allexch Posted June 18, 2010 · Report post Спасибо! Будем ждать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted June 25, 2010 · Report post Поставил. Пробуем. Интересует, как сделать для пользователей с реальными адресами IP чтоб сессия стартовала при попытке подключения снаружи ( из интернета ) внутрь? Сейчас сессия стартует только при прохождении исходящего пакета в направлении из локалки наружу. Задействовать -m state --state NEW не хотелось бы по соображениям производительности. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Умник Posted June 25, 2010 · Report post LostSoul, если реальник отдается пользователю на компьютер, а не средствами 1-to-1 NAT, то можете попробовать загрузить ipt_ISG так: modprobe ipt_ISG pass_outgoing=1 . В этом случае lISG будет пропускать внутрь сети трафик, которому не соответствует никакая сессия (но такой трафик никак не будет учитываться). В случае, если ПК пользователя ответит, то этот пакет попадет в правило "-j ISG --session-init" и сессия стартует в штатном режиме. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted June 25, 2010 · Report post Спасибо, это в принципе то что надо. Некая дырявость конечно остается, но как временное решение до развития разработки - приемлимо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shicoy Posted July 1, 2010 · Report post Что новенького? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Умник Posted July 1, 2010 · Report post shicoy, готовы классы/сервисы, но пока без возможности управления сервисами через CoA. Впрочем я еще хочу потестировать в более боевых условиях. Прошу прощения за недельную задержку. Если завтра все нормально пройдет - в субботу-воскресенье выложу новую версию. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shicoy Posted July 1, 2010 · Report post Умник, да я не тороплю, просто не слуху не духу, жив ли :) аль отпуск? :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Умник Posted July 2, 2010 · Report post shicoy, понятно. Но в любом случае пора. :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EvilShadow Posted July 4, 2010 (edited) · Report post Доброго времени суток. Несколько вопросов: 1. fixed: я буду внимательно читать конфиг я буду внимательно читать конфиг я буду внимательно читать конфиг. 2. В выводе ISG.pl show_all добавьте, пожалуйста, названия колонок. 3. В contrib/rc.ISGd в строке 29 лучше использовать '=', а не '=='. В дебиане тестинге и позже для /bin/sh используется dash, которому не нравится '=='. Спасибо. Edited July 4, 2010 by EvilShadow Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Умник Posted July 6, 2010 · Report post EvilShadow, Вам спасибо. Поправил. :) Наконец-то 0.11. Долгожданные сервисы и классы трафика. Из того что сделано: http://www.progtech.ru/~oleg/lISG/CHANGES.txt Из крупного нереализованного: управление (включая получение статутса, то есть не только изменение) сервисами через Cisco-style CoA. Другими словами сервисы есть в категориях RADIUS-аккаунтинга, но посмотреть их другими средставми нельзя. Будет в 0.12. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EvilShadow Posted July 6, 2010 (edited) · Report post Потерялся Framed-IP-Address: http://pastebin.com/c0eUQRhX В RAD_REPLY в авторизации он есть, а в следующем за ней Accounting-Start в RAD_REQUEST уже нету. Предложение: поселить проект куда-нибудь на гитхаб или битбукет с гостевым доступом только для чтения. Edited July 6, 2010 by EvilShadow Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Умник Posted July 7, 2010 (edited) · Report post EvilShadow, исправил. Также выявился очень плохой баг, который с определенной вероятностью при определенных условиях выплывает, когда происходит перезагрузка подсеток из файла tc.conf. Пока не исправлено. Поэтому в боевых условиях классификацию трафика лучше не испытывать - может не повезти (выявился баг на синтетической нагрузке, но все же). Предложение: поселить проект куда-нибудь на гитхаб или битбукет с гостевым доступом только для чтения.Спасибо, погляжу что это на досуге. Edited July 7, 2010 by Умник Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EvilShadow Posted July 7, 2010 · Report post Ещё: 1. ac2:/opt/ISG/lib# ISG.pl Flags User IP-address NAT IP-address Port number Uniq. Identifier Durat. Octets-in Octets-out Rate-in Rate-out Appr 10.0.15.122 10.0.15.122 Virtual2 FD20FA23DF950BDB 945 2539 24134 4096000 4096000 Appr 10.0.15.120 10.0.15.120 Virtual1 0D6C4B5EB3CE45D3 126 41249094 1497929 4096000 4096000 Немножко сбивает с толку, что Octets-in - это входящий на NAS, т.е. исходящий для клиента. Хотя это сугубо моё мнение :) 2. ac2:/opt/ISG/lib# ISG.pl clear Virtual1 Unable to send command to the CoA server (). ISGd.pl is not running? При этом account-stop на радиус уходит, сессия убивается. coa-server в конфиге закомментирован. В логах ISG: Jul 7 09:51:13 192.168.0.102 ISG[1111]: Session '10.0.15.120' on 'Virtual1' finished Jul 7 09:51:13 192.168.0.102 ISG[1111]: Session '10.0.15.120' on 'Virtual1' accepted by '192.168.0.10:1812' (policed at 4096/4096 Kbit) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Умник Posted July 7, 2010 · Report post EvilShadow, попробуйте 0.11.2, я думаю, что такого исправления достаточно. Странно, у меня эта проблема никогда не проявлялась. Какой версии у Вас Perl? По поводу счетчиков - не уверен. Во всех реализациях что я видел, in octets/packets это счетчик окетов/данных, которые пришли на устройство, а не на юзера. Точно так же и с RADIUS-аккаунтингом. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EvilShadow Posted July 7, 2010 · Report post ac2:~/q/lISG-0.11.2-alpha# perl -v This is perl, v5.10.1 (*) built for i486-linux-gnu-thread-multi (with 45 registered patches, see perl -V for more detail) ii perl 5.10.1-13 Larry Wall's Practical Extraction and Report Language ii perl-base 5.10.1-13 minimal Perl system ii perl-modules 5.10.1-13 Core Perl modules Это Debian Squeeze. Проблема осталась, попробую всё поудалять и поставить заново. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Умник Posted July 7, 2010 · Report post EvilShadow, интересно. Поставлю debian-testing - потестирую. :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Умник Posted July 7, 2010 · Report post EvilShadow, я все-таки думаю, что причина в файрволе, который в INPUT не пропускает пакеты с src 127.0.0.1. Проверьте это. Других вариантов не вижу. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EvilShadow Posted July 7, 2010 (edited) · Report post Отбой тревоги, это я слишком много заНАТил. Хотя в процессе поиска обнаружил некоторые странные вещи, проверю - отпишусь. P.S. Нет, не странные, всё нормально. Прошу прощения за ложную тревогу :) Edited July 7, 2010 by EvilShadow Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Умник Posted July 8, 2010 · Report post Также выявился очень плохой баг, который с определенной вероятностью при определенных условиях выплывает, когда происходит перезагрузка подсеток из файла tc.conf. Пока не исправлено. Поэтому в боевых условиях классификацию трафика лучше не испытывать - может не повезти (выявился баг на синтетической нагрузке, но все же). Уже исправлено в 0.11.3. Классы трафика/сервисы работают стабильно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shicoy Posted July 8, 2010 · Report post 2Умник, спасибо, классная работа! Хотя я надеялся что скорость по классам можно так же будет через радиус задавать при acct-start. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EvilShadow Posted July 8, 2010 · Report post Умник, а по поводу http://forum.nag.ru/forum/index.php?s=&...st&p=456367 какие соображения есть? Или это уже сделано и я чего-то пропустил? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Itari Posted July 9, 2010 · Report post А кто нить пробовал данный lISG с netup или каким другим биллингом? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Умник Posted July 9, 2010 · Report post Хотя я надеялся что скорость по классам можно так же будет через радиус задавать при acct-start.При acct-start? В accounting-response ничего нельзя отдать, как я понимаю. А вот в Access-Accept на главную сессию можно отдать сервис или сервисы, которые определены в config.pl. Вроде бы все логично. Какой смысл отдавать скорость напрямую? Лучше ведь определить сервисы с нужными скоростями. Нет? а по поводу http://forum.nag.ru/forum/index.php?s=&...st&p=456367 какие соображения есть? Или это уже сделано и я чего-то пропустил?Соображения уже есть. Будет после того, как реализую полный интерфейс для управления сервисами через CoA. А кто нить пробовал данный lISG с netup или каким другим биллингом?Известно, что предыдущие версии работали с Expert Billing. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Abram Posted July 9, 2010 · Report post А кто нить пробовал данный lISG с netup или каким другим биллингом? Я прикручивал к Abills - работает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shicoy Posted July 9, 2010 (edited) · Report post А кто нить пробовал данный lISG с netup или каким другим биллингом?да не вопрос к netup прикрутить через freeradius, проблема была только в выдергиванием скорости в случае если используются пороги трафика.ну и CoA нет в utm5 (хотя может в 007 что-то меняли с шейпером) Edited July 9, 2010 by shicoy Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...