URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 58212
[ Назад ]

Исходное сообщение
"NETAMS service processor"
Отправлено zvdaniel , 14-Июл-05 11:07

пакеты пропадают в queue, т.е NetAMS не отдает их обратно в iptables

Добрый день!

настроил iptables, пакеты заворачиваються в QUEUE, (кроме машины с netams, апач открыт, DHCP)

теперь не могу разобраться как настроить сервис processor (использую billing + login)

Ubuntu Linux 2.6.10, локальная сетка у меня 192.168.11.0 (NetAMS на машине 192.168.11.1)
в доке по сервису processor написано что
если restrict all drop local pass
то траффик блокируеться для всего что не указано в конфиге
а если у меня юнит
unit user oid 088F57 name danil
прописан без ip, он его устанавливает когда подключаеться через www/login.cgi
будет ли пускать ?

в дебаге вижу это :


|billing: syspolicy for unit danil(088F57) set to PASS
|billing:   Policy internet_09-21(0DD4E9) added to unit danil(088F57) from subplan 1
|billing:   Policy internet_21-01(06B1E6) added to unit danil(088F57) from subplan 2
|billing:   Policy internet_01-03(005E44) added to unit danil(088F57) from subplan 3
|billing:   Policy internet_03-07(0D128D) added to unit danil(088F57) from subplan 4
|billing:   Policy internet_07-09(0B8A83) added to unit danil(088F57) from subplan 5
|billing: Set BDATAS for danil (054F03)
|billing: Account danil(054F03), 'M' bstat loaded
|billing: Account danil(054F03), 'W' bstat loaded
|billing: Account danil(054F03), 'D' bstat loaded
|billing: Account danil(054F03), 'H' bstat loaded

при входе через веб интерфейс в дебаге все ок:


|login: login/got: oid=088F57, pass:xxx(xxx), ip=192.168.11.30, mac=0:0:0:0:0:0
|login: MAC: checking 192.168.11.30 for mac address...
|login: MAC for ip: 192.168.11.30 is: 0:40:d0:36:49:5c found in ARP
|login: login success from ip:192.168.11.30, mac:0:40:d0:36:49:5croot@mars:~ # netamsctl show login
host: localhost port: 20001 login: admin password: 123
cmd: show login
OID: 088F57 (danil) OPENED, inact:180, abs:180
 OP:14.07.2005 10:55:30, LU:01.01.1970 03:00:00, 192.168.11.30[0:40:d0:36:49:5c]
Total units: 1, enabled: 1, opened: 1, closed:0

в iptables вижу что пакеты заворачивают в QUEUE


root@mars:~ # iptables -L -v
Chain INPUT (policy DROP 2 packets, 918 bytes)
 pkts bytes target     prot opt in     out     source               destination
 9930  905K ACCEPT     all  --  lo     any     anywhere             anywhere
   45  7620 bad_tcp_packets  tcp  --  any    any     anywhere             anywhere
   10  2080 ACCEPT     all  --  dvb0_0 any     anywhere             anywhere
    0     0 ACCEPT     udp  --  eth0   any     anywhere             anywhere            udp spt:bootpc dpt:bootps
   45  7620 ACCEPT     tcp  --  eth0   any     anywhere             mars                tcp dpt:www
  106  7190 QUEUE      all  --  eth0   any     anywhere             anywhere
    0     0 tcp_packets  tcp  --  eth0   any     anywhere             anywhere
    0     0 udp_packets  udp  --  eth0   any     anywhere             anywhere
    0     0 icmp_packets  icmp --  eth0   any     anywhere             anywhere
   33   924 DROP       all  --  ppp0   any     anywhere             BASE-ADDRESS.MCAST.NET/8
    2   918 LOG        all  --  any    any     anywhere             anywhere            limit: avg 3/min burst 3 LOG level debug prefix `IPT INPUT packet died: '

но здесь похоже что пакеты не соотвесвуют ни одной политике предусмотренной в тарифных планах ? :


root@mars:~ # netamsctl show list
host: localhost port: 20001 login: admin password: 123
cmd: show list
OID: 088F57 Name: danil      Type: user     Parent: <>
 SYST policy is not set
   FW policy list is empty
 ACCT policy: OID    NAME       CHECK        MATCH
              0DD4E9 internet_09-21 0            0
              06B1E6 internet_21-01 0            0
              005E44 internet_01-03 0            0
              0D128D internet_03-07 0            0
              0B8A83 internet_07-09 0            0

прав ли я?
подскажите где я что указал не так?

вот мой конфиг:

 
root@mars:~ # netamsctl show config
host: localhost port: 20001 login: admin password: 123
cmd: show config
#NeTAMS version 3.3.0 (build 2396.1) compiled by root@mars
#configuration built Thu Jul 14 10:44:47 2005
#begin
#global variables configuration
debug login policy billing
user oid 03C666 name admin real-name "Admin" crypted $1$$GmbL3iXOMZR57QuGDLv.L1 email root@localhost permit all#services configuration
service server 0
login local
listen 20001
max-conn 6
service processor
lookup-delay 60
flow-lifetime 180
policy oid 0DA432 name ip target proto ip
policy oid 08C45D name www target proto tcp ports 80 81 8080 3128
policy oid 0D1F61 name mail target proto tcp ports 25 110
policy oid 09999F name smb target proto tcp ports 135 139 445
policy oid 004D2F name icq target proto tcp ports 5190
policy oid 0A3FE8 name _9-21_ target time 09:00-21:00
policy oid 0359C0 name _21-01_ target time 21:00-01:00
policy oid 0DD823 name _01-03_ target time 01:00-03:00
policy oid 07319C name _03-07_ target time 03:00-07:00
policy oid 0ED814 name _07-09_ target time 07:00-09:00
policy oid 06B1E6 name internet_21-01 target policy-and ip !smb _21-01_
policy oid 005E44 name internet_01-03 target policy-and ip !smb _01-03_
policy oid 0D128D name internet_03-07 target policy-and ip !smb _03-07_
policy oid 0B8A83 name internet_07-09 target policy-and ip !smb _07-09_
policy oid 0DD4E9 name internet_09-21 target policy-and ip !smb _9-21_
restrict all drop local pass
unit user oid 088F57 name danil
service storage 1
type mysql
user netams
password 12345678
dbname netams
service data-source 1
type ip-traffic
source ipq
service login
relogin yes
storage 1
service alerter 0
report oid 06100 name rep1 type traffic period day detail simple
smtp-server localhost
service html
path /var/www/stat
language ru
run hourly
url http://192.168.11.1/stat/
htaccess yes
client-pages none
account-pages all
service scheduler
oid 08FFFF time hourly action "html"
service billing
subplan 1 fee 0.000000 spread daily
subplan 1 included 0 in unlimited out
subplan 1 policy internet_09-21
subplan 1 overdraft 0.029000 in 0.000000 out
subplan 2 fee 0.000000 spread daily
subplan 2 included 0 in unlimited out
subplan 2 policy internet_21-01
subplan 2 overdraft 0.019000 in 0.000000 out
subplan 3 fee 0.000000 spread daily
subplan 3 included 0 in unlimited out
subplan 3 policy internet_01-03
subplan 3 overdraft 0.014000 in 0.000000 out
subplan 4 fee 0.000000 spread daily
subplan 4 included 0 in unlimited out
subplan 4 policy internet_03-07
subplan 4 overdraft 0.004000 in 0.000000 out
subplan 5 fee 0.000000 spread daily
subplan 5 included 0 in unlimited out
subplan 5 policy internet_07-09
subplan 5 overdraft 0.014000 in 0.000000 out
plan 1 name SG-128
plan 1 description "Space Gate 128KBit/s"
plan 1 subplan 1 2 3 4 5
storage 1
#end

Содержание

NETAMS service processor,jonatan, 12:48 , 14-Июл-05
- NETAMS service processor,zvdaniel, 19:00 , 14-Июл-05
NETAMS service processor,zvdaniel, 08:07 , 15-Июл-05

Сообщения в этом обсуждении

"NETAMS service processor"
Отправлено jonatan , 14-Июл-05 12:48

В netams (QUEUE) должны попадать как исходящие пакеты, так и ответы на них. Например
iptables -A FORWARD -i eth0 -o eth1 -p tcp -m multiport --dport 25,80,110 -j QUEUE
iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j QUEUE

"NETAMS service processor"
Отправлено zvdaniel , 14-Июл-05 19:00

>В netams (QUEUE) должны попадать как исходящие пакеты, так и ответы на
>них. Например
>
>iptables -A FORWARD -i eth0 -o eth1 -p tcp -m multiport --dport
>25,80,110 -j QUEUE
>iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j
>QUEUE
да у меня в начале цепочки FORWARD стоит правило
$IPTABLES -A FORWARD -p all -j QUEUE
так что в любом случае туда попадет....
....
сначало идет запрос на локальную машину DNS имени на 57 порт UDP
через счетчики iptables вижу что пакет попал в queue а ответ не вернулся,
в счетчиках нетамса этого пакета нет как я понял (см.лог выше)
куда копать?
если никто не знает может кто конфиг рабочий подкинет и настройку файрвола(хотя думаю что проблемма не в iptables а в неправильной настройке нетамса)

"NETAMS service processor"
Отправлено zvdaniel , 15-Июл-05 08:07

ОГРОМНАЯ ПРОСЬБА ПОМОЧЬ!
когда в конфиге(упомянутом выше)
ставлю
unit net oid 04AB75 name BOS ip 192.168.11.0 mask 255.255.255.0
То все работает по схеме input(forward) - > queue -> output(forward)
т.е. как надо только траффик не считает
но юниты у меня без определенного ip в конфиге
(они получают его по DHCP) и когда в конфиге две записи юзеров
unit user oid 088F57 name danil
unit user oid 05084B name test
и параметр
restrict all drop local pass
то пакеты не проходят!!!!
т/к/ адреса не "указаны в конфиге" хотя эти адреса в нетамс должен передавать скрипт login.cgi
root@mars:~ # netamsctl "show login && show units"
host: localhost port: 20001 login: admin password: 123
cmd: show login && show units
OID: 088F57 (danil) CLOSED, inact:600, abs:600
OID: 05084B (test) OPENED, inact:600, abs:600
OP:15.07.2005 07:58:57, LU:01.01.1970 03:00:00, 192.168.11.30[0:40:d0:36:49:5c]
Total units: 3, enabled: 2, opened: 1, closed:1
    TYPE |    OID |       NAME | NLP |     PARENT |           EMAIL |PARAMS
    user | 088F57 |      danil |     |         <> |                 | IP: 0.0.0. 0
    user | 05084B |       test |     |         <> |                 | IP: 0.0.0. 0
     net | 07B582 |        LAN |     |         <> |                 | 192.168.11 .0/24
P.S. юнит net окрыл пока чтоб инет был....  а то сам удаленно сижу
ЧТО ДЕЛАТЬ? В ЧЕМ ПРИЧИНА?