phenomen21 0 Posted 2008-05-20 03:59:32 Share Posted 2008-05-20 03:59:32 Здравствуйте, помогите пожалуйста! stg 2.404.9.7 + FreeBSD 7.1 + squid + natd + ipfw. Stargazer запускается, в логах пишет, что все работает, настроен на cap_divert. Конфигуратор запускается, но трафик на пользователей не считает. Все пользователи AlwaysOnline, вопрос в том - можно ли обойтись без скриптов OnConnect и OnDisconnect, а обойтись одним глобальным правилом на ipfw на всю подсеть? Я пытался и divert на порт, и tee на него же. Где должно стоять это заворачивающее правило? до форвардинга на сквид, или после диверта на nat? Заранее благодарю. Link to post Share on other sites
XoRe 0 Posted 2008-05-20 05:35:56 Share Posted 2008-05-20 05:35:56 FreeBSD 7.1 Может FreeBSD 6.1 ? Link to post Share on other sites
phenomen21 0 Posted 2008-05-20 06:31:14 Author Share Posted 2008-05-20 06:31:14 Прогнал, FreeBSD 7.0-RELEASE. Link to post Share on other sites
Max 0 Posted 2008-05-20 06:47:15 Share Posted 2008-05-20 06:47:15 Прогнал, FreeBSD 7.0-RELEASE. попробуйте нетфлоу! Link to post Share on other sites
madf 279 Posted 2008-05-20 08:45:21 Share Posted 2008-05-20 08:45:21 Однозначно - неправильная настройка файрвола Link to post Share on other sites
phenomen21 0 Posted 2008-05-20 11:16:21 Author Share Posted 2008-05-20 11:16:21 вот правила ipfw внутренняя сеть - 192.168.0.0/24 внешний айпи - 192.168.1.2 внутренний интерфейс - rl1 внешний интерфейс - rl0 00100 check-state 00130 allow ip from any to any via lo0 00150 deny ip from any to 127.0.0.0/8 00151 deny ip from 127.0.0.0/8 to any 00152 deny ip from any to me dst-port 3128 in via rl0 09200 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80,8080 via rl0 09300 divert natd ip from 192.168.0.0/24 to any out via rl0 09350 divert natd ip from any to 192.168.1.2 in via rl0 10000 allow ip from 192.168.0.0/24 to any in via rl1 10001 allow ip from 192.168.1.2 to any out via rl0 10002 allow ip from any to 192.168.0.0/24 in via rl0 10003 allow ip from any to 192.168.0.0/24 out via rl1 10004 allow ip from any to me in via rl0 65535 deny ip from any to any Link to post Share on other sites
madf 279 Posted 2008-05-20 11:23:59 Share Posted 2008-05-20 11:23:59 Читаем документацию Link to post Share on other sites
phenomen21 0 Posted 2008-05-21 02:04:09 Author Share Posted 2008-05-21 02:04:09 Люди, я-то спрашиваю, можно ли обойтись БЕЗ скриптов OnConnect и OnDisconnect? Прописать одно глобальное правило на всех пользователей. Если это МОЖНО сделать, то подскажите пожалуйста КАК! Link to post Share on other sites
Колян 2 Posted 2008-05-21 06:05:08 Share Posted 2008-05-21 06:05:08 какое еще глобальное? Зачем тебе тогда вообще биллинг? пропиши в фаерволле ipfw add 1 allow all from any to any и радуйся жизни. только нах тебе биллинг, я понять не могу Link to post Share on other sites
fedus 0 Posted 2008-05-21 06:56:57 Share Posted 2008-05-21 06:56:57 Блін уже задолбався! Поставив СТГ, запустив - запустився! Погано рахував трафік (модуль cap_bpf) поміняв cap_divert - взагалі не рахує пише 0! Читав http://stg.dp.ua/doc20/conf_divert.html не можу знайти файл make.bsd! Поможіть! Що зробити щоб цей СТГ рахував нормально трафік???? інфо: OS: FreeBSD 6.3 STG: stg-2.405.9.8 stargazer.conf: <Module cap_divert> iface = rl0 iface = rl1 </Module> rules: ALL 10.0.0.0/8 DIR0 # Локалка ALL 0.0.0.0/0 DIR1 # інет Link to post Share on other sites
fedus 0 Posted 2008-05-21 07:04:02 Share Posted 2008-05-21 07:04:02 Ага! Забув ще сказати про нетфлов все ставив по інструкції і копіював дерево каталогів у старгазер пересобирав - не встановлюється сам модуль нетфлов! Link to post Share on other sites
fedus 0 Posted 2008-05-21 11:01:26 Share Posted 2008-05-21 11:01:26 Що ніхто не стикався з подібною проблемою? Link to post Share on other sites
Max 0 Posted 2008-05-21 13:51:54 Share Posted 2008-05-21 13:51:54 Ага! Забув ще сказати про нетфлов все ставив по інструкції і копіював дерево каталогів у старгазер пересобирав - не встановлюється сам модуль нетфлов! а лог сборки сюда? Link to post Share on other sites
phenomen21 0 Posted 2008-05-21 14:42:54 Author Share Posted 2008-05-21 14:42:54 Колян, мне нужен биллинг не для того, чтобы весь трафик шел, а для того, чтобы он СЧИТАЛСЯ!!! на каждого пользователя! и считать трафик будет stg, а у меня не получается ЗАВЕРНУТЬ трафик на старгейзер! я и так пробовал, и эдак... и по правилам, и не по правилам! трафик-то идет, но старгейзер грит - "по нулям". Link to post Share on other sites
Колян 2 Posted 2008-05-21 20:44:50 Share Posted 2008-05-21 20:44:50 bpf, netflow Link to post Share on other sites
phenomen21 0 Posted 2008-05-22 03:11:42 Author Share Posted 2008-05-22 03:11:42 Колян, а дивертом никак не получится? Ведь должно же работать с cap_divert! Я где-то что-то не сделал, и не могу понять где... Можешь что-нибудь посоветовать? Link to post Share on other sites
vovksextra 0 Posted 2008-05-22 05:34:14 Share Posted 2008-05-22 05:34:14 Колян, а дивертом никак не получится? Ведь должно же работать с cap_divert! Я где-то что-то не сделал, и не могу понять где... Можешь что-нибудь посоветовать? Было же ясно сказано,madf-ом - читать документацию - все работает. http://stg.dp.ua/doc20/conf_divert.html Link to post Share on other sites
phenomen21 0 Posted 2008-05-22 06:47:44 Author Share Posted 2008-05-22 06:47:44 Ни фига не выходит! я все сделал так как написано! сначала не выполнялись строчки из OnConnect, которые меняют правила файера, я сделал вот так NUMBER1=1000+$ID*10 NUMBER2=1001+$ID*10 ${fwcmd} add ${NUMBER1} fwd 127.0.0.1,3128 tcp from ${IP} to any 80 via ${int_if} ${fwcmd} add ${NUMBER2} divert 15001 ip from ${IP} to any via ${int_if} теперь OnConnect выполняется как надо, но у пользователя пропадает инет к чертовой матери, ipfw show показывает, что под правило диверта попадают пакеты, но ИНЕТА НЕТ, и старгейзер все равно говорит, что трафика не было! Помогите же хоть реально, а не отправляйте читать матчасть! Я эти маны скоро наизусть выучу, уже тыщу раз прочитал! Про bpf мне говорили, что он криво считает, поэтому считаю дивертом. Link to post Share on other sites
madf 279 Posted 2008-05-22 09:08:04 Share Posted 2008-05-22 09:08:04 Stargazer может не считать трафик если: - он не попадает в плагин захвата; - он не попадает в правила; - он не принадлежит ни одному авторизованному пользователю. Когда-то в журнале "За рулём" писали: "Двигатель не заводится если нет бензина или нет искры". Так и тут. Проверь все три пункта. Есть большое подозрение, что не указываеш или неправильно указываеш порт для divert в файрволе или конфиге плагина. Link to post Share on other sites
madf 279 Posted 2008-05-22 09:13:09 Share Posted 2008-05-22 09:13:09 Блін уже задолбався! Поставив СТГ, запустив - запустився! Погано рахував трафік (модуль cap_bpf) поміняв cap_divert - взагалі не рахує пише 0! Читав http://stg.dp.ua/doc20/conf_divert.html не можу знайти файл make.bsd! Поможіть! Що зробити щоб цей СТГ рахував нормально трафік???? інфо: OS: FreeBSD 6.3 STG: stg-2.405.9.8 stargazer.conf: <Module cap_divert> iface = rl0 iface = rl1 </Module> rules: ALL 10.0.0.0/8 DIR0 # Локалка ALL 0.0.0.0/0 DIR1 # інет Я розумію, дока вже застаріла і там все не зовсім так, але... Якщо ти знаєш що таке Divert socket і як він працює, - нескладно здогадатись що в плагін треба прописати порт, на який "завертається" трафік. Тож секція має бути такого виду: <Module cap_divert> port = 42000 // Наприклад </Module> Link to post Share on other sites
vovksextra 0 Posted 2008-05-22 18:30:03 Share Posted 2008-05-22 18:30:03 Про bpf мне говорили, что он криво считает, поэтому считаю дивертом. "Мне говорили" - оно то так, но думаю что канал у тебя явно не 100 и даже не 50 мбит - попробуй для начала считать через BPF, а уж затем примешь решение нужен тебе диверт или нет. А то что ты скинул часть скрипта - это еще не все. Нужно как минимум объяснить людям как у тебя вообще организована раздача Link to post Share on other sites
phenomen21 0 Posted 2008-05-27 03:07:58 Author Share Posted 2008-05-27 03:07:58 Хорошо, ребят, спасибо за совет, проверю. А как можно узнать, доходит ли трафик до Старгейзера или вообще где-то на пол-пути пропадает? АААААА, кстати, вот ЭТО я написал по наитию... Документация есть только по stg 2.0, а у меня 2.404.9.7... Насколько это правильно? <Module cap_divert> iface = rl0 15000 iface = rl1 15001 </Module> Link to post Share on other sites
madf 279 Posted 2008-05-27 11:57:45 Share Posted 2008-05-27 11:57:45 Это не правильно. Я там выше немного написал пример правильного конфига. Единственный параметр секции - Port, в котором указываеш номер порта, на который твой файрвол "заворачивает" трафик. PS: в доке к 2.405 я это осветил Link to post Share on other sites
phenomen21 0 Posted 2008-05-28 05:46:44 Author Share Posted 2008-05-28 05:46:44 Спасибо, madf, я поставил как ты сказал - он начал считать! Только вдруг числа получаются по 10 ГИГАБАЙТ за минуту! Это как-то странно, не находишь? :-) Link to post Share on other sites
madf 279 Posted 2008-05-28 07:01:25 Share Posted 2008-05-28 07:01:25 Спасибо, madf, я поставил как ты сказал - он начал считать! Только вдруг числа получаются по 10 ГИГАБАЙТ за минуту! Это как-то странно, не находишь? :-) Попробуй в include/raw_ip_packet.h заменить uint32_t GetLen на uint16_t GetLen Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now