Deixe-me perguntar de outra forma:
Existem pelo menos (2) maneiras de ter um script bash chamado automaticamente quando um usuário se conecta ao OpenVPN:
/etc/network/if-up.d server.conf Eu tentei os dois, mas ou não funciona
O seguinte script chamado up.sh funciona perfeito quando eu o executo a partir da linha de comando como root.
No entanto, em vez de chamar manualmente esse script toda vez que um novo usuário se conecta ao OpenVPN para limitar individualmente a largura de banda de cada usuário (User1, User2, User3) via tc (qdisc), eu gostaria que o script fosse chamado automaticamente vez que um novo usuário se conecta ao OpenVPN sem afetar a largura de banda do usuário atual
Eu tentei mover o script para a seguinte pasta /etc/network/if-up.d para executá-lo quando um novo usuário se conecta ao OpenVPN, mas por algum motivo o script não é chamado (não faz alterações no qdisc), mas é exatamente o mesmo script e funciona perfeito quando eu o executo na linha de comando.
Eu também tentei renomear o script para learn-address.sh e o coloquei na seguinte pasta /etc/openvpn/netem/learn-address.sh para ser chamado automaticamente quando o OpenVPN aprende um novo endereço, mas isso também não funciona
Eu também atualizei o arquivo server.conf para ler como segue
script-security 3
learn-address /etc/openvpn/netem/learn-address.sh
e
script-security 3
up /etc/network/if-up.d/up.sh
Mas também não funcionou
Por último, eu também tentei atualizar o arquivo /etc/sudoers.tmp para dar permissões aos scripts e isso não parece ajudar (veja no final do post)
Estou executando o Ubuntu 14.04
Muito obrigado pela sua ajuda
Aqui está o script chamado up.sh que funciona quando eu o chamo da linha de comando:
#!/bin/bash
# Full path to tc binary
TC=$(which tc)
#
# NETWORK CONFIGURATION
# interface - name of your interface device
# interface_speed - speed in mbit of your $interface
# ip - IP address of your server, change this if you don't want to use
# the default catch all filters.
#
interface=eth0
interface_speed=100mbit
ip=4.1.2.3 # The IP address bound to the interface
# Define the upload and download speed limit, follow units can be
# passed as a parameter:
# kbps: Kilobytes per second
# mbps: Megabytes per second
# kbit: kilobits per second
# mbit: megabits per second
# bps: Bytes per second
download_limit=512kbit
upload_limit=10mbit
# Filter options for limiting the intended interface.
FILTER="$TC filter add dev $interface protocol ip parent 1: prio 1 u32"
#
# This function starts the TC rules and limits the upload and download speed
# per already configured earlier.
#
function start_tc {
tc qdisc show dev $interface | grep -q "qdisc pfifo_fast 0"
[ "$?" -gt "0" ] && tc qdisc del dev $interface root; sleep 1
# start the tc configuration
$TC qdisc add dev $interface root handle 1: htb default 30
$TC class add dev $interface parent 1: classid 1:1 htb rate $interface_speed burst 15k
$TC class add dev $interface parent 1:1 classid 1:10 htb rate $download_limit burst 15k
$TC class add dev $interface parent 1:1 classid 1:20 htb rate $upload_limit burst 15k
$TC qdisc add dev $interface parent 1:10 handle 10: sfq perturb 10
$TC qdisc add dev $interface parent 1:20 handle 20: sfq perturb 10
# Apply the filter rules
# Catch-all IP rules, which will set global limit on the server
# for all IP addresses on the server.
$FILTER match ip dst 0.0.0.0/0 flowid 1:10
$FILTER match ip src 0.0.0.0/0 flowid 1:20
# If you want to limit the upload/download limit based on specific IP address
# you can comment the above catch-all filter and uncomment these:
#
# $FILTER match ip dst $ip/32 flowid 1:10
# $FILTER match ip src $ip/32 flowid 1:20
}
#
# Removes the network speed limiting and restores the default TC configuration
#
function stop_tc {
tc qdisc show dev $interface | grep -q "qdisc pfifo_fast 0"
[ "$?" -gt "0" ] && tc qdisc del dev $interface root
}
function show_status {
$TC -s qdisc ls dev $interface
}
#
# Display help
#
function display_help {
echo "Usage: tc [OPTION]"
echo -e "\tstart - Apply the tc limit"
echo -e "\tstop - Remove the tc limit"
echo -e "\tstatus - Show status"
}
# Start
if [ -z "" ]; then
display_help
elif [ "" == "start" ]; then
start_tc
elif [ "" == "stop" ]; then
stop_tc
elif [ "" == "status" ]; then
show_status
fi
Aqui está o seguinte arquivo que também atualizei:
/etc/sudoers.tmp
#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults env_reset
Defaults mail_badpass
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
# Host alias specification
# User alias specification
# Cmnd alias specification
# User privilege specification
root ALL=(ALL:ALL) ALL
#nobody ALL=(ALL) NOPASSWD: /usr/lib/tc
nobody ALL=(ALL) NOPASSWD: /usr/lib/tc
www-data ALL=NOPASSWD: /user/lib/tc
root ALL=NOPASSWD: /user/lib/tc
root ALL=(ALL:ALL) ALL
nobody ALL=(ALL) NOPASSWD
nobody ALL=(ALL) NOPASSWD: /etc/openvpn/netem/learn-address.sh
root ALL=(ALL) NOPASSWD: /etc/openvpn/netem/learn-address.sh
www-data ALL=(ALL) NOPASSWD: /etc/openvpn/netem/learn-address.sh
nobody ALL=(ALL) NOPASSWD: /etc/openvpn/netem/up.sh
www-data ALL=(ALL) NOPASSWD: /etc/openvpn/netem/up.sh
root ALL=(ALL) NOPASSWD: /etc/openvpn/netem/up.sh
nobody ALL=(ALL) NOPASSWD: /etc/network/if-up.d/up.sh
www-data ALL=(ALL) NOPASSWD: /etc/network/if-up.d/up.sh
root ALL=(ALL) NOPASSWD: /etc/network/if-up.d/up.sh
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
# See sudoers(5) for more information on "#include" directives:
#includedir /etc/sudoers.d
Tags command-line bash openvpn