Ubilling + NAS на FreeBSD бортжурнал починаючого адміна

[sanyadnepr 305]

 

Откройте для себя VPN. И можно дальше спокойно употреблять блины

тільки якщо  лайфон уміє впн  і пров не дав сіру адресу зза нату, де впн незажди працює

 

Если лайфон умеет веб, он умеет VPN, остальное ньюансы, выбрать правильную точку доступа, засношать ТП лайфона чтоб заработал VPN, выкинуть нафиг симку, оплатить услугу VPN, гора и маленькая тележка вариантов.

Нет, сделаем все через задницу, вопреки здравому смыслу и рекомендациям. Да, только хардкор 

[John_Doe 301]

 

Откройте для себя VPN. И можно дальше спокойно употреблять блины

тільки якщо  лайфон уміє впн  і пров не дав сіру адресу зза нату, де впн незажди працює

 

Удобство и безопасность - взаимноисключающие параграфы

[mgo 20]

 

 

Нет, сделаем все через задницу, вопреки здравому смыслу и рекомендациям. Да, только хардкор 

звідки йому взятися, тому здавому смислу)

гляньте модуль масового зносу користувачів пилю

[sanyadnepr 305]

 

Нет, сделаем все через задницу, вопреки здравому смыслу и рекомендациям. Да, только хардкор 

звідки йому взятися, тому здавому смислу)

гляньте модуль масового зносу користувачів пилю

 

А с какой целью прибивать пользователей массово ? О какой массовости идет речь ? Много свободного времени ?

[mgo 20]

отак виглядає модуль,

тількищо убив 400 юзерів, старгейзер неповис.

Мову переклав тільки на українську, 

добре булоб зробити ввід запиту з вебморди, а не з консолі редагуванням модулю, але скільки його треба, можна і влізти в консоль.

зара впакую файлики закину на обмінник і на пастбін

 

 

http://pastebin.com/5avQGyVj

Відредаговано 2016-01-26 16:23:07 mgo

[mgo 20]

А с какой целью прибивать пользователей массово ? О какой массовости идет речь ? Много свободного времени ? 

 

потрібно розділити абонбазу, заливаю всю і лишне зношу, также після успішного запуску  другого білінгу треба тих, що переніс прибити на першому.

 

кого прибивати вибираю  SQL запитом тіпа

SELECT `login`,`IP` FROM `users` WHERE `IP` LIKE "172.16.18.%"

Відредаговано 2016-01-26 16:19:23 mgo

[mgo 20]

Доречі може модуль додати в наступний реліз?

його можна використовувати і для чистки абонбази від юзерів які переключилися до іншого прова чи фізично померли))

якщо юзер +- рік неплатить і непроявляє признаків життя в утиль.

[Qvent 0]

Поругайте пожалуйста. Пробросить порт хочу, а он не пробрасывается.

 

em0 - внешка (1.1.1.1)

vlan23 - влан(172.17.23.0/24) поднятый на em1

порт 8081 в него нужно достучаться из вне, айпи локальный 172.17.23.30

 

${fwcmd} add 10 allow all from any to 172.17.23.30 8081 via vlan23
${fwcmd} add 11 fwd 172.17.23.30,8081 all from any to me 8081 via vlan23
${fwcmd} nat 1 config if em0 redirect_port tcp 172.17.23.30:8081 8081

[mgo 20]

${FwCMD} nat 1 config log if bge0 reset same_ports \

 redirect_port tcp 172.16.18.36:80 8080 

отак у мене працює, 

${fwcmd} add 11 fwd 172.17.23.30,8081 all from any to me 8081 via vlan23

 

 оце помоєму лишне

Відредаговано 2016-01-28 07:45:20 mgo

[l1ght 377]

 

 

${fwcmd} add 11 fwd 172.17.23.30,8081 all from any to me 8081 via vlan23

это вообще лишнее для проброса портов 

[l1ght 377]

 

А с какой целью прибивать пользователей массово ? О какой массовости идет речь ? Много свободного времени ? 

 

потрібно розділити абонбазу, заливаю всю і лишне зношу, также після успішного запуску  другого білінгу треба тих, що переніс прибити на першому.

 

кого прибивати вибираю  SQL запитом тіпа

SELECT `login`,`IP` FROM `users` WHERE `IP` LIKE "172.16.18.%"

 

а чё wf_Input не осилил?)))

что б запрос подтягивать с формочки)

[mgo 20]

 

 

а чё wf_Input не осилил?))) что б запрос подтягивать с формочки)

Мені треба було грохнути раз пару підмереж які виковиряв одним запитом, модуль нецікавий публіці, який сенс напрягатися?

для підняття свого рівня знань? хороший мотиватор, буде вільний чаз осилю і може допилю.

[l1ght 377]

 

а чё wf_Input не осилил?))) что б запрос подтягивать с формочки)

Мені треба було грохнути раз пару підмереж які виковиряв одним запитом, модуль нецікавий публіці, який сенс напрягатися?

для підняття свого рівня знань? хороший мотиватор, буде вільний чаз осилю і може допилю.

 

ну wf_Input() генериурет обычный хтмл input type="text"

а дальше дело нехитрое с формочками обращатся

рисуешь форму, шлешь sql запрос постом или гетом и ловишь его

[mgo 20]

Підкажіть в такому питанні:

 

Треба наміксувати три канали на одному сервері NAS

треба зробити осьтак

172.16.1.0/24 ---> канал 1 IP  10.10.10.2/32 gw 10.10.10.1

172.16.2.0/24 ---> канал 2 IP 10.10.10.60/32 gw 10.10.10.1

172.16.3.0/24 ---> канал 3 IP 10.10.10.90/32 gw 10.10.10.1

усе це просто міксується setfib-ами але є одне але,  у всіх каналів  один основний шлюз (10.10.10.1) і весь трафік льється першим каналом.

 

рішення 1 узяти один широкий канал і незайматися сексом з табуретков,

рішення 2 тицюнути по маршрутизатору на два канали і занатити

 

але хочеться все то розрулити одним сервером.

 

отак зараз рулиться з маршрутизаторами прокладками.

firewall.conf
//-----------////------------------------------------------
table 20 = 172.16.1.0/24
table 21 = 172.16.2.0/24
table 22 = 172.16.3.0/24

add 1040 setfib 0 ip from table\(20\) to any in recv fxp0
add 1050 setfib 1 ip from table\(21\) to any in recv fxp0
add 1050 setfib 2 ip from table\(22\) to any in recv fxp0 
//------------///------------------------------------------

Відредаговано 2016-03-01 19:32:49 mgo

[l1ght 377]

ну подымаешь три соединения 

подымаешь на каждое нат

рабрасываешь ручками какого абонента в какой нат пихать

а то что шлюз одинаковый, тебе только на руку

[mgo 20]

рабрасываешь ручками какого абонента в какой нат пихать

тут детальніше будьласка 

 

${FwCMD} add 6000 nat 1 ip from table\(20\) to not table\(9\) via em0 

${FwCMD} add 6001 nat 1 ip from any to x.x.x.x via em0

${FwCMD} add 6002 nat 2 ip from table\(21\) to not table\(9\) via em1

${FwCMD} add 6003 nat 2 ip from any to x.x.x.x via em1

${FwCMD} add 6004 nat 3 ip from table\(22\) to not table\(9\) via em2 

${FwCMD} add 6005 nat 3 ip from any to x.x.x.x via em2

 

якось так?

правильно поняв?

Відредаговано 2016-03-01 19:46:29 mgo

[l1ght 377]

 

рабрасываешь ручками какого абонента в какой нат пихать

тут детальніше будьласка 

 

пиши в скайп, расскажу, опробуешь - заведется, будешь делится по желанию уже со всеми

[mgo 20]

setfib 1 route add -net 0.0.0.0/0  -interface ng1

і так для кожного з'єднання розрулив маршрутом по інтерфейсу.

Відредаговано 2016-03-02 05:39:29 mgo

[mgo 20]

у прова нарешті взяв кум канал непіжений     далі по пппое((

проблем наступний

Не відкриває частину сайтів, тест на спід, вк, ок і ще цілий ряд інших

 

Почало невідкривати після того як пров включив шейпер, по слухах до того шепив  свічом на порті, випадково зарізав нас в 40 мегабіт

два дня возилися поки дав 200++

тепер далі  половина сайтів  не відкриває

зате гугл, яндекс ютуб прекрасно бігають.

 

до прова звоню до тех сПеціяліста той каже я не адмін не бомби мені вуха, я вмію вкл вик порт на свічі і нарізати швидкість на світчі.

 

що вони там могли ще порізати?

при порізаних сесіях може бути така ситуація?

 

на НАС +- 600 абонів зареганих в білінгу, до  історій з шейперами у вищого  провайдера  на НАС все пахало прекрасно.

ДНС відпрацьовує, топто пишем у абонента пінг vk.com, воно пінгається але на сайт не пускає.

у фаєрі вже всі заборони і переадресації виключив.

Відредаговано 2016-03-23 18:16:28 mgo

[mgo 20]

ping IP_NAS -f -l 1454  -> пінг є

ping IP_NAS -f -l 1455  -> таймаут

...................................

ping IP_NAS -f -l 1473  -> Packet needs to be fragmented but DF set.

 

получається до НАС недолітають пакети з розміром 1455-1472 bytes

і ніхто не фрагментує їх, получили чорну діру

тепер тільки оце пояснити спеЦиалістам прова, вони в груди б'ються, що вних все добре

Відредаговано 2016-03-24 07:33:16 mgo

[mgo 20]

як заставити їх глянути на цю хрень?

через це сайти невідкриваються у мене вірно?

бо я уже дурний зробився

[skybetik 129]

Где трассировка на сайты на которые не пускает ??? покажите так же nslookup.

p/s Думается мне что то у вас с mtu на пппое

Відредаговано 2016-03-24 12:23:10 skybetik

[mgo 20]

покажите так же nslookup.

 nslookup speedtest.net
Server:         8.8.8.8
Address:        8.8.8.8#53


Non-authoritative answer:
Name:   speedtest.net
Address: 216.146.46.10
Name:   speedtest.net
Address: 216.146.46.11

ДНС відпрацьовує, топто пишем у абонента пінг vk.com, воно пінгається але на сайт не пускає.

 

 

трансроут прекрасно пробігає без втрат, 216.146.46.10, 216.146.46.11 пінгається. (непокажу бо зараз лежить сервак)

 

пробував mtu 1492,1460,1480, 1400, 1375 

сесія піднямається, mtu - 28  пакет проходить отаким макаром ping IP_NAS -f -l 1464 *** (при MTU 1492)

 

все що більше  mtu - 28 до 1472 таймаут, все, що вище  Packet needs to be fragmented but DF set.

 

до робочої тачки пробував, mtu - 28 пінгає, все що вище зразу Packet needs to be fragmented but DF set.

 

на всякий

***  ping IP_NAS -f -l 1464 - пінг пакетом з заданов величинов в байтах і забороною фрагментувати його 

 

мій висновок, провайдер зробив якимось макаром чорну діру від  максимального пакету (1500 -28=1472 )до нижньої полки MTU (1492-28=1464)

 

намікротіку є отака байда і все паше чудово, але якого лєшого я маю підпирати ото костилями, коли купляється провайдеський канал без всяких обмежень і танців з бубном то має їхати, просто втикнувши кабель в тазік. 

Відредаговано 2016-03-24 14:32:23 mgo

[l1ght 377]

ну всё правильно локально у тебя там мту 1500

ты пингуй что-то в интернете с 1472 байтами

[mgo 20]

від 1464 до 1472 таймаут!

що менше цього  діапазону пінгає, що вище каже тре дефрагментувати.

 

на робочі тачці таймаутів нема,  або проходить пакет або зразу дефрагментувати

 

короч, обматюкав їх, роблять стаику

Відредаговано 2016-03-24 14:44:42 mgo