KaraVan
-
Публикации
319 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем KaraVan
-
-
Cramac,
0) Берем последний master. Пересобираем ядро, модуль iptables и прочее. Важно - в kernel нужно заново делать ./configure, иначе не установится один модуль. Изменения внесены пару дней назад.
1) Создаем файл etc/tc.conf, достаточно одной строки:
ALL_OTHER 0.0.0.0/0
2) В etc/config.pl:
### Новый параметр $cfg{unauth_session_max_duration} = 60; ### Для всех неавторизованных сессий добавляем сервис REDIR $cfg{unauth_service_name_list} = [ "AREDIR" ]; ### Собственно, описание сервиса $cfg{srv}{REDIR}{type} = "tagger"; $cfg{srv}{REDIR}{traffic_classes} = [ "ALL_OTHER" ];
Теперь весь неавторизованный трафик будет считаться авторизованным и помечен сервисом REDIR.
А что может быть если на неавторизованные сессии не навешивается сервис? Где покопать?
[root@nas etc]# /opt/ISG/bin/ISG.pl User IP-address NAT IP-address Port number Uniq. Identifier Durat. Octets-in Octets-out Rate-in Rate-out Service name Flags 192.168.2.99 0.0.0.0 Virtual1 D473B06D77B335C4 1331 37871 88732 20000000 20000000 Main session A 192.168.2.98 0.0.0.0 Virtual2 D835297C6FFE7E80 41 2201 2212 0 0 Main session AZ
[root@nas etc]# /opt/ISG/bin/ISG.pl show_services Virtual2User IP-address NAT IP-address Port number Uniq. Identifier Durat. Octets-in Octets-out Rate-in Rate-out Service name Flags
ИЧСХ после установки системы все навешивалось само нормально, но потом как-то резко перестало.
При этом если прислать AREDIR через радиус к авторизованной сессии то переадресация работает как по инструкции, значит сам сервис правильный.
Если закомментировать:
$cfg{unauth_service_name_list} = [ "AREDIR" ];
То lISG вообще трафик не пропускает(статус сессии X).
Как у него дебаг работает?
-
Не могу с вами не согласиться, но в масштабе 12 сотрудников типовой набор действий отрабатывается за пару недель и в дальнейшем не вызывает вопросов приотсутствии кардинальных изменений в дизайне.
Люди вон, даже к интерфейсу 1с как-то привыкают.:-)
-
Есть подобная история в провинции.
1)все клиенты(~1000)висят на пачке DSLAM
2)у всех уже забиты статикой IP адреса на модемах
3)шейпит и авторизует всё это сервер на Линуксе, фактически это уже IPoE
4)трафик маленький, в районе 300Мбит
Замену доступа пока не рассматриваем.
Основной вопрос, как на DSLAMах обеспечить безопасность, сравнимую с современными коммутаторами доступа Ethernet.
Пока что видится топология vlan-per-user, с оборачиванием в QinQ и затаскиванием этого трафика на BRAS.
У кого-нибудь был успешный опыт по встраиванию DSL сегмента в IPoE?
-
А киска не помрет от такой красоты?
-
По сабжу: запилил битрикс24 в коллективе из 12 офисных сотрудников. Решение достаточно удобное, позволило уйти от бесконечных цепочек писем в электропочте.
я его смотрел пару лет назад. кривая тормозная неповоротливая поделка с вырвиглазным молодежным дизайном. даже teamwox дешевле и лучше.
посмотрел скриншоты битрикс24 сейчас, дизайн стал еще более отвратительным современным. у него есть лаконичный бизнес стиль оформления?
Врядли. Я даже не заморачивался над его дизайном. Так мы бы никогда систему не внедрили)
Впрочем до этого пытался вести проекты в тимере и мегаплане. Там как-то все еще печальнее показалось.
KaraVan есть желание согрешить с разработчиками и их руководством.
:-D
Меня все устраивает пока. Только приложение по ipad в свежем апдейте сломали и не починили обратно.
-
Весь топик не читал но заранее осуждаю.
По сабжу: запилил битрикс24 в коллективе из 12 офисных сотрудников. Решение достаточно удобное, позволило уйти от бесконечных цепочек писем в электропочте.
Регламентные задачи прописаны и сами всплывают по-расписанию. Есть клиенты под планшетники и телефоны.
В нашем случае система еще и бесплатна.
P.S. Технари варятся в своей тикетнице.
-
Artur-t
Вы правы, это не баг, это фича(с).
Фильтрация с помощью ospf-in успешно чистит /ip routes от мусора и не касается /routing ospf route print
Изначально весь сыр бор был из-за того что ospf между четырьмя роутерами тяжело поднимается при количестве префиксов больше 3000, по несколько минут запускается. Префиксы то появляются в LSDB то исчезают из нее.
Никто с таким не сталкивался?
-
Да вообщем-то какой-то цирк получается, на двух разных версиях РОС проверил, не фильтрует на вход.
На их форуме поиском сходу не ищется, может никто не фильтрует мусор на входе?
P.S. Нужно чтобы держать блэкхольные префиксы(коих уже тысяч шесть) только на бордере и не раскидывать их по всем маршрутизаторам сети.
-
Проблема из заголовка темы. Таблица маршрутов OSPF просто никак не реагирует на фильтр ospf-in.
С ospf-out таких проблем нет, но входящие маршруты не режутся.
Вот все имеющиеся в системе фильтры:
0 ;;; ACCEPT ONLY THIS INBOUND ROUTES chain=ospf-in prefix=118.180.188.0/20 prefix-length=21-32 invert-match=no action=accept set-bgp-prepend-path="" 1 ;;; BLOCK ALL INBOUND ROUTES chain=ospf-in invert-match=no action=discard set-bgp-prepend-path="" 2 ;;; DISCARD THIS OUTBOUND ROUTES chain=ospf-out prefix=118.180.188.32/29 prefix-length=29 invert-match=no action=discard set-bgp-prepend-path="" 3 ;;; ACCEPT ONLY THIS OUTBOUND ROUTES chain=ospf-out prefix=118.180.188.0/20 prefix-length=21-32 invert-match=no action=accept set-bgp-prepend-path="" 4 ;;; BLOCK ALL OUTBOUND ROUTES chain=ospf-out invert-match=no action=discard set-bgp-prepend-path=""
RouterOS v.6.22
Куда копать?
-
-
Не исключено что NTT умеют считать деньги, поэтому принимают такие решения.
Кроме того услуги связи за рубежом в основном несколько дороже.
Так в чем проблема этой презентации? Если боты вводят в деньги в систему то есть ли смысл фильтровать их от обычных пользователей?
В каком-то смысле мне видится пересечение с бизнесом оператора в части расчетов затрат на подключение нового района или ведения конкурентной борьбы на насыщенном рынке.
-
Коллеги, наткнулся на вот этот материал.
Он в первую очередь относится к интернет-играм, но направление мысли интересное.
Суть в практичном подходе к привлечению клиентов.
Как вы считаете, применима ли методика к бизнесу ШПД?
Есть ли что-то подобное в операторской практике?
-
Честно говоря не знаю куплены или в аренде. Как это проверить?
Лирам платеж постоянно снижают, это приятно.
Можно ли перерегистрировать купленный через Нетап префикс на имеющийся лир-аккаунт?
-
Коллеги, подскажите. Являемся LIRом, есть пара сетей+через нетапа брали еще пару /24 префиксов.
Платить по 2килоевро в год +500 евро нетапу за наши потребности жаба душит. Существуют ли пути оптимизации затрат?
Чтобы объединить все сети под одним крылом и возможно избавиться от статуса LIR.
-
Там тоже спросил. Однако на опытных инженеров надежды больше. ;-)
-
Ну не смешно же. Как я неоднократно в этой теме говорил, пользователь получает сервис мгновенно после совершения платежа.
Тут вопрос бухгалтерский: как отражать эквайринговые платежи в 1с.
-
Нет, я как раз не путаю. В начальном посте все написано.
-
Аналогия ошибочная.
Приходит продавщица в бухгалтерию за получкой, а там ей говорят что деньги на р\сч магазина за проданную по карте и отгруженную клиенту колбасу еще не упали и получка будет как только деньги придут. :-)
Как разрешить эту коллизию?
-
Всё бы хорошо, пользователи довольны. Но в 1С из биллинга все платежи попадают с датами клиентской операции, а не датами фактического прихода денег на расчетный счет организации. А это неправильно.
C какого перепугу это неправильно? Пользователь в 2:00 после 4-й банки пиваса отправил бабло через эквайринг, значит его платёж и должен зачисляться именно в 2:00, а не в дату приходя бабла на ваш р/с. Информация о том, когда бабки легли на ваш р/с - это ваша внутренняя информация и должна учитываться только бухгалтерией, которое приходы оформляет, но никак не биллингом., работающим с платежами пользователей.
Спокойно =)
Речь идет о участке биллинг-1с, пользователь на своем лс деньги получает моментально.
Эквайрингов у нас несколько, каждый ежедневно шлет реестр. В них нет ничего касающегося поступления денег на р/сч.
Согласно правилам бухучета платеж находится "в пути" пока не поступит на р/сч провайдера. Тут то и должна ему проставиться в 1с правильная дата.
Я не думаю что первый сталкиваюсь с подобными вопросами, ведь у многих есть три заветных компонента: эквайринг, биллинг, 1с.
-
Коллеги, приветствую.
Жил был биллинг, интегрированный с системой 1С и горя не знал, пока не появилась возможность оплаты услуг здесь и сейчас в любое время суток, через смс или банковскую карту.
Всё бы хорошо, пользователи довольны. Но в 1С из биллинга все платежи попадают с датами клиентской операции, а не датами фактического прихода денег на расчетный счет организации. А это неправильно.
Банк шлет деньги раз в неделю одной кучей, в описании платежа конкретики нет. Разгребать каждый платеж банка вручную не вариант.
Хотелось бы узнать как умные люди подружили эквайринг, биллинг и 1С. М.б. какой-то парсер выписок или еще что-то?
Буду благодарен за совет в каком направлении копать, можем обсудить решение вопроса на сдельной основе.
-
Ахренеть идиотизм
-
Тоже интересно, в частности как это все оформить как автоматизированную кассу.
-
NFQ_FILTER собрался на Centos, но не могу понять почему не фильтрует
Запустил:
[root@alpha nfq]# ps ax | grep nfq 2011 ? Ssl 0:00 /usr/local/bin/nfq_filter -c /etc/nfq/nfq_filter.cfg -d 2042 pts/0 S+ 0:00 tail -f /tmp/nfq_debug.txt
Проверил логи(влючен debug 4):
[root@alpha ~]# tail -f /tmp/nfq_filter.log 01.04.2015 16:05:57: -------------------------- Starting program. Buffer size: 8388608 Log file: /tmp/nfq_filter.log Debug: 4 Multiqueued: false Queue: 0 01.04.2015 16:07:37: Parent memory usage: 134597360
Настроил iptables:
[root@alpha nfq]# iptables -vL -n -t mangle Chain PREROUTING (policy ACCEPT 323 packets, 26984 bytes) pkts bytes target prot opt in out source destination 24 1440 NFQUEUE tcp -- eth2 * 214.234.44.0/21 0.0.0.0/0 tcp dpt:80 NFQUEUE num 0 bypass
Пакетики на правило приходят, счетчик pkts увеличивается.
В nfq_debug пусто:
[root@alpha ~]# tail -f /tmp/nfq_debug.txt
Сервер с одним интерфейсом, без роутинга, просто для теста.
Как можно убедиться что nfq_filter вообще что-то получает для фильтрации и где искать затык?
-
А существуют ли примеры успешной интеграции забугорного telco на эту поляну?
ISG в Linux
в Программное обеспечение, биллинг и *unix системы
Опубликовано · Жалоба на ответ
Понаставил семафоров, ориентировочно затык вылез.
Для встроенного в UTM5 радиус проблема решается правкой одной строчки в ISGd.pl: