forum.bitel.ru :: Просмотр темы - iptables на rhel5. радиус перестает отправлять CoA

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]

#localhost
-A INPUT -i lo -j ACCEPT

#servers net
-A INPUT -s 10.11.1.0/24 -j ACCEPT

#log coa
-A OUTPUT -p udp --dport 1700 -j LOG --log-prefix "COA packets"

Nov 8 17:58:57 bg kernel: COA packetsIN= OUT=eth1 SRC=10.11.1.11 DST=10.11.1.14 LEN=325 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=48618 DPT=1700 LEN=305

iptables -P INPUT DROP

iptables -N chain_coa

iptables -I INPUT -p udp --sport 1700 -j chain_coa

iptables -I chain_coa -s 10.11.1.0/24 -j ACCEPT

iptables -A chain_coa -j DROP

##log coa
-A OUTPUT -p udp --dport 1700 -j LOG --log-prefix "COA packets"
#log
-A INPUT -j LOG --log-prefix "DROP PACKET "
-A INPUT -j DROP

iptables -i eth1 -A INPUT -p udp --sport 1700 -s 10.11.1.0/24 -j ACCEPT
iptables -i eth1 -A INPUT -p udp --sport 1700 -s 10.11.1.0/24 -j LOG --log-prefix "COA in-packets"

iptables -o eth1 -A OUTPUT -p udp --dport 1700 -d 10.11.1.0/24 -j ACCEPT
iptables -o eth1 -A OUTPUT -p udp --dport 1700 -d 10.11.1.0/24 -j LOG --log-prefix "COA out-packets"

Автор:	Akhmat [ 08 ноя 2010, 21:31 ]
Заголовок сообщения:	iptables на rhel5. радиус перестает отправлять CoA
Настроил iptables, политика INPUT стоит DROP. разрешен весь трафик между сервером радиуса и брасами мпд. когда запущены iptables, радиус перестает отправлять CoA. Сколько мудохался, не понял почему. Ключевые моменты iptables: Код: # Firewall configuration written by system-config-securitylevel # Manual customization of this file is not recommended. filter :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] #localhost -A INPUT -i lo -j ACCEPT #servers net -A INPUT -s 10.11.1.0/24 -j ACCEPT #log coa -A OUTPUT -p udp --dport 1700 -j LOG --log-prefix "COA packets" Исходящий трафик не фильтрую. Сервера с брасами в подсети 10.11.1.0, с них разрешен любой трафик, CoA порт на брасе 1700. Так вот, когда политику INPUT-а ставлю ACCEPT, CoA отправляется, и в лог пишется Код:* Nov 8 17:58:57 bg kernel: COA packetsIN= OUT=eth1 SRC=10.11.1.11 DST=10.11.1.14 LEN=325 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=48618 DPT=1700 LEN=305 когда ставлю политику DROP, радиус вообще перестает отправлять CoA, и ни одной ошибки в логах, ни одного исключения, ничего. просто не отправляет и все. пишет только что у логина tariff option changed. Дальше нет сообщения о том, что отправились атрибуты CoA. Подскажите в чем может быть дело?

Автор:	jack7 [ 08 ноя 2010, 23:28 ]
Заголовок сообщения:	Re: iptables на rhel5. радиус перестает отправлять CoA
попробуй при дефолтной политике обрабатывать соединения через отдельную цепочку то есть сначала Код: iptables -P INPUT DROP потом создать цепочку для нужного трафика Код: iptables -N chain_coa указать ее в инпуте Код: iptables -I INPUT -p udp --sport 1700 -j chain_coa добавить тех кому можно доверять Код: iptables -I chain_coa -s 10.11.1.0/24 -j ACCEPT остальных отбросить Код: iptables -A chain_coa -j DROP плюсы такого построения правил в том что гибко можно управлять доступом и по счетчику цепочки видно идут пакеты или нет

Автор:	Akhmat [ 10 ноя 2010, 00:30 ]
Заголовок сообщения:	Re: iptables на rhel5. радиус перестает отправлять CoA
Спасибо jack7. Не попробовал еще твои советы. Не знаю чем они помогут, дело в том что радиус перестает отправлять запросы сам. сделал политику АКСЕПТ для ИНПУТ, и в конце добавил все дропать, при этом предварительно пишу какие пакеты дропает. в итоге ни одного интересного пакета. радиус просто перестает отправлять запросы, да и все. Код: ##log coa -A OUTPUT -p udp --dport 1700 -j LOG --log-prefix "COA packets" #log -A INPUT -j LOG --log-prefix "DROP PACKET " -A INPUT -j DROP интересная особенность: делал так, включаю фаервол (с этими правилами с логированием дропов), создаю соединение, активирую турбокнопку. жду пока отправится CoA. Ожидаю минут 5. CoA запрос не отправляется за это время(обычно отправляется CoA запрос в интервале в минуту). Отключаю фаервол, не разрываю свою сессию и... тут же улетает CoA запрос . Иц МИСТЕРИ В логах опять же нет интересных дропов. Как еще отдебагить?

Автор:	jack7 [ 10 ноя 2010, 10:25 ]
Заголовок сообщения:	Re: iptables на rhel5. радиус перестает отправлять CoA
можно попробовать указать и оутпут для статистики и глядеть счетчики Код: iptables -i eth1 -A INPUT -p udp --sport 1700 -s 10.11.1.0/24 -j ACCEPT iptables -i eth1 -A INPUT -p udp --sport 1700 -s 10.11.1.0/24 -j LOG --log-prefix "COA in-packets" iptables -o eth1 -A OUTPUT -p udp --dport 1700 -d 10.11.1.0/24 -j ACCEPT iptables -o eth1 -A OUTPUT -p udp --dport 1700 -d 10.11.1.0/24 -j LOG --log-prefix "COA out-packets"

forum.bitel.ru http://forum.bitel.ru/

iptables на rhel5. радиус перестает отправлять CoA http://forum.bitel.ru/viewtopic.php?f=5&t=4758	Страница 1 из 1

Страница 1 из 1	Часовой пояс: UTC + 5 часов [ Летнее время ]
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/