M@k$ Posted January 21, 2014 · Report post Подскажите решение проблемы. Есть следующие исходные данне: 1. Локальный BRAS на Микротике для PPPoE клиентов, котороый общаеться по RADIUS с централизованным сервером биллинга на UTM. 2. Клиент с положительным баланосом при авторизации получает "белый адресс" (например 1.1.1.1) из IP-пула локального BRAS. Если у клиента нулевой или отрицательный баланс - "серый адресс" (например 2.2.2.2) из централизованного пула адресов. Необходимо реализовать для клиентов с "серыми адрессами" (2.2.2.2) доступ только к сайту личного кабинета (www.1) и двум платежным системам (www.2 и www.3). Share this post Link to post Share on other sites
Lynx10 Posted January 21, 2014 · Report post фаервол Share this post Link to post Share on other sites
ichthyandr Posted January 22, 2014 · Report post Подскажите решение проблемы. Есть следующие исходные данне: 1. Локальный BRAS на Микротике для PPPoE клиентов, котороый общаеться по RADIUS с централизованным сервером биллинга на UTM. 2. Клиент с положительным баланосом при авторизации получает "белый адресс" (например 1.1.1.1) из IP-пула локального BRAS. Если у клиента нулевой или отрицательный баланс - "серый адресс" (например 2.2.2.2) из централизованного пула адресов. Необходимо реализовать для клиентов с "серыми адрессами" (2.2.2.2) доступ только к сайту личного кабинета (www.1) и двум платежным системам (www.2 и www.3). В ядре поднимаете DNS с split-view и для абонентов с серыми адресами для www1, www2, www3 отдаете серые адреса, соотв. абонентов с серыми адресами никуда не натите и в инет не пускаете Share this post Link to post Share on other sites
vurd Posted January 22, 2014 · Report post Платежные системы в интернете, а не собсвтенные ТС. Share this post Link to post Share on other sites
M@k$ Posted January 22, 2014 (edited) · Report post Платежные системы в интернете, а не собсвтенные ТС. Да www.2 и www.3 платежные системы в интернете. Фаервол то понятно, пробовал менить трафик, но потом не выходит его перенаправить. Edited January 22, 2014 by M@k$ Share this post Link to post Share on other sites
irihorn95 Posted January 22, 2014 (edited) · Report post Да www.2 и www.3 платежные системы в интернете. Фаервол то понятно, пробовал менить трафик, но потом не выходит его перенаправить. С этим вопросом Вам надо к Saab'у) А если по теории, то можно на сетку разрешить только доступ к определенным URL на определенной скорости. Edited January 22, 2014 by irihorn95 Share this post Link to post Share on other sites
Ivan Rostovikov Posted January 22, 2014 · Report post У меня такая же схема. биллинг правда другой. Я собираюсь для этого рядом поставить еще 1 микротик для того, что б делать NAT серых подсетей (для захода на платежные системы). Share this post Link to post Share on other sites
Chiller Posted January 23, 2014 · Report post все делается просто: например адрес www2= xxxx, адрес www3= yyyy IP FIREWALL добавляем в adress list "platej" xxxx и yyyy разрешаем юзерам с негативным IP адресом ходить на adress-list "platej" Share this post Link to post Share on other sites
Saab95 Posted January 23, 2014 · Report post А что нельзя сделать кнопку обещанный платеж или кредит? Тогда люди сами нажмут ее и получат доступ не только к платежным сервисам, но и перестанут выносить мозг провайдеру. Например вот правила, первое разрешает доступ абоненту на порт 433 с ограничением на количество пакетов, аналогично можно сделать и по другим портам и т.п. Второе разрешает доступ по внутренним адресам. /ip firewall filter add chain=forward dst-limit=50,50,src-address dst-port=443 protocol=tcp src-address-list=list_balance_negative add action=drop chain=forward dst-address=!10.0.0.0/8 src-address-list=list_balance_negative Это перенаправление всех должников на веб страничку с сообщением. /ip firewall nat add action=redirect chain=dstnat dst-address=!10.0.0.0/8 dst-port=80 protocol=tcp src-address-list=list_balance_negative to-ports=8123 /ip proxy set enabled=yes port=8123 /ip proxy access add action=deny disabled=no dst-port="" redirect-to=10.0.0.10/balance/index.html Соответственно когда нет средств абонент может либо сразу на сайт платежной системы попасть, либо нажать кнопку в личном кабинете, тогда и делать ничего не нужно. Вот и получается, сначала выберут кривой и не удобный биллинг, который ничего не умеет, потом мучаются с настройками оборудования, когда надо идти совсем с другой стороны. Share this post Link to post Share on other sites
Saab95 Posted January 23, 2014 · Report post все делается просто: например адрес www2= xxxx, адрес www3= yyyy IP FIREWALL добавляем в adress list "platej" xxxx и yyyy разрешаем юзерам с негативным IP адресом ходить на adress-list "platej" Не просто. Нужно создать правило фильтра на уровне L7, где в поле content указать название нужного сайта без www, например yandex.ru и разрешить доступ. Share this post Link to post Share on other sites