| forum.bitel.ru http://forum.bitel.ru/ |
|
| manad и linux http://forum.bitel.ru/viewtopic.php?f=7&t=364 |
Страница 1 из 2 |
| Автор: | msh [ 06 сен 2007, 01:04 ] |
| Заголовок сообщения: | manad и linux |
есть ли официальный порт manad на линукс или надо самому копать? |
|
| Автор: | Администратор [ 06 сен 2007, 13:24 ] |
| Заголовок сообщения: | |
В данный момент нет. |
|
| Автор: | msh [ 08 сен 2007, 23:21 ] |
| Заголовок сообщения: | |
Администратор писал(а): В данный момент нет.
а почему так сделано что правила для типы правил для шлюза прописываются только для открытия шлюза, а для закрытия шлюза используются правила жестко прописанные в скрипте manad? По-моему значительно логичнее сделать возможность задавать в интерфейсе правила не только для открытия шлюза, но и для закрытия, что позволит реализовать системно-независимый и гибкоконфигурируемый скрипт manad. но а в текушей версии биллинга видимо придется правила iptables прописать непосрественно в скрипт manad, а в типе правил написать что-нибудь типа "{N0} {A}" что бы просто передать в manad идентификатор правила и IP-адрес. роутер содержит 2 интерфейса - один подключен к интернет, другой подключен к пользователям. в стартовых скриптах прописан корневой класс: Код: tc qdisc add dev eth0 root handle 1: htb default 2048 tc qdisc add dev eth1 root handle 1: htb default 2048 tc class add dev eth0 parent 1: classid 1:1 htb rate 100mbit ceil 100mbit burst 200k tc class add dev eth1 parent 1: classid 1:1 htb rate 100mbit ceil 100mbit burst 200k и политика по умолчанию в fillter FORWARD DROP для линукса открывать шлюз с ограничением скорости предлагаю такой командой: Код: разрешение доступа iptables -A FORWARD -t filter -s {A} -j ACCEPT iptables -A FORWARD -t filter -d {A} -j ACCEPT #шейпирование iptables -I FORWARD -t mangle -s {A} -j MARK --set-mark {N0} iptables -I FORWARD -t mangle -d {A} -j MARK --set-mark {N0} #in интерфейс tc class add dev eth0 parent 1:1 classid 1:{N0} htb rate 1000kbit tc qdisc add dev eth0 parent 1:{N0} handle {N0}: sfq perturb 10 tc filter add dev eth0 parent 1:0 protocol ip prio 1 handle {N0} fw flowid 1:{N0} #out интерфейс tc class add dev eth1 parent 1:1 classid 1:{N0} htb rate 1000kbit tc qdisc add dev eth1 parent 1:{N0} handle {N0}: sfq perturb 10 tc filter add dev eth1 parent 1:0 protocol ip prio 1 handle {N0} fw flowid 1:{N0} а закрывать так: Код: ptables -D FORWARD -t filter -s {A} -j ACCEPT
iptables -D FORWARD -t filter -d {A} -j ACCEPT #шейпирование iptables -D FORWARD -t mangle -s {A} -j MARK --set-mark {N0} iptables -D FORWARD -t mangle -d {A} -j MARK --set-mark {N0} tc filter del dev eth0 parent 1:0 protocol ip prio 1 handle {N0} fw flowid 1:{N0} tc qdisc del dev eth0 parent 1:{N0} handle {N0}: sfq perturb 10 tc class del dev eth0 parent 1:1 classid 1:{N0} tc filter del dev eth1 parent 1:0 protocol ip prio 1 handle {N0} fw flowid 1:{N0} tc qdisc del dev eth1 parent 1:{N0} handle {N0}: sfq perturb 10 tc class del dev eth1 parent 1:1 classid 1:{N0} |
|
| Автор: | Администратор [ 10 сен 2007, 11:30 ] |
| Заголовок сообщения: | |
msh писал(а): а почему так сделано что правила для типы правил для шлюза прописываются только для открытия шлюза, а для закрытия шлюза используются правила жестко прописанные в скрипте manad?
По-моему значительно логичнее сделать возможность задавать в интерфейсе правила не только для открытия шлюза, но и для закрытия, что позволит реализовать системно-независимый и гибкоконфигурируемый скрипт manad. При закрытии правила просто удаляются. Сделано так - потому что нам так показалось проще.. Открыт клиент-есть правило, закрыт клиент-нет правила. |
|
| Автор: | msh [ 11 сен 2007, 00:40 ] |
| Заголовок сообщения: | |
но количество закрываемых правил должно быть равно количеству открываемых правил. поэтому странно что открываемые правила можно редактировать, а закрываемые нет 
я уже решил проблему прописав все правила в сам скрипт manad, а в редакторе правил написал {N0} {A} 100 правда осталась проблема с общим шейпингом всех IP-адресов для абонентов имеющих более одного адреса (т.е. что бы задавалась суммарная скорость для всех его адресов) |
|
| Автор: | stark [ 21 дек 2007, 23:20 ] |
| Заголовок сообщения: | |
В версии 4.4 (котрая еще не вышла на текущий момент) реализован пример Manad-а под Linux . Его настойка описана здесь: http://bgbilling.ru/v4.4/doc/ch09s10.html#d0e8062 Для его реализаци в системе были введены незначительные изменеия , поддержка старого Manad -а также осталась. msh писал(а): но количество закрываемых правил должно быть равно количеству открываемых правил. поэтому странно что открываемые правила можно редактировать, а закрываемые нет
я уже решил проблему прописав все правила в сам скрипт manad, а в редакторе правил написал {N0} {A} 100 правда осталась проблема с общим шейпингом всех IP-адресов для абонентов имеющих более одного адреса (т.е. что бы задавалась суммарная скорость для всех его адресов) Эти проблемы учтены в даннйо реализации Manad-а. Количество закрываемых правил не всегда равно количеству закрываемых правил. В данром примере предлагаемом примере реализации Manad получает правила и сам разбирает какие из открывающие и какие закрывающие, закрывающие правила он запоминает. |
|
| Автор: | msh [ 26 янв 2008, 17:39 ] |
| Заголовок сообщения: | |
stark писал(а): В версии 4.4 (котрая еще не вышла на текущий момент) реализован пример Manad-а под Linux .
Его настойка описана здесь: http://bgbilling.ru/v4.4/doc/ch09s10.html#d0e8062 Для его реализаци в системе были введены незначительные изменеия , поддержка старого Manad -а также осталась. новый manad только с 4.4 будет работать? |
|
| Автор: | stark [ 28 янв 2008, 20:50 ] |
| Заголовок сообщения: | |
msh писал(а): stark писал(а): В версии 4.4 (котрая еще не вышла на текущий момент) реализован пример Manad-а под Linux . Его настойка описана здесь: http://bgbilling.ru/v4.4/doc/ch09s10.html#d0e8062 Для его реализаци в системе были введены незначительные изменеия , поддержка старого Manad -а также осталась. новый manad только с 4.4 будет работать? Нет..там появились новые теги <LOOP></LOOP>, которые обрабатываются на стороне сервера ..Т.е в старом манаде все строки дублировались для каждого ip -адреса, а тут толко часть строк дублируется ..данный пример манада будет работать с текущей версией 4.4 alpha |
|
| Автор: | urfin [ 07 фев 2008, 13:15 ] |
| Заголовок сообщения: | |
обрабатывается только добвление клиента на роутер, изменение состояния шлюза - нет, выглядит так правила для шлюза в биллинге [OPEN] iptables -A FORWARD -s 192.168.17.213 -j ACCEPT iptables -A FORWARD -d 192.168.17.213 -j ACCEPT [/OPEN] [CLOSE] iptables -D FORWARD -s 192.168.17.213 -j ACCEPT iptables -D FORWARD -d 192.168.17.213 -j ACCEPT [/CLOSE] [root@localhost ~]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination [root@localhost ~]# запускаем manad и меняем состояние шлюза в билинге с "закрыт" на "открыт" [root@localhost bin]# manad_linux request =test request =add 171 [OPEN]|iptables -A FORWARD -s 192.168.17.213 -j ACCEPT|iptables -A FORWARD -d 192.168.17.213 -j ACCEPT||[/OPEN]||[CLOSE]|iptables -D FORWARD -s 192.168.17.213 -j ACCEPT|iptables -D FORWARD -d 192.168.17.213 -j ACCEPT|||[/CLOSE]| indexes = afterchange =[OPEN]|iptables -A FORWARD -s 192.168.17.213 -j ACCEPT|iptables -A FORWARD -d 192.168.17.213 -j ACCEPT||[/OPEN]||[CLOSE]|iptables -D FORWARD -s 192.168.17.213 -j ACCEPT|iptables -D FORWARD -d 192.168.17.213 -j ACCEPT|||[/CLOSE]| add =|iptables -A FORWARD -s 192.168.17.213 -j ACCEPT|iptables -A FORWARD -d 192.168.17.213 -j ACCEPT|| iptables -A FORWARD -s 192.168.17.213 -j ACCEPT iptables -A FORWARD -d 192.168.17.213 -j ACCEPT delete =|iptables -D FORWARD -s 192.168.17.213 -j ACCEPT|iptables -D FORWARD -d 192.168.17.213 -j ACCEPT||| [root@localhost ~]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT all -- 192.168.17.213 anywhere ACCEPT all -- anywhere 192.168.17.213 Chain OUTPUT (policy ACCEPT) target prot opt source destination переключаем состояние шлюза на "закрыт" от манада: request =test request =remove 171 [root@localhost ~]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT all -- 192.168.17.213 anywhere ACCEPT all -- anywhere 192.168.17.213 Chain OUTPUT (policy ACCEPT) target prot opt source destination цепочки не удалены, более того, если перезапустить манад и поставить шлюз в "открыт" то добавится еще один комплект пропускающих правил ... как с этим бороться? [/code] |
|
| Автор: | stark [ 07 фев 2008, 15:07 ] |
| Заголовок сообщения: | |
Какая версия сервера ? исправлена ошибка.. в версии BGBillingServer_4.4_80.zip работает ..Обновите либо поставьте update4.4.zip!(выложенный сегодня) |
|
| Автор: | urfin [ 07 фев 2008, 15:19 ] |
| Заголовок сообщения: | |
а 4.3 сборка 40 можно этим апдейтить? |
|
| Автор: | stark [ 07 фев 2008, 16:27 ] |
| Заголовок сообщения: | |
urfin писал(а): а 4.3 сборка 40 можно этим апдейтить?
Нет, не стоит этого делать ..релиз 4.4 пока еще не вышел и перехода с 4.3 на 4.4 не тестировался ..update.4.4.zip можно применять внутри самой весрии 4.4 alpha Кстати я немного ошибься, когда сказал с 4.3 это не будет работать... С версией 4.3 manad для линукса будет работать если использовать только пользовательские правила , т.е не использовать типов правил.. в этом случае нужно будет писать все правила самому ручками(там не используются теги <LOOP>, <ver 2.0> и т.п ) ..А сейчас не работает с версией 4,3 вообще (даже если использовать пользовательские правила ), потому что там стоит лишняя проверка в manad-е..Я толко что ее убрал обновил manad_linux.zip, качайте заново .. Теперь он будет работать с версией 4.4 alpha (без ограничений) и версией 4.3(толко пользовательские правила ) . я проверил, на ваших правилах: Код: OPEN]
iptables -A FORWARD -s 192.168.17.213 -j ACCEPT iptables -A FORWARD -d 192.168.17.213 -j ACCEPT [/OPEN] [CLOSE] iptables -D FORWARD -s 192.168.17.213 -j ACCEPT iptables -D FORWARD -d 192.168.17.213 -j ACCEPT [/CLOSE] добавленные, как пользовательские, версия 4.3 теперь работает |
|
| Автор: | urfin [ 07 фев 2008, 16:36 ] |
| Заголовок сообщения: | |
а еще было бы чудесно добавить отправку не только ip но и произвольного текстового поля, например "коментарий" из "диапазон адресов" 
|
|
| Автор: | stark [ 07 фев 2008, 16:39 ] |
| Заголовок сообщения: | |
urfin писал(а): а еще было бы чудесно добавить отправку не только ip но и произвольного текстового поля, например "коментарий" из "диапазон адресов"
зачем? как вы хотите его использовать ? |
|
| Автор: | urfin [ 07 фев 2008, 16:57 ] |
| Заголовок сообщения: | |
ну например если клиенту нужно влан поднять и мы хотим, чтоб все операции по добавлению клиента производились через биллинг, то удобно для этого скриптину через манад дернуть и через него же передать какой и где. много полезных применений. |
|
| Автор: | stark [ 07 фев 2008, 18:39 ] |
| Заголовок сообщения: | |
urfin писал(а): ну например если клиенту нужно влан поднять и мы хотим, чтоб все операции по добавлению клиента производились через биллинг, то удобно для этого скриптину через манад дернуть и через него же передать какой и где. много полезных применений.
А кто вам мешает все это загнать в то же самое текстовое поле? а манад потом его разберет и сам извлечет что вам нужно(например в тегах [params] [/params]) |
|
| Автор: | urfin [ 13 фев 2008, 17:34 ] |
| Заголовок сообщения: | |
возможен ли немеделнный вызов проверки шлюзов ипн для всех клиентов ? |
|
| Автор: | stark [ 14 фев 2008, 12:48 ] |
| Заголовок сообщения: | |
urfin писал(а): возможен ли немеделнный вызов проверки шлюзов ипн для всех клиентов ?
Вы можете создать задачу "Проверка шлюзов IPN" в планировщике |
|
| Автор: | AlexandrV [ 25 мар 2008, 10:03 ] |
| Заголовок сообщения: | |
urfin писал(а): обрабатывается только добвление клиента на роутер, изменение состояния шлюза - нет[/code]
У меня тоже не выходит ладу дать. Версия билинга 4,3 сборка 40. Скачал исправленный манад под линукс, настроил одному юзеру для теста пользовательские правила, но ситуация та же: при первом запуске manad открытие срабатывает, сохраняется првило для удаления, но при последующих манипуляциях с билингом (открытие-закрытие) ничего не происходит. Хотелось бы узнать, насколько этот manad работоспособен с версией 4,4? Кто-нибудь настраивал? На данный момент приходится использовать переделанный своими силами manad для фрюхи, но не можем пока реализовать в нем проверку правил после перезагрузки билинга или шлюза. Есть подозрение, что эту функцию должен выполнять вызов в manad какой-то проверки test, только вот не ясно пока, что она и как проверяет. |
|
| Автор: | stark [ 25 мар 2008, 14:53 ] |
| Заголовок сообщения: | |
AlexandrV писал(а): У меня тоже не выходит ладу дать. Версия билинга 4,3 сборка 40. Скачал исправленный манад под линукс, настроил одному юзеру для теста пользовательские правила, но ситуация та же: при первом запуске manad открытие срабатывает, сохраняется првило для удаления, но при последующих манипуляциях с билингом (открытие-закрытие) ничего не происходит. Что в логе manad-а ? |
|
| Автор: | msh [ 07 апр 2008, 01:34 ] |
| Заголовок сообщения: | |
В линуксе tc не работает для входящего траффика (работает только для исходящего траффика), поэтому пример из пункта документации 11.1.3 работать не будет, надо поправить указав для входящего траффика другой интерфейс роутера, на котором он будет исходящим что-то типа Код: <ver 2.0/>
[OPEN] <LOOP> iptables -I USER_RULES -s {A} -j RETURN iptables -I USER_RULES -d {A} -j RETURN </LOOP> /sbin/tc class add dev eth0 parent 1:0 classid 1:[N1] htb rate 256kbit burst 4k prio 1 /sbin/tc qdisc add dev eth0 parent 1:[N1] handle [N1]: sfq perturb 10 quantum 1500 /sbin/tc class add dev eth1 parent 1:0 classid 1:[N1] htb rate 256kbit burst 4k prio 1 /sbin/tc qdisc add dev eth1 parent 1:[N2] handle [N1]: sfq perturb 10 quantum 1500 <LOOP> /sbin/tc filter add dev eth0 parent 1:0 protocol ip prio [N1] u32 match ip src {A} flowid 1:[N1] </LOOP> <LOOP> /sbin/tc filter add dev eth1 parent 1:0 protocol ip prio [N1] u32 match ip dst {A} flowid 1:[N1] </LOOP> [/OPEN] [CLOSE] <LOOP> iptables -D USER_RULES -s {A} -j RETURN iptables -D USER_RULES -d {A} -j RETURN </LOOP> /sbin/tc filter del dev eth0 parent 1:0 protocol ip prio [N1] /sbin/tc filter del dev eth1 parent 1:0 protocol ip prio [N1] /sbin/tc class del dev eth0 parent 1:0 classid 1:[N1] htb rate 256kbit burst 4k prio 1 /sbin/tc class del dev eth1 parent 1:0 classid 1:[N1] htb rate 256kbit burst 4k prio 1 [/CLOSE] |
|
| Автор: | AlexandrV [ 07 апр 2008, 13:08 ] |
| Заголовок сообщения: | |
stark писал(а): AlexandrV писал(а): У меня тоже не выходит ладу дать. Версия билинга 4,3 сборка 40. Скачал исправленный манад под линукс, настроил одному юзеру для теста пользовательские правила, но ситуация та же: при первом запуске manad открытие срабатывает, сохраняется првило для удаления, но при последующих манипуляциях с билингом (открытие-закрытие) ничего не происходит. Что в логе manad-а ? starting manad.. request =test request =test request =add 1 [OPEN]||/sbin/iptables -t nat -I PREROUTING -s 192.168.104.77 -j ACCEPT|/sbin/iptables -I FORWARD -t filter -s 192.168.104.77 -o eth3 -j ACCEPT||/sbin/tc class add dev eth0 parent 1:0 classid 1:[N1] htb rate 256kbit burst 4k p rio 1|/sbin/tc qdisc add dev eth0 parent 1:[N1] handle [N1]: sfq perturb 10 quantum 1500||/sbin/tc class add dev eth0 parent 1:0 classid 1:[N2] htb rate 128kbit burst 4k prio 1|/sbin/tc qdisc add dev eth0 parent 1:[N2] handle [N2]: sfq perturb 10 qua ntum 1500||/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio [N1] u32 match ip dst 192.168.104.77 flowid 1:[N1]||/sbi n/tc filter add dev eth0 parent 1:0 protocol ip prio [N2] u32 match ip src 192.168.104.77 flowid 1:[N2]||[/OPEN]|[CLOSE]|/sbi n/iptables -t nat -D PREROUTING -s 192.168.104.77 -j ACCEPT|/sbin/iptables -D FORWARD -t filter -s 192.168.104.77 -o eth3 -j ACCEPT|/sbin/tc filter del dev eth0 parent 1:0 protocol ip prio [N1]|/sbin/tc filter del dev eth0 parent 1:0 protocol ip prio [N2]||/sbin/tc class del dev eth0 parent 1:0 classid 1:[N1] htb rate 256kbit burst 4k prio 1|/sbin/tc class del dev eth0 par ent 1:0 classid 1:[N2] htb rate 128kbit burst 4k prio 1||[/CLOSE]| commands: /sbin/iptables -t nat -I PREROUTING -s 192.168.104.77 -j ACCEPT /sbin/iptables -I FORWARD -t filter -s 192.168.104.77 -o eth3 -j ACCEPT /sbin/tc class add dev eth0 parent 1:0 classid 1:3 htb rate 256kbit burst 4k prio 1 /sbin/tc qdisc add dev eth0 parent 1:3 handle 3: sfq perturb 10 quantum 1500 /sbin/tc class add dev eth0 parent 1:0 classid 1:4 htb rate 128kbit burst 4k prio 1 /sbin/tc qdisc add dev eth0 parent 1:4 handle 4: sfq perturb 10 quantum 1500 /sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 3 u32 match ip dst 192.168.104.77 flowid 1:3 /sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 4 u32 match ip src 192.168.104.77 flowid 1:4 delete =|/sbin/iptables -t nat -D PREROUTING -s 192.168.104.77 -j ACCEPT|/sbin/iptables -D FORWARD -t filter -s 192.168.104.7 7 -o eth3 -j ACCEPT|/sbin/tc filter del dev eth0 parent 1:0 protocol ip prio 3|/sbin/tc filter del dev eth0 parent 1:0 protoc ol ip prio 4||/sbin/tc class del dev eth0 parent 1:0 classid 1:3 htb rate 256kbit burst 4k prio 1|/sbin/tc class del dev eth0 parent 1:0 classid 1:4 htb rate 128kbit burst 4k prio 1|| request =test request =remove 1 request =test request =test request =remove 1 request =test request =remove 1 request =test Вначале сделал "Закрыть" (шлюз до этого открыт был), потом "Открыть", манад отработал включение (правила появились в системе). Опять выбрал "Закрыть", в логе появился запрос test и remove 1, правила как были, так и остались.. Дальнейшие переключения не помогли. |
|
| Автор: | stark [ 08 апр 2008, 13:25 ] |
| Заголовок сообщения: | |
msh писал(а): В линуксе tc не работает для входящего траффика (работает только для исходящего траффика), поэтому пример из пункта документации 11.1.3 работать не будет, надо поправить указав для входящего траффика другой интерфейс роутера, на котором он будет исходящим
что-то типа Код: <ver 2.0/> [OPEN] <LOOP> iptables -I USER_RULES -s {A} -j RETURN iptables -I USER_RULES -d {A} -j RETURN </LOOP> /sbin/tc class add dev eth0 parent 1:0 classid 1:[N1] htb rate 256kbit burst 4k prio 1 /sbin/tc qdisc add dev eth0 parent 1:[N1] handle [N1]: sfq perturb 10 quantum 1500 /sbin/tc class add dev eth1 parent 1:0 classid 1:[N1] htb rate 256kbit burst 4k prio 1 /sbin/tc qdisc add dev eth1 parent 1:[N2] handle [N1]: sfq perturb 10 quantum 1500 <LOOP> /sbin/tc filter add dev eth0 parent 1:0 protocol ip prio [N1] u32 match ip src {A} flowid 1:[N1] </LOOP> <LOOP> /sbin/tc filter add dev eth1 parent 1:0 protocol ip prio [N1] u32 match ip dst {A} flowid 1:[N1] </LOOP> [/OPEN] [CLOSE] <LOOP> iptables -D USER_RULES -s {A} -j RETURN iptables -D USER_RULES -d {A} -j RETURN </LOOP> /sbin/tc filter del dev eth0 parent 1:0 protocol ip prio [N1] /sbin/tc filter del dev eth1 parent 1:0 protocol ip prio [N1] /sbin/tc class del dev eth0 parent 1:0 classid 1:[N1] htb rate 256kbit burst 4k prio 1 /sbin/tc class del dev eth1 parent 1:0 classid 1:[N1] htb rate 256kbit burst 4k prio 1 [/CLOSE] В документации сделан несколько исскуственный пример и он рабочий ..Представим что в качестве шлюза мы ставим компьютер всего с одной сетевой картой ..На эту карту приходит трафик от клиента , с этот же карты он и уходит в инет(и обратно) .. В этом случае все пакеты, у которых src=ip и dst=ip являются исходящим трафиком в обоих случаях и их можно ограничивать ... Если же у нас 2 сетевыей карты , то да, ограничение нужно вешать на обе карты - на одной входящий, на другой исходящий - тогда нужен примерно та конфигурация, которую вы предлагаете..толко во втором случае скорее всего нельзя использовать SNAT на том же самом компьютере, т.к на внешнем интерфейсе уже будет подмененный ip Я понимаю, что пример в документации хоть и возможен , но скоре всего он не используется в реальной жизни, поэтому возможно мы поменяем документацию. Спасибо, что обратили на это внимание |
|
| Автор: | stark [ 08 апр 2008, 15:56 ] |
| Заголовок сообщения: | |
AlexandrV писал(а): stark писал(а): AlexandrV писал(а): У меня тоже не выходит ладу дать. Версия билинга 4,3 сборка 40. Скачал исправленный манад под линукс, настроил одному юзеру для теста пользовательские правила, но ситуация та же: при первом запуске manad открытие срабатывает, сохраняется првило для удаления, но при последующих манипуляциях с билингом (открытие-закрытие) ничего не происходит. Что в логе manad-а ? starting manad.. request =test request =test request =add 1 [OPEN]||/sbin/iptables -t nat -I PREROUTING -s 192.168.104.77 -j ACCEPT|/sbin/iptables -I FORWARD -t filter -s 192.168.104.77 -o eth3 -j ACCEPT||/sbin/tc class add dev eth0 parent 1:0 classid 1:[N1] htb rate 256kbit burst 4k p rio 1|/sbin/tc qdisc add dev eth0 parent 1:[N1] handle [N1]: sfq perturb 10 quantum 1500||/sbin/tc class add dev eth0 parent 1:0 classid 1:[N2] htb rate 128kbit burst 4k prio 1|/sbin/tc qdisc add dev eth0 parent 1:[N2] handle [N2]: sfq perturb 10 qua ntum 1500||/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio [N1] u32 match ip dst 192.168.104.77 flowid 1:[N1]||/sbi n/tc filter add dev eth0 parent 1:0 protocol ip prio [N2] u32 match ip src 192.168.104.77 flowid 1:[N2]||[/OPEN]|[CLOSE]|/sbi n/iptables -t nat -D PREROUTING -s 192.168.104.77 -j ACCEPT|/sbin/iptables -D FORWARD -t filter -s 192.168.104.77 -o eth3 -j ACCEPT|/sbin/tc filter del dev eth0 parent 1:0 protocol ip prio [N1]|/sbin/tc filter del dev eth0 parent 1:0 protocol ip prio [N2]||/sbin/tc class del dev eth0 parent 1:0 classid 1:[N1] htb rate 256kbit burst 4k prio 1|/sbin/tc class del dev eth0 par ent 1:0 classid 1:[N2] htb rate 128kbit burst 4k prio 1||[/CLOSE]| commands: /sbin/iptables -t nat -I PREROUTING -s 192.168.104.77 -j ACCEPT /sbin/iptables -I FORWARD -t filter -s 192.168.104.77 -o eth3 -j ACCEPT /sbin/tc class add dev eth0 parent 1:0 classid 1:3 htb rate 256kbit burst 4k prio 1 /sbin/tc qdisc add dev eth0 parent 1:3 handle 3: sfq perturb 10 quantum 1500 /sbin/tc class add dev eth0 parent 1:0 classid 1:4 htb rate 128kbit burst 4k prio 1 /sbin/tc qdisc add dev eth0 parent 1:4 handle 4: sfq perturb 10 quantum 1500 /sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 3 u32 match ip dst 192.168.104.77 flowid 1:3 /sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 4 u32 match ip src 192.168.104.77 flowid 1:4 delete =|/sbin/iptables -t nat -D PREROUTING -s 192.168.104.77 -j ACCEPT|/sbin/iptables -D FORWARD -t filter -s 192.168.104.7 7 -o eth3 -j ACCEPT|/sbin/tc filter del dev eth0 parent 1:0 protocol ip prio 3|/sbin/tc filter del dev eth0 parent 1:0 protoc ol ip prio 4||/sbin/tc class del dev eth0 parent 1:0 classid 1:3 htb rate 256kbit burst 4k prio 1|/sbin/tc class del dev eth0 parent 1:0 classid 1:4 htb rate 128kbit burst 4k prio 1|| request =test request =remove 1 request =test request =test request =remove 1 request =test request =remove 1 request =test Вначале сделал "Закрыть" (шлюз до этого открыт был), потом "Открыть", манад отработал включение (правила появились в системе). Опять выбрал "Закрыть", в логе появился запрос test и remove 1, правила как были, так и остались.. Дальнейшие переключения не помогли. хм, я протестировал manad с версией 4.3 ..Действительно с ней не работает , причем я вроде обнвовлял уже manad , но текущая версия не работает ..я снова обвновил его , сейчас точно должно работать (дата создания файла - сегодняшнее число) , качайте, пробуйте |
|
| Автор: | AlexandrV [ 09 апр 2008, 09:17 ] |
| Заголовок сообщения: | |
Эта версия немного по другому себя ведет, но так же не работает. Вот лог. [root@office manad1]# tail -f manad.out request =test request =test request =add 8 [OPEN]||/sbin/iptables -t nat -I PREROUTING -s 192.168.60.5 -j ACCEPT|/sbin/iptables -I FORWARD -t filter -s 192.168.60.5 -o eth3 -j ACCEPT||[/OPEN]|[CLOSE]|/sbin/iptables -t nat -D PREROUTING -s 192.168.60.5 -j ACCEPT|/sbin/iptables -D FORWARD -t filter -s 192.168.60.5 -o eth3 -j ACCEPT||[/CLOSE]| indexes = afterchange =[OPEN]||/sbin/iptables -t nat -I PREROUTING -s 192.168.60.5 -j ACCEPT|/sbin/iptables -I FORWARD -t filter -s 192.168.60.5 -o eth3 -j ACCEPT||[/OPEN]|[CLOSE]|/sbin/iptables -t nat -D PREROUTING -s 192.168.60.5 -j ACCEPT|/sbin/iptables -D FORWARD -t filter -s 192.168.60.5 -o eth3 -j ACCEPT||[/CLOSE]| add =||/sbin/iptables -t nat -I PREROUTING -s 192.168.60.5 -j ACCEPT|/sbin/iptables -I FORWARD -t filter -s 192.168.60.5 -o eth3 -j ACCEPT|| /sbin/iptables -t nat -I PREROUTING -s 192.168.60.5 -j ACCEPT /sbin/iptables -I FORWARD -t filter -s 192.168.60.5 -o eth3 -j ACCEPT Последовательность действий та же. После первого включения все срабатывает, дальше тишина. |
|
| Автор: | stark [ 09 апр 2008, 11:43 ] |
| Заголовок сообщения: | |
я не вижу команду remove в вашем логе ..приведите ту часть лога, где есть remove и попробуйте обновить сервер биллинга и модуль ipn до последних версий в 4.3 .. желательно конечно обнвочить все до 4.4, но хотя бы это сделайте В server.out есть ошибки ? |
|
| Автор: | AlexandrV [ 09 апр 2008, 12:53 ] |
| Заголовок сообщения: | |
В том-то и фикус, что это все, что есть в логе... Ни ошибок, ни команды remove... Обновиться - это конечно выход, но обновление билинга - это определенный риск, все-таки уже не 10 клиентов, и в случае проблем с обновлением возможны проблемы финансовые. Поэтому хотелось бы попробовать все варианты со старым билингом. Если уж ничего не поможет, то обновимся полностью до 4.4. |
|
| Автор: | msh [ 10 апр 2008, 00:10 ] |
| Заголовок сообщения: | |
stark писал(а): Ограничение нужно вешать на обе карты - на одной входящий, на другой исходящий - тогда нужен примерно та конфигурация, которую вы предлагаете..толко во втором случае скорее всего нельзя использовать SNAT на том же самом компьютере, т.к на внешнем интерфейсе уже будет подмененный ip
эту проблему можно решить маркируя пакеты iptables а потом уже по метке шейпить что-то типа этого Код: iptables -I FORWARD -t mangle -d {A} -j MARK --set-mark {N0}
iptables -I FORWARD -t mangle -s {A} -j MARK --set-mark {N0} tc filter add dev eth0 parent 1:0 protocol ip prio 1 handle {N0} fw flowid 1:{N0} tc filter add dev eth1 parent 1:0 protocol ip prio 1 handle {N0} fw flowid 1:{N0} |
|
| Автор: | stark [ 10 апр 2008, 11:20 ] |
| Заголовок сообщения: | |
msh писал(а): эту проблему можно решить маркируя пакеты iptables а потом уже по метке шейпить
да, это дельная мысль ... |
|
| Автор: | AlexandrV [ 10 апр 2008, 17:17 ] |
| Заголовок сообщения: | |
AlexandrV писал(а): В том-то и фикус, что это все, что есть в логе... Ни ошибок, ни команды remove...
Обновиться - это конечно выход, но обновление билинга - это определенный риск, все-таки уже не 10 клиентов, и в случае проблем с обновлением возможны проблемы финансовые. Поэтому хотелось бы попробовать все варианты со старым билингом. Если уж ничего не поможет, то обновимся полностью до 4.4. Ну так что? Кроме как обновить билинг ничего не поможет? |
|
| Страница 1 из 2 | Часовой пояс: UTC + 5 часов [ Летнее время ] |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|