Доступ только в Интернет+Локалку или доступ только в локалку

[Andrey Zentavr]

В windows-авторизаторе есть опция "Включить доступ в Интернет"
"Включить доступ в сеть".
В документации к биллингу описания реализации данной фичи нет.
А плохо
Как реализовать данную опцию?

Версия биллинга: 50,28

[Efendy]

а что ее описывать? при включении авторизатора в режим "сеть", скрипт управления фаерволом блочит инет, но разрешает трафик между зарегистрированными в биллинге ip. Если сервера с контентом находятся за сервером - этим мона регулировать к ним доступ (и считать трафик, походу). Тоже относится и к клиентам - если есть изолированные сегменты, то разрешится трафик только между сегментами

[Andrey Zentavr]

Я так понял эта фича работает из коробки? Допиливать nofire.pl не нужно?
Почему спросил? Потому что в продакшн сервер ещё не пустили, всё на этапе настройки, а Versus говорит следующее:

Andrey Zentavr (16:58:00 9/10/2009)
Кстате, кнопка Включить доступ в Интернет, Включить доступ в сеть

 Andrey Zentavr (16:58:13 9/10/2009)
чтобы это организовать, куда копнуть нужно?

 Versus NoDeny (16:59:26 9/10/2009)
да раньше у нас было при покупке инетрнета давалась возможность включать только сеть что бы не израсходовать  инет по напрасну! во времена когда зза 100 грн давали 100 мегабайт

 Versus NoDeny (16:59:48 9/10/2009)
щас такое не надо и поэтому переделывался файрвол уже без оглядки на эту функциональность

 Versus NoDeny (17:00:08 9/10/2009)
копнуть на форум написать что бы стас объяснил как он делал

[versus]

Круто из песни слова выкидывать! что ж ты не весь лог привел и вырвал из контекста

Тебе надо тарифный план "Только локалка" вот в контекте ее вопрос и был задан! Я тебе объяснил всю ущербность такого тарифа и что такая функциональность в биллинге не предусмотрена и предусмотрена не будет в будущем

[Andrey Zentavr]

Круто из песни слова выкидывать! что ж ты не весь лог привел и вырвал из контекста
Тебе надо тарифный план "Только локалка" вот в контекте ее вопрос и был задан! Я тебе объяснил всю ущербность такого тарифа и что такая функциональность в биллинге не предусмотрена и предусмотрена не будет в будущем

За тарифный план "Только локалка" здесь я не спрашивал - этот вопрос разрулился по другому. Скажем так - моё руководство пошло по Вашим советам.
В процессе настройки их заинтересовал именно функционал этих двух фич авторизатора, посему и была создана тема.

[AndyDv]

а что ее описывать? при включении авторизатора в режим "сеть", скрипт управления фаерволом блочит инет, но разрешает трафик между зарегистрированными в биллинге ip. Если сервера с контентом находятся за сервером - этим мона регулировать к ним доступ (и считать трафик, походу). Тоже относится и к клиентам - если есть изолированные сегменты, то разрешится трафик только между сегментами

В связи с этим очень не хватает настройки в карточке пользователя. Авторизация , Всегда онлайн   Не хватает опции Только сеть.

[Efendy]

а что ее описывать? при включении авторизатора в режим "сеть", скрипт управления фаерволом блочит инет, но разрешает трафик между зарегистрированными в биллинге ip. Если сервера с контентом находятся за сервером - этим мона регулировать к ним доступ (и считать трафик, походу). Тоже относится и к клиентам - если есть изолированные сегменты, то разрешится трафик только между сегментами

В связи с этим очень не хватает настройки в карточке пользователя. Авторизация , Всегда онлайн   Не хватает опции Только сеть.

рассматривайте "всегда онлайн" как тестовую вещь, только для проверки. Любой узел, должен быть авторизирован! Где у тебя не получается сделать авторизацию?

[AndyDv]

а что ее описывать? при включении авторизатора в режим "сеть", скрипт управления фаерволом блочит инет, но разрешает трафик между зарегистрированными в биллинге ip. Если сервера с контентом находятся за сервером - этим мона регулировать к ним доступ (и считать трафик, походу). Тоже относится и к клиентам - если есть изолированные сегменты, то разрешится трафик только между сегментами

В связи с этим очень не хватает настройки в карточке пользователя. Авторизация , Всегда онлайн   Не хватает опции Только сеть.

рассматривайте "всегда онлайн" как тестовую вещь, только для проверки. Любой узел, должен быть авторизирован! Где у тебя не получается сделать авторизацию?

Поясню на простом примере:

Отказываемся впринципе от авторизатора (аксиома) Авторизуемся с помощью только PPPoE
Создадим три вилана,  в каждый вилан  поместим один дом ( не можем мы чисто финансово каждому пользователю дать вилан)
сведем три вилана на 3 порта cisco 3-го уровня
в четвертый порт воткнем сервер нодени (для упрощения примера он один)

Итак маршрутизировать виланы мы можем либо на киско либо на сервере с нодени.
Маршрутизируем на сервере:
В нодени каждому пользователю назначаем ип который он будет получать по пппое, каждый пользователь авторизуется все красиво работает, пока они (пользователи не начинают гонять трафик между собой), тут наш сервер и умирает. Трафик большой комп понятно не тянет.

Маршрутизируем на кошке, самой дешевой 450 баксов за 48 портов, cisco 3550 13,5 Гбит/сек по внутренней шине

Каждому вилану назначаем свою подсеть адресов, каждому пользователю выдаем адрес из этой подсети и заводим алиас для пппое. По пппое каждый пользователь будет ходить в инет через сервер нодени, по адресам внутренних подсетей между собой через кошку. По ДХЦП передаем не только ип, но и маршруты. На сервере запрещаем маршрутизацию выданных подсетей. Все красиво, все работает за исключением пользователи с отрицательными балансами без проблем маршрутизируются нашей кошкой, а нам очень этого не хочется....
 
Достаем из поставки нодени модуль для работы с киской, настраиваем акцесс листы, запускаем все и обламываемся.... поскольку внутренние адреса у нас не авторизованы..... ( а от авторизатора мы отказались) поставив все эти адреса всегда онлайн, мы рискуем выпустить толпу в инет... Вот тут бы нам ввести третью степень авторизации локальная сеть....


а сейчас вышли из положения следующим образом, пишем на баше скрипт и выгребаем в текстовый файл все ип имеющие положительные балансы и 1 раз в 5 мин по крону грузим этот лист в кошку. (не красиво, лист огромных размеров и еще много всяких бяк) Но все работает.

[Efendy]

я не совсем понял, что значит "внутренние адреса у нас не авторизованы"? Предположу: клиенты для обмена трафиком между собой используют адреса, прописанные на интерфейсе, а для выхода в инет pppoe?

[AndyDv]

я не совсем понял, что значит "внутренние адреса у нас не авторизованы"? Предположу: клиенты для обмена трафиком между собой используют адреса, прописанные на интерфейсе, а для выхода в инет pppoe?

да правильно. Иначе маршрутизировать на разных устройствах не получится, а кошка не может нарезать скорости на каждого клиента

[elite]

а кошка не может нарезать скорости на каждого клиента

смотря какая кошка
ну надо модернизировать скрипт управления кошкой, чтобы он не проверял авторизацию пользователей, а только проверял состояние - вкл/выкл
хотя в такой схеме есть недостаток: практически невозможно защититься от смены ип адреса на ип адрес соседа