M@k$ Опубликовано 21 января, 2014 · Жалоба Подскажите решение проблемы. Есть следующие исходные данне: 1. Локальный BRAS на Микротике для PPPoE клиентов, котороый общаеться по RADIUS с централизованным сервером биллинга на UTM. 2. Клиент с положительным баланосом при авторизации получает "белый адресс" (например 1.1.1.1) из IP-пула локального BRAS. Если у клиента нулевой или отрицательный баланс - "серый адресс" (например 2.2.2.2) из централизованного пула адресов. Необходимо реализовать для клиентов с "серыми адрессами" (2.2.2.2) доступ только к сайту личного кабинета (www.1) и двум платежным системам (www.2 и www.3). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 21 января, 2014 · Жалоба фаервол Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 22 января, 2014 · Жалоба Подскажите решение проблемы. Есть следующие исходные данне: 1. Локальный BRAS на Микротике для PPPoE клиентов, котороый общаеться по RADIUS с централизованным сервером биллинга на UTM. 2. Клиент с положительным баланосом при авторизации получает "белый адресс" (например 1.1.1.1) из IP-пула локального BRAS. Если у клиента нулевой или отрицательный баланс - "серый адресс" (например 2.2.2.2) из централизованного пула адресов. Необходимо реализовать для клиентов с "серыми адрессами" (2.2.2.2) доступ только к сайту личного кабинета (www.1) и двум платежным системам (www.2 и www.3). В ядре поднимаете DNS с split-view и для абонентов с серыми адресами для www1, www2, www3 отдаете серые адреса, соотв. абонентов с серыми адресами никуда не натите и в инет не пускаете Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 22 января, 2014 · Жалоба Платежные системы в интернете, а не собсвтенные ТС. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
M@k$ Опубликовано 22 января, 2014 (изменено) · Жалоба Платежные системы в интернете, а не собсвтенные ТС. Да www.2 и www.3 платежные системы в интернете. Фаервол то понятно, пробовал менить трафик, но потом не выходит его перенаправить. Изменено 22 января, 2014 пользователем M@k$ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
irihorn95 Опубликовано 22 января, 2014 (изменено) · Жалоба Да www.2 и www.3 платежные системы в интернете. Фаервол то понятно, пробовал менить трафик, но потом не выходит его перенаправить. С этим вопросом Вам надо к Saab'у) А если по теории, то можно на сетку разрешить только доступ к определенным URL на определенной скорости. Изменено 22 января, 2014 пользователем irihorn95 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 22 января, 2014 · Жалоба У меня такая же схема. биллинг правда другой. Я собираюсь для этого рядом поставить еще 1 микротик для того, что б делать NAT серых подсетей (для захода на платежные системы). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chiller Опубликовано 23 января, 2014 · Жалоба все делается просто: например адрес www2= xxxx, адрес www3= yyyy IP FIREWALL добавляем в adress list "platej" xxxx и yyyy разрешаем юзерам с негативным IP адресом ходить на adress-list "platej" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 23 января, 2014 · Жалоба А что нельзя сделать кнопку обещанный платеж или кредит? Тогда люди сами нажмут ее и получат доступ не только к платежным сервисам, но и перестанут выносить мозг провайдеру. Например вот правила, первое разрешает доступ абоненту на порт 433 с ограничением на количество пакетов, аналогично можно сделать и по другим портам и т.п. Второе разрешает доступ по внутренним адресам. /ip firewall filter add chain=forward dst-limit=50,50,src-address dst-port=443 protocol=tcp src-address-list=list_balance_negative add action=drop chain=forward dst-address=!10.0.0.0/8 src-address-list=list_balance_negative Это перенаправление всех должников на веб страничку с сообщением. /ip firewall nat add action=redirect chain=dstnat dst-address=!10.0.0.0/8 dst-port=80 protocol=tcp src-address-list=list_balance_negative to-ports=8123 /ip proxy set enabled=yes port=8123 /ip proxy access add action=deny disabled=no dst-port="" redirect-to=10.0.0.10/balance/index.html Соответственно когда нет средств абонент может либо сразу на сайт платежной системы попасть, либо нажать кнопку в личном кабинете, тогда и делать ничего не нужно. Вот и получается, сначала выберут кривой и не удобный биллинг, который ничего не умеет, потом мучаются с настройками оборудования, когда надо идти совсем с другой стороны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 23 января, 2014 · Жалоба все делается просто: например адрес www2= xxxx, адрес www3= yyyy IP FIREWALL добавляем в adress list "platej" xxxx и yyyy разрешаем юзерам с негативным IP адресом ходить на adress-list "platej" Не просто. Нужно создать правило фильтра на уровне L7, где в поле content указать название нужного сайта без www, например yandex.ru и разрешить доступ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...