[lan-viper]

что касается L2 - то пофиг в принципе - потому что схема "VLAN на дом".

Полностью согласен. Абоненты отдельно взятого дома (со своим vlan) играются в своей песочнице.

 

dlink на доступе. dhcp snooping конечно есть, но об arp inspection надо читать руководства. Спасибо за комментарий, в целом понятно. Хорошая альтернатива отключению порта, хотя и порт отключить не проблема - можно скрипт запускать раз в сутки, который будет запросом из базы биллинга выбирать абонентов, которые не платили более месяца и по telnet или snmp будет отключать порт.

[white_crow]

так и есть - в кроне скрипт ночью запускается - проверяет по базе - у кого минус более месяца - того "заккоменчивает" в конфиге DHCP серва - т.е. юзер больше адрес не получит и трафик его блочится на доступе. (лиз тайм = 1 час) Еще баловался, чтобы порт юзера рубился автоматом по snmp по событию биллинга "переход в отриц. баланс" - т.е. сразу, а не через месяц. Работало. Но не дружелюбно к клиентам. Решил все таки еще месячишко редиректить на сраницу "дай денег" и открыт трафик на все банки и платежные системы и сайты мобильных операторов, и кабинет доступен - чтобы юзер мог проверить историю прихода/расхода, и обещаный платеж можно сделать и инструкции разные там почитать, и поделится балансом с другом, попросить в чятике у кого-нить денег, и в DC порнушку свежую в HD скачать, и IPTV каналы посореть. Короче - так юзеру удобней, и в суппорт меньше звонков и бухтежа, если б сразу все вырубало. Всё работает. Не трогаю полгода ничего...Бью баклуши, ядра не пересобираю : )

Изменено 23 мая, 2012 пользователем white_crow

[Skylaer]

Как-то сложно все :)

снупинг на свиче, запрос передается на Л3 коммутатор, тот передает его дальше на шейпер-раутер, откуда уже запрос в базу. В обратку летит либо адрес, либо пул cliens/nomoney + скорость. Шейпер создает правила, передает дальше запрос на Л3 свича, тот создает маршрут для ip unnumbered и шлет дальше ответ на свич, где и поднимается снупинг.

Есть деньги - все работает, нет денег - только локалка и биллинг, через месяц порт в даун.

[white_crow]

у вас те же яйца, только вид сбоку. В итоге суть одна - нет денег - нет инета, есть деньги - инет работает. Все остальные детали - всем пофег на самом деле что мы тут устроили мышиную возню : ) (буря в стакане).

 

P.S. Это у вас как-то все слишком сложно : ))))))

[Dimic]

У нас все просто - формируется таблица в ipfw из ip заблокированных пользователей, которая форвардится на заглушку в виде странички с различной информацией.

[lan-viper]

У нас все просто - формируется таблица в ipfw из ip заблокированных пользователей, которая форвардится на заглушку в виде странички с различной информацией.

у вас те же яйца, только вид сбоку.

:)

[Dimic]

Ну так еще доступ в личный кабинет конечно же

[Cramac]

Всем привет. А не подскажите по такому вопросу.

Есть ipset с списком адресов которые могут ходить в интернет. Хочу сделать правило, которое будет всех кого нет в этом списке перекидывать на определенный адрес в сети. Направьте на путь?

[taf_321]

iptables -nv -t nat -L PREROUTING
Chain PREROUTING (policy ACCEPT 486M packets, 51G bytes)
pkts bytes target     prot opt in     out     source               destination         
891M   69G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           match-set station src 
 23M 2917M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           match-set station dst 
2723K  140M DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 to:10.0.0.1 

 

в сет station прописаны кому интернет включен. Все остальные заворачиваются на 10.0.0.1

[Saab95]

А что лучше, заворачивать всех у кого интернет не включен, или заворачивать только тех, у кого он выключен?

[Cramac]

iptables -nv -t nat -L PREROUTING
Chain PREROUTING (policy ACCEPT 486M packets, 51G bytes)
pkts bytes target     prot opt in     out     source               destination         
891M   69G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           match-set station src 
 23M 2917M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           match-set station dst 
2723K  140M DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 to:10.0.0.1 

 

в сет station прописаны кому интернет включен. Все остальные заворачиваются на 10.0.0.1

 

поправьте меня если я не правильно понял:

iptables -t nat -A PREROUTING -m set --match-set station src -j ACCEPT

iptables -t nat -A PREROUTING -m set --match-set station dst -j ACCEPT

iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.0.1

 

сейчас у меня в PREROUTING пусто, первые два правила пропустят список ipset дальше (в FORWARD) а третье завернет остальных на сайт?

Изменено 25 июля, 2012 пользователем Cramac

[taf_321]

сейчас у меня в PREROUTING пусто, первые два правила пропустят список ipset дальше (в FORWARD) а третье завернет остальных на сайт?

 

Именно так и работает. А, да, клиенты сидят со стороны интерфейса eth1

[Cramac]

taf_321, благодарствую за помощь :)

[lan-viper]

А что лучше, заворачивать всех у кого интернет не включен, или заворачивать только тех, у кого он выключен?

Я реализовал немного по другому, есть грубо два множества - IPOEUSERIPS и BLOCKEDUSERIPS. При блокировке аккаунта ip абнента попадает в BLOCKEDUSERIPS (где всё и вся редиректится на web-заглушку "Ваша учётная запись заблокирована"). А события вкл/выкл управляют присутствием/отсутствием абонентского ip в множестве IPOEUSERIPS (данное множество имеет выход в интернет). Т.е. если у абонента просто выключен инет, но баланс положителен, то у него просто ни чего не открывается. Это всё в контксте UTM5.

[poofeg]

Есть у кого-нибудь список user agent'ов которые лучше не редиректить? Например по логам смотрю MRA долбится во всю на биллиг у клиента в минусе.

 

И вопрос близкий к теме, почему Opera не устанавливает безопасное соединение при отсутствующем интернете? У меня редирект происходит на https страницу биллинга, во всех браузерах нормально, а вот Opera долго думает, а потом говорит "Не удалось подключиться к удалённому серверу". Запускаю Интернет и на эту же страницу Opera спокойно заходит.

[kayot]

Галочка opera turbo стоит?

[disappointed]

почему Opera не устанавливает безопасное соединение при отсутствующем интернете

Кто выпустил сертификат? Опера лезет проверить издателя.

Чтобы устранить проблему, нужно попытки клиентов соединиться вовне на 443 порт не дропать а сбрасывать отсылкой RST в ответ.

[Abram]

Есть у кого-нибудь список user agent'ов которые лучше не редиректить? Например по логам смотрю MRA долбится во всю на биллиг у клиента в минусе.

 

И вопрос близкий к теме, почему Opera не устанавливает безопасное соединение при отсутствующем интернете? У меня редирект происходит на https страницу биллинга, во всех браузерах нормально, а вот Opera долго думает, а потом говорит "Не удалось подключиться к удалённому серверу". Запускаю Интернет и на эту же страницу Opera спокойно заходит.

Тут где-то кусок конфига nginx валялся. Поищите, не найдете - напишите мне в личку (сейчас не могу скинуть).

[poofeg]

Abram, нашел кусок тут.

 

disappointed, StartCom выпустил. С RST попробую.

[Abram]

poofeg,

Оно, да.

[poofeg]

Чтобы устранить проблему, нужно попытки клиентов соединиться вовне на 443 порт не дропать а сбрасывать отсылкой RST в ответ.

Помогло.

[taf_321]

Есть у кого-нибудь список user agent'ов которые лучше не редиректить? Например по логам смотрю MRA долбится во всю на биллиг у клиента в минусе.

 

Чтобы устранить засирание логов долбежкой затрояненых компов поставил на сервере с редиректом вот такие правила:

 

-d 10.1.1.2 -p tcp --dport 80 -m string --algo bm --string " HTTP/1.0" -j DROP

-d 10.1.1.2 -p tcp --dport 80 -m string --algo bm --string "MRA 5." -j DROP