BiTel

есть ли официальный порт manad на линукс или надо самому копать?

В данный момент нет.

а почему так сделано что правила для типы правил для шлюза прописываются только для открытия шлюза, а для закрытия шлюза используются правила жестко прописанные в скрипте manad?
По-моему значительно логичнее сделать возможность задавать в интерфейсе правила не только для открытия шлюза, но и для закрытия, что позволит реализовать системно-независимый и гибкоконфигурируемый скрипт manad.

но а в текушей версии биллинга видимо придется правила iptables прописать непосрественно в скрипт manad, а в типе правил написать что-нибудь типа "{N0} {A}" что бы просто передать в manad идентификатор правила и IP-адрес.

роутер содержит 2 интерфейса - один подключен к интернет, другой подключен к пользователям.
в стартовых скриптах прописан корневой класс:

и политика по умолчанию в fillter FORWARD DROP

для линукса открывать шлюз с ограничением скорости предлагаю такой командой:



а закрывать так:

При закрытии правила просто удаляются. Сделано так - потому что нам так показалось проще.. Открыт клиент-есть правило, закрыт клиент-нет правила.

но количество закрываемых правил должно быть равно количеству открываемых правил. поэтому странно что открываемые правила можно редактировать, а закрываемые нет

я уже решил проблему прописав все правила в сам скрипт manad, а в редакторе правил написал {N0} {A} 100

правда осталась проблема с общим шейпингом всех IP-адресов для абонентов имеющих более одного адреса (т.е. что бы задавалась суммарная скорость для всех его адресов)

В версии 4.4 (котрая еще не вышла на текущий момент) реализован пример Manad-а под Linux .
Его настойка описана здесь:
http://bgbilling.ru/v4.4/doc/ch09s10.html#d0e8062

Для его реализаци в системе были введены незначительные изменеия , поддержка старого Manad -а также осталась.



Эти проблемы учтены в даннйо реализации Manad-а. Количество закрываемых правил не всегда равно количеству закрываемых правил. В данром примере предлагаемом примере реализации Manad получает правила и сам разбирает какие из открывающие и какие закрывающие, закрывающие правила он запоминает.

новый manad только с 4.4 будет работать?

Нет..там появились новые теги <LOOP></LOOP>, которые обрабатываются на стороне сервера ..Т.е в старом манаде все строки дублировались для каждого ip -адреса, а тут толко часть строк дублируется ..данный пример манада будет работать с текущей версией 4.4 alpha

обрабатывается только добвление клиента на роутер, изменение состояния шлюза - нет, выглядит так
правила для шлюза в биллинге
[OPEN]
iptables -A FORWARD -s 192.168.17.213 -j ACCEPT
iptables -A FORWARD -d 192.168.17.213 -j ACCEPT

[/OPEN]

[CLOSE]
iptables -D FORWARD -s 192.168.17.213 -j ACCEPT
iptables -D FORWARD -d 192.168.17.213 -j ACCEPT


[/CLOSE]

[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@localhost ~]#

запускаем manad и меняем состояние шлюза в билинге с "закрыт" на "открыт"
[root@localhost bin]# manad_linux

request =test


request =add 171 [OPEN]|iptables -A FORWARD -s 192.168.17.213 -j ACCEPT|iptables -A FORWARD -d 192.168.17.213 -j ACCEPT||[/OPEN]||[CLOSE]|iptables -D FORWARD -s 192.168.17.213 -j ACCEPT|iptables -D FORWARD -d 192.168.17.213 -j ACCEPT|||[/CLOSE]|


indexes =

afterchange =[OPEN]|iptables -A FORWARD -s 192.168.17.213 -j ACCEPT|iptables -A FORWARD -d 192.168.17.213 -j ACCEPT||[/OPEN]||[CLOSE]|iptables -D FORWARD -s 192.168.17.213 -j ACCEPT|iptables -D FORWARD -d 192.168.17.213 -j ACCEPT|||[/CLOSE]|

add =|iptables -A FORWARD -s 192.168.17.213 -j ACCEPT|iptables -A FORWARD -d 192.168.17.213 -j ACCEPT||

iptables -A FORWARD -s 192.168.17.213 -j ACCEPT
iptables -A FORWARD -d 192.168.17.213 -j ACCEPT

delete =|iptables -D FORWARD -s 192.168.17.213 -j ACCEPT|iptables -D FORWARD -d 192.168.17.213 -j ACCEPT|||

[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 192.168.17.213 anywhere
ACCEPT all -- anywhere 192.168.17.213

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

переключаем состояние шлюза на "закрыт"
от манада:

request =test


request =remove 171

[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 192.168.17.213 anywhere
ACCEPT all -- anywhere 192.168.17.213

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

цепочки не удалены, более того, если перезапустить манад и поставить шлюз в "открыт" то добавится еще один комплект пропускающих правил ...

как с этим бороться?
[/code]

Какая версия сервера ?
исправлена ошибка.. в версии BGBillingServer_4.4_80.zip работает ..Обновите либо поставьте update4.4.zip!(выложенный сегодня)

а 4.3 сборка 40 можно этим апдейтить?

Нет, не стоит этого делать ..релиз 4.4 пока еще не вышел и перехода с 4.3 на 4.4 не тестировался ..update.4.4.zip можно применять внутри самой весрии 4.4 alpha

Кстати я немного ошибься, когда сказал с 4.3 это не будет работать...
С версией 4.3 manad для линукса будет работать если использовать только пользовательские правила , т.е не использовать типов правил..
в этом случае нужно будет писать все правила самому ручками(там не используются теги <LOOP>, <ver 2.0> и т.п ) ..А сейчас не работает с версией 4,3 вообще (даже если использовать пользовательские правила ), потому что там стоит лишняя проверка в manad-е..Я толко что ее убрал обновил manad_linux.zip, качайте заново .. Теперь он будет работать с версией 4.4 alpha (без ограничений) и версией 4.3(толко пользовательские правила ) .

я проверил, на ваших правилах:

добавленные, как пользовательские, версия 4.3 теперь работает

а еще было бы чудесно добавить отправку не только ip но и произвольного текстового поля, например "коментарий" из "диапазон адресов"

зачем? как вы хотите его использовать ?

ну например если клиенту нужно влан поднять и мы хотим, чтоб все операции по добавлению клиента производились через биллинг, то удобно для этого скриптину через манад дернуть и через него же передать какой и где. много полезных применений.

А кто вам мешает все это загнать в то же самое текстовое поле? а манад потом его разберет и сам извлечет что вам нужно(например в тегах [params] [/params])

возможен ли немеделнный вызов проверки шлюзов ипн для всех клиентов ?

Вы можете создать задачу "Проверка шлюзов IPN" в планировщике

У меня тоже не выходит ладу дать. Версия билинга 4,3 сборка 40.
Скачал исправленный манад под линукс, настроил одному юзеру для теста пользовательские правила, но ситуация та же: при первом запуске manad открытие срабатывает, сохраняется првило для удаления, но при последующих манипуляциях с билингом (открытие-закрытие) ничего не происходит.
Хотелось бы узнать, насколько этот manad работоспособен с версией 4,4? Кто-нибудь настраивал? На данный момент приходится использовать переделанный своими силами manad для фрюхи, но не можем пока реализовать в нем проверку правил после перезагрузки билинга или шлюза. Есть подозрение, что эту функцию должен выполнять вызов в manad какой-то проверки test, только вот не ясно пока, что она и как проверяет.

Что в логе manad-а ?

В линуксе tc не работает для входящего траффика (работает только для исходящего траффика), поэтому пример из пункта документации 11.1.3 работать не будет, надо поправить указав для входящего траффика другой интерфейс роутера, на котором он будет исходящим
что-то типа

starting manad..

request =test


request =test


request =add 1 [OPEN]||/sbin/iptables -t nat -I PREROUTING -s 192.168.104.77 -j ACCEPT|/sbin/iptables -I FORWARD -t
filter -s 192.168.104.77 -o eth3 -j ACCEPT||/sbin/tc class add dev eth0 parent 1:0 classid 1:[N1] htb rate 256kbit burst 4k p
rio 1|/sbin/tc qdisc add dev eth0 parent 1:[N1] handle [N1]: sfq perturb 10 quantum 1500||/sbin/tc class add dev eth0 parent
1:0 classid 1:[N2] htb rate 128kbit burst 4k prio 1|/sbin/tc qdisc add dev eth0 parent 1:[N2] handle [N2]: sfq perturb 10 qua
ntum 1500||/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio [N1] u32 match ip dst 192.168.104.77 flowid 1:[N1]||/sbi
n/tc filter add dev eth0 parent 1:0 protocol ip prio [N2] u32 match ip src 192.168.104.77 flowid 1:[N2]||[/OPEN]|[CLOSE]|/sbi
n/iptables -t nat -D PREROUTING -s 192.168.104.77 -j ACCEPT|/sbin/iptables -D FORWARD -t filter -s 192.168.104.77 -o eth3 -j
ACCEPT|/sbin/tc filter del dev eth0 parent 1:0 protocol ip prio [N1]|/sbin/tc filter del dev eth0 parent 1:0 protocol ip prio
[N2]||/sbin/tc class del dev eth0 parent 1:0 classid 1:[N1] htb rate 256kbit burst 4k prio 1|/sbin/tc class del dev eth0 par
ent 1:0 classid 1:[N2] htb rate 128kbit burst 4k prio 1||[/CLOSE]|

commands:


/sbin/iptables -t nat -I PREROUTING -s 192.168.104.77 -j ACCEPT
/sbin/iptables -I FORWARD -t filter -s 192.168.104.77 -o eth3 -j ACCEPT

/sbin/tc class add dev eth0 parent 1:0 classid 1:3 htb rate 256kbit burst 4k prio 1
/sbin/tc qdisc add dev eth0 parent 1:3 handle 3: sfq perturb 10 quantum 1500

/sbin/tc class add dev eth0 parent 1:0 classid 1:4 htb rate 128kbit burst 4k prio 1
/sbin/tc qdisc add dev eth0 parent 1:4 handle 4: sfq perturb 10 quantum 1500

/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 3 u32 match ip dst 192.168.104.77 flowid 1:3

/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 4 u32 match ip src 192.168.104.77 flowid 1:4

delete =|/sbin/iptables -t nat -D PREROUTING -s 192.168.104.77 -j ACCEPT|/sbin/iptables -D FORWARD -t filter -s 192.168.104.7
7 -o eth3 -j ACCEPT|/sbin/tc filter del dev eth0 parent 1:0 protocol ip prio 3|/sbin/tc filter del dev eth0 parent 1:0 protoc
ol ip prio 4||/sbin/tc class del dev eth0 parent 1:0 classid 1:3 htb rate 256kbit burst 4k prio 1|/sbin/tc class del dev eth0
parent 1:0 classid 1:4 htb rate 128kbit burst 4k prio 1||

request =test


request =remove 1


request =test


request =test


request =remove 1


request =test


request =remove 1


request =test

Вначале сделал "Закрыть" (шлюз до этого открыт был), потом "Открыть", манад отработал включение (правила появились в системе).
Опять выбрал "Закрыть", в логе появился запрос test и remove 1, правила как были, так и остались.. Дальнейшие переключения не помогли.

В документации сделан несколько исскуственный пример и он рабочий ..Представим что в качестве шлюза мы ставим компьютер всего с одной сетевой картой ..На эту карту приходит трафик от клиента , с этот же карты он и уходит в инет(и обратно) .. В этом случае все пакеты, у которых src=ip и dst=ip являются исходящим трафиком в обоих случаях и их можно ограничивать ... Если же у нас 2 сетевыей карты , то да, ограничение нужно вешать на обе карты - на одной входящий, на другой исходящий - тогда нужен примерно та конфигурация, которую вы предлагаете..толко во втором случае скорее всего нельзя использовать SNAT на том же самом компьютере, т.к на внешнем интерфейсе уже будет подмененный ip

Я понимаю, что пример в документации хоть и возможен , но скоре всего он не используется в реальной жизни, поэтому возможно мы поменяем документацию. Спасибо, что обратили на это внимание

хм, я протестировал manad с версией 4.3 ..Действительно с ней не работает , причем я вроде обнвовлял уже manad , но текущая версия не работает ..я снова обвновил его , сейчас точно должно работать (дата создания файла - сегодняшнее число) , качайте, пробуйте

Эта версия немного по другому себя ведет, но так же не работает. Вот лог.

[root@office manad1]# tail -f manad.out

request =test


request =test


request =add 8 [OPEN]||/sbin/iptables -t nat -I PREROUTING -s 192.168.60.5 -j ACCEPT|/sbin/iptables -I FORWARD -t filter -s 192.168.60.5 -o eth3 -j ACCEPT||[/OPEN]|[CLOSE]|/sbin/iptables -t nat -D PREROUTING -s 192.168.60.5 -j ACCEPT|/sbin/iptables -D FORWARD -t filter -s 192.168.60.5 -o eth3 -j ACCEPT||[/CLOSE]|


indexes =

afterchange =[OPEN]||/sbin/iptables -t nat -I PREROUTING -s 192.168.60.5 -j ACCEPT|/sbin/iptables -I FORWARD -t filter -s 192.168.60.5 -o eth3 -j ACCEPT||[/OPEN]|[CLOSE]|/sbin/iptables -t nat -D PREROUTING -s 192.168.60.5 -j ACCEPT|/sbin/iptables -D FORWARD -t filter -s 192.168.60.5 -o eth3 -j ACCEPT||[/CLOSE]|

add =||/sbin/iptables -t nat -I PREROUTING -s 192.168.60.5 -j ACCEPT|/sbin/iptables -I FORWARD -t filter -s 192.168.60.5 -o eth3 -j ACCEPT||


/sbin/iptables -t nat -I PREROUTING -s 192.168.60.5 -j ACCEPT
/sbin/iptables -I FORWARD -t filter -s 192.168.60.5 -o eth3 -j ACCEPT

Последовательность действий та же. После первого включения все срабатывает, дальше тишина.

я не вижу команду remove в вашем логе ..приведите ту часть лога, где есть remove
и попробуйте обновить сервер биллинга и модуль ipn до последних версий в 4.3 .. желательно конечно обнвочить все до 4.4, но хотя бы это сделайте

В server.out есть ошибки ?

В том-то и фикус, что это все, что есть в логе... Ни ошибок, ни команды remove...
Обновиться - это конечно выход, но обновление билинга - это определенный риск, все-таки уже не 10 клиентов, и в случае проблем с обновлением возможны проблемы финансовые. Поэтому хотелось бы попробовать все варианты со старым билингом. Если уж ничего не поможет, то обновимся полностью до 4.4.

эту проблему можно решить маркируя пакеты iptables а потом уже по метке шейпить
что-то типа этого

да, это дельная мысль ...

Ну так что? Кроме как обновить билинг ничего не поможет?