lan-viper Опубликовано 23 мая, 2012 · Жалоба что касается L2 - то пофиг в принципе - потому что схема "VLAN на дом". Полностью согласен. Абоненты отдельно взятого дома (со своим vlan) играются в своей песочнице. dlink на доступе. dhcp snooping конечно есть, но об arp inspection надо читать руководства. Спасибо за комментарий, в целом понятно. Хорошая альтернатива отключению порта, хотя и порт отключить не проблема - можно скрипт запускать раз в сутки, который будет запросом из базы биллинга выбирать абонентов, которые не платили более месяца и по telnet или snmp будет отключать порт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 23 мая, 2012 (изменено) · Жалоба так и есть - в кроне скрипт ночью запускается - проверяет по базе - у кого минус более месяца - того "заккоменчивает" в конфиге DHCP серва - т.е. юзер больше адрес не получит и трафик его блочится на доступе. (лиз тайм = 1 час) Еще баловался, чтобы порт юзера рубился автоматом по snmp по событию биллинга "переход в отриц. баланс" - т.е. сразу, а не через месяц. Работало. Но не дружелюбно к клиентам. Решил все таки еще месячишко редиректить на сраницу "дай денег" и открыт трафик на все банки и платежные системы и сайты мобильных операторов, и кабинет доступен - чтобы юзер мог проверить историю прихода/расхода, и обещаный платеж можно сделать и инструкции разные там почитать, и поделится балансом с другом, попросить в чятике у кого-нить денег, и в DC порнушку свежую в HD скачать, и IPTV каналы посореть. Короче - так юзеру удобней, и в суппорт меньше звонков и бухтежа, если б сразу все вырубало. Всё работает. Не трогаю полгода ничего...Бью баклуши, ядра не пересобираю : ) Изменено 23 мая, 2012 пользователем white_crow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skylaer Опубликовано 23 мая, 2012 · Жалоба Как-то сложно все :) снупинг на свиче, запрос передается на Л3 коммутатор, тот передает его дальше на шейпер-раутер, откуда уже запрос в базу. В обратку летит либо адрес, либо пул cliens/nomoney + скорость. Шейпер создает правила, передает дальше запрос на Л3 свича, тот создает маршрут для ip unnumbered и шлет дальше ответ на свич, где и поднимается снупинг. Есть деньги - все работает, нет денег - только локалка и биллинг, через месяц порт в даун. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 23 мая, 2012 · Жалоба у вас те же яйца, только вид сбоку. В итоге суть одна - нет денег - нет инета, есть деньги - инет работает. Все остальные детали - всем пофег на самом деле что мы тут устроили мышиную возню : ) (буря в стакане). P.S. Это у вас как-то все слишком сложно : )))))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimic Опубликовано 27 мая, 2012 · Жалоба У нас все просто - формируется таблица в ipfw из ip заблокированных пользователей, которая форвардится на заглушку в виде странички с различной информацией. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lan-viper Опубликовано 29 мая, 2012 · Жалоба У нас все просто - формируется таблица в ipfw из ip заблокированных пользователей, которая форвардится на заглушку в виде странички с различной информацией. у вас те же яйца, только вид сбоку. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimic Опубликовано 31 мая, 2012 · Жалоба Ну так еще доступ в личный кабинет конечно же Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 24 июля, 2012 · Жалоба Всем привет. А не подскажите по такому вопросу. Есть ipset с списком адресов которые могут ходить в интернет. Хочу сделать правило, которое будет всех кого нет в этом списке перекидывать на определенный адрес в сети. Направьте на путь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 25 июля, 2012 · Жалоба iptables -nv -t nat -L PREROUTING Chain PREROUTING (policy ACCEPT 486M packets, 51G bytes) pkts bytes target prot opt in out source destination 891M 69G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 match-set station src 23M 2917M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 match-set station dst 2723K 140M DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:10.0.0.1 в сет station прописаны кому интернет включен. Все остальные заворачиваются на 10.0.0.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 25 июля, 2012 · Жалоба А что лучше, заворачивать всех у кого интернет не включен, или заворачивать только тех, у кого он выключен? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 25 июля, 2012 (изменено) · Жалоба iptables -nv -t nat -L PREROUTING Chain PREROUTING (policy ACCEPT 486M packets, 51G bytes) pkts bytes target prot opt in out source destination 891M 69G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 match-set station src 23M 2917M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 match-set station dst 2723K 140M DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:10.0.0.1 в сет station прописаны кому интернет включен. Все остальные заворачиваются на 10.0.0.1 поправьте меня если я не правильно понял: iptables -t nat -A PREROUTING -m set --match-set station src -j ACCEPT iptables -t nat -A PREROUTING -m set --match-set station dst -j ACCEPT iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.0.1 сейчас у меня в PREROUTING пусто, первые два правила пропустят список ipset дальше (в FORWARD) а третье завернет остальных на сайт? Изменено 25 июля, 2012 пользователем Cramac Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 25 июля, 2012 · Жалоба сейчас у меня в PREROUTING пусто, первые два правила пропустят список ipset дальше (в FORWARD) а третье завернет остальных на сайт? Именно так и работает. А, да, клиенты сидят со стороны интерфейса eth1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 25 июля, 2012 · Жалоба taf_321, благодарствую за помощь :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lan-viper Опубликовано 28 июля, 2012 · Жалоба А что лучше, заворачивать всех у кого интернет не включен, или заворачивать только тех, у кого он выключен? Я реализовал немного по другому, есть грубо два множества - IPOEUSERIPS и BLOCKEDUSERIPS. При блокировке аккаунта ip абнента попадает в BLOCKEDUSERIPS (где всё и вся редиректится на web-заглушку "Ваша учётная запись заблокирована"). А события вкл/выкл управляют присутствием/отсутствием абонентского ip в множестве IPOEUSERIPS (данное множество имеет выход в интернет). Т.е. если у абонента просто выключен инет, но баланс положителен, то у него просто ни чего не открывается. Это всё в контксте UTM5. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
poofeg Опубликовано 5 мая, 2013 · Жалоба Есть у кого-нибудь список user agent'ов которые лучше не редиректить? Например по логам смотрю MRA долбится во всю на биллиг у клиента в минусе. И вопрос близкий к теме, почему Opera не устанавливает безопасное соединение при отсутствующем интернете? У меня редирект происходит на https страницу биллинга, во всех браузерах нормально, а вот Opera долго думает, а потом говорит "Не удалось подключиться к удалённому серверу". Запускаю Интернет и на эту же страницу Opera спокойно заходит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 5 мая, 2013 · Жалоба Галочка opera turbo стоит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 5 мая, 2013 · Жалоба почему Opera не устанавливает безопасное соединение при отсутствующем интернете Кто выпустил сертификат? Опера лезет проверить издателя. Чтобы устранить проблему, нужно попытки клиентов соединиться вовне на 443 порт не дропать а сбрасывать отсылкой RST в ответ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 5 мая, 2013 · Жалоба Есть у кого-нибудь список user agent'ов которые лучше не редиректить? Например по логам смотрю MRA долбится во всю на биллиг у клиента в минусе. И вопрос близкий к теме, почему Opera не устанавливает безопасное соединение при отсутствующем интернете? У меня редирект происходит на https страницу биллинга, во всех браузерах нормально, а вот Opera долго думает, а потом говорит "Не удалось подключиться к удалённому серверу". Запускаю Интернет и на эту же страницу Opera спокойно заходит. Тут где-то кусок конфига nginx валялся. Поищите, не найдете - напишите мне в личку (сейчас не могу скинуть). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
poofeg Опубликовано 6 мая, 2013 · Жалоба Abram, нашел кусок тут. disappointed, StartCom выпустил. С RST попробую. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 7 мая, 2013 · Жалоба poofeg, Оно, да. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
poofeg Опубликовано 7 мая, 2013 · Жалоба Чтобы устранить проблему, нужно попытки клиентов соединиться вовне на 443 порт не дропать а сбрасывать отсылкой RST в ответ. Помогло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 10 мая, 2013 · Жалоба Есть у кого-нибудь список user agent'ов которые лучше не редиректить? Например по логам смотрю MRA долбится во всю на биллиг у клиента в минусе. Чтобы устранить засирание логов долбежкой затрояненых компов поставил на сервере с редиректом вот такие правила: -d 10.1.1.2 -p tcp --dport 80 -m string --algo bm --string " HTTP/1.0" -j DROP -d 10.1.1.2 -p tcp --dport 80 -m string --algo bm --string "MRA 5." -j DROP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...