ISG в Linux

[allexch]

Спасибо! Будем ждать.

[LostSoul]

Поставил. Пробуем.

Интересует, как сделать для пользователей с реальными адресами IP чтоб сессия стартовала при попытке подключения снаружи ( из интернета ) внутрь?

Сейчас сессия стартует только при прохождении исходящего пакета в направлении из локалки наружу.

 

Задействовать -m state --state NEW не хотелось бы по соображениям производительности.

 

[Умник]

LostSoul, если реальник отдается пользователю на компьютер, а не средствами 1-to-1 NAT, то можете попробовать загрузить ipt_ISG так:

modprobe ipt_ISG pass_outgoing=1

. В этом случае lISG будет пропускать внутрь сети трафик, которому не соответствует никакая сессия (но такой трафик никак не будет учитываться). В случае, если ПК пользователя ответит, то этот пакет попадет в правило "-j ISG --session-init" и сессия стартует в штатном режиме.

 

[LostSoul]

Спасибо, это в принципе то что надо. Некая дырявость конечно остается, но как временное решение до развития разработки - приемлимо.

 

[shicoy]

Что новенького?

[Умник]

shicoy, готовы классы/сервисы, но пока без возможности управления сервисами через CoA. Впрочем я еще хочу потестировать в более боевых условиях. Прошу прощения за недельную задержку. Если завтра все нормально пройдет - в субботу-воскресенье выложу новую версию.

 

[shicoy]

Умник, да я не тороплю, просто не слуху не духу, жив ли :) аль отпуск? :)

[Умник]

shicoy, понятно. Но в любом случае пора. :)

 

[EvilShadow]

Доброго времени суток.

Несколько вопросов:

1. fixed: я буду внимательно читать конфиг я буду внимательно читать конфиг я буду внимательно читать конфиг.

 

2. В выводе ISG.pl show_all добавьте, пожалуйста, названия колонок.

 

3. В contrib/rc.ISGd в строке 29 лучше использовать '=', а не '=='. В дебиане тестинге и позже для /bin/sh используется dash, которому не нравится '=='.

Спасибо.

Edited July 4, 2010 by EvilShadow

[Умник]

EvilShadow, Вам спасибо. Поправил. :)

 

Наконец-то 0.11. Долгожданные сервисы и классы трафика. Из того что сделано: http://www.progtech.ru/~oleg/lISG/CHANGES.txt

Из крупного нереализованного: управление (включая получение статутса, то есть не только изменение) сервисами через Cisco-style CoA. Другими словами сервисы есть в категориях RADIUS-аккаунтинга, но посмотреть их другими средставми нельзя. Будет в 0.12.

[EvilShadow]

Потерялся Framed-IP-Address: http://pastebin.com/c0eUQRhX

В RAD_REPLY в авторизации он есть, а в следующем за ней Accounting-Start в RAD_REQUEST уже нету.

 

Предложение: поселить проект куда-нибудь на гитхаб или битбукет с гостевым доступом только для чтения.

Edited July 6, 2010 by EvilShadow

[Умник]

EvilShadow, исправил. Также выявился очень плохой баг, который с определенной вероятностью при определенных условиях выплывает, когда происходит перезагрузка подсеток из файла tc.conf. Пока не исправлено. Поэтому в боевых условиях классификацию трафика лучше не испытывать - может не повезти (выявился баг на синтетической нагрузке, но все же).

 

Предложение: поселить проект куда-нибудь на гитхаб или битбукет с гостевым доступом только для чтения.

Спасибо, погляжу что это на досуге. Edited July 7, 2010 by Умник

[EvilShadow]

Ещё:

1.

ac2:/opt/ISG/lib# ISG.pl 
  Flags User IP-address  NAT IP-address   Port number Uniq. Identifier  Durat.  Octets-in Octets-out    Rate-in   Rate-out
   Appr     10.0.15.122     10.0.15.122      Virtual2 FD20FA23DF950BDB     945       2539      24134    4096000    4096000
   Appr     10.0.15.120     10.0.15.120      Virtual1 0D6C4B5EB3CE45D3     126   41249094    1497929    4096000    4096000

Немножко сбивает с толку, что Octets-in - это входящий на NAS, т.е. исходящий для клиента. Хотя это сугубо моё мнение :)

 

2.

ac2:/opt/ISG/lib# ISG.pl clear Virtual1
Unable to send command to the CoA server (). ISGd.pl is not running?

При этом account-stop на радиус уходит, сессия убивается. coa-server в конфиге закомментирован. В логах ISG:

Jul  7 09:51:13 192.168.0.102 ISG[1111]: Session '10.0.15.120' on 'Virtual1' finished
Jul  7 09:51:13 192.168.0.102 ISG[1111]: Session '10.0.15.120' on 'Virtual1' accepted by '192.168.0.10:1812' (policed at 4096/4096 Kbit)

 

[Умник]

EvilShadow, попробуйте 0.11.2, я думаю, что такого исправления достаточно. Странно, у меня эта проблема никогда не проявлялась. Какой версии у Вас Perl?

По поводу счетчиков - не уверен. Во всех реализациях что я видел, in octets/packets это счетчик окетов/данных, которые пришли на устройство, а не на юзера. Точно так же и с RADIUS-аккаунтингом.

[EvilShadow]

ac2:~/q/lISG-0.11.2-alpha# perl -v

This is perl, v5.10.1 (*) built for i486-linux-gnu-thread-multi
(with 45 registered patches, see perl -V for more detail)

ii  perl                                      5.10.1-13                      Larry Wall's Practical Extraction and Report Language
ii  perl-base                                 5.10.1-13                      minimal Perl system
ii  perl-modules                              5.10.1-13                      Core Perl modules

Это Debian Squeeze. Проблема осталась, попробую всё поудалять и поставить заново.

[Умник]

EvilShadow, интересно. Поставлю debian-testing - потестирую. :)

 

[Умник]

EvilShadow, я все-таки думаю, что причина в файрволе, который в INPUT не пропускает пакеты с src 127.0.0.1. Проверьте это. Других вариантов не вижу.

 

[EvilShadow]

Отбой тревоги, это я слишком много заНАТил. Хотя в процессе поиска обнаружил некоторые странные вещи, проверю - отпишусь.

P.S. Нет, не странные, всё нормально. Прошу прощения за ложную тревогу :)

Edited July 7, 2010 by EvilShadow

[Умник]

Также выявился очень плохой баг, который с определенной вероятностью при определенных условиях выплывает, когда происходит перезагрузка подсеток из файла tc.conf. Пока не исправлено. Поэтому в боевых условиях классификацию трафика лучше не испытывать - может не повезти (выявился баг на синтетической нагрузке, но все же).

Уже исправлено в 0.11.3. Классы трафика/сервисы работают стабильно.

[shicoy]

2Умник, спасибо, классная работа!

Хотя я надеялся что скорость по классам можно так же будет через радиус задавать при acct-start.

[EvilShadow]

Умник, а по поводу http://forum.nag.ru/forum/index.php?s=&amp...st&p=456367 какие соображения есть? Или это уже сделано и я чего-то пропустил?

[Itari]

А кто нить пробовал данный lISG с netup или каким другим биллингом?

[Умник]

Хотя я надеялся что скорость по классам можно так же будет через радиус задавать при acct-start.

При acct-start? В accounting-response ничего нельзя отдать, как я понимаю. А вот в Access-Accept на главную сессию можно отдать сервис или сервисы, которые определены в config.pl. Вроде бы все логично. Какой смысл отдавать скорость напрямую? Лучше ведь определить сервисы с нужными скоростями. Нет?

 

а по поводу http://forum.nag.ru/forum/index.php?s=&amp...st&p=456367 какие соображения есть? Или это уже сделано и я чего-то пропустил?

Соображения уже есть. Будет после того, как реализую полный интерфейс для управления сервисами через CoA.

 

А кто нить пробовал данный lISG с netup или каким другим биллингом?

Известно, что предыдущие версии работали с Expert Billing.

[Abram]

А кто нить пробовал данный lISG с netup или каким другим биллингом?

Я прикручивал к Abills - работает.

[shicoy]

А кто нить пробовал данный lISG с netup или каким другим биллингом?

да не вопрос к netup прикрутить через freeradius, проблема была только в выдергиванием скорости в случае если используются пороги трафика.

ну и CoA нет в utm5 (хотя может в 007 что-то меняли с шейпером)

Edited July 9, 2010 by shicoy