[kravanidze]

может быть вам сюда

[Sayman]

Цитата kravanidze:

может быть вам сюда »

Ссылка в мемориз, но к сожалению не то. Очень полезно, но не то. Я говорил о том, чтобы ограничивать пользователей согласно правил. Изначально для них выдайтся нормальный канал, потом, когда кто-то потратил сколько то мегабайт, ему канал уменьшается. Если юзер лимит не исчерпал, то канал остаётся прежний. А по указаной ссылке речь идёт о полном обрезании канала для юзеров, с проверкой на адрес (проверка, не я ли это). Независимо от того, кто и сколько потратил. С другой стороны при отстутствии других идей. прибегну именно к этой теме. Но до понедельника мне нада найти нормальное решение с отслеживанием трафика и обрубание канала по правилам этого трафика...

[mar]

самое первое, что приходит в голову, это вести учет трафика (либо просто по правилу count, если Вы не мегапровайдер , либо используя всякие считалки), затем сделать простейшй скрипт-анализатор и в случае, если чей-то трафк превышает норму, динамически добавлять правило по урезанию канала. Скрипт, опять-таки, поскольку ситуация, если я правильно поняла, не очень критичная, можно поставить под крон

[Sayman]

Всем снова доброго времени...новая проблема. я пока временно забил на все эти трафики. просто пока я углублялся в суть, пришлось переустановить систему полностью. настроил вроде всё как и в первый раз. но в этот раз инета нету почему то.
и так...
проблема следующая:
поставил фрюху, откомпилил ядро со следующими строками в файле конфига:
IPFIREWALL
IPFIREWALL_VERBOSE
IPFIREWALL_VERBOSE_LIMIT=10
IPFIREWALL_DROP_SYNFIN
IPFIREWALL_DEFAULT_TO_ACCEPT
IPDIVERT
компилил строками типа
make
make install
make depend
make clean
reboot now

после перезагруза в файле рцюсонфиг сделал следующие строки:

hostname="freebsd"
defaultrouter="192.168.1.1" (это айпи самого модема АДСЛ - ZyXel P660RU)
ifconfig_xl0="DHCP"
ifconfig_xl1="inet 192.168.0.1 netmask 255.255.255.0"
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
natd_enable="YES"
natd_interface="xl0"
natd_flags=""
gateway_enable="YES"
sshd_enable="YES"
и прочие настройки которые к сетям не относятся.

предварительно, для проверки фаера сделал правила открытыми:

#!/bin/sh
fwcmd="/sbin/ipfw -q"

#Flushing all rules
${fwcmd} -f flush

#Enabling NAT
${fwcmd} add 50 divert natd all from any to any via xl0

#Inside packets
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any

${fwcmd} add 400 pass log all from any to any

приминяю правила. выставляю на своём раболтчем компе настройки сети:
айпи 192.168.0.2, масска 255.255.255.0, шлюз 192.168.0.1, днс тотже что и шлюз...

запускаю бразуер, пишу любой адрес...и тиша...потом ошибка...почта не ходит, аська не ходит...но сам серв пингуется, есть к нему ссх. с самого серва я пингую модем, днс провайдера и любой адрес...он успешно преобразовывает его в айпи и даёт ответ на экране. делаю ipfw show и вижу, что есть какие то пакеты на правиле divert....есть пакеты на правиле pass from any to any. но клиентская машина в сети инета не получает. днс провайдера пингуется но дальше не идёт. в чём я мог ошибиться, помогите, я уже всю неделю бьюсь над этой проблемой...сроки горят...

[Negativ]

Цитата Sayman:

клиентская машина в сети инета не получает. днс провайдера пингуется но дальше не идёт »

т.е. ДНС провайдера пингуется с клиентской машины?

[Sayman]

совершенно верно. я могу пинговать провайдера и любой адрес в инете (даже используя имена вместо айпи реального) но с клиента, т.е. со своей машины (192.168.0.2), не дальше провайдре или...ток что тестанул ещё раз...с клиента могу пинговать в инете айпи адрсе...т.е. например яндекс. его айпи пингуется, но не ya.ru или yandex.ru. так же из браузера могу выйти на страничку, но только при использовании айпи, а не имени...такое ощущение, что затыкается гдето на преобразовании имени в адрес и наоборот причём гдето на серваке или на модеме...

[mar]

А что с настройкой dns у клиентов?

[Sayman]

Всё разобрался...проблема была в том. что сервак не резольвит имена...т.е. днс на нём работает не коректно. хотя должон. Есть подсказка у меня куда копать. сёдня ещё проверю. а так пока временно сделал настройку у клиентов на днс провайдера. Хотя по хорошему настройка должна указывать на сервак местный. Например, когда делал серваки на винде+КВР, такой проблемы небыло. В керио указывал форвард на провайдера, а у клиентов указывал днс местного серва. Всё работало на ура. Тут я вписал однако форвард онли в намед.конф....ему пофигу...странна...теперь говорят нада ковырять зоны в демоне имён...

[Oleg_Sch]

Могу ошибаться, но, по-моему, даже для режима форвард-онли в named.conf должны быть корректно заданы loopback зоны (/etc/namedb/make-localhost).
Как простой форвердер - гляньте dnrd