Jump to content

pppd и пользовательские скрипты

Guest
 Share

Recommended Posts

Guest

Guest

Posted
Posted

Сделан VPN на основе PPTP под Linux, всё работает но небольшая проблемка.

Все знаем, что при поднятии pppd выполняются скрипты, auth-up и потом ip-up. В этих скриптах у меня прописываются правила, проверяются IP. Вылазили глюки и я не понимал почему, пока не обратил внимания на одну строчку, что pppd-сервер оказывется не дожидается завершения работы этих скриптов. То есть если я даже сделаю в скрипте auth-up: kill -HUP PID, то в итоге то всё равно выполнятся все скрипты: auth-up, ip-up, ip-down,auth-down. И вот вопрос:

1. Можно ли как нить серверу pppd указать, чтоб он дожидался выполнения каждого скрипта, и если я в скрипте auth хочу отменить соединение каким-нить способом. то не выполнялись бы скрипты ip-up и ip-down.

2. Если первое не возможно, то возможно ли как нить pppd указать что с одним логином может быть только один коннект. Вообщем глюки то и появлялись, когда один юзер забудет отключиться на одном компе и подключится за другим. Конечно при таком подключении само по себе подключение ни там ни там работать не будет, но скрипт ip-up выполнится во второй раз для этого же пользователя, а мне этого не надо.

 

З.Ы. radius не используется.

 

Спасибо..

Guest

Guest

Posted
Posted
Все знаем, что при поднятии pppd выполняются скрипты, auth-up и потом ip-up. В этих скриптах у меня прописываются правила, проверяются IP. Вылазили глюки и я не понимал почему, пока не обратил внимания на одну строчку, что pppd-сервер оказывется не дожидается завершения работы этих скриптов. То есть если я даже сделаю в скрипте auth-up: kill -HUP PID, то в итоге то всё равно выполнятся все скрипты: auth-up, ip-up, ip-down,auth-down. И вот вопрос:

1. Можно ли как нить серверу pppd указать, чтоб он дожидался выполнения каждого скрипта, и если я в скрипте auth хочу отменить соединение каким-нить способом. то не выполнялись бы скрипты ip-up и ip-down.

2. Если первое не возможно, то возможно ли как нить pppd указать что с одним логином может быть только один коннект. Вообщем глюки то и появлялись, когда один юзер забудет отключиться на одном компе и подключится за другим. Конечно при таком подключении само по себе подключение ни там ни там работать не будет, но скрипт ip-up выполнится во второй раз для этого же пользователя, а мне этого не надо.

чтобы знать, что юзер залогинился - поставь опцию login - юзера станет видно в списке залогинившихся пользователей (файл utmp, его содержимое отображается по командам w. who).

Чтобы убить pppd - смотри файл /var/run/pppXXX.pid. pppXXX - это имя текущего ppp-девайса - оно передается во все скрипты первым аргументом.

 

попробуй выставлять какой-нибудь признак по завершению всех проверок - если этот признак существует, то значит все проверки прошли успешно и пользователь был допущен в систему. Если хотя бы одна проверка не прошла - соответственно, признак выставлен не будет.

 

т.к. в любой момент времени уникальным является имя устройства (pppXXX), логично использовать его в качестве ключа. заводишь какой-нить отдельный каталог (к примеру, /var/run/pptp-sessions), в котором на каждую сессию заводится файл - pppXXX.data.

можно в нем иметь сколько угодно строк в формате

ATTRIBUT=VALUE. Аттрибуты - любые, которые тебе нужны - имя юзера, его ip, выданный pppd, ip опорной сети, время начала сессии,

pid pppd, и т.д. - все что нужно - добавляешь по необходимости.

Такой файл легко использовать - в bash'eвском скрипте, выполнив

". /var/run/pptp-sessions/pppXXX.data", фактически получаешь переменный с данными именами, а в perl-овских очень удобно загружать такой файл в хэш.

 

например, пользователь user1 залогинился на ppp11, создается файл

/var/run/pptp-sessions/ppp11.data:

--------------------------

USERNAME=user1

IP=1.1.1.1

REM_IP=192.168.0.3

.....

--------------------------

 

проверки тоже легко реализуемы. Например, поискав во всех файлах /var/run/pptp-sessions/ppp*.data строки USERNAME=..., можно увидеть есть ли другая сессия этого же пользователя.

avm

avm

Posted
Posted

человек совсем не о том спрашивал! и в его вопросе ничего не дает понять, что он незнает то что вы написали...

 

ответ на 1: поправь исходники (не так сложно) - по другому не получится.

ответ на 2: где-то видел такой патч.

Guest

Guest

Posted
Posted
человек совсем не о том спрашивал! и в его вопросе ничего не дает понять, что он незнает то что вы написали...

 

ответ на 1: поправь исходники (не так сложно) - по другому не получится.

ответ на 2: где-то видел такой патч.

 

Вы правы, обо всё что написано выше, я знаю. Насчёт поправить исходники, я ни разу не программист, а насчёт патчика, будем искать.

 

Ещё раз вопросы:

1. Необходимо, чтобы в каждой стадии создания подключения, скрипты выполнялись не в любом случае, а только после успешного завершения предыдущего, то есть если я делаю, в скрипте auth-up:

kill -HUP `cat /var/run/${IFNAME}.pid`

или что нить другое которое разрывает соединение, то нужно чтоб скрипт ip-up и ip-down не выполнялись, а выполнялся только auth-down или вообще ничего, сейчас же при обрыве соединения в auth-up выполняются все скрипты в порядке: ip-up, потом сразу же ip-down и auth-down. И в такой реализации не совсем понятно для чего разделили auth и ip.

 

2. Или необходимо хотяб, чтоб при логине с лигином-паролем уже залогинившимся, то вообще не выполнялись бы скрипты или выполнялись только auth-up и auth-down и соединение не создавалось.

 

Спасибо.

avm

avm

Posted
Posted

Ну, блин... Дык не используй ip-up/down вообще (удали их). Код который в них перепиши в auth-up/down. Параметры в auth-up есть все (напиши скрипт содержащий env > /tmp/$1 и посмотри какие переменные вообще скритпу передаются), чтобы не использовать ip-up...

 

auth-down выполняется гарантированно после auth-up, значит если ты в auth-up хочешь обломить сессию, создавай файл-флаг (как писал MagMike) и в auth-down реагируй на него... Получишь гарантированный порядок выполнения действий этих скриптов...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.