#1 26.06.07 15:27
Организация сетевого биллинга
Заранее прошу прощение если содержание этого сообщения напрямую не подходит под тематику данного форума.
Хотелось бы услышать идеи как организовать автоматическую блокировку пользователей компьютерной сети при отрицательном балансе не тыкая везде для этого сервера, а имея один с централизованным биллингом, подобное тому что работает в сети hostel.nstu.ru на best-е. В первую очередь интерисует сама технология блокировки.
Offline
#3 26.06.07 20:14
Re: Организация сетевого биллинга
animai написал(а):
удаленно по ссх пихает правило в фаервол для блокировки айпишника
Не совсем понятно, к примеру как упомянутый вами способ можно применить к следующей топологии сети.
Где стрелкой указан компьютер который должен быть заблокирован и не иметь возможности обмениватся данными с другими компьютерами в этой сети. Может быть для этого необходимо другое оборудование или поменять топологию сети?
Исправлено eagle (26.06.07 20:16)
Offline
#4 27.06.07 07:52
Re: Организация сетевого биллинга
Нужно использовать либо свичи, на которые можно заливать привязку мак-адрес-порт или возможность просто выключать нужный порт. Можно использовать туннели типа pppoe или vpn. Балланс=0, нельзя установить соединение с сервером, а каждого юзера засунуть в отдельный vlan.
Offline
#6 28.06.07 01:35
Re: Организация сетевого биллинга
вариант "для бедных" - на неуправляемых свичах
можно перестраивать таблицу МАС на неуправляемых свичах, софтом что-то типа ipsentinel
если предположить, что пользователь не может сменить себе МАС, то просто слать с сервака фейковые пакеты МАСом клиента, тогда у свичей коммутационная таблица будет перестраиваться, и другие юзеры вместо того, чтобы слать ответы отключенному абоненту будут слать их на сервак, который их дропнет
если предположить, что абонент умный и может менять МАС, то нужно мониторить на интерфейсе arp-запросы абонентов, для абонентов с положительным балансом ничего не делать, а для неизвестных (или отключенных) МАСов начинать слать фейковые пакеты для перестрояния таблицы свичей
правда и это можно обойти, если на 2-х компах абонентов статически вписать МАСи друг друга, то они arp-заросы слать не будут... а фейково рассылать все неиспользуемые МАСи просто нереально ! FFFFFFFFFFFF штук их или в DEC 281474976710655
можно по простому вешать на сетевку сервака алиасом ИП отклюенного абонента, тогда винда будет орать "такой адрес уже используется в сети" и не включится. Правда никто не мешает злобному абоненту поперебирать ИПы, или вообще поставить пару IP+MAC своего соседа и юзать сеть когда соседский комп отключен
с этим бороться можно только vlan-ами , да еще pppoe повесить бы до кучи, чтобы предотвратить "врезку в кабель"
производительность локальной сети существенно упадет, но для интернета будет достаточно, и защищенность 100% : абоненты друг к другу ходят через сервер, который пускает только кого нужно, напрямую свичи не пускают, а без логина и пароля вообще обмена с сервером нет
Offline
#7 28.06.07 02:33
Re: Организация сетевого биллинга
Алиясы красиво работают когда айпишнег компу выдёт DHCP. На клиенте никакого сообщения не выскакивает, но он не может попасть никуда даже в пределах своей подсети. Главное чтоб не догадался статически их прописать.
Offline
