abills.net.ua

ABillS - ~AsmodeuS~ Billing System
http://abills.net.ua/forum/

Префикс правил фаервола

http://abills.net.ua/forum/viewtopic.php?f=2&t=3931

Страница 1 из 1

Префикс правил фаервола

Добавлено: Вт мар 25, 2008 5:57 am
chtito
В доке Ipn написано:
$conf{IPN_FW_RULE_UID}=1; Использовать UID (ID пользователя в системе) как префикс для создания правил разрешения доступа. Правила создаются следующим образом $conf{IPN_FW_FIRST_RULE} + UID. По умолчанию система в качестве префикса использует 4 байт IP адреса: для 192.168.10.23 - $conf{IPN_FW_FIRST_RULE} + 23.
Это что же получается: если есть два пула адресов a.b.0.1 и a.b.1.1 то они будут конфликтовать и при дисконнекте одного клиента (radius stop) будет также отключено правило другого? :( Поясню, допустим следуя вышеуказанному алгоритму индекс клиента a.b.0.12 и a.b.1.12 определится как $conf{IPN_FW_FIRST_RULE} + 12, допустим 1012 (в псевдокоде, важен номер правила):
ipfw add 1012 pipe ip from a.b.0.12 to any
ipfw add 1012 pipe ip from a.b.1.12 to any
Эти правила создались бы, но при стоп пакете:
ipfw delete 1012
удалились бы оба правила с невозможностью удалить лишь одно!

Добавлено: Вт мар 25, 2008 9:26 am
ran
$conf{IPN_FW_RULE_UID}=1;
А ты сам реально хоть посмотрел, что там создаётся? Если да - процитируй правило

Добавлено: Вт мар 25, 2008 2:49 pm
chtito
Взято из доков, для FreeBSD:
Пример с шейпером
$conf{IPN_FW_START_RULE}=?/usr/local/bin/sudo /usr/abills/libexec/linkupdown ipn up fxp1 %LOGIN %IP?. ' > /dev/null 2>&1;'. ?/usr/local/bin/sudo /sbin/ipfw -q add %NUM allow ip from %IP to any; /usr/local/bin/sudo /sbin/ipfw -q add %NUM allow ip from any to %IP?;
Важный момент: вставит ли Abills в %NUM номер по алгоритму, указанному в доке, и, таким образом, с возможностью коллизии, когда адрес 1.2.3.4 и 1.2.4.4 займут один и тот же %NUM из-за того, что последний октет обоих - 4. Пожалуйста если можно, по существу.

Добавлено: Чт мар 27, 2008 4:25 pm
ran
писал же где-то тебе в другой ветке, что IPN_FW_START_RULE вызывается при активации через ипн, а не при авторизации через радиус/ппп. поставь

Код: Выделить всё

$conf{IPN_FW_START_RULE}="/bin/logger FWSTART IP=%IP MASK=%MASK NUM=%NUM SPEED_IN=%SPEED_IN SPEED_OUT=%SPEED_OUT LOGIN=%LOGIN";
ну или где там у тебя логгер лежит... и в стоп тоже... и увидишь в логах, что где када

Добавлено: Чт мар 27, 2008 4:40 pm
chtito
Смешанно все получилось :) Я про алгоритм выделения номера фаервола спрашивал.
IPN_FW_START_RULE вызывается при активации через ипн, а не при авторизации через радиус/ппп
:shock: А что, активировать Ipn через Старт пакет радиуса не получается? Кажется у одного человека с MPD $conf{IPN_FW_START_RULE} нормально дергается радиусом.

Добавлено: Чт мар 27, 2008 4:55 pm
ran
ну пропиши ж как я сказал и сам всё увидишь в логах... я шо помню... тем более что у меня линух и мапеда вашего я ненаю

Добавлено: Вс мар 30, 2008 7:17 am
chtito
А смысл тыкать то? В доке описан алогоритм, который подразумевает коллизии правил для адресов 1.2.3.4 и 1.2.4.4. Тем более, IPN_FW_START_RULE у меня не дергается RADIUS Start пакетом (сразу после авторизации), о чем подробно рассказано здесь.
Ап, Асмодеус! Плиз :)

Добавлено: Вс мар 30, 2008 12:00 pm
ran
IPN_FW_START_RULE
в другой ветке грил тебе
Часовой пояс: UTC
Страница 1 из 1

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB