Страница 1 из 1
Дубли в iptables
Добавлено: Вс сен 21, 2008 12:10 pm
Aven
Почему-то стали появляться дубли в правилах:
Код: Выделить всё
# iptables -nL | grep '172.16.1.17'
ACCEPT all -- 0.0.0.0/0 172.16.1.17
ACCEPT all -- 172.16.1.17 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 172.16.1.17
ACCEPT all -- 172.16.1.17 0.0.0.0/0
Естетственно если будет нулевой баланс, юзера не выкидывает, удаляется только 1 правило, а второе продолжает работать... видимо как-то при отключении правило не удалилось, как с этим бороться?
Добавлено: Пн сен 22, 2008 6:29 am
ran
дык тыж сам правила устанавливаешь/удаляешь - вот и следи за ними
кстати а нафига в обе стороны accept?
Добавлено: Пн сен 22, 2008 11:24 am
Aven
кстати а нафига в обе стороны accept?
А как иначе? Настраивалось согласно
ДОКЕ
дык тыж сам правила устанавливаешь/удаляешь - вот и следи за ними
А как мне следить? Добавляю не я, а скрипт, который вызывается по событию из биллинга, снятие небыло вызвано почему-то, а в биллинге из активных клиентов удалилась запись... отсутствие синхронизации очень нехватает, в UTM5 с этим небыло проблем, там отдельный демон рулил фаерволом и дублей небыло, как тут решить эту траблу?
Добавлено: Пн сен 22, 2008 12:59 pm
ran
А как иначе? Настраивалось согласно ДОКЕ
ну кроме доков по абиллс неплохо б ещё и линух (в частности иптейблс) немного знать, раз уж юзаешь... в обратную сторону где-то вот такого недостаточно (заметь,
одного статического на всё про всё)?
iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
А как мне следить? Добавляю не я, а скрипт, который вызывается по событию из биллинга
а скрипт кто писАл? вася пупкин? если уж юзаешь чистый ипн смирись с тем, что ситуёвина невызова твоего скрипта при деактивации (или его некорректная работа) вполне реальны и по крайней мере при активации контролируй добавляемые правила на дубликатность... или используй другие способы авторизации при которых (в случае
умной настройки) тоакое невозможно в принципе
Добавлено: Вт сен 23, 2008 8:00 am
ran
iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
правда в этом случае будут работать только соединения инициированные
твоими клиентами за рутер. Соединения
из-за рутера на твоих клиентов будут блокированы. Если это и нужно (например через нат) то это самое то
Добавлено: Вс сен 28, 2008 8:02 am
Aven
Нашел багу, в скрипт фаервола не передается значение параметра %MASK передается само название параметра. Надо фиксить
Добавлено: Вс сен 28, 2008 8:19 am
ran
Aven писал(а):Нашел багу, в скрипт фаервола не передается значение параметра %MASK передается само название параметра. Надо фиксить
гы...
удивил 
там всегда нормально только ип передаётся
Добавлено: Вс сен 28, 2008 8:23 am
chtito2
Aven писал(а):Нашел багу, в скрипт фаервола не передается значение параметра %MASK передается само название параметра. Надо фиксить
Фиксинг багов только под заказ
Добавлено: Вс сен 28, 2008 8:40 am
Aven
Ну хотя бы доку подправьте, не вводите людей в заблуждение
А то уж очень запутанный квест получается этот Абилс
Добавлено: Вс сен 28, 2008 8:45 am
ran
А то уж очень запутанный квест получается этот Абилс
дык для того форум и существует... кто прошёл больше уровней завсегда помогут