B@RT
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 18
|
|
« Ответ #15 : 24 Октября 2009, 20:54:33 » |
|
эм... где тогда я должен блокировать трафик пользователя? Например, я в админке заблокировал пользователя.... значит (по моим соображениям) клиент должен или не подключиться вовсле (не принимается его логин и пароль) или подключиться, но дальше сервера впн (он же шлюз) уйти не должен...
Алгоритм работы (дополните/поправте, если не прав) фаервола: Flush - сбрасываем все цепочки, сбрасываем все правила шейпинга, разрешаем форвардинг между клиентами локальной сети, если фаервол закрытого типа, то разрешаем коннектится клиентам на порт 1723. Разрешаем для подсети впн проход через нат Allow - шейпим интерфейс (ip) только что подключившегося клиента Deny - удаляем правила шейпа для данного интерфейса (ip) Add_To_All_Ip - создаем правила соответствия mac+ip
Если все так, то тогда актуальны все проблемы, описанные в моем предыдущем посту + еще один вопрос - надо как-то получить подсеть разрешенных ip
З.Ы. текущая реализация работает на скриптах, во внешку пускает только определенную подсеть, ip которой выдаются, если пользователь авторизирован... если он заблокирован, авторизацию не пройдет
|
|
|
Записан
|
|
|
|
Efendy
|
|
« Ответ #16 : 24 Октября 2009, 21:44:32 » |
|
Тебе Cell все правильно рассказал. А именно: возможность коннекта - это процесс авторизации! Если у человека правильные логин/пароль, то он должен соединиться и посмотреть свою статистику, как минимум. Если ты его будешь блокировать, то он не будет знать то ли у него неправильный пароль, то ли доступ заблокирован.
Итак. При правильной авторизации клиент должен подключиться. Дальше в зависимости от его счета, noserver.pl -> nofire.pl создают в фаерволе правила, разрешающие или блокирующие доступ в инет.
А вот Add_To_All_Ip ты совершенно правильно задумал задействовать для привязки mac+ip
|
|
|
Записан
|
|
|
|
B@RT
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 18
|
|
« Ответ #17 : 25 Октября 2009, 00:52:02 » |
|
Когда вызывается событие Add_To_All_Ip ? Нарисовал функцию, но правила в таблицу не добавляются sub Add_To_All_Ip {
my $p=$_[0]; my ($auth,$dop_param,$i,$id,$ip,$mid,$n,$num,$num1,$num2,$opt,$options); my ($paket,$pipe2,$pipe_in,$pipe_out,$speed2,$speed_in,$speed_out);
$ip=$p->{ip}; $id=$p->{id}; # id текущей записи (по таблице users) $num=$p->{num}; # виртуальный уникальный id текущей записи $dop_param=$p->{dop_param}; # дополнительные параметры учетки клиента
# должны быть в системе дополнительные поля с такими алиасами $mac=$dop_param->{_mac}; $localip=$dop_param->{_localip};
# привязка мак адреса к ip system("$IPT -t filter -A INPUT -i $IF_INT -m mac --mac-source $mac ! -s $localip -j DROP");
}
sub Delete_From_All_Ip {
my $p=$_[0]; my ($auth,$dop_param,$i,$id,$ip,$mid,$n,$num,$num1,$num2,$opt,$options); my ($paket,$pipe2,$pipe_in,$pipe_out,$speed2,$speed_in,$speed_out);
$ip=$p->{ip}; $id=$p->{id}; # id текущей записи (по таблице users) $num=$p->{num}; # виртуальный уникальный id текущей записи $dop_param=$p->{dop_param}; # дополнительные параметры учетки клиента
# должны быть в системе дополнительные поля с такими алиасами $mac=$dop_param->{_mac}; $localip=$dop_param->{_localip};
# УДАЛЯЕМ привязку мак адреса к ip while (!system("$IPT -t filter -D INPUT -i $IF_INT -m mac --mac-source $mac ! -s $localip -j DROP")) {};
}
|
|
« Последнее редактирование: 25 Октября 2009, 00:55:37 от B@RT »
|
Записан
|
|
|
|
Efendy
|
|
« Ответ #18 : 25 Октября 2009, 08:37:04 » |
|
и все в динамике увидешь на экране
|
|
|
Записан
|
|
|
|
B@RT
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 18
|
|
« Ответ #19 : 25 Октября 2009, 15:22:01 » |
|
пришлось немного поправить npserver.pl, т.к. на функцию Add_To_All_Ip и Delete_From_All_Ip отправляется только ip адрес... соответственно получить под.данные не получалось...
З.Ы. Когда полностью закончу настройку системы, биллинга и всех дополнений, напишу тут полное хавту (или может создать отдельный топик?)
|
|
« Последнее редактирование: 25 Октября 2009, 15:45:09 от B@RT »
|
Записан
|
|
|
|
versus
|
|
« Ответ #20 : 25 Октября 2009, 15:56:41 » |
|
пиши тут
|
|
|
Записан
|
|
|
|
VitalVas
NoDeny
Спец
Карма: 60
Offline
Сообщений: 991
|
|
« Ответ #21 : 25 Октября 2009, 21:34:51 » |
|
зачем биллинг на линукс ставить?? ведь линукс для мультимедии а фря для безопасности
|
|
|
Записан
|
|
|
|
Cell
NoDeny
Спец
Карма: 52
Offline
Сообщений: 1407
|
|
« Ответ #22 : 25 Октября 2009, 21:43:12 » |
|
зачем биллинг на линукс ставить?? ведь линукс для мультимедии а фря для безопасности
+1, я с линукса на фрю пересел из-за этого ))) мне показалось так будет проще чем жрать кактусы )) Кстати не жалею ни одного раза.
|
|
|
Записан
|
|
|
|
VitalVas
NoDeny
Спец
Карма: 60
Offline
Сообщений: 991
|
|
« Ответ #23 : 25 Октября 2009, 21:54:33 » |
|
класно было бы если сателит на OpenBSD запустить и юзать.
|
|
|
Записан
|
|
|
|
versus
|
|
« Ответ #24 : 25 Октября 2009, 21:56:32 » |
|
Ну не надо так сразу, у линукса есть очень хорошие положительные стороны, большее коммунити, больше программ, больше мануалов, больше помощи. Безопасность достаточно высокая, производительность еще лучше (что то не видел фряху в топ 100 кластеров) Просто так исторически сложилось, что выбрали фрю в начае работы :-) Пробовал заставить работать биллинг на OpenSolaris, не выходит каменный цветок :-( Вот где ынтырпрайз так ынтырпраайз
А вобще больше юникосв хороших и разных :-)
|
|
|
Записан
|
|
|
|
versus
|
|
« Ответ #25 : 25 Октября 2009, 21:59:04 » |
|
класно было бы если сателит на OpenBSD запустить и юзать.
Кстати именно с опенбздей не вижу как раз пробем для сателита за исключением может быть много процессорности, все программы для сателита в ней есть из портов. Было бы желание
|
|
|
Записан
|
|
|
|
Efendy
|
|
« Ответ #26 : 25 Октября 2009, 21:59:41 » |
|
больше мануалов и больше помощи - это потому в линуксе так, что во фре итак все понятно
|
|
|
Записан
|
|
|
|
versus
|
|
« Ответ #27 : 25 Октября 2009, 22:14:43 » |
|
Любой системе надо учится, где то что то лучше где то что то хуже. Линуксов столько разных, что знания например убунты запросто могут расходится с возможностью работы в сюзи. Хочешь логику как во фре бери арч или генту. Хочешь не заморачиватся с настройкой бери убунту или сюзи. Хочешь лонгтайм ентерпрайз на 6-8 лет бери редхат или центос. В мире БСД точно также, давече искал где на опенбд айпи адрес при загрузке сменить. ОКазалось для каждого интерфейса свой файлик создается с именем hostname_em0 где em0 имя интерфейса. И в чем логика ?
|
|
|
Записан
|
|
|
|
Cell
NoDeny
Спец
Карма: 52
Offline
Сообщений: 1407
|
|
« Ответ #28 : 25 Октября 2009, 22:17:38 » |
|
Ну не надо так сразу, у линукса есть очень хорошие положительные стороны, большее коммунити, больше программ, больше мануалов, больше помощи. Безопасность достаточно высокая, производительность еще лучше (что то не видел фряху в топ 100 кластеров) Просто так исторически сложилось, что выбрали фрю в начае работы :-) Пробовал заставить работать биллинг на OpenSolaris, не выходит каменный цветок :-( Вот где ынтырпрайз так ынтырпраайз
А вобще больше юникосв хороших и разных :-)
Никто и не спорит. Просто линь как не крути - это все больше и больше десктоп и то что всякие там рэдхаты и прочие делают на них сервера.... ну... можно и на них сервера делать. Только вот весь мой опыт показывает что сервер всетаки лучше получается на фре. ПС а часто ли используете кластера в своей повседневной админской жизни? наверное на прошлой неделе последний настраивали? ))) еще давайте про виртуализацию вспомним ))) ППС а кластера можно и на сони плейстейшн постоить ))) было бы желание
|
|
|
Записан
|
|
|
|
B@RT
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 18
|
|
« Ответ #29 : 25 Октября 2009, 22:33:50 » |
|
Не вижу смысла разводить тут холивар по поводу ОС. Сам лично использую везде Gentoo linux. Когда стал вопрос поднимать сервер, пришел к мысли, что изучать другую систему нет не времени, не желания, а посколько с дженту у меня опыт работы более 5ех лет, вопрос выбора как-то сам отпал. Линукс был, есть и останется серверной ОС. Другой вопрос, что сейчас в ядро, да и саму систему, начинают тащить в сторону десктопа.
Если кому интересно производительность системы, давайте померяемся ..... зоопарк железа разнообразный, включая Xeon E5405 с рейд массивом.
Кстатит о сравнении дистров - как тут выше справедливо заметили, сравнивать разные дистры с фрей не логично.... Относительно безопасности - это проблема скорее не дистра, а программ (которые в том же виде присутствуют в фре) и кривых рук админа. Критические ошибки ядра (особенно ядра) линукса исправляются довольно оперативно, чего не скажешь о фрехе.
З.Ы. если кого обидел, не пинайте, против фряхи ничего не имею...
|
|
|
Записан
|
|
|
|
|