Дубли в iptables

Aven · Вс сен 21, 2008 12:10 pm

Почему-то стали появляться дубли в правилах:

# iptables -nL | grep '172.16.1.17'
ACCEPT     all  --  0.0.0.0/0            172.16.1.17
ACCEPT     all  --  172.16.1.17          0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            172.16.1.17
ACCEPT     all  --  172.16.1.17          0.0.0.0/0

Естетственно если будет нулевой баланс, юзера не выкидывает, удаляется только 1 правило, а второе продолжает работать... видимо как-то при отключении правило не удалилось, как с этим бороться?

ran · Сообщение **ran** » Пн сен 22, 2008 6:29 am

дык тыж сам правила устанавливаешь/удаляешь - вот и следи за ними

кстати а нафига в обе стороны accept?

Aven · Пн сен 22, 2008 11:24 am

кстати а нафига в обе стороны accept?

А как иначе? Настраивалось согласно ДОКЕ

дык тыж сам правила устанавливаешь/удаляешь - вот и следи за ними

А как мне следить? Добавляю не я, а скрипт, который вызывается по событию из биллинга, снятие небыло вызвано почему-то, а в биллинге из активных клиентов удалилась запись... отсутствие синхронизации очень нехватает, в UTM5 с этим небыло проблем, там отдельный демон рулил фаерволом и дублей небыло, как тут решить эту траблу?

ran · Сообщение **ran** » Пн сен 22, 2008 12:59 pm

А как иначе? Настраивалось согласно ДОКЕ

ну кроме доков по абиллс неплохо б ещё и линух (в частности иптейблс) немного знать, раз уж юзаешь... в обратную сторону где-то вот такого недостаточно (заметь, одного статического на всё про всё)?

iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

А как мне следить? Добавляю не я, а скрипт, который вызывается по событию из биллинга

а скрипт кто писАл? вася пупкин? если уж юзаешь чистый ипн смирись с тем, что ситуёвина невызова твоего скрипта при деактивации (или его некорректная работа) вполне реальны и по крайней мере при активации контролируй добавляемые правила на дубликатность... или используй другие способы авторизации при которых (в случае умной настройки) тоакое невозможно в принципе

ran · Сообщение **ran** » Вт сен 23, 2008 8:00 am

iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

правда в этом случае будут работать только соединения инициированные твоими клиентами за рутер. Соединения из-за рутера на твоих клиентов будут блокированы. Если это и нужно (например через нат) то это самое то

Aven · Сообщение **Aven** » Вс сен 28, 2008 8:02 am

Нашел багу, в скрипт фаервола не передается значение параметра %MASK передается само название параметра. Надо фиксить

ran · Сообщение **ran** » Вс сен 28, 2008 8:19 am

Aven писал(а):Нашел багу, в скрипт фаервола не передается значение параметра %MASK передается само название параметра. Надо фиксить

гы... удивил

там всегда нормально только ип передаётся

chtito2 · Вс сен 28, 2008 8:23 am

Aven писал(а):Нашел багу, в скрипт фаервола не передается значение параметра %MASK передается само название параметра. Надо фиксить

Фиксинг багов только под заказ

Aven · Сообщение **Aven** » Вс сен 28, 2008 8:40 am

Ну хотя бы доку подправьте, не вводите людей в заблуждение

А то уж очень запутанный квест получается этот Абилс

ran · Сообщение **ran** » Вс сен 28, 2008 8:45 am

А то уж очень запутанный квест получается этот Абилс

дык для того форум и существует... кто прошёл больше уровней завсегда помогут