Hi Chris,<br>
<br>
Thanks for the email. I am using cron for cleanup and it works fine. Timeout is set to 30 seconds (I think it was - default).<br>
<br>
However, I expect the problem I am experiencing is universal. For
'normal' use the system is working great in every respect. User is
forced to login before they can access any web services and after
logout is forced to login again for any NEW requests (opening another
webpage, reloading etc). However, if while logged in a user has started
a streaming service - such as <a href="http://www.pandora.com">www.pandora.com</a> (the specific example I
was using when I discovered the bug) - the stream will continue AFTER
they have successfully logged out. If you have a node accessible, have
a go yourself. I am using a Linksys WRT54GL router, but expect it will
happen on other routers also? <br>
<br>
Samuel pointed me to the line in the default /etc/init.d/S45firewall
file that I mentioned and after some naive testing I am somewhat
convinced that it is at least related. The firewall allows
RELATED,ESTABLISHED packets through before ever hitting the wifidog
gateway. At least that is my understanding of it. So a packet comes in
from <a href="http://www.mystreamingbandwidthgobbler.com">www.mystreamingbandwidthgobbler.com</a> and is judged to be part of an
already established connection and is therefore accepted by the
firewall and forwarded to the user - whose wifidog status does not
matter.<br>
<br>
I wonder whether we need to get rid of the line <br>
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT<br>
from S45firewall and re-implement this in the wifidog iptables chains?<br>
<br>
I'd be interested to know whether you and others experience the same?
Is it router specific (different firewall/iptables setups on different
router types)?<br>
<br>
Thanks again,<br>
<br>
Tarken<br><div><span class="gmail_quote">On 7/26/06, <b class="gmail_sendername">Chris Rowson</b> &lt;<a href="mailto:christopherrowson@gmail.com">christopherrowson@gmail.com</a>&gt; wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Hi Tarken,<br><br>Am I right in thinking that your users are able to continue using the<br>connection after they have logged out?<br><br>If so, have you changed CONF_USE_CRON_FOR_DB_CLEANUP to false in your<br>config.php. That should clean up your database everytime a user query
<br>comes in (which solved a similar problem that I was having).<br><br>Also, have you checked the timeout variables in the wifidog<br>configuration file itself?<br><br>Chris<br><br>On 26/07/06, Tarken Winn &lt;<a href="mailto:tarkenwinn@gmail.com">
tarkenwinn@gmail.com</a>&gt; wrote:<br>&gt;<br>&gt; Hello again everyone,<br>&gt;<br>&gt;&nbsp;&nbsp;I
have spent a fair amount of time investigating the issue I previously
described, namely that when a user logs out any established streaming
connections will continue as accepted, and have not found a solution.<br>&gt;<br>&gt;&nbsp;&nbsp;It appears that /etc/init.d/S45firewall allows RELATED,ESTABLISHED packets to be forwarded at the line:<br>&gt;<br>&gt;&nbsp;&nbsp;iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
<br>&gt;<br>&gt;&nbsp;&nbsp;I
tried commenting out this line in the hope that it would be covered by
the rules in the WiFiDog_WIFI2Internet chain which is checked in the
FORWARD chain, but to no avail.<br>&gt;<br>&gt;&nbsp;&nbsp;I have tried
allowing any packets with the auth server as source or destination to
be forwarded, which allows a user to login (in the hope that subsequent
packets will then be marked in the WiFiDog_WIFI2Internet chain and
correctly forwarded) but then does not allow access to any websites
other than the auth server even after successful login.<br>&gt;<br>&gt;&nbsp;&nbsp;I
now wonder whether the only way to solve this issue is to modify the
wifidog gateway client code? I guess fw_iptables.c is where things
would need to happen.<br>&gt;<br>&gt;&nbsp;&nbsp;Has anyone come up
with a solution for this issue? Does anyone knowledgeable on the
internal workings of the gateway and its interactions with iptables
have any suggestions?<br>&gt;<br>&gt;&nbsp;&nbsp;Without resolving this
issue, limiting and recording the amount of data a node/user can
transfer per month seems a little futile. A user could (and no doubt
will) just login, start a streaming video feed (or whatever), logout,
then kick back and watch the show without being 'counted'.<br>&gt;<br>&gt;&nbsp;&nbsp;Thanks,<br>&gt;<br>&gt;<br>&gt;&nbsp;&nbsp;Tarken<br>&gt;<br>&gt; _______________________________________________<br>&gt; WiFiDog mailing list<br>&gt; <a href="mailto:WiFiDog@listes.ilesansfil.org">
WiFiDog@listes.ilesansfil.org</a><br>&gt; <a href="http://listes.ilesansfil.org/cgi-bin/mailman/listinfo/wifidog">http://listes.ilesansfil.org/cgi-bin/mailman/listinfo/wifidog</a><br>&gt;<br>&gt;<br>_______________________________________________
<br>WiFiDog mailing list<br><a href="mailto:WiFiDog@listes.ilesansfil.org">WiFiDog@listes.ilesansfil.org</a><br><a href="http://listes.ilesansfil.org/cgi-bin/mailman/listinfo/wifidog">http://listes.ilesansfil.org/cgi-bin/mailman/listinfo/wifidog
</a><br></blockquote></div><br>