newstudent 0 Опубликовано: 2015-09-27 12:28:54 Share Опубликовано: 2015-09-27 12:28:54 День добрый. Не судите строго я только учусь. При минусовом балансе, при заморозке, при отключении абонента, интернет не отключается. Абонент продолжает пользоваться услугой. В чем может быть проблема? Ссылка на сообщение Поделиться на других сайтах
-VaSaK- 24 Опубліковано: 2015-09-27 13:00:53 Share Опубліковано: 2015-09-27 13:00:53 (відредаговано) Привет. Давай так. Чтобы тебя услышали: 1.Ну для начала, хоть покажите, пару кофигов. rc.conf, firewall.conf - как минимум. 2.Экстрасенсов и предсказателей нет. 3.Что, как и куда установлено в Вашей системе? 4.Что крутили "лишнего", как давно это началось, пациент какого года рождения? 5.Немножко подробней изложить суть. Есть предположения что неправильно настроен Фаерволл, а так же возможно и ДХЦП - сервер, ну малоли что еще не так.... Может Ваш абонент вообще ходит в инет вне биллинга Відредаговано 2015-09-27 13:09:44 -VaSaK- Ссылка на сообщение Поделиться на других сайтах
newstudent 0 Опубліковано: 2015-09-27 13:16:41 Автор Share Опубліковано: 2015-09-27 13:16:41 File:firewall.conf 0% #!/bin/sh # netflow stats /usr/local/sbin/softflowd -i em2 -n 192.168.56.93:42111 # firewall command FwCMD="/sbin/ipfw -q" ${FwCMD} -f flush # Networks define ${FwCMD} table all flush ${FwCMD} table 2 add 172.16.0.0/22 ${FwCMD} table 3 add 172.16.3.0/24 ${FwCMD} table 4 add 172.16.4.0/24 ${FwCMD} table 5 add 172.16.5.0/24 ${FwCMD} table 6 add 172.16.6.0/24 #${FwCMD} table 9 add DHCP/32 ${FwCMD} table 9 add 192.168.56.0/24 ${FwCMD} add 1 allow all from 172.16.0.1 to any ${FwCMD} add 1 allow all from 172.16.3.1 to any ${FwCMD} add 1 allow all from 172.16.4.1 to any ${FwCMD} add 1 allow all from 172.16.5.1 to any ${FwCMD} add 1 allow all from 172.16.6.1 to any ${FwCMD} add 2 deny udp from any to any 137 ${FwCMD} add 2 deny udp from any to any 139 #NAT #${FwCMD} nat 1 config log if em1.3 reset same_ports #${FwCMD} add 6000 nat 1 ip from table\(3\) to not table\(9\) via em1.3 #${FwCMD} add 6001 nat 1 ip from any to DHCP via em1.3 # provider1 #${FwCMD} add 6010 divert 8667 log ip from table\(4\) to not table\(9\) #${FwCMD} add 6011 fwd 1.1.1.1 log all from 1.1.1.2 to any #${FwCMD} add 6012 divert 8667 log ip from any to any in via em1.4 # provider2 ${FwCMD} add 6010 divert 8669 log ip from table\(5\) to not table\(9\) ${FwCMD} add 6011 fwd 3.3.3.1 log all from3.3.3.3 to any ${FwCMD} add 6012 divert 8669 log ip from any to any in via em1.5 # provider3 ${FwCMD} add 6020 divert 8668 log ip from table\(6\) to not table\(9\) ${FwCMD} add 6021 fwd 4.4.4.1 log all from 4.4.4.4 to any ${FwCMD} add 6022 divert 8668 log ip from any to any in via em1.6 # in 6001 rule must be my external IP #${FwCMD} nat 4 config log if em1.4 reset same_ports #${FwCMD} add 6020 nat 4 ip from table\(4\) to not table\(9\) via em1.6 #${FwCMD} add 6021 nat 4 ip from any to DHCP via em1.6 # in 6001 rule must be my external IP #Shape ${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via em2 out ${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via em2 in #security #${FwCMD} add 3 deny ip6 from any to any ${FwCMD} add 101 allow all from 192.168.56.93 to any ${FwCMD} add 101 allow all from any to 192.168.56.93 # allow access to my http for all ${FwCMD} add 62000 allow tcp from any to me dst-port 80 ${FwCMD} add 62000 allow tcp from me to any src-port 80 # default block policy ${FwCMD} add 65533 deny all from table\(2\) to any via em2 ${FwCMD} add 65534 deny all from any to table\(2\) via em2 # ==== CUSTOM FIREWALL CONFIG ==== ${FwCMD} add 62100 allow tcp from table\(2\) to table\(17\) dst-port 80 ${FwCMD} add 62100 allow tcp from table\(17\) to table\(2\) src-port 80 #unknown users redirect ${FwCMD} add 5 fwd 127.0.0.1,80 ip from 172.32.0.0/20 to not me dst-port 80 rc.conf hostname="ubilling" ifconfig_em0="192.168.56.94/24" ifconfig_em1="UP" vlans_em1="3 4 5 6" ifconfig_em1_4="DHCP" ifconfig_em1_5="DHCP" ifconfig_em1_6="DHCP" ifconfig_em2="172.16.1.1/24" ifconfig_em2_alias0="inet 172.16.5.1 netmask 255.255.255.0" ifconfig_em2_alias1="inet 172.16.6.1 netmask 255.255.255.0" ifconfig_em2_alias2="inet 172.32.0.1 netmask 255.255.240.0" ifconfig_em2_alias3="inet 172.16.4.1 netmask 255.255.255.0" ifconfig_em2_alias4="inet 172.16.0.1 netmask 255.255.255.0" sshd_enable="YES" radiusd_enable="YES" snmptrapd_enable="YES" snmptrapd_flags="-On -A -c /usr/local/etc/snmptrapd.conf" powerd_enable="YES" local_unbound_enable="YES" # Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable dumpdev="AUTO" # ====== added by UBinstaller ==== #all needed services mysql_enable="YES" apache24_enable="YES" dhcpd_enable="YES" dhcpd_flags="-q" dhcpd_conf="/usr/local/etc/multinet/dhcpd.conf" dhcpd_ifaces="em2" ubilling_enable="YES" ubilling_flags="em2" #optional services memcached_enable="NO" memcached_flags="-l 127.0.0.1 -m 64" radiusd_enable="NO" # ========== # NAS custom firewall_enable="YES" firewall_nat_enable="YES" dummynet_enable="YES" firewall_script="/etc/firewall.conf" thttpd_enable="YES" snmpd_enable="YES" snmpd_flags="-a" snmpd_conffile="/usr/local/etc/snmpd.config" nginx_enable="YES" # DNS server local_unbound_enable="YES" # NAS custom firewall_enable="YES" firewall_nat_enable="YES" dummynet_enable="YES" firewall_script="/etc/firewall.conf" thttpd_enable="YES" snmpd_enable="YES" snmpd_flags="-a" snmpd_conffile="/usr/local/etc/snmpd.config" nginx_enable="YES" # NAS custom firewall_enable="YES" firewall_nat_enable="YES" dummynet_enable="YES" firewall_script="/etc/firewall.conf" thttpd_enable="YES" snmpd_enable="YES" snmpd_flags="-a" snmpd_conffile="/usr/local/etc/snmpd.config" nginx_enable="YES" обратил внимание сегодня. на данный момент работает 2 сети 172.16.5.0 и 172.16.6.0 система freebsd 9.3 Ссылка на сообщение Поделиться на других сайтах
-VaSaK- 24 Опубліковано: 2015-09-27 13:27:12 Share Опубліковано: 2015-09-27 13:27:12 Все канешно хорошо, НО, как узнать где Ваш абонент? Ссылка на сообщение Поделиться на других сайтах
a_n_h 591 Опубліковано: 2015-09-27 13:35:09 Share Опубліковано: 2015-09-27 13:35:09 ${FwCMD} table 2 add 172.16.0.0/22${FwCMD} table 3 add 172.16.3.0/24 ${FwCMD} table 4 add 172.16.4.0/24 ${FwCMD} table 5 add 172.16.5.0/24 ${FwCMD} table 6 add 172.16.6.0/24 Установка стандартная? или заточили по особому? в стандартной: Немного о логике фаервола и табличках (2) - подсети пользователей, попадают в NAT, по умолчанию запрещено прохождение пакетов через внутренний интерфейс (3) и (4) - таблички используются для шейпа (3-вверх/4-вниз). Попадают сюда пользователи при помощи OnConnect. (47) - сюда попадают пользователи отстреленные вызовами OnDisconnect (9) - адреса и подсети для которых не будет производиться NAT (17) - адреса 80-й порт которых будет доступен всегда по-умолчанию (зарезервировано) (6) - префиксы UA-IX (зарезервировано) (10) - пользовательские подсети, для которых не следует производить NAT (зарезервировано) Ссылка на сообщение Поделиться на других сайтах
newstudent 0 Опубліковано: 2015-09-27 13:38:31 Автор Share Опубліковано: 2015-09-27 13:38:31 стандартная. абоненты полностью все не отключаются Ссылка на сообщение Поделиться на других сайтах
skybetik 134 Опубліковано: 2015-09-27 13:43:12 Share Опубліковано: 2015-09-27 13:43:12 стандартная. абоненты полностью все не отключаются ту и не пахнет стандартным фаерволом https://github.com/nightflyza/UBinstaller/blob/master/configs/firewall.conf Ссылка на сообщение Поделиться на других сайтах
SVD 6 Опубліковано: 2015-09-27 13:43:23 Share Опубліковано: 2015-09-27 13:43:23 (відредаговано) Обратите внимание на заполнение ваших таблиц. Вам уже дали четкий ответ. Осталось только исправить Відредаговано 2015-09-27 13:44:15 SVD Ссылка на сообщение Поделиться на других сайтах
nightfly 1 241 Опубліковано: 2015-09-27 16:18:22 Share Опубліковано: 2015-09-27 16:18:22 (відредаговано) ту и не пахнет стандартным фаерволом Факт. ${FwCMD} add 6010 divert 8669 log ip from table\(5\) to not table\(9\) Я уже где-то видел это стремное порно на дивертах и прости госпади natd. Им типа гордились, да? Вывод? Сделали херню - закономерно получили на выходе херню. Сделайте нормально как было - получите вменяемый и предсказуемый результат. Хотите "типа балансировку"? Оно делается поверх стандартной заготовки фаера, и без этих извращений. Просто учите матчасть. Відредаговано 2015-09-27 16:24:57 nightfly Ссылка на сообщение Поделиться на других сайтах
nightfly 1 241 Опубліковано: 2015-09-27 16:22:48 Share Опубліковано: 2015-09-27 16:22:48 # NAS custom .... # NAS custom .... # NAS custom Они еще и поверх этого, судя по всему на биллинговом тазике пытались накатить трижды, ТРИЖДЫ КАРЛ сетап для удаленного NAS-a с rscripd Ссылка на сообщение Поделиться на других сайтах
newstudent 0 Опубліковано: 2015-09-28 09:38:24 Автор Share Опубліковано: 2015-09-28 09:38:24 всем спасибо разобрался firewall.conf #!/bin/sh # netflow stats /usr/local/sbin/softflowd -i em2 -n 192.168.56.93:42111 # firewall command FwCMD="/sbin/ipfw -q" LAN_IF="em2" ${FwCMD} -f flush # Networks define ${FwCMD} table all flush ${FwCMD} table 2 add 172.16.0.0/21 ${FwCMD} table 9 add 192.168.56.0/24 ${FwCMD} add 1 allow all from 192.168.56.93 to any ${FwCMD} add 1 allow all from any to 192.168.56.93 ${FwCMD} add 1 allow all from 172.16.0.1 to any ${FwCMD} add 1 allow all from 172.16.3.1 to any ${FwCMD} add 1 allow all from 172.16.4.1 to any ${FwCMD} add 1 allow all from 172.16.5.1 to any ${FwCMD} add 1 allow all from 172.16.6.1 to any ${FwCMD} add 1 allow all from any to 172.16.0.1 ${FwCMD} add 1 allow all from any to 172.16.3.1 ${FwCMD} add 1 allow all from any to 172.16.4.1 ${FwCMD} add 1 allow all from any to 172.16.5.1 ${FwCMD} add 1 allow all from any to 172.16.6.1 ${FwCMD} add 2 deny udp from any to any 137 ${FwCMD} add 2 deny udp from any to any 139 # prov1 ${FwCMD} add 6010 divert 8667 log ip from 172.16.4.0/24 to not table\(9\) ${FwCMD} add 6011 fwd 1.1.1.1 log all from 2.2.2.2 to any ${FwCMD} add 6012 divert 8667 log ip from any to any in via em1.4 # prov2 ${FwCMD} add 6010 divert 8669 log ip from 172.16.5.0/24 to not table\(9\) ${FwCMD} add 6011 fwd 3.3.3.1 log all from 3.3.3.3 to any ${FwCMD} add 6012 divert 8669 log ip from any to any in via em1.5 # prov3 ${FwCMD} add 6020 divert 8668 log ip from 172.16.6.0/24 to not table\(9\) ${FwCMD} add 6021 fwd 4.4.4.1 log all from 4.4.4.4 to any ${FwCMD} add 6022 divert 8668 log ip from any to any in via em1.6 #Shaper - table 4 download speed, table 3 - upload speed ${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via ${LAN_IF} out ${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via ${LAN_IF} in #Forward all http traffic to stat ${FwCMD} add 65532 fwd 192.168.56.93,80 tcp from table\(2\) to any 80 via ${LAN_ IF} in # default block policy ${FwCMD} add 65533 deny all from table\(2\) to any via ${LAN_IF} ${FwCMD} add 65534 deny all from any to table\(2\) via ${LAN_IF} #${FwCMD} add 65535 allow all from any to any #unknown users redirect ${FwCMD} add 5 fwd 127.0.0.1,80 ip from 172.32.0.0/20 to not me dst-port 80 Ссылка на сообщение Поделиться на других сайтах
nightfly 1 241 Опубліковано: 2015-09-28 10:33:59 Share Опубліковано: 2015-09-28 10:33:59 ${FwCMD} add 6010 divert 8667 log ip from 172.16.4.0/24 to not table\(9\) natd, ЮЗЕРСПЕЙСНЫЙ NATD в 2015-м ГОДУ КАРЛ! Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас