Отключение доступа к локалки при обнулении баланса

[jumangee]

Добрый день!

Как организовать отключение локальной сети при обнулении баланса у клиента, но при этом абонент должен иметь выход на сайты платежных систем.

Биллинг Ideco (спрашиваю здесь, т.к. ТП ideco ничего не может ответить)

Биллинг он же шлюз в инет.

Не хочется, что б при обнулении баланса - абоненты не пользовались игровым серваком и p2p

Скрипт отключения-включения порта спасает, но не удобно

[kriks]

Добрый день!

Как организовать отключение локальной сети при обнулении баланса у клиента, но при этом абонент должен иметь выход на сайты платежных систем.

Биллинг Ideco (спрашиваю здесь, т.к. ТП ideco ничего не может ответить)

Биллинг он же шлюз в инет.

Не хочется, что б при обнулении баланса - абоненты не пользовались игровым серваком и p2p

Скрипт отключения-включения порта спасает, но не удобно

Какие свитчи на доступе? На длинках делается все очень просто с помощью ACL

[alexaaa]

Добрый день!

Как организовать отключение локальной сети при обнулении баланса у клиента, но при этом абонент должен иметь выход на сайты платежных систем.

Биллинг Ideco (спрашиваю здесь, т.к. ТП ideco ничего не может ответить)

Биллинг он же шлюз в инет.

Не хочется, что б при обнулении баланса - абоненты не пользовались игровым серваком и p2p

Скрипт отключения-включения порта спасает, но не удобно

Какие свитчи на доступе? На длинках делается все очень просто с помощью ACL

Ставьте компьютер-шлюз с файерволом и убираете свои ресурсы за него, правила файервола проверяют баланс в билинге и закрывают доступ по ip клиента, на шлюзе прописан маршрут с одной подсети в другую.

[jumangee]

Добрый день!

Как организовать отключение локальной сети при обнулении баланса у клиента, но при этом абонент должен иметь выход на сайты платежных систем.

Биллинг Ideco (спрашиваю здесь, т.к. ТП ideco ничего не может ответить)

Биллинг он же шлюз в инет.

Не хочется, что б при обнулении баланса - абоненты не пользовались игровым серваком и p2p

Скрипт отключения-включения порта спасает, но не удобно

Какие свитчи на доступе? На длинках делается все очень просто с помощью ACL

des-3028

des-3055

[Saab95]

Вам надо заместо шлюза в инет использовать не идеко, а что-то внешнее, например циску или микротик. Тогда в случае отрицательного баланса можно запрещать доступ этому клиенту в интернет, но разрешать локальную сеть.

 

Тогда при попытке клиента получить доступ в интернет у него откроется страница "дай денег", а при доступе в разрешенные сети он собственно получит доступ и сможет играть в игрушки и качать файлы с фтп и дц.

[kriks]

Добрый день!

Как организовать отключение локальной сети при обнулении баланса у клиента, но при этом абонент должен иметь выход на сайты платежных систем.

Биллинг Ideco (спрашиваю здесь, т.к. ТП ideco ничего не может ответить)

Биллинг он же шлюз в инет.

Не хочется, что б при обнулении баланса - абоненты не пользовались игровым серваком и p2p

Скрипт отключения-включения порта спасает, но не удобно

Какие свитчи на доступе? На длинках делается все очень просто с помощью ACL

des-3028

des-3055

Вот пример для des-3028

 

# Priority DHCP request
create access_profile ip udp src_port_mask 0xFFFF profile_id 100
#Разрешить DHCP ответы на магистральных портах
config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 25-28 permit priority 6
#Разрешить DHCP запросы
config access_profile profile_id 100 add access_id auto_assign ip udp src_port 68 port 1-28 permit priority 6
#Запретить DHCP ответы на клиентских портах
config access_profile profile_id 100 add access_id auto_assign ip udp src_port 67 port 1-24 deny

# Преоритезация трафика по получателю с маской подсети /24
create access_profile ip destination_ip_mask 255.255.255.0 profile_id 110
# Подсеть DHCP серверов
config access_profile profile_id 110 add access_id auto_assign ip destination_ip XXX.XXX.XXX.0 port 1-28 permit priority 6
# Подсеть 5445 сервисов
config access_profile profile_id 110 add access_id auto_assign ip destination_ip XXX.XXX.XXX.0 port 1-28 permit priority 1
# Подсеть под сервис 1234
config access_profile profile_id 110 add access_id auto_assign ip destination_ip XXX.XXX.XXX.0 port 1-28 permit priority 1
# Подсети под сервис 123
config access_profile profile_id 110 add access_id auto_assign ip destination_ip XXX.XXX.XXX.0 port 1-28 permit priority 1
config access_profile profile_id 110 add access_id auto_assign ip destination_ip XXX.XXX.XXX.0 port 1-28 permit priority 1

 

# Блокировка локальных ресурсов
create access_profile ip destination_ip_mask 0.0.0.0 profile_id 150
config access_profile profile_id 150 add access_id auto_assign ip destination_ip 0.0.0.0 port 1-24 permit priority 0

[Ilya Evseev]

У нас был подготовлен такой вариант, но до внедрения не дошло:

1) специальный VLAN Block, прокинутый до сервера,

2) на отдельном сервере в VLAN Block подняты IP-адреса *.1 из всех клиентских подсетей, т.е. он притворяется шлюзом.

3) все http-запросы сервер проксирует на страницу "Вы заблокированы",

4) порты заблокированных клиентов автоматически переносятся из клиентских vlan'ов в VLAN block, для разблокированных возвращаются обратно.

 

Преимущество данного метода - не требует держать на доступе коммутаторы с поддержкой ACL.

При этом желательно, чтобы на них был включен Traffic Segmentation, чтобы заблокированные клиенты не имели связи друг с другом.

[vurd]

У нас был подготовлен такой вариант, но до внедрения не дошло:

1) специальный VLAN Block, прокинутый до сервера,

2) на отдельном сервере в VLAN Block подняты IP-адреса *.1 из всех клиентских подсетей, т.е. он притворяется шлюзом.

3) все http-запросы сервер проксирует на страницу "Вы заблокированы",

4) порты заблокированных клиентов автоматически переносятся из клиентских vlan'ов в VLAN block, для разблокированных возвращаются обратно.

 

Преимущество данного метода - не требует держать на доступе коммутаторы с поддержкой ACL.

При этом желательно, чтобы на них был включен Traffic Segmentation, чтобы заблокированные клиенты не имели связи друг с другом.

 

Проблема в том, что клиентский роутер помнит мак адрес реального шлюза, что приводит к "тупняку" в моменты переключений.

[secandr]

vurd видимо админы не успевают за пользователями. Последние давно научились менять маки :)

[vurd]

vurd видимо админы не успевают за пользователями. Последние давно научились менять маки :)

 

Как отнесется L3 коммутатор (шлюз) к транзиту пакетов в отдельном влане на его же мак-адрес (поменяный успевшими админами)?

[mukca]

Как отнесется L3 коммутатор (шлюз) к транзиту пакетов в отдельном влане на его же мак-адрес (поменяный успевшими админами)?

как как - нормально, отправит куда надо. Этож разные вланы... влан этож

VLAN (аббр. от англ. Virtual Local Area Network) — виртуальная локальная компьютерная сеть, представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к широковещательному домену, независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет конечным станциям группироваться вместе, даже если они не находятся в одной физической сети. Такая реорганизация может быть сделана на основе программного обеспечения вместо физического перемещения устройств.

 

комутатору вообще пофиг на совпадающие маки.. а если они в разных вланах то и по.... :d

[vurd]

Вот теоретически да, а на практике в случае dlink 3612 - болт :)

[secandr]

vurd ну так не покупайте г*вно и будет вам счастье. Даже длинки относятся нормально к транзиту одинаковых маков, те что у нас стояли...

[Abram]

vurd видимо админы не успевают за пользователями. Последние давно научились менять маки :)

 

Как отнесется L3 коммутатор (шлюз) к транзиту пакетов в отдельном влане на его же мак-адрес (поменяный успевшими админами)?

Зависит от реализации функции VLAN-ов. Может быть отдельная fdb на каждый VLAN (тогда пофиг), а может быть одна fdb с доп. полем VID (тогда не пофиг). Судя по всему, у 3612 как раз второе.