Префикс правил фаервола

chtito · Вт мар 25, 2008 5:57 am

В доке Ipn написано:

$conf{IPN_FW_RULE_UID}=1; Использовать UID (ID пользователя в системе) как префикс для создания правил разрешения доступа. Правила создаются следующим образом $conf{IPN_FW_FIRST_RULE} + UID. По умолчанию система в качестве префикса использует 4 байт IP адреса: для 192.168.10.23 - $conf{IPN_FW_FIRST_RULE} + 23.

Это что же получается: если есть два пула адресов a.b.0.1 и a.b.1.1 то они будут конфликтовать и при дисконнекте одного клиента (radius stop) будет также отключено правило другого?

Поясню, допустим следуя вышеуказанному алгоритму индекс клиента a.b.0.12 и a.b.1.12 определится как $conf{IPN_FW_FIRST_RULE} + 12, допустим 1012 (в псевдокоде, важен номер правила):
ipfw add 1012 pipe ip from a.b.0.12 to any
ipfw add 1012 pipe ip from a.b.1.12 to any
Эти правила создались бы, но при стоп пакете:
ipfw delete 1012
удалились бы оба правила с невозможностью удалить лишь одно!

ran · Сообщение **ran** » Вт мар 25, 2008 9:26 am

$conf{IPN_FW_RULE_UID}=1;

А ты сам реально хоть посмотрел, что там создаётся? Если да - процитируй правило

chtito · Вт мар 25, 2008 2:49 pm

Взято из доков, для FreeBSD:

Пример с шейпером
$conf{IPN_FW_START_RULE}=?/usr/local/bin/sudo /usr/abills/libexec/linkupdown ipn up fxp1 %LOGIN %IP?. ' > /dev/null 2>&1;'. ?/usr/local/bin/sudo /sbin/ipfw -q add %NUM allow ip from %IP to any; /usr/local/bin/sudo /sbin/ipfw -q add %NUM allow ip from any to %IP?;

Важный момент: вставит ли Abills в %NUM номер по алгоритму, указанному в доке, и, таким образом, с возможностью коллизии, когда адрес 1.2.3.4 и 1.2.4.4 займут один и тот же %NUM из-за того, что последний октет обоих - 4. Пожалуйста если можно, по существу.

ran · Сообщение **ran** » Чт мар 27, 2008 4:25 pm

писал же где-то тебе в другой ветке, что IPN_FW_START_RULE вызывается при активации через ипн, а не при авторизации через радиус/ппп. поставь

Код: Выделить всё

$conf{IPN_FW_START_RULE}="/bin/logger FWSTART IP=%IP MASK=%MASK NUM=%NUM SPEED_IN=%SPEED_IN SPEED_OUT=%SPEED_OUT LOGIN=%LOGIN";

ну или где там у тебя логгер лежит... и в стоп тоже... и увидишь в логах, что где када

chtito · Чт мар 27, 2008 4:40 pm

Смешанно все получилось

Я про алгоритм выделения номера фаервола спрашивал.

IPN_FW_START_RULE вызывается при активации через ипн, а не при авторизации через радиус/ппп

А что, активировать Ipn через Старт пакет радиуса не получается? Кажется у одного человека с MPD $conf{IPN_FW_START_RULE} нормально дергается радиусом.

ran · Сообщение **ran** » Чт мар 27, 2008 4:55 pm

ну пропиши ж как я сказал и сам всё увидишь в логах... я шо помню... тем более что у меня линух и мапеда вашего я ненаю

chtito · Вс мар 30, 2008 7:17 am

А смысл тыкать то? В доке описан алогоритм, который подразумевает коллизии правил для адресов 1.2.3.4 и 1.2.4.4. Тем более, IPN_FW_START_RULE у меня не дергается RADIUS Start пакетом (сразу после авторизации), о чем подробно рассказано здесь.
Ап, Асмодеус! Плиз

ran · Сообщение **ran** » Вс мар 30, 2008 12:00 pm

IPN_FW_START_RULE

в другой ветке грил тебе