terrible Опубликовано 14 сентября, 2009 · Жалоба Дано: RADIUS сервак спаривается с 3845 для авторизации PPTP абонентов Задача: убить tcp_dst_port 25 всем, кроме избранных Вопрос: можно ли задать access-list на все динамические vpdn-интерфейсы, а с ав-парой его для определённых абонентов снимать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ghost Опубликовано 14 сентября, 2009 · Жалоба А что мешает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 14 сентября, 2009 · Жалоба Дано: RADIUS сервак спаривается с 3845 для авторизации PPTP абонентовЗадача: убить tcp_dst_port 25 всем, кроме избранных Вопрос: можно ли задать access-list на все динамические vpdn-интерфейсы, а с ав-парой его для определённых абонентов снимать? можно даже проще , можно в радиусе указать кому вешать а кому нет :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 14 сентября, 2009 (изменено) · Жалоба Да понятно, но в этом случае придётся вешать всем и только определённым не вешать, что по моей схеме сложнее получается, да и пар больше. Попробовал так: access-list 2010 deny tcp any any eq smtp - почему-то весь TCP долбит :( хотя вроде smtp указал interface Virtual-Template1 ip unnumbered GigabitEthernet0/1 ip access-group 2010 in И пару отдаю: inacl#2000=permit tcp any any eq smtp Но она не срабатывает. Или как можно снять access-list 2010? Изменено 14 сентября, 2009 пользователем terrible Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 14 сентября, 2009 · Жалоба в конце неявный денай, надо deny tcp any any eq smtp permit ip any any Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 15 сентября, 2009 · Жалоба Спасибо, разобрался. На каждое новое правило действительно нужно так указывать. Вопросик ещё один: при неверной авторизации на RADIUS сервере, кошка посылает пакет Acct-Status-Type = Stop, попробовал убрать это дело: no aaa accounting send stop-record authentication failure но результата не дало, пакеты всё-равно на радиус приходят, куда копать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 15 сентября, 2009 · Жалоба Тут ещё один вопрос возник: ситуация такая: фрирадиус, сволочь, отдаёт AV-Pair только один из списка необходимых, а их минимум 4 надо отдать. можно ли сделать так: с радиуса отдавать AVpair большой строкой (несколько параметров), а на циске сделать скрипт, который бы дробил этот AVPair и запускал как надо? Или как передать несколько параметров на кошку одним AVPair ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 16 сентября, 2009 · Жалоба Или как можно заставить кота трактовать один RADIUS атрибут в качестве другого? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 16 сентября, 2009 · Жалоба Как можно передать кошке 2 атрибута на полисинг/шейпинг и 2 атрибута ACL не используя AVPair? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...