FreeRadius что прописать чтобы отключить юзера?

[Кашмир]

Что и в какой табличке MySQL прописать чтобы юзер не смог коннектится?

Типа

user Allow := Y (когда так подключается)

менять на:

user Allow :=N (когда так, то откидывается Reject и он не подключается)

 

Не могу найти нормальную и понятную доку по этому.

А просто заменять пароли ему когда у него кончились деньги криво ИМХО.

 

И второе, подкажите плиз:

Трафик который там считается посредством Радиуса нормальный или многоватый?

Даже если юзер сконектился но ничего не делает трафик идет и деньги будут списываться и он спросит, а почему трафик, я ничег оне делал, не открывал :)

Потому как trafd который у меня стоит он отдаст инфу только когда, когда юзер перестанет качать, ng_ipacct я еще смотрел, весчь хорошая, но он сразу инфу по трафику отдает, или тоже самое как и trafd?

 

Спасибо заранее за ответ (ы).

[balamutang]

Что и в какой табличке MySQL прописать чтобы юзер не смог коннектится?

Типа

user Allow := Y (когда так подключается)

менять на:

user Allow :=N (когда так, то откидывается Reject и он не подключается)

 

Не могу найти нормальную и понятную доку по этому.

А просто заменять пароли ему когда у него кончились деньги криво ИМХО.

там же в табличке с паролями (radcheck) есть условие проверки соответствия пары логин-пароль "==" (поле ор), можешь с ним побаловаться :)

 

И второе, подкажите плиз:

Трафик который там считается посредством Радиуса нормальный или многоватый?

Даже если юзер сконектился но ничего не делает трафик идет и деньги будут списываться и он спросит, а почему трафик, я ничег оне делал, не открывал :)

Потому как trafd который у меня стоит он отдаст инфу только когда, когда юзер перестанет качать, ng_ipacct я еще смотрел, весчь хорошая, но он сразу инфу по трафику отдает, или тоже самое как и trafd?

радиус чутка привирает в большую сторону, потому что считает весь трафик на интерфейсе, даже служебные запросы (вылетело из головы как эти эхо называются, короче проверяют работает клиент на линии или завис/ребутнулся/упал коннект ). вот из-за этих запросов и получается чуть больший трафик чем по нетфлоу или трафд.

[GateKeeper]

Alive-пакеты они называются.

Типа:

- "Эй Вася, попингуй"

- "От попингуя слышу!"

Если не было первого или второго в ответ на первое - сессия должна разорваться. Однако бегают они в пределах интерфейса, а радиус понимает Session-Octets, которые включают в себя и эти перебранки. Да и полно вам! За час при нынешних ценах на таких "попингуях" там копейки будут в ценовом выражении. Так что если "сумма большая, а я не качал" - ложь чистой воды.

[Кашмир]

balamutang, ага понял, менять условие :) спасибо за идею!

 

GateKeeper, спасибо значит буду считать через радиус трафик, т.к. оно у меня каждый 60 минут туда пишет новые значения и вовремя можно отключить юзверя не ожидая когда он выкачает 750 метроф файла при балансе в 1 рубль :)

 

 

Да, я еще заметил что OUT и IN там местами не верно стоят.

Все же OUT должен быть нооборот IN, а IN должен быть OUT трафик?

Edited October 9, 2006 by Кашмир

[balamutang]

GateKeeper, спасибо значит буду считать через радиус трафик, т.к. оно у меня каждый 60 минут туда пишет новые значения и вовремя можно отключить юзверя не ожидая когда он выкачает 750 метроф файла при балансе в 1 рубль :)

 

 

Да, я еще заметил что OUT и IN там местами не верно стоят.

Все же OUT должен быть нооборот IN, а IN должен быть OUT трафик?

смотря с какой стороны смотреть... со стороны сервера доступа (который в радиус статистику отдает) - все правильно :)

 

вообще раз в час считать - не очень корректно, при некорректном обрыве сессии (тот же резет юзера или зависание) в радиус может не записаться инфа (по крайней мере mpd точно не пишет).

[Кашмир]

Бррр... очепятался, раз в 60 секунд, т.е. раз в минуту сбрасывает у меня mpd в радиус инфу по трафику.

 

Просто я провел эксперемент:

1. подключился к VPN

2. Начал от себя передавать 750 метровый файл на FTP в инет.

И потом увидел, что у меня стал огромный IN в статистике, хотя как бы должен быть OUT, даже для сервера, ведь это уходящий трафик.

[gtbear]

Если мне не изменяет память то Output-Octets есть входящий трафик юзера..а Input-Octets входящий трафик клиента.

Для лимитирования трафика есть атрибут Session-Octets-Limit..который указывает на максимальное количество байт которые может получить юзер.

[balamutang]

Если мне не изменяет память то Output-Octets есть входящий трафик юзера..а Input-Octets входящий трафик клиента.

но инфу в радиус льет не клиент, а сервер доступа. а для него трафик (который для клиента является входящим) является исходящим. поэтому и получается в статистике какбы перепутаны направления.

Для лимитирования трафика есть атрибут Session-Octets-Limit..который указывает на максимальное количество байт которые может получить юзер.

для mpd - не канает. хотя может есть какие-нить патчи...

[GateKeeper]

для mpd есть уже готовый патч (всё там же на sf.net) называется Drop-User

 

Достаточно в ходе сессии в момент Accounting-Update отдать в mpd этот атрибут с значением Yes (значение 1), и mpd моментально, причем _корректно_ завершает сессию. Проверялось на виндах - сессия просто завершается без всяких там "сервер разорвал соединение, повторить попытку подключения..."

 

А Session-Octets-Limit - это для pppd патч такой был.

Edited October 9, 2006 by GateKeeper

[balamutang]

я не стал заморачиваться. у меня mpdшки только терминирует PPPoE. считаю по нетфлоу, пускаю-не пускаю в инет на шлюзе фаерволом (ipfw table 2 add XXX.XXX.XXX.XXX или ipfw table 2 del XXX.XXX.XXX.XXX ). считает точней и только наружный трафик. плюс всегда можно поднять детализацию кто, куда, когда и сколько.