Страница 1 из 2
Фильтр негативного Депозита
Добавлено: Вт мар 31, 2009 6:19 pm
LKharlamov
День добрый!
Была версия 0.40b, обновился до 0.41b, выставлен параметр в тарифе
При наступлении баланса равным нулю, при подключении впн соединения выдаётся ошибка 691. Запустил фрирадиус в режиме отладки, выдал:
rad_recv: Access-Request packet from host 127.0.0.1:56491, id=180, length=149
Service-Type = Framed-User
Framed-Protocol = PPP
User-Name = "testvpn"
MS-CHAP-Challenge = 0xf5f1e5904c5d11ac3325e17a111ffa57
MS-CHAP2-Response = 0x0d00d6e5dda36724d3a21f6e4150f54add1f000000000000000097194b9a49bf99b893e817c7073834b3af883d901bfd1996
Calling-Station-Id = "192.168.0.77"
NAS-IP-Address = 127.0.0.1
NAS-Port = 9
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 9
modcall[authorize]: module "preprocess" returns ok for request 9
Exec-Program output: User-Password == "12345"
Exec-Program-Wait: value-pairs: User-Password == "12345"
Exec-Program: returned: 0
modcall[authorize]: module "pre_auth" returns ok for request 9
rlm_mschap: Found MS-CHAP attributes. Setting 'Auth-Type = mschap'
modcall[authorize]: module "mschap" returns ok for request 9
rlm_realm: No '@' in User-Name = "testvpn", looking up realm NULL
rlm_realm: No such realm "NULL"
modcall[authorize]: module "suffix" returns noop for request 9
users: Matched entry DEFAULT at line 1
modcall[authorize]: module "files" returns ok for request 9
rlm_pap: Found existing Auth-Type, not changing it.
modcall[authorize]: module "pap" returns noop for request 9
modcall: leaving group authorize (returns ok) for request 9
rad_check_password: Found Auth-Type MS-CHAP
auth: type "MS-CHAP"
Processing the authenticate section of radiusd.conf
modcall: entering group MS-CHAP for request 9
rlm_mschap: Told to do MS-CHAPv2 for testvpn with NT-Password
rlm_mschap: adding MS-CHAPv2 MPPE keys
modcall[authenticate]: module "mschap" returns ok for request 9
modcall: leaving group MS-CHAP (returns ok) for request 9
Use of uninitialized value in pattern match (m//) at /usr/abills/libexec/../Abills/mysql/Auth.pm line 1565.
Use of uninitialized value in string at /usr/abills/libexec/../Abills/mysql/Auth.pm line 1589.
Can't use string ("onlylocal") as a HASH ref while "strict refs" in use at /usr/abills/libexec/../Abills/mysql/Auth.pm line 1597.
Exec-Program output:
Exec-Program: returned: 255
Found Post-Auth-Type
Processing the post-auth section of radiusd.conf
modcall: entering group REJECT for request 9
Exec-Program output:
Exec-Program: returned: 0
modcall[post-auth]: module "post_auth" returns ok for request 9
modcall: leaving group REJECT (returns ok) for request 9
Delaying request 9 for 1 seconds
Finished request 9
Going to the next request
Как видно ругается строчкой:
Код: Выделить всё
Can't use string ("onlylocal") as a HASH ref while "strict refs" in use at /usr/abills/libexec/../Abills/mysql/Auth.pm line 1597.
Скопировал файл Auth.pm из предыдущей версии обратно, всё заработало.
Как быть?
Добавлено: Пт апр 03, 2009 2:13 pm
ran
у меня такое работает... версия от 23.01.2009
Добавлено: Сб апр 04, 2009 7:07 am
LKharlamov
А у мня версия от 25.03.2009, и не робит
Добавлено: Сб апр 04, 2009 1:42 pm
~AsmodeuS~
поправил
Добавлено: Сб апр 04, 2009 1:50 pm
LKharlamov
Мерси.
Попровленную версию уже можно черз CVS забрать? Так же раз уж зашла речь о файле Auth.pm, может быть всётаки можно вынести в общий конфиг изменение строчки для взаимодействия с радиусом, то я щас по воле прогресса пытаюсь настроить фрирадиус2, так как в моей ОС (ubuntu) более не присутствует первая версия, хотелось бы сразу в общем конфиге абилса указать что будет использоваться второй радиус, и каждый раз при обновлении биллинга вручную не менять строчки кода?
Код: Выделить всё
print "Cleartext-Password := \"$password\"";
Добавлено: Сб апр 04, 2009 2:07 pm
~AsmodeuS~
хорошо сделаю
конфиги в студию
чтобі я смог сразу все проверить
Добавлено: Сб апр 04, 2009 2:09 pm
LKharlamov
В соседней ветке как раз пытаемся разобрать проблемму настройки фрирадиуса2, там подробно изложил происходящие, и конфиги процетировал:
viewtopic.php?t=4676&postdays=0&postorder=asc&start=0
Добавлено: Пн апр 06, 2009 10:24 am
LKharlamov
~AsmodeuS~, подскажите как донастроить фрирадиус2 чтобы статистика по текущим соединениям показывалась?
Добавлено: Пн апр 06, 2009 3:42 pm
ran
LKharlamov писал(а):~AsmodeuS~, подскажите как донастроить фрирадиус2 чтобы статистика по текущим соединениям показывалась?
ну тыж хотяб скажи что у тебя просто алайвы не ходют а остальное работает... а то хрен поймёшь
Добавлено: Ср апр 08, 2009 11:08 am
RusB1T
Подскажите люди добрые...
Хочу чтобы при отрицательном балансе выдавался из определенного ip пула. Что в фильтрах тарифа прописывать необходимо?
Добавлено: Ср апр 08, 2009 1:04 pm
ran
думаю что в лоб ты такое не разрулишь... а это
действительно необходимо? мож проблема решается по-другому и гораздо проще?
Добавлено: Ср апр 08, 2009 2:18 pm
RusB1T
Просто хочу реализовать доступ только в пиринг с ограниченной скорость (желательно), а внешку блокировать.
Есть какие способы реализации? Ну или чтобы при подключении в файрволл правило передовалось.
Добавлено: Чт апр 09, 2009 8:39 am
~AsmodeuS~
такая схема очень просто реалищируется добавлением алреса в фаервол рпи получении индентификатора негативного депозита
Добавлено: Чт апр 09, 2009 9:15 am
ran
RusB1T писал(а):Просто хочу реализовать доступ только в пиринг с ограниченной скорость (желательно), а внешку блокировать.
Есть какие способы реализации? Ну или чтобы при подключении в файрволл правило передовалось.
честно гря ничо не понял... тем более каким боком тут клиентский ип из какого-то другого пула... а насчёт пиринга... как ты его классифицировать собираешься интересно? на левел 7? а ежли оно шифрованное, что уже эти чудаки на букву "м" уже давно освоили?
я конечно знаю 1 способ достаточно точного отслеживания этой каки под линухом с помощью iptables + ipset именно по характеру и поведению определённых tcp соединений
а если конкретно - всё гениальное просто: если у клиента висит более определённого количества активных тсп сессий (например 10 ну или 20 туда и обратно) на порты выше 1024 то это навярняка пиринг... ну или большое количество пассивных фтп (что тоже не приветствуется
начит ип и порты этого плохого мальчика заносятся в хэш ipset по наличию в хэше эти пакетики определённым образом маркируются иптейблом и по меточке попадают в сааамый низкий приоритет (который обслуживается только при наличии свободной полосы, ну совсем уже никому не нужной
при отстутствии активности по высоким портам скажем в течении минуты - из хэша удаляется... тоись система самообучаемая
Добавлено: Чт апр 09, 2009 11:02 am
RusB1T
Видимо я коряво высказался.
Пусть под пирингом понимается диапазон 172.16.0.0/12
Ну и есть такое правило например,
ipfw add allow all from 172.16.0.0/12 to "table(110)"
ipfw add allow all from "table(110)" 172.16.0.0/12
ipfw add deny all from 172.16.0.0/12 to not "table(110)"
Так вот мне бы хотелось при достижения отрицательного депозита удалять все правила и переводить ip пользователя в table(110). С этим вроде все ясно, с IPN_STOP_RULE поможет в этом.
Но с радиусом я не знаком, и не могу понять как разрешить авторизацию при отрицательном балансе на тарифе, с добавлением ip пользователя в table(110).
Что необходимо вписать в фильтр негативного депозита?
Спасибо за помощь!