den68

В кавычках проблема остаеться.... притом ковычки разные - и одинарные и двойные - результат один

Консольный конфигуратор непонимает логинов с тире в них. например vasya-1 Как бы патч на этот предмет сообразить ?

Отца русской демократии (nn) спасет установка свитчей с VLAN'ами, например SURECOM 16 port 19", два общих порт, остальные друг друга не видят, и arp -a показывать будет себя и сервер e.t.c ;-) Решить только программно безопасность - НЕВОЗМОЖНО, какой велосипед не изобретай. А привязка по МАКУ полезна, по крайне мере дисциплинирует прицепление к сети уродцами разнообразных девайсов, + DHCP естесно.

Вот сдесь частично обсуждалось http://local.com.ua/forum/index.php?showtopic=541

А чем шеипить смотря. CBQ дает серьезную (процентов 30 на ЦПУ) нагрузку при нарезании каналов по 64k на 50-70 юзеров. Может речь о Фре ?

Шейпер с ходу дожрет оставшийся ресурс машины.

Использует если маленько напильником доточить

ИП - может на уровне файла CHAP(PAP)-SECRET, интрфейс - только с патчем (патч приведен выше), хотя если не превязываться к интерфейсу а вести подсчет по маске, на всех ppp* ? Структура файла CHAP(PAP)-SECRET: # client server secret IP addresses # * * "" user01 * passwd01 192.168.100.99 кстати, если pptpctrl (кусок пакета pptpd - сервер запуска ВПН соеденений) научиться пускать сам СТГ, то как параметр он может передовать ИП адрес, номер ppp Интерфейса, скорость соединения итд. - ЭТО ИМХО наиболее правильное решение. (U

кстати, не втему - но актуально, всю информацию о юзере держать в SQL (mySQL), - это портабельно, - возможность содержать дополнительные данные, такие как номер договора, паспорт/серия/выдан/родился/проживает - группа пользователей (с кого узла ходит, при наличии более одного узла) - МАК адрес - возможность авторизовываться за почтой через mySQL с почовых серверов в сети находящихся на других машинах. - удобные групповые операции по пользователям (SQL). - возможность с помощью внешних скрипотв лего генерить MAC->IP таблицу - возможность с помощью внешних скрипотв лего генерить SCAP-

верно но лучше ИМХО как-то хардверно заранее фиксить в СТГ ИП и ИНТЕРФЕЙС. Хотя и так работать ИМХО будет (должно). Невольно закрадываються мылси о глюках, возможности неправильной подмены связки ppp*1*2*3 и ИП 192.168.22.33. Хотя наверно это более относиться к паранои.... :00:

Максимально вычурное решение для ИПТаблес: OnConnect: #!/bin/bash . /etc/stargazer/ip_config.conf CDATA=`date +"%d-%m-%Y %H:%M"` user=$1 ip=$2 cash=$3 echo "${CDATA} CONNECT [USER:${user},IP:${ip},CASH:${cash}]" >> /var/log/stargazer.logon iptables -t nat -D POSTROUTING -o ${INET_IFACE} -s $ip -d 0.0.0.0/0 -j DROP while [ $? -eq 0 ] do iptables -t nat -D POSTROUTING -o ${INET_IFACE} -s $ip -d 0.0.0.0/0 -j DROP done iptables -t nat -I POSTROUTING -o ${INET_IFACE} -s $ip -d 0.0.0.0/0 -j MASQUERADE ################################################################ # 110 port ##

Да нет, МАК надо брать из SQL, собственно МАК и все данные о юзере, и кстати туда их и складывать, не портабельно это все хранить в текстовых файлах ИМХО. Все за и против описывать не буду, но для правильного распределения учета, ведения договоров, почтовых ящиков, авторизации итд. мы более 5 лет используем хранение всего в SQL. Кстати и с радиусом проще, если на WirlessLANы по авторизации пускать.

Вот кусок не очень доработанного плагина для pppd коротрый сливает через заданный промежуток времени статистику. Так сказать СЕМПЛ, сливает в лог файл, на это место можно прикрутить в: СТГ, SQL, итд. - по желанию. П.С. Данный пост в основном для СТГ-34, так ка я вроде обещал показать как это реализовать. Дальше - точить напильником ИМХО. #include <stddef.h> #include <time.h> #include "pppd.h" static int pppdstat=0; char pppd_version[] = VERSION; extern u_int32_t remoteIP; static option_t my_options[] = { { "pppdstat", o_int, &pppdstat, "ppp stati

В ОнКоннект добавить ____________________________ iptables -t filter -D INPUT -i eth0 -s 192.168.0.х -m mac --mac-source ! 00:00:00:00:00:00 -j DROP iptables -t filter -I INPUT -i eth0 -s 192.168.0.х -m mac --mac-source ! us:er:ma:ca:dd:rs -j DROP В ОнДисКоннект добавить ____________________________ iptables -t filter -D INPUT -i eth0 -s 192.168.0.х -m mac --mac-source ! us:er:ma:ca:dd:rs -j DROP iptables -t filter -I INPUT -i eth0 -s 192.168.0.х -m mac --mac-source ! 00:00:00:00:00:00 -j DROP

В догонку к патчу: проверка на IP адрес пдключающегося, вставить в /etc/ppp/ip-up: RET1=`echo $REMOTE_IP_ADDRESS | sed -e 's/.*\.[0-9][0-9][0-9]//'` RET2=`echo $IFNAME | sed -e s/ppp/.$*/g` if [ $RET1 != $RET2 ] then /bin/kill -2 $PPPD_PID fi

Для страждущих, наваял тут патч для pptpd, теперь можно VPN прикрутить к текущему СТГ без глобальных переделок. Смысл патча: - привязка номера ppp интрфейса к IP адресу Пример: наружная сеть: 10.0.100.0 Внутренняя сеть: 192.168.90.0 (где живет СТГ) DHCPD выдает адреса для сети 10.0.100.0 идентичные по последней цифре с сетью 192.168.90.0, например: Пользователь прописан в СТГ с IP адресом 192.168.90.77, как следствие, интерфейс для подсчета трафика ему прописывается ppp77. DHCPD должен выдавать ему IP адрес во внешней сети 10.0.100.77 в CHAP-SECRET в директории /etc/ppp/ соотв

В дополнение к сказанному - для просветления понятий о ВПН := http://www.inode.ru/content/admin/2004/06/24/17_1088068255 http://opensource.fstyle.ru/index.php?opti...id=25&Itemid=27

1. - Авторизатор ИМХО можно не испльзовать, (или переделать его под запуск созданнго ВПН соеденения). Все необхдимое для поднятия ВПН есть в любых Вин и Юникс платфрмах. Детальн описано например: http://spacegate.com.ua/rus/install/vpnwin9x.html 2. Сервер должен запускать сеанс pppd при обращении - стветственно слушать порт 1723 3. Статистику должен сбирать СТГ, с помощью плагина к pppd. За оснву для изготовления плагина мжно взять ppp_radius плагин. Он с заданной передичнстью может сливать информацию о времени и трафике в СТГ. В принципе проще взять пакет pppd и ознакомиться с файл

ПО пункту 3 - связка pptpd + pppd + плагин для pppd pppd_radius + *radius server. тлько завязываться на всю эту мутоту вместе ИМХО не имеет смысла при прикручивании к СТГ. Уж больно мнго разнообразного (кривоватого) софта (Радиус имелся в виду). 1. pptpd - собственно слушает порт 1723 и поднимает pppd. 2. в pppd происходит авторизация присвоение ИП итд, на сновании файла pap-secret или chap-secret, или через pppd_radius плугин путем запроса у радиус сервера. 3. Радиус сервер поддерживает верефикацию клиента на момент коннекта, аккаунтинг по времени, трафику итд. - но имеет ИМХО не чень уд

Как-то не горячо воспринимается пддержка ВПН в СТГ, к сожалению.

А за чем в схеме с ВПН иметь одинаквые IP, и впрос весьма спорный - как заламать ВПН при правильн поднятом файрволе между входным и выходным (ппп) интерфейсами. А тот факт что могут появиться два пользвателя с одним ИП в принципе исключен самой схемомой реализации: например пптпд или выделяет адрес из пула адресов, соответственно два раза один и тотже адрес он выделить не сможет, или адреса жестко привязаны к логину и паролю в файле *ap-secrets - что тоже исключает двойное назначение. И ествено поскольку линк Поинт-ту-Поинт пользователь не может поменять адрес на выходном интерфейсе, и т.д.

Ну а зачем париться с этй тулзой и внедрять протокол радиуса в СТГ. Ты сам написал ответ - "отношение к VPN он имеет потомучто VPN использует pppd для которого существует плагин radius_client.o" - кстати плагинов к ПППД намного болеше, т третьих разработчиков. Так надо наваять собственный плагин, с протоколом к СТГ, тем более что исходники есть, там все довольно просто.

В догонку - за основу подхода к проблеме можно взять плагин к пппд: http://www.chelcom.ru/~anton/projects/pppd-tacacs+radius/ http://www.chelcom.ru/~anton/projects/file...us-1.4.1.tar.gz и собственно изменить формат слива статистики (аккоунтига), + повыкидывать лишнее, приципить к СТГ килялку процесса ПППД с 0 или отрицательным балансом... :vah: (на первый взгляд)

Да, я смотрел примеры плагинов для ПППД, он понимает , там есть реализация опроса. Я попозднее соберу все что у меня есть по данному поводу и кину тебе в мыло. Пока приведу пару ссылк: http://www.chelcom.ru/~anton/projects/pppd-stacker/ http://linux.uatel.net.ua/soft/ppp/ppp-verbose.phtml http://nsg.net.ru:8100/Lists/nsg-linux/Message/237.html http://nsg.net.ru:8100/Lists/nsg-linux/Message/232.html http://nsg.net.ru:8100/Lists/nsg-linux/Message/234.html http://freshmeat.net/projects/pppd-tacacsradius/ http://packages.debian.org/unstable/net/pppdcapiplugin.html мжно пйти и таким пут

Если всеже кому интересно видеть ВПН, давайте совместно примем усилия, например на исходниках СТГ1, там только интерфейсы по маске слушать, например ppp*. Или вообще от прослушивания отказаться и наваять внешний модуль к pppd, что-бы заливал статистику непосредственно в СТГ, но это ИМХО надо делать в цикле (например раз в 2-5 минут), кто с АПИ ПППД близко общался? В заключение еще базу пользователей в SQL перенести и будет тот самый НАТУР ПРОДУКТ о котором мечты. P.S. Билинг в первую голову должен отвечать требованиям безопасности ПОТРЕБЛЕНИЯ трафика, другими словами что-б трафик (деньги