FreeBSD + nat + ipfw + trafd или freeradius+mpd

[anclbob]

У меня работает на 3м варианте все. Пользователи просто прописываю шлюз моего сервака и инет заработал ! на бабки никто никого никогда не кидал... ну люди у нас хорошие. Мак адреса не меняют. НО! возникла следующая проблема . Нужно было пользователю что бы доступ был под паролем. Я так подумал что биллинг переписывать под ВПН радиус и всю херь это нереально . Поэтому я так подумал и просто через страничку пользователь под паролем прописывает правило в фаерволе. Пароль ввел , если он верный то на данный ИП адрес строчка в фаерволе либо открывает ИНЕТ лиюо выключает. Скрипт писался 2 часа ))

 

высказываемся и голосуем

[Kuzmich]

А где варианты с private vlan на пользователя, 802.1Х, прокси-клиентами, авторизовалками, MAC-IP, аккаунтингом на порту, доступом по VPN (но не login-pass, а на сертификатах) и т.д. ?

 

Доступ по https - это как? Все протоколы over https ?

 

 

P.S. Люди хорошие только до тех пор, пока кто-нибудь из хороших людей не подцепит вирус, который ему наганенрирует трафика на пол-зарплаты...

[jab]

Уважаемый Kuzmich, я Вам рекомендую сначала прочитать предыдущие

сообщения от anclbob.

 

Уверен, Вы получите массу удовольствия и сделаете выводы, стоит ли отвечать здесь

на его вопросы, или сразу направить его на hub.ru. :-)

 

PS: и на линукс заодно...

[anclbob]

Ну вот )) "обосрали обтекай" как говорится... На самом деле я пишу сдесь, то что действительно меня волнует. И что самое интересное на мои вопросы нахожу ответ в процентах 20. Все остальные сообщения аля jab... сплошные понты и вода. Поэтому когда людям нечего сказать они и делают себя умными только на пальцах. А по поводу опроса, тут смысл был в другом. Мне не нужно перечислять все возможные способы подключения, защиты, авторизации. Главное узнать саму суть. Кто даёт подключение по паролю, а кто просто привязкой мак+ИП. Не надо строить из себя умных очкариков.

Edited August 17, 2006 by anclbob

[GateKeeper]

Никак уже не даю сейчас. Не работаю я больше в ISP, ушёл на завод. Ну а раньше было - по vpn (FreeBSD, mpd).

 

Ну, а если уж хочется без переписывания билинга - пожалуйста:

HTTPS-авторизация на страничке (т.е. не логин/пароль, а проверка подлинности сертификатом, который будет выдаваться пользователю при регистрации аккаунта), далее - сама страничка автообновляемая, скажем 1 раз в минуту, ну и таймаут на файрвольное правило, скажем, 2 минуты (т.е. автообновление странички умножить на 2). соответствующую скриптовую обвязку всего этого оставлю в качестве домашнего задания.

[zyxman]

а мне mpd не понравился. он конечно хорош что kernel level, но divert-ом перехватить не удалось, а мне надо nat - пришлось съехать на pptp..

 

вообще vpn в локалке я считаю несерьезно - только vlan + dhcp.

[jab]

а мне mpd не понравился. он конечно хорош что kernel level, но divert-ом перехватить не удалось, а мне надо nat - пришлось съехать на pptp..

:-) это называется - "синдром кривых рук".

[GateKeeper]

man ipnat конечно же прочитать никогда не бывает...

 

Ну не любят люди гарантированного обслуживания, всё б им userlevel natd...

[Starcrafter]

Я в такой же ситуации просто поставил mpd, а билинг заставил обсчитывать еще одну дополнительную подсеть.

[YuryD]

Какие проблемы-то ? mpd4, natd и ipcad висящий на tee до divert делают все как надо. особенно если про tee почитать в мануале.

[_J_]

По-моему лучше сделать центральный радиус сервер, на него повесить необходимое количество NAS чтобы авторизация по radius подсчет по netflow.

[naves]

Поэтому я так подумал и просто через страничку пользователь под паролем прописывает правило в фаерволе. Пароль ввел , если он верный то на данный ИП адрес строчка в фаерволе либо открывает ИНЕТ лиюо выключает. Скрипт писался 2 часа ))

а кто-нить поделится решением авторизации через web c проверкой пользователя из Active Directory, или ткнет ссылкой в результат поиска гугля.

пока понятно что доступ к AD будет через freeradius

Edited October 20, 2008 by naves

[Ivan_83]

naves -

А может использовать IAS (радиус сервер) на сервере с АД?

[naves]

шлюз нужен на *nix,

для пользователей нужно чтобы работал как kerio winroute: юзер стучится в инет, выскакивает окно авторизации, проверяется пользователь с AD, если пользователь есть, пользовательской машине открывает доступ.

без настройки прокси на клиентах, а в прозрачном режиме squid не авторизовывает http://wiki.squid-cache.org/SquidFaq/Inter...3c473d401533ac7

[mousus]

а еще вариант с умным железом на доступе и вланами с приколочеными ипешниками к порту коммутатора можно в студию?

[_dmitr_]

если нежалко можно скрипт на dmitr_150@mail.ru

[Ivan_83]

Прозрачный сквид может авторизовывать, но не так автоматом.

Есть вариант когда неавторизованные редиректятся на веб страничку с авторизацией юзера, делается скриптами всякими.

Некоторые железки так юзеров авторизуют.

Сам не делал.

 

[terrible]

Лучше предоставлять клиентам разные способы, так удобнее для них будет, пусть сами выбирают тот, который им наиболее удобен.

[nevzorofff]

Какие проблемы-то ? mpd4, natd и ipcad висящий на tee до divert делают все как надо. особенно если про tee почитать в мануале.

Вы в мануал по mpd последний раз заглядывали когда в ходу была версия 3.14? Загляните в текущую — вот удивитесь!

[Makariy]

Какие проблемы-то ? mpd4, natd и ipcad висящий на tee до divert делают все как надо. особенно если про tee почитать в мануале.

какой natd? какой ipcad?

mpd сам шлет нетфлоу куда надо, а натить pf хорошо умеет

Edited November 10, 2009 by Makariy