Фильтр негативного депозита ?

[kaats]

Сейчас работает NAS mpd 5.4,
скорость нарезается в тарифном плане через RADIUS Parameters.
Хотелось сделать себе фильтр негативного депозита, так как описано в http://abills.net.ua/wiki/doku.php/abil ... ules:dv:ru
но не так как написано на странице стоимости
Подскажите как мне это реализовать.
Я не использую скрипты linkupdown в конфиге mpd.
Можно ли задать через поле негативного депозита правило для того же mpd , которое будет в фаервол добавлять строчку форвардинга?
Если да - то какую?

Если не затруднит. Спасибо.

[sopov]

Код: Выделить всё

RAD:mpd-table+="1=%IP%"

[yuracher]

Якщо NAS не MPD, a Cisco, яки параметр передавати йому?

[kaats]

Код: Выделить всё

RAD:mpd-table+="1=%IP%"

Спасибо.
Но что - то у меня ничего не получается....
Правильно ли я понимаю механизм работы ? :
Радиус передает параметры mpd, а mpd добавляет айпишник вновь подключившегося клиента в таблицу ipfw. ?
При этом таблицу с правилами ее форвардинга предварительно в ipfw нужно создать. ?
Номер таблицы должен быть 32. (вычитал на этом форуме в в теме viewtopic.php?f=1&t=4873)
Создаю что типа

Код: Выделить всё

ipfw add fwd x.x.x.x:80 tcp from table\(32\) to any 80

Подключаюсь клиентом с заведомо негативным депозитом.
и ipfw table 32 list не вижу в таблице ничего.
Я так подозреваю - откуда mpd знать о таблице 32 - видимо все таки должны быть прописаны в конфиге mpd какие то скрипты up и down, которые и "ложат" в таблицу айпишник пользователя...
???????????? Просветите!! (Я только начал в это вникать, много не понимаю)

[sopov]

Все правильно вы понимаете. Для начала в радиусе должны быть словари мпд. Синтаксис радиус-пары зависит от наличия rlm_perl - если он есть, то "" ненужны. Попробуйте так:

Код: Выделить всё

RAD:mpd-table+=1=%IP%

. Таблица 32 описана в мануале. Также ваше правило редиректа ipfw несовсем полное - нужно запретить весь остальной трафик.

[kaats]

Все правильно вы понимаете. Для начала в радиусе должны быть словари мпд. Синтаксис радиус-пары зависит от наличия rlm_perl - если он есть, то "" ненужны. Попробуйте так:

Код: Выделить всё

RAD:mpd-table+=1=%IP%

. Таблица 32 описана в мануале. Также ваше правило редиректа ipfw несовсем полное - нужно запретить весь остальной трафик.

ОГРОМНОЕ спасибо за ссылку

[kaats]

Попробуйте так:

Код: Выделить всё

RAD:mpd-table+=1=%IP%

Также ваше правило редиректа ipfw несовсем полное - нужно запретить весь остальной трафик.

часть дела сделана. Спасибо.
На первые грабли наступил (Спасибо sopol) - у меня rlm_perl - не нужно кавычек.
И, поскольку, в тарифном плане RADIUS Parameters я передаю еще и другие параметры нужно было поставить запятую в конце

Код: Выделить всё

RAD:mpd-table+=1=%IP%,

А вот теперь мучаюсь с фаерволом... (ipfw)
Для начала делатл через форвард - ipfw add fwd x.x.x.x:80 tcp from table\(32\) to any 80
Но у меня это x.x.x.x находится на другом хосте. Но fwd ведь не меняет айпи адрес назначения - и этот х.х.х.х , как порядочный, не отвечает на пакеты ему не адресованные. Судя с ман такие штучки проходят только с форвардингом на локальный хост.
Что посоветуете? nat ?
Спасибо

[sopov]

Это уже на сколько фантазии хватит. Можно например заварачивать пакеты по аналогии с transparent proxy или воспользоваться демоном redir. Можно просто форвардить кудато, но должна біть настроена маршрутизация, чтобы этот "кто-то" знал куда отвечать.

[kaats]

Это уже на сколько фантазии хватит. Можно например заварачивать пакеты по аналогии с transparent proxy или воспользоваться демоном redir. Можно просто форвардить кудато, но должна біть настроена маршрутизация, чтобы этот "кто-то" знал куда отвечать.

ну поскольку те, кого заворачивать нужно, находятся в таблице ipfw - так значит и применять только его и нужно (ну или то, что он умет с сопутствующим ПО).
Отдельные демоны типа portfwd(в портах есть - приятная штука) да и redir - не взаимодействуют с ipfw.
Ну а когда форвардю ipfw fwd - то ответа нет не потому что маршрутизация не настроена - а потому что "кто-то" не обязан отвечать на пакеты ему не предназначенные. Другими словами нужно менять адрес назначения всем пакетам от айпишников занесенных в таблицу ipfw - тогда и вебсервер будет на них отвечать... Либо заставить "кого-то" принимать не адресованные ему пакеты - но это, считаю, неправильный путь.
Пока посматриваю на natd, вернее идет процесс познания

[kaats]

Один из вариантов -> сделал через ipfw+squid+squidguard.
Завернул "негативщиков" на прокси (пришлось на NASе squid поставить) - а squidguard_дом делаю редирект куда_хочу.
ХЗ - может и не совершенный вариант - но в первом "приближении" работает...

[sopov]

Если есть отдельная машина с биллингом или web сервером, ставите туда oops или запускаете miniserv из папки с абилсом - вобщем нужно чтобы на какого-то порта открывалась страница. Дальше можно просто прибить redir'ом этот внешний порт на loopback наса и на него заворачивать трафик с помощью правила типа этого:

Код: Выделить всё

ipfw add 1 fwd 127.0.0.1,8080 tcp from {ваша таблица} to any 80 out

Или сразу заернуть этим правилом пакеты на соответствующий ip, но в этом случае должна работать маршрутизация.

[mr.Scamp]

Намного лучше RAD:mpd-table-static += "4=%IP%", в этом случае вполне достаточно создать 1 правило

[mr_gfd]

RAD:mpd-table-static - именно оно. В документации по мпд этот пункт не очень хорошо расписан, но есть.
http://mpd.sourceforge.net/doc5/mpd30.html

[jinaro]

Подскажыте в чем может быть проблема ,ввожу в поле фильтра негативного депозита RAD:mpd-table += 1=%IP%
а когда жму кнопку изменить по появляется в поле RAD:mpd-table+="1=" ?

[mr_gfd]

Подскажыте в чем может быть проблема ,ввожу в поле фильтра негативного депозита RAD:mpd-table += 1=%IP%
а когда жму кнопку изменить по появляется в поле RAD:mpd-table+="1=" ?

Обновиться нужно