Jump to content
Local
Sign in to follow this  
wifi_master

Nodeny отключения клиентов

Recommended Posts

Подведем итоги:

Сделал через pf nat все заработало шейпер работает, даже интернет както быстрее начал работать.

Заглушку показывает - добавил в фаервол правило ipfw add 5 fwd 127.0.0.1,81 tcp from not table\(\0 to any dst-port 80

 

Всем спасибо за помощь.

 

 

Не мог бы ты вкраце рассказать что правил что бы шейпер работал ?? по настройкам которые в доках не работает не то что шейпер даже инет... Если без шейпера настраивать, то все работает нормально...

Share this post


Link to post
Share on other sites

Блин а у меня всетаки не получается настроить перенаправление.

создал правило

03000 41 2460 fwd 127.0.0.1,80 log logamount 1000 ip from 172.16.23.8 to any dst-port 80

 

и такое чувство что апач вообще не видит перенаправленных к нему пакетов получается что он отбрасывает запросы адресованые не ему. Как бы этот побороть?

Share this post


Link to post
Share on other sites

я тоже пробывал сделать редирект неавторизованых и не прописаных в билинге пользователей

на локальный веб сервер $ {f} add 5 fwd 10.50.1.1,80 from not table(0) to any dst-port 80

но тогда нельзя вообще попасть на серв/

Не SSH, ни клиенты авторизатором не могут подключиться.

Share this post


Link to post
Share on other sites

пробывал ipfw add 5 fwd 127.0.0.1,80 tcp from not table 0 to any 80

а в ответ ipfw: hostname ``table'' unknown

подскажите кто нибудь в чем грабли?

читал русский мануал ipfw там про table ничего не написано.

Share this post


Link to post
Share on other sites

так ж написано правило ipfw add 5 fwd 127.0.0.1,81 tcp from not table\(\0 to any dst-port 80

что работало нужно апачу дать слушать 81 порт. 404 старницу завернуть на заглушку. делов то...

Share this post


Link to post
Share on other sites

добавил правило в rc.firewall ${f} add 100 fwd 127.0.0.1,80 tcp from not table\(\0 to any dst-port 80

вроде как заработало.

после перезагрузки сервера правило на месте а редирект не работает.

 

Мне нужно чтобы неавторизованые попадали на главнцю страницу сети.

Share this post


Link to post
Share on other sites

что именно интересует?

 

я только начел разбираться с данным биллингом!

Интересует реализация такого функционала:

перенаправление пользователя на конкретную страничку при отрицательном балансе или если он не авторизирован...

Знаю что есть платное решение но хотелось бы самому попробовать сделать

 

Может кто подскажет?

Share this post


Link to post
Share on other sites

что именно интересует?

 

я только начел разбираться с данным биллингом!

Интересует реализация такого функционала:

перенаправление пользователя на конкретную страничку при отрицательном балансе или если он не авторизирован...

Знаю что есть платное решение но хотелось бы самому попробовать сделать

 

Может кто подскажет?

Есть платный модуль есть и бесплатный. пиши в лс дам бесплатный. но тут дело не в странице заглушке, а в настройке ipfw и apache.

Share this post


Link to post
Share on other sites

Заглушку то сделать просто, в платном решении не в этом изюминка.

Share this post


Link to post
Share on other sites

Заглушку то сделать просто, в платном решении не в этом изюминка.

в чем?

Share this post


Link to post
Share on other sites

что именно интересует?

 

я только начел разбираться с данным биллингом!

Интересует реализация такого функционала:

перенаправление пользователя на конкретную страничку при отрицательном балансе или если он не авторизирован...

Знаю что есть платное решение но хотелось бы самому попробовать сделать

 

Может кто подскажет?

Есть платный модуль есть и бесплатный. пиши в лс дам бесплатный. но тут дело не в странице заглушке, а в настройке ipfw и apache.

 

может кто-то объяснит что надо перенастроить в ipfw и apache или выложит для примера свои конфигурационные файлы

Share this post


Link to post
Share on other sites

Стандартный конфиг для редиректа на локальный сайт сети, с дефотными правилами фаервола.

 

#!/bin/sh -
f='/sbin/ipfw'

ifOut='re0'

${f} -f flush

${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any

${f} add 60 fwd 127.0.0.1,80 tcp from not table\(\0 to any 80 #Редирект by wifi_master 

${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me


${f} add 200 skipto 500 ip from any to any via ${ifOut}

${f} add 300 skipto 4500 ip from any to any in

${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 420 divert 1 ip from any to any
${f} add 450 divert 2 ip from any to any
${f} add 490 allow ip from any to any

${f} add 500 skipto 32500 ip from any to any in
${f} add 510 divert 1 ip from any to any
${f} add 540 allow ip from any to any


${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723

${f} add 2100 deny ip from any to any

${f} add 32490 deny ip from any to any

Share this post


Link to post
Share on other sites

Ну... случай на самом деле очень частный случай даже в дефолтном исполнении. Например, для саттелита вообще не подходит.

А теперь усложняем задачу ))) вы всеравно столкнетесь с ней рано или поздно, итак:

У вас в сети имеются реальные ip (сервера, юзеры и пр.) на некоторых из них подняты вебсервера, доступ к которым необходим из интернета.

Очень интересный эффект получится. ))) я отвечаю, вам понравится!

Share this post


Link to post
Share on other sites

Ну... случай на самом деле очень частный случай даже в дефолтном исполнении. Например, для саттелита вообще не подходит.

А теперь усложняем задачу ))) вы всеравно столкнетесь с ней рано или поздно, итак:

У вас в сети имеются реальные ip (сервера, юзеры и пр.) на некоторых из них подняты вебсервера, доступ к которым необходим из интернета.

Очень интересный эффект получится. ))) я отвечаю, вам понравится!

Интересный эффект увидел сразу.Но как для меня он не столь интересен так как у меня например нет ни одного сервера извне.

Сейчас работаю только с wifi и мне этого вполне хватает для гостей подключившихся случайно к AP, авдруг станет клиентом. :)

Я думаю дефотное исполнение фаервола подойдет многим новичкам (как имне) которых интересует редирект,

но а если нет то хз.... у кого как развита фантазия...

Думая о будущем я лично сижу и пытаюсь вникнуть в структуру нодени, что с чем взаимосвязано, изучаю скрипты, что можно под себя подстроить... и собираю деньги на супорт и билинг.

вобщем бред... пиво бродид...

с днем Захисныка витчызны :)

Share this post


Link to post
Share on other sites

Только что в голову взбрело.

Ведь можно же это правило примнить только для внутреннего интерфейса!

Share this post


Link to post
Share on other sites

Только что в голову взбрело.

Ведь можно же это правило примнить только для внутреннего интерфейса!

ну и как получилось заходить на веб серверы клиентов из интернта и видеть из локали страницу заглушку при отрицательном баансе?

Share this post


Link to post
Share on other sites

Не хочу создавать новую тему, напишу тут

В общем в последнее время участились такие случаи

14.02.2017 08:38:34 kernel: Заблокирован 92.265.23.77 по причине превышения лимита потоков трафика: 39311 (граница 20000)

 

Это сделано для защиты от вирусов. Если такое бывает объясняем пользователям, что нужно почистить комп, проверить антивирус и т.д...

Но есть такие, которым объяснять без полезно приходят и орут с вылупленными глазами, что у нас такой интернет и из за этого тупит комп.....

Кто с таким сталкивался и какой есть выход? Может убрать это ограничение?

Share this post


Link to post
Share on other sites

Не хочу создавать новую тему, напишу тут

В общем в последнее время участились такие случаи

14.02.2017 08:38:34 kernel: Заблокирован 92.265.23.77 по причине превышения лимита потоков трафика: 39311 (граница 20000)

 

Это сделано для защиты от вирусов. Если такое бывает объясняем пользователям, что нужно почистить комп, проверить антивирус и т.д...

Но есть такие, которым объяснять без полезно приходят и орут с вылупленными глазами, что у нас такой интернет и из за этого тупит комп.....

Кто с таким сталкивался и какой есть выход? Может убрать это ограничение?

уберете это ограничение будете насиловать свое оборудование. а капризы аборигенов это вечные проблемы

хотя попугайте его что за использование пиратского ПО и.т.п

Share this post


Link to post
Share on other sites

Да не заморачивайся у нас такие раз в месяц один два проскакивают. ТП сначала предупреждает мол у Вас вирус почистите комп. Обычно все адекваты поэтому комп чистят и проблема уходит, но бывает и нюансы к примеру с видео регистраторами особо отличились "dahua" там какой то глюк в системе безопасности... Решалось просто клиенту рекомендовали поменять стандартные порты на что то не стандартное и проблема уходила. Так что как то так , а выключать не рекомендую по тому как потом с обратной стороны прилетит к примеру Ваш клиент сам того не зная DDos атаку устроит на фин сайт к примеру, к кому придут в первую очередь ? Или потом IP с спам баз вынимать целый геморрой. Поэтому клиенту поясняем что так мол и так либо чистим либо мы не можем предоставить Вам услугу.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×