Решение по закрытию внутренних локальных ресурсов!

RHAmzin

Предлагаю работающий вариант скрытия внутренних локальных ресурсов провайдера от клиентов, неуплативших абон.плату!
Вариант работающий, но не самый оптимальный! Прошу помочь в решении проблемы нагрузки и скорости!

starchik

можно сделать Queue на основе pcq и раздавать локальные ресурсы на большей скорости, и не будет влиять на работу интернета.
описано тут

Arti · Сообщение **Arti** » Пн июл 12, 2010 20:28

А Вам NAS'ы не жалко всякой фигнёй грузить? И как Вы решите проблему прокси и другой обмен трафиком между абонентами одного l2 сегмента?

Anton · Сообщение **Anton** » Пн июл 12, 2010 21:12

оптимально нормальный коммутатор на доступ
и acl правила

starchik

при желании правила acl можно обойти.

или же использовать acl + IP_mac_port_binding

Anton · Сообщение **Anton** » Вт июл 13, 2010 10:46

делаешь правило
что этот Ip может работать только на этом порту

а привязка по мак только проблем создаст

вообщем задачка решается acl

starchik

что этот Ip может работать только на этом порту

это глупо засорять таблицу ACL ненужными правилами тем более что для этого есть другая фича.

о_О а какие проблемы дает привязка мака?

RHAmzin

Anton писал(а):делаешь правило
что этот Ip может работать только на этом порту

а привязка по мак только проблем создаст

вообщем задачка решается acl

Насколько я знаю, в коммутаторах есть ограничение на кол-во ACL.
У нас клиентов гораздо больше. Более того, ACL надо прописывать динамически. Как это сделать?

Anton · Сообщение **Anton** » Ср июл 14, 2010 23:24

если коммутатор на доступе а не на агрегации
то правил к примеру в dlink 3028 и dlink 3200-28
хватает за глаза и за уши

делать через rfw + скрипт
написать свой обходчик

Чистяков(работник нетап) свой проект открыл
для управляемых коммутаторов и интеграцией с utm 5.0
стоит помоему 70 тыс рублев

mikkey finn

да, любят они покушать

Цена вопроса - полтора часа, два скрипта. Один переданные через RFW данные спихнет в файл конфига, второй по крону заставит свич съесть этот конфиг. Из требований - TFTP-сервер, snmp-клиент, скриптовый язык.

Arti · Сообщение **Arti** » Чт июл 15, 2010 14:14

Можно ACL а можно и отдельный vlan.

В обоих случаях можно сделать так, что клиент дальше статистики не уйдёт, даже не сможет оправить трафик в соседний порт коммутатора.

Для управления используют SNMP, в конце концов можно сделать телнет если очень хочется поизвращаться.

Все правила и vlan'ы создаются заранее, потом туда только закидываются нужные порты.

RHAmzin

Вот что придумали еще!

Суть проста!

Поднимается FreeBSD +IPFW.
Пишется программа на php,которая с заданной периодичностью опрашивает билинг на наличие остатка на балансе клиента. Оттуда же берется IP+МАК. Если баланс положительный, тогда прописывает разрешающее правило, все кто не вошел в этот (разрешенный) список по умолчанию перенаправляются на страницу уведомления о пополнения баланса (личный кабинет)!

Kayfolom

Что-то все так сложно. Поставьте Cisco Catalyst 3550 на границу ресурсов и заливайте на нее ACL php скриптом запускающимся через штатные правила firewall биллинга (Изменения типа блокировки). Надежность, простота, производительность обеспечена. Цена этой циски на наге смехотворна.
Скрипты могу дать если нужно.

ЗЫ. Не дочитал ваш пост, сорри. Если еще и скорость нужно резать, тогда без наворотов не обойтись... Или более дорогой циски.