|
vddav
|
 |
« Ответ #30 : 01 Марта 2013, 17:06:21 » |
|
ага, вот походу упущенный момент, значить в 50 нодени я так понимаю создается еще один конфиг для noarp, вроде ж он и контролирует что б ип юзера совпадало с его маком, а ип прибит непосредственно к юзеру, собственно и авторизация по ип получается что ли. ну уж если какой умник поменяет себе мак, жертва сделает звонок, но такого вроде даже не было. и сейчас такой вариант вполне себе работает и приемлим(нету проблем с настройкой авторизатора/пппое, чем снимается часть головной боли от криворукости юзеров).собственно для перехода нема желания оббегать всех обонов для установки авторизатора...
хм, получается помимо генерации конфига дхцп, надо еще поклянчить что то типа noarp.pl в Н+(если я правильно понял)...
|
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #31 : 01 Марта 2013, 17:14:08 » |
|
а если чел статикой пропишет "чужой" ip ?
как тогда проводится тарификация и доступ?
авторизация начинается только по событию от dhcp сервера. Дальше поддерживает ее модуль ядра dhcp. Если чел пропишет ип, то авторизации у него не будет. Кончено, есть способы обмануть систему, если чел выключится и успеть назначить его ип. Но хочу напомнить, что мак-авторизации в обед сто лет, еще 10 лет назад я ни в какую ни при каких условиях не сделал бы ее, потому что она небезопасна в принципе. Но раз вы просите - берите. Лично я в своей сети упростил работу клиентов, но безопасность снизилась, ну и хер с ней. Главное удобство. Следующий уровеь - управляемое оборудование. Вот это и есть безопасность |
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #32 : 01 Марта 2013, 17:17:30 » |
|
ага, вот походу упущенный момент, значить в 50 нодени я так понимаю создается еще один конфиг для noarp, вроде ж он и контролирует что б ип юзера совпадало с его маком, а ип прибит непосредственно к юзеру, собственно и авторизация по ип получается что ли. ну уж если какой умник поменяет себе мак, жертва сделает звонок, но такого вроде даже не было. и сейчас такой вариант вполне себе работает и приемлим(нету проблем с настройкой авторизатора/пппое, чем снимается часть головной боли от криворукости юзеров).собственно для перехода нема желания оббегать всех обонов для установки авторизатора...
хм, получается помимо генерации конфига дхцп, надо еще поклянчить что то типа noarp.pl в Н+(если я правильно понял)...
как я написал выше - авторизация начинается по сигналу dhcp сервера. Кстати, когда комп выключается - он освобождает ип, и дхцп сервер заканчивает авторизацию. Жаль, что компы чето не спешат освобождать, плюют на стандарты? Кстати, если уменьшить время аренды адреса, то безопаснть можно улучшить, но тогда некоторые устройства не будут работать (так говорил Vitalvas, я не проверял) |
|
|
|
|
Записан
|
|
|
|
stix
NoDeny
Спец
Карма: 72
 Offline
Сообщений: 1872
Nodeny Support Team
|
|
« Ответ #33 : 01 Марта 2013, 17:19:37 » |
|
авторизация начинается только по событию от dhcp сервера. Дальше поддерживает ее модуль ядра dhcp. да, точно. там же триггер, когда только DHCP REQUEST запрос идет, открывается файрволом доступ. по времени нет траблов с паузой, если база будет огого? |
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #34 : 01 Марта 2013, 17:19:47 » |
|
О, кстати. Действительно, можно уменьшить время аренды, а те юзеры с гомноустройствами - пусть юзают авторизатор. Я думаю таких будет оочень мало. Зато проблем не будет, и ваши noarp.pl просто не понадобятся, а то наплодили, понимаешь, сущностей и на автопилоте биллинг и недели не продержится
|
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #35 : 01 Марта 2013, 17:21:09 » |
|
авторизация начинается только по событию от dhcp сервера. Дальше поддерживает ее модуль ядра dhcp. да, точно. там же триггер, когда только DHCP REQUEST запрос идет, открывается файрволом доступ. по времени нет траблов с паузой, если база будет огого? уменьшение времени аренды решит и эту проблему, т.е авторизация поднимется в момент ее продлевания. А у вас часто падает БД? кул |
|
|
|
|
Записан
|
|
|
|
stix
NoDeny
Спец
Карма: 72
Offline
Сообщений: 1872
Nodeny Support Team
|
|
« Ответ #36 : 01 Марта 2013, 17:28:55 » |
|
17:08:05 up 227 days, 1 min, 1 user, load average: 0.00, 0.00, 0.00
аптайм бд столько же
с момента включения питания в сервере
я про то, чтобы хватало времени отработки всех запросов
|
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #37 : 01 Марта 2013, 17:36:03 » |
|
я про то, чтобы хватало времени отработки всех запросов
там простейшие запросы, если у тебя в сети не 500 000 абонов, то можно не беспокоиться |
|
|
|
|
Записан
|
|
|
|
|
ivanmfan
|
|
« Ответ #38 : 01 Марта 2013, 21:56:53 » |
|
А если IP в резерве, он не будет выдаваться клиенту? Т.е. есть пул в котором некоторые IP помечены как зарезервированы.
|
|
|
|
« Последнее редактирование: 01 Марта 2013, 22:31:44 от ivanmfan »
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #39 : 01 Марта 2013, 23:45:41 » |
|
А если IP в резерве, он не будет выдаваться клиенту? Т.е. есть пул в котором некоторые IP помечены как зарезервированы.
заглядывайте в код, кстати, он умещается на одну страницу. Лана, на обычных мониторах на две страницы. Но по нему все предельно понятно: # Выдадим ip клиенту
my $rows = sql_do('check_rows', "UPDATE ip_pool SET uid=? WHERE ip=INET_ATON(?) AND type='dynamic'", $p{uid}, $ip);
$rows < 1 && error("$log В ip_pool нет $ip либо его тип не dynamic"); |
|
|
|
|
Записан
|
|
|
|
|
ivanmfan
|
|
« Ответ #40 : 02 Марта 2013, 09:17:40 » |
|
А если IP в резерве, он не будет выдаваться клиенту? Т.е. есть пул в котором некоторые IP помечены как зарезервированы.
заглядывайте в код, кстати, он умещается на одну страницу. Лана, на обычных мониторах на две страницы. Но по нему все предельно понятно: # Выдадим ip клиенту
my $rows = sql_do('check_rows', "UPDATE ip_pool SET uid=? WHERE ip=INET_ATON(?) AND type='dynamic'", $p{uid}, $ip);
$rows < 1 && error("$log В ip_pool нет $ip либо его тип не dynamic"); Да, но в этот момент когда эвент от dhcp сервера обрабатывается, клиенту передался какой то IP, а если ему отправится тот который стоит в резервации? Я просто к чему, что правила выдачи IP адресов находятся в самом конфиге dhcp сервера вот subnet 10.100.0.0 netmask 255.255.0.0 {
range 10.100.64.0 10.100.80.255;
interface em1;
option routers 10.100.0.1;
а Админка этим(выдачей адресов из пула) не управляет? Ну более понятный пример вот я прописал в dhcp конфиге subnet 10.100.1.0 netmask 255.255.255.0 { range 10.100.1.1 10.100.1.254; в админке указал что все с 1.1-1.255 в резервер, подключается первый клиент. То если шанс что ему выдастся с 1.1-1.255 ? Или нужно строить так что бы все адреса которые указанны в выдаче dhcp сервером были свободны(динамические) ? |
|
|
|
|
Записан
|
|
|
|
poxy.
NoDeny
Спец
Карма: 10
Offline
Сообщений: 844
|
|
« Ответ #41 : 02 Марта 2013, 09:38:05 » |
|
Поправьте заголовок
|
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #42 : 02 Марта 2013, 10:32:22 » |
|
проблемы какие-то надуманные, столько текста... в скрипте меньше кода чем комментариев тут. Ну неужели трудно сделать маленькую сеточку, внести ее в ip pool, взять стакан водки, выпить и собравшись с духом присвоить ей статус "динамический"?
|
|
|
|
|
Записан
|
|
|
|
poxy.
NoDeny
Спец
Карма: 10
Offline
Сообщений: 844
|
|
« Ответ #43 : 02 Марта 2013, 11:18:04 » |
|
Когда меняешь на свою подсеть нужно тут что то изменять? set ClientIP = binary-to-ascii(10, 8, ".", leased-address);
set ClientMac = binary-to-ascii(16, 8, ":", substring(hardware, 1, 6)); |
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #44 : 02 Марта 2013, 11:30:47 » |
|
Когда меняешь на свою подсеть нужно тут что то изменять? set ClientIP = binary-to-ascii(10, 8, ".", leased-address);
set ClientMac = binary-to-ascii(16, 8, ":", substring(hardware, 1, 6)); нет, это вспомогательный код |
|
|
|
|
Записан
|
|
|
|
|
