SEA-Jay писал(а):
Сервер и агент стоят на разных серверах.
Наблюдается трабл с доступом к ативации и статистике. перелопатил весь скрипт.
Оказалось дело в правиле
/sbin/iptables -A FORWARD -p tcp -j REJECT --reject-with tcp-reset
если закоментировать то работает нормально
оно действительно необходимо?
Оно необходимо для разрыва уже установленных соединений. Иначе возникает такая ситуация - клиент качает большой файл на несколько гигабайт , у него заканчиваются деньги и его закрывают в iptables (убирают разрешающиее правило ), но клиент продолжает спокойно докачивать свой файл ..можете проверить.. В 4.3 версии мы предлагали для разрыва соединения использовать стороннюю утилиту cutter
http://www.lowth.com/cutter/ , но потом решили что слать rst-пакет средствами iptables проще ..Если хотите понять в чем проблема, почитаете то, что написано по приведенной ссылке -там объясняется в чем проблема и предлагаются методы ее решения ( в том числе через iptables) .. Можно использовать и cutter для этого (вызывать в скрипте logout.sh)
в вашем случае можно настроить с -reject-with tcp-reset , просто надо добавлять отдельные разрешающие правила в цепочку FORWARD таблицы filter для статистики и активации..В эту же цепочку добавляются отдельные разрешающие правила для каждого клиента (добавляются они в скрипте login.sh)..
скрипт iptables.sh как раз и задумывался, что он будет перелопачиваться под конкретные случаи, т.к нельзя сделать универсальную настройку, которая подойдет всем, но если есть какие-то предложения, то можем подправить
P,S. Возможно в следующей версии мы сделаем разрыв соединений(послулку RST-пакета в оба конца) в самом WiFi-агенте, чтобы облегчить настройку