Есть ли в Abills фильтрование по дефолту

aksel · Пн янв 21, 2008 7:56 am

Т.е. на некоторые сайты клиенты не могут зайти !
К примеру www.pastushka.com
В то время как если попробовать зайти туда напрямую (не через abills) то можно будет зайти без проблем ?
Есть много сайтов на которые не могут зайти клиенты. Или сайты на которые они заходыт с огромными тормозами ?.

Если есть что то подобное то где оно настраивается ??

ran · Сообщение **ran** » Пн янв 21, 2008 8:09 am

А при чём здесь абиллс? Ну сам подумай???

aksel · Пн янв 21, 2008 9:36 am

Я же говорю что если не авторизовываться через abills то зайти можно

ran · Сообщение **ran** » Пн янв 21, 2008 10:59 am

Это ни о чём не говорит. А то, что абиллс не имеет к этому никакого отношения - это факт!

ran · Сообщение **ran** » Пн янв 21, 2008 11:12 pm

aksel писал(а):Я же говорю что если не авторизовываться через abills то зайти можно

Так вот. Злой я был, задолбали сегодня

Первый час ночи, а я ни в одном глазу

Когда ты гришь "не через абиллс" ты имешь ввиду напрямую через изернет? А когда "через абиллс" то через ппп? Так в этом же и надо причину искать... А то абиллс... абиллс...

Так вот. Заходят через ппп а уходят дальше через изернет? А то, что на интерфейсах ппп и изернет MTU разные, ты учитываешь? И то, что пакет, приходящий из инета (через изернет), и маршрутизируемый на усера (через ппп) фрагментировать придётся? А фрагментировать можно будет только, если отправитель не установил в заголовке флаг запрета фрагментации!

Большинство хостов при установлении TCP соединения пытаются определить так называемое PMTU - Path Maximal Transfer Unit - максимальный размер пакета, который будет ходить на маршруте между ними ГАРАНТИРОВАННО без фрагментации. Для этого есть механизмы углубляться не буду а то я тебе и до утра не расскажу... В твоём случае всё зависит от многих факторов: приватный или публичный адрес на внешнем изернете, не криво ли настроено ядро в плане формирования ICMP пакетов "Fragmentation Needed" от твоего провайдера и тд и тп...

Но есть один универсальный способ борьбы с этой ситуёвиной. В заголовке TCP есть специальное поле MSS - Maximal Segment Size. Так вот. Надо в транзитных SYN пакетах, проходящих через твой рутер, принудительно устанавливать это поле в величину, не превышающую минимального MTU двух твоих интерфейсов, через которые проходит пакет! В линухе это делается одним правилом iptables:

iptables -I FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Правило должно быть первым в цепочке форвард. Есть ли нечто подобное во фре - не знаю. Думаю, что есть.

Ладно хватит ликбезом заниматься мне ещё пахать и пахать

Вощем гугли... и изучай матчасть

И если старшие грят - абиллс ни причём - значит ни причём!

aksel · Вт янв 22, 2008 1:30 am

Ух! Ну и загрузил ты меня

Буду копать тогда.
Когда я говорю не через абилс я имею ввиду что вообще не происходит не какой авторизации т.е. я просто захожу в инет не от клиента а с консоли сервака

А через абилс - это значит что авторизация происходит через ррр и пользователь и пороль вбиваются из билинга ...

Я сегодня пробну зайти через ррр тока сделаю авторизацию через secret.conf и если тут будет такая же трабла то буду юзать гугль