ISG в Linux

[ISG в Linux]

Понаставил семафоров, ориентировочно затык вылез.

 

Для встроенного в UTM5 радиус проблема решается правкой одной строчки в ISGd.pl:

 

- if ($rp->vsattributes($rad_dict->vendor_num("Cisco"))) {
+ if ($rp->vsattr($rad_dict->vendor_num("Cisco"), "Cisco-Account-Info")) {

[ISG в Linux]

Cramac,

0) Берем последний master. Пересобираем ядро, модуль iptables и прочее. Важно - в kernel нужно заново делать ./configure, иначе не установится один модуль. Изменения внесены пару дней назад.

1) Создаем файл etc/tc.conf, достаточно одной строки:

ALL_OTHER	0.0.0.0/0

2) В etc/config.pl:

### Новый параметр
$cfg{unauth_session_max_duration} = 60;

### Для всех неавторизованных сессий добавляем сервис REDIR
$cfg{unauth_service_name_list} = [ "AREDIR" ];

### Собственно, описание сервиса
$cfg{srv}{REDIR}{type} = "tagger";
$cfg{srv}{REDIR}{traffic_classes} = [ "ALL_OTHER" ];

 

Теперь весь неавторизованный трафик будет считаться авторизованным и помечен сервисом REDIR.

А что может быть если на неавторизованные сессии не навешивается сервис? Где покопать?

 

[root@nas etc]# /opt/ISG/bin/ISG.pl
User IP-address NAT IP-address  Port number   Uniq. Identifier Durat.  Octets-in  Octets-out Rate-in    Rate-out   Service name     Flags
192.168.2.99    0.0.0.0         Virtual1      D473B06D77B335C4 1331    37871      88732      20000000   20000000   Main session     A
192.168.2.98    0.0.0.0         Virtual2      D835297C6FFE7E80 41      2201       2212       0          0          Main session     AZ

 

[root@nas etc]# /opt/ISG/bin/ISG.pl show_services Virtual2

User IP-address NAT IP-address Port number Uniq. Identifier Durat. Octets-in Octets-out Rate-in Rate-out Service name Flags

 

 

ИЧСХ после установки системы все навешивалось само нормально, но потом как-то резко перестало.

При этом если прислать AREDIR через радиус к авторизованной сессии то переадресация работает как по инструкции, значит сам сервис правильный.

Если закомментировать:

$cfg{unauth_service_name_list} = [ "AREDIR" ];

То lISG вообще трафик не пропускает(статус сессии X).

 

 

Как у него дебаг работает?

[проектное управление]

Не могу с вами не согласиться, но в масштабе 12 сотрудников типовой набор действий отрабатывается за пару недель и в дальнейшем не вызывает вопросов приотсутствии кардинальных изменений в дизайне.

 

Люди вон, даже к интерфейсу 1с как-то привыкают.:-)

[Ядрышко небольшой районной сети]

Есть подобная история в провинции.

1)все клиенты(~1000)висят на пачке DSLAM

2)у всех уже забиты статикой IP адреса на модемах

3)шейпит и авторизует всё это сервер на Линуксе, фактически это уже IPoE

4)трафик маленький, в районе 300Мбит

 

Замену доступа пока не рассматриваем.

Основной вопрос, как на DSLAMах обеспечить безопасность, сравнимую с современными коммутаторами доступа Ethernet.

Пока что видится топология vlan-per-user, с оборачиванием в QinQ и затаскиванием этого трафика на BRAS.

У кого-нибудь был успешный опыт по встраиванию DSL сегмента в IPoE?

[как навесить ACL на ISG сессию]

А киска не помрет от такой красоты?

[проектное управление]

По сабжу: запилил битрикс24 в коллективе из 12 офисных сотрудников. Решение достаточно удобное, позволило уйти от бесконечных цепочек писем в электропочте.

я его смотрел пару лет назад. кривая тормозная неповоротливая поделка с вырвиглазным молодежным дизайном. даже teamwox дешевле и лучше.

посмотрел скриншоты битрикс24 сейчас, дизайн стал еще более отвратительным современным. у него есть лаконичный бизнес стиль оформления?

Врядли. Я даже не заморачивался над его дизайном. Так мы бы никогда систему не внедрили)

Впрочем до этого пытался вести проекты в тимере и мегаплане. Там как-то все еще печальнее показалось.

 

KaraVan есть желание согрешить с разработчиками и их руководством.

:-D

Меня все устраивает пока. Только приложение по ipad в свежем апдейте сломали и не починили обратно.

[проектное управление]

Весь топик не читал но заранее осуждаю.

 

По сабжу: запилил битрикс24 в коллективе из 12 офисных сотрудников. Решение достаточно удобное, позволило уйти от бесконечных цепочек писем в электропочте.

Регламентные задачи прописаны и сами всплывают по-расписанию. Есть клиенты под планшетники и телефоны.

В нашем случае система еще и бесплатна.

 

P.S. Технари варятся в своей тикетнице.

[Не работает входная фильтрация маршрутов OSPF]

Artur-t

Вы правы, это не баг, это фича(с).

Фильтрация с помощью ospf-in успешно чистит /ip routes от мусора и не касается /routing ospf route print

 

 

Изначально весь сыр бор был из-за того что ospf между четырьмя роутерами тяжело поднимается при количестве префиксов больше 3000, по несколько минут запускается. Префиксы то появляются в LSDB то исчезают из нее.

 

Никто с таким не сталкивался?

[Не работает входная фильтрация маршрутов OSPF]

Да вообщем-то какой-то цирк получается, на двух разных версиях РОС проверил, не фильтрует на вход.

На их форуме поиском сходу не ищется, может никто не фильтрует мусор на входе?

 

P.S. Нужно чтобы держать блэкхольные префиксы(коих уже тысяч шесть) только на бордере и не раскидывать их по всем маршрутизаторам сети.

[Не работает входная фильтрация маршрутов OSPF]

Проблема из заголовка темы. Таблица маршрутов OSPF просто никак не реагирует на фильтр ospf-in.

С ospf-out таких проблем нет, но входящие маршруты не режутся.

 

Вот все имеющиеся в системе фильтры:

  0   ;;; ACCEPT ONLY THIS  INBOUND ROUTES
    chain=ospf-in prefix=118.180.188.0/20 prefix-length=21-32 invert-match=no 
    action=accept set-bgp-prepend-path="" 

1   ;;; BLOCK ALL INBOUND ROUTES
    chain=ospf-in invert-match=no action=discard set-bgp-prepend-path="" 

2   ;;; DISCARD THIS  OUTBOUND ROUTES
    chain=ospf-out prefix=118.180.188.32/29 prefix-length=29 invert-match=no 
    action=discard set-bgp-prepend-path="" 

3   ;;; ACCEPT ONLY THIS  OUTBOUND ROUTES
    chain=ospf-out prefix=118.180.188.0/20 prefix-length=21-32 invert-match=no 
    action=accept set-bgp-prepend-path="" 

4   ;;; BLOCK ALL OUTBOUND ROUTES
    chain=ospf-out invert-match=no action=discard set-bgp-prepend-path="" 

 

RouterOS v.6.22

 

 

Куда копать?

[Рекламные материалы для ШПД]

Что-то типа такого?

https://www.facebook.com/groups/180723908772597/?fref=ts

[Экономика привлечения клиентов]

Не исключено что NTT умеют считать деньги, поэтому принимают такие решения.

Кроме того услуги связи за рубежом в основном несколько дороже.

 

Так в чем проблема этой презентации? Если боты вводят в деньги в систему то есть ли смысл фильтровать их от обычных пользователей?

 

В каком-то смысле мне видится пересечение с бизнесом оператора в части расчетов затрат на подключение нового района или ведения конкурентной борьбы на насыщенном рынке.

[Экономика привлечения клиентов]

Коллеги, наткнулся на вот этот материал.

Он в первую очередь относится к интернет-играм, но направление мысли интересное.

 

Суть в практичном подходе к привлечению клиентов.

 

Как вы считаете, применима ли методика к бизнесу ШПД?

Есть ли что-то подобное в операторской практике?

[регистрация AS и получение IP в RIPE NCC]

Честно говоря не знаю куплены или в аренде. Как это проверить?

Лирам платеж постоянно снижают, это приятно.

Можно ли перерегистрировать купленный через Нетап префикс на имеющийся лир-аккаунт?

[регистрация AS и получение IP в RIPE NCC]

Коллеги, подскажите. Являемся LIRом, есть пара сетей+через нетапа брали еще пару /24 префиксов.

 

Платить по 2килоевро в год +500 евро нетапу за наши потребности жаба душит. Существуют ли пути оптимизации затрат?

Чтобы объединить все сети под одним крылом и возможно избавиться от статуса LIR.

[Биллинг, эквайринг, 1С]

Там тоже спросил. Однако на опытных инженеров надежды больше. ;-)

[Биллинг, эквайринг, 1С]

Ну не смешно же. Как я неоднократно в этой теме говорил, пользователь получает сервис мгновенно после совершения платежа.

Тут вопрос бухгалтерский: как отражать эквайринговые платежи в 1с.

[Биллинг, эквайринг, 1С]

Нет, я как раз не путаю. В начальном посте все написано.

[Биллинг, эквайринг, 1С]

Аналогия ошибочная.

 

Приходит продавщица в бухгалтерию за получкой, а там ей говорят что деньги на р\сч магазина за проданную по карте и отгруженную клиенту колбасу еще не упали и получка будет как только деньги придут. :-)

 

Как разрешить эту коллизию?

[Биллинг, эквайринг, 1С]

Всё бы хорошо, пользователи довольны. Но в 1С из биллинга все платежи попадают с датами клиентской операции, а не датами фактического прихода денег на расчетный счет организации. А это неправильно.

C какого перепугу это неправильно? Пользователь в 2:00 после 4-й банки пиваса отправил бабло через эквайринг, значит его платёж и должен зачисляться именно в 2:00, а не в дату приходя бабла на ваш р/с. Информация о том, когда бабки легли на ваш р/с - это ваша внутренняя информация и должна учитываться только бухгалтерией, которое приходы оформляет, но никак не биллингом., работающим с платежами пользователей.

 

Спокойно =)

Речь идет о участке биллинг-1с, пользователь на своем лс деньги получает моментально.

 

Эквайрингов у нас несколько, каждый ежедневно шлет реестр. В них нет ничего касающегося поступления денег на р/сч.

Согласно правилам бухучета платеж находится "в пути" пока не поступит на р/сч провайдера. Тут то и должна ему проставиться в 1с правильная дата.

 

Я не думаю что первый сталкиваюсь с подобными вопросами, ведь у многих есть три заветных компонента: эквайринг, биллинг, 1с.

[Биллинг, эквайринг, 1С]

Коллеги, приветствую.

 

Жил был биллинг, интегрированный с системой 1С и горя не знал, пока не появилась возможность оплаты услуг здесь и сейчас в любое время суток, через смс или банковскую карту.

 

Всё бы хорошо, пользователи довольны. Но в 1С из биллинга все платежи попадают с датами клиентской операции, а не датами фактического прихода денег на расчетный счет организации. А это неправильно.

Банк шлет деньги раз в неделю одной кучей, в описании платежа конкретики нет. Разгребать каждый платеж банка вручную не вариант.

 

Хотелось бы узнать как умные люди подружили эквайринг, биллинг и 1С. М.б. какой-то парсер выписок или еще что-то?

Буду благодарен за совет в каком направлении копать, можем обсудить решение вопроса на сдельной основе.

[Опубликована Процедура блокировки некошерной инфо]

Ахренеть идиотизм

[Пополнения счета абонентов без посредников]

Тоже интересно, в частности как это все оформить как автоматизированную кассу.

[Блокировка сайтов провайдерами]

NFQ_FILTER собрался на Centos, но не могу понять почему не фильтрует

 

Запустил:

[root@alpha nfq]# ps ax | grep nfq
2011 ?        Ssl    0:00 /usr/local/bin/nfq_filter -c /etc/nfq/nfq_filter.cfg -d
2042 pts/0    S+     0:00 tail -f /tmp/nfq_debug.txt

Проверил логи(влючен debug 4):

[root@alpha ~]# tail -f /tmp/nfq_filter.log
01.04.2015 16:05:57:
--------------------------
Starting program.

Buffer size:    8388608
Log file:       /tmp/nfq_filter.log
Debug:          4
Multiqueued:    false
Queue:          0
01.04.2015 16:07:37:    Parent memory usage:    134597360

 

Настроил iptables:

[root@alpha nfq]# iptables -vL -n -t mangle
Chain PREROUTING (policy ACCEPT 323 packets, 26984 bytes)
pkts bytes target     prot opt in     out     source               destination
  24  1440 NFQUEUE    tcp  --  eth2   *       214.234.44.0/21     0.0.0.0/0           tcp dpt:80 NFQUEUE num 0 bypass

Пакетики на правило приходят, счетчик pkts увеличивается.

 

В nfq_debug пусто:

[root@alpha ~]# tail -f /tmp/nfq_debug.txt

 

 

Сервер с одним интерфейсом, без роутинга, просто для теста.

 

Как можно убедиться что nfq_filter вообще что-то получает для фильтрации и где искать затык?

[В поисках рыночной ниши]

А существуют ли примеры успешной интеграции забугорного telco на эту поляну?