрузить ipt_ISG так:

modprobe ipt_ISG pass_outgoing=1

. В этом случае lISG будет пропускать внутрь сети трафик, которому не соответствует никакая сессия (но такой трафик никак не будет учитываться). В случае, если ПК пользователя ответит, то этот пакет попадет в правило "-j ISG --session-init" и сессия стартует в штатном режиме.

 

Share this post


Link to post
Share on other sites

Спасибо, это в принципе то что надо. Некая дырявость конечно остается, но как временное решение до развития разработки - приемлимо.

 

Share this post


Link to post
Share on other sites

shicoy, готовы классы/сервисы, но пока без возможности управления сервисами через CoA. Впрочем я еще хочу потестировать в более боевых условиях. Прошу прощения за недельную задержку. Если завтра все нормально пройдет - в субботу-воскресенье выложу новую версию.

 

Share this post


Link to post
Share on other sites

Доброго времени суток.

Несколько вопросов:

1. fixed: я буду внимательно читать конфиг я буду внимательно читать конфиг я буду внимательно читать конфиг.

 

2. В выводе ISG.pl show_all добавьте, пожалуйста, названия колонок.

 

3. В contrib/rc.ISGd в строке 29 лучше использовать '=', а не '=='. В дебиане тестинге и позже для /bin/sh используется dash, которому не нравится '=='.

Спасибо.

Edited by EvilShadow

Share this post


Link to post
Share on other sites

EvilShadow, Вам спасибо. Поправил. :)

 

Наконец-то 0.11. Долгожданные сервисы и классы трафика. Из того что сделано: http://www.progtech.ru/~oleg/lISG/CHANGES.txt

Из крупного нереализованного: управление (включая получение статутса, то есть не только изменение) сервисами через Cisco-style CoA. Другими словами сервисы есть в категориях RADIUS-аккаунтинга, но посмотреть их другими средставми нельзя. Будет в 0.12.

Share this post


Link to post
Share on other sites

Потерялся Framed-IP-Address: http://pastebin.com/c0eUQRhX

В RAD_REPLY в авторизации он есть, а в следующем за ней Accounting-Start в RAD_REQUEST уже нету.

 

Предложение: поселить проект куда-нибудь на гитхаб или битбукет с гостевым доступом только для чтения.

Edited by EvilShadow

Share this post


Link to post
Share on other sites

EvilShadow, исправил. Также выявился очень плохой баг, который с определенной вероятностью при определенных условиях выплывает, когда происходит перезагрузка подсеток из файла tc.conf. Пока не исправлено. Поэтому в боевых условиях классификацию трафика лучше не испытывать - может не повезти (выявился баг на синтетической нагрузке, но все же).

 

Предложение: поселить проект куда-нибудь на гитхаб или битбукет с гостевым доступом только для чтения.
Спасибо, погляжу что это на досуге.
Edited by Умник

Share this post


Link to post
Share on other sites

Ещё:

1.

ac2:/opt/ISG/lib# ISG.pl 
  Flags User IP-address  NAT IP-address   Port number Uniq. Identifier  Durat.  Octets-in Octets-out    Rate-in   Rate-out
   Appr     10.0.15.122     10.0.15.122      Virtual2 FD20FA23DF950BDB     945       2539      24134    4096000    4096000
   Appr     10.0.15.120     10.0.15.120      Virtual1 0D6C4B5EB3CE45D3     126   41249094    1497929    4096000    4096000

Немножко сбивает с толку, что Octets-in - это входящий на NAS, т.е. исходящий для клиента. Хотя это сугубо моё мнение :)

 

2.

ac2:/opt/ISG/lib# ISG.pl clear Virtual1
Unable to send command to the CoA server (). ISGd.pl is not running?

При этом account-stop на радиус уходит, сессия убивается. coa-server в конфиге закомментирован. В логах ISG:

Jul  7 09:51:13 192.168.0.102 ISG[1111]: Session '10.0.15.120' on 'Virtual1' finished
Jul  7 09:51:13 192.168.0.102 ISG[1111]: Session '10.0.15.120' on 'Virtual1' accepted by '192.168.0.10:1812' (policed at 4096/4096 Kbit)

 

Share this post


Link to post
Share on other sites

EvilShadow, попробуйте 0.11.2, я думаю, что такого исправления достаточно. Странно, у меня эта проблема никогда не проявлялась. Какой версии у Вас Perl?

По поводу счетчиков - не уверен. Во всех реализациях что я видел, in octets/packets это счетчик окетов/данных, которые пришли на устройство, а не на юзера. Точно так же и с RADIUS-аккаунтингом.

Share this post


Link to post
Share on other sites

ac2:~/q/lISG-0.11.2-alpha# perl -v

This is perl, v5.10.1 (*) built for i486-linux-gnu-thread-multi
(with 45 registered patches, see perl -V for more detail)

ii  perl                                      5.10.1-13                      Larry Wall's Practical Extraction and Report Language
ii  perl-base                                 5.10.1-13                      minimal Perl system
ii  perl-modules                              5.10.1-13                      Core Perl modules

Это Debian Squeeze. Проблема осталась, попробую всё поудалять и поставить заново.

Share this post


Link to post
Share on other sites

EvilShadow, я все-таки думаю, что причина в файрволе, который в INPUT не пропускает пакеты с src 127.0.0.1. Проверьте это. Других вариантов не вижу.

 

Share this post


Link to post
Share on other sites

Отбой тревоги, это я слишком много заНАТил. Хотя в процессе поиска обнаружил некоторые странные вещи, проверю - отпишусь.

P.S. Нет, не странные, всё нормально. Прошу прощения за ложную тревогу :)

Edited by EvilShadow

Share this post


Link to post
Share on other sites

Также выявился очень плохой баг, который с определенной вероятностью при определенных условиях выплывает, когда происходит перезагрузка подсеток из файла tc.conf. Пока не исправлено. Поэтому в боевых условиях классификацию трафика лучше не испытывать - может не повезти (выявился баг на синтетической нагрузке, но все же).

Уже исправлено в 0.11.3. Классы трафика/сервисы работают стабильно.

Share this post


Link to post
Share on other sites

2Умник, спасибо, классная работа!

Хотя я надеялся что скорость по классам можно так же будет через радиус задавать при acct-start.

Share this post


Link to post
Share on other sites

Умник, а по поводу http://forum.nag.ru/forum/index.php?s=&amp...st&p=456367 какие соображения есть? Или это уже сделано и я чего-то пропустил?

Share this post


Link to post
Share on other sites

Хотя я надеялся что скорость по классам можно так же будет через радиус задавать при acct-start.
При acct-start? В accounting-response ничего нельзя отдать, как я понимаю. А вот в Access-Accept на главную сессию можно отдать сервис или сервисы, которые определены в config.pl. Вроде бы все логично. Какой смысл отдавать скорость напрямую? Лучше ведь определить сервисы с нужными скоростями. Нет?

 

а по поводу http://forum.nag.ru/forum/index.php?s=&amp...st&p=456367 какие соображения есть? Или это уже сделано и я чего-то пропустил?
Соображения уже есть. Будет после того, как реализую полный интерфейс для управления сервисами через CoA.

 

А кто нить пробовал данный lISG с netup или каким другим биллингом?
Известно, что предыдущие версии работали с Expert Billing.

Share this post


Link to post
Share on other sites

А кто нить пробовал данный lISG с netup или каким другим биллингом?
да не вопрос к netup прикрутить через freeradius, проблема была только в выдергиванием скорости в случае если используются пороги трафика.

ну и CoA нет в utm5 (хотя может в 007 что-то меняли с шейпером)

Edited by shicoy

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.