Фильтр негативного Депозита

LKharlamov
Сообщения: 142
Зарегистрирован: Пт окт 24, 2008 4:22 pm
Откуда: Челябинск
Контактная информация:

Фильтр негативного Депозита

Сообщение LKharlamov »

День добрый!
Была версия 0.40b, обновился до 0.41b, выставлен параметр в тарифе

Код: Выделить всё

Фильтр негативного Депозита:	onlylocal
При наступлении баланса равным нулю, при подключении впн соединения выдаётся ошибка 691. Запустил фрирадиус в режиме отладки, выдал:
rad_recv: Access-Request packet from host 127.0.0.1:56491, id=180, length=149
Service-Type = Framed-User
Framed-Protocol = PPP
User-Name = "testvpn"
MS-CHAP-Challenge = 0xf5f1e5904c5d11ac3325e17a111ffa57
MS-CHAP2-Response = 0x0d00d6e5dda36724d3a21f6e4150f54add1f000000000000000097194b9a49bf99b893e817c7073834b3af883d901bfd1996
Calling-Station-Id = "192.168.0.77"
NAS-IP-Address = 127.0.0.1
NAS-Port = 9
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 9
modcall[authorize]: module "preprocess" returns ok for request 9
Exec-Program output: User-Password == "12345"
Exec-Program-Wait: value-pairs: User-Password == "12345"
Exec-Program: returned: 0
modcall[authorize]: module "pre_auth" returns ok for request 9
rlm_mschap: Found MS-CHAP attributes. Setting 'Auth-Type = mschap'
modcall[authorize]: module "mschap" returns ok for request 9
rlm_realm: No '@' in User-Name = "testvpn", looking up realm NULL
rlm_realm: No such realm "NULL"
modcall[authorize]: module "suffix" returns noop for request 9
users: Matched entry DEFAULT at line 1
modcall[authorize]: module "files" returns ok for request 9
rlm_pap: Found existing Auth-Type, not changing it.
modcall[authorize]: module "pap" returns noop for request 9
modcall: leaving group authorize (returns ok) for request 9
rad_check_password: Found Auth-Type MS-CHAP
auth: type "MS-CHAP"
Processing the authenticate section of radiusd.conf
modcall: entering group MS-CHAP for request 9
rlm_mschap: Told to do MS-CHAPv2 for testvpn with NT-Password
rlm_mschap: adding MS-CHAPv2 MPPE keys
modcall[authenticate]: module "mschap" returns ok for request 9
modcall: leaving group MS-CHAP (returns ok) for request 9
Use of uninitialized value in pattern match (m//) at /usr/abills/libexec/../Abills/mysql/Auth.pm line 1565.
Use of uninitialized value in string at /usr/abills/libexec/../Abills/mysql/Auth.pm line 1589.
Can't use string ("onlylocal") as a HASH ref while "strict refs" in use at /usr/abills/libexec/../Abills/mysql/Auth.pm line 1597.
Exec-Program output:
Exec-Program: returned: 255
Found Post-Auth-Type
Processing the post-auth section of radiusd.conf
modcall: entering group REJECT for request 9
Exec-Program output:
Exec-Program: returned: 0
modcall[post-auth]: module "post_auth" returns ok for request 9
modcall: leaving group REJECT (returns ok) for request 9
Delaying request 9 for 1 seconds
Finished request 9
Going to the next request
Как видно ругается строчкой:

Код: Выделить всё

Can't use string ("onlylocal") as a HASH ref while "strict refs" in use at /usr/abills/libexec/../Abills/mysql/Auth.pm line 1597.
Скопировал файл Auth.pm из предыдущей версии обратно, всё заработало.
Как быть?

ran
Сообщения: 2298
Зарегистрирован: Вс окт 21, 2007 2:29 pm

Сообщение ran »

у меня такое работает... версия от 23.01.2009
Любой тупик - это тщательно замаскированный выход.

LKharlamov
Сообщения: 142
Зарегистрирован: Пт окт 24, 2008 4:22 pm
Откуда: Челябинск
Контактная информация:

Сообщение LKharlamov »

А у мня версия от 25.03.2009, и не робит :(

~AsmodeuS~
Site Admin
Сообщения: 5749
Зарегистрирован: Пт янв 28, 2005 3:11 pm
Контактная информация:

Сообщение ~AsmodeuS~ »

поправил

LKharlamov
Сообщения: 142
Зарегистрирован: Пт окт 24, 2008 4:22 pm
Откуда: Челябинск
Контактная информация:

Сообщение LKharlamov »

Мерси.
Попровленную версию уже можно черз CVS забрать? Так же раз уж зашла речь о файле Auth.pm, может быть всётаки можно вынести в общий конфиг изменение строчки для взаимодействия с радиусом, то я щас по воле прогресса пытаюсь настроить фрирадиус2, так как в моей ОС (ubuntu) более не присутствует первая версия, хотелось бы сразу в общем конфиге абилса указать что будет использоваться второй радиус, и каждый раз при обновлении биллинга вручную не менять строчки кода?

Код: Выделить всё

print "Cleartext-Password := \"$password\"";

~AsmodeuS~
Site Admin
Сообщения: 5749
Зарегистрирован: Пт янв 28, 2005 3:11 pm
Контактная информация:

Сообщение ~AsmodeuS~ »

хорошо сделаю

конфиги в студию


чтобі я смог сразу все проверить

LKharlamov
Сообщения: 142
Зарегистрирован: Пт окт 24, 2008 4:22 pm
Откуда: Челябинск
Контактная информация:

Сообщение LKharlamov »

В соседней ветке как раз пытаемся разобрать проблемму настройки фрирадиуса2, там подробно изложил происходящие, и конфиги процетировал:
viewtopic.php?t=4676&postdays=0&postorder=asc&start=0

LKharlamov
Сообщения: 142
Зарегистрирован: Пт окт 24, 2008 4:22 pm
Откуда: Челябинск
Контактная информация:

Сообщение LKharlamov »

~AsmodeuS~, подскажите как донастроить фрирадиус2 чтобы статистика по текущим соединениям показывалась?

ran
Сообщения: 2298
Зарегистрирован: Вс окт 21, 2007 2:29 pm

Сообщение ran »

LKharlamov писал(а):~AsmodeuS~, подскажите как донастроить фрирадиус2 чтобы статистика по текущим соединениям показывалась?
ну тыж хотяб скажи что у тебя просто алайвы не ходют а остальное работает... а то хрен поймёшь :)
Любой тупик - это тщательно замаскированный выход.

RusB1T
Сообщения: 166
Зарегистрирован: Вс июн 22, 2008 5:49 am
Откуда: Красноярск
Контактная информация:

Сообщение RusB1T »

Подскажите люди добрые...
Хочу чтобы при отрицательном балансе выдавался из определенного ip пула. Что в фильтрах тарифа прописывать необходимо?

ran
Сообщения: 2298
Зарегистрирован: Вс окт 21, 2007 2:29 pm

Сообщение ran »

думаю что в лоб ты такое не разрулишь... а это действительно необходимо? мож проблема решается по-другому и гораздо проще? ;)
Любой тупик - это тщательно замаскированный выход.

RusB1T
Сообщения: 166
Зарегистрирован: Вс июн 22, 2008 5:49 am
Откуда: Красноярск
Контактная информация:

Сообщение RusB1T »

Просто хочу реализовать доступ только в пиринг с ограниченной скорость (желательно), а внешку блокировать.
Есть какие способы реализации? Ну или чтобы при подключении в файрволл правило передовалось.

~AsmodeuS~
Site Admin
Сообщения: 5749
Зарегистрирован: Пт янв 28, 2005 3:11 pm
Контактная информация:

Сообщение ~AsmodeuS~ »

такая схема очень просто реалищируется добавлением алреса в фаервол рпи получении индентификатора негативного депозита

ran
Сообщения: 2298
Зарегистрирован: Вс окт 21, 2007 2:29 pm

Сообщение ran »

RusB1T писал(а):Просто хочу реализовать доступ только в пиринг с ограниченной скорость (желательно), а внешку блокировать.
Есть какие способы реализации? Ну или чтобы при подключении в файрволл правило передовалось.
честно гря ничо не понял... тем более каким боком тут клиентский ип из какого-то другого пула... а насчёт пиринга... как ты его классифицировать собираешься интересно? на левел 7? а ежли оно шифрованное, что уже эти чудаки на букву "м" уже давно освоили? ;) я конечно знаю 1 способ достаточно точного отслеживания этой каки под линухом с помощью iptables + ipset именно по характеру и поведению определённых tcp соединений ;)

а если конкретно - всё гениальное просто: если у клиента висит более определённого количества активных тсп сессий (например 10 ну или 20 туда и обратно) на порты выше 1024 то это навярняка пиринг... ну или большое количество пассивных фтп (что тоже не приветствуется ;) начит ип и порты этого плохого мальчика заносятся в хэш ipset по наличию в хэше эти пакетики определённым образом маркируются иптейблом и по меточке попадают в сааамый низкий приоритет (который обслуживается только при наличии свободной полосы, ну совсем уже никому не нужной ;) при отстутствии активности по высоким портам скажем в течении минуты - из хэша удаляется... тоись система самообучаемая :D
Любой тупик - это тщательно замаскированный выход.

RusB1T
Сообщения: 166
Зарегистрирован: Вс июн 22, 2008 5:49 am
Откуда: Красноярск
Контактная информация:

Сообщение RusB1T »

Видимо я коряво высказался.

Пусть под пирингом понимается диапазон 172.16.0.0/12

Ну и есть такое правило например,

ipfw add allow all from 172.16.0.0/12 to "table(110)"
ipfw add allow all from "table(110)" 172.16.0.0/12
ipfw add deny all from 172.16.0.0/12 to not "table(110)"

Так вот мне бы хотелось при достижения отрицательного депозита удалять все правила и переводить ip пользователя в table(110). С этим вроде все ясно, с IPN_STOP_RULE поможет в этом.

Но с радиусом я не знаком, и не могу понять как разрешить авторизацию при отрицательном балансе на тарифе, с добавлением ip пользователя в table(110).

Что необходимо вписать в фильтр негативного депозита?
Спасибо за помощь!

Ответить