normalnie BOFH
a sam skrypt byłby prosty do napisania, gdyby nie fakt, że regułki iptables działają tylko na nowe połączenia. Co robić z tymi już nawiązanymi ?
| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Blokowanie niepłacących http://forum.freesco.pl/viewtopic.php?f=24&t=14209 |
Strona 1 z 1 |
| Autor: | hx [ piątek, 1 grudnia 2006, 21:58 ] |
| Tytuł: | Blokowanie niepłacących |
Widziałem u znajomego dość ciekawy sposób przypominania o zaległościach finansowych . Więc osoba zalegająca często wysyła przelew z komputera lub chce skontaktować sie z administratorem i zamiast blokować całkowicie neta , ma 5 minut internet 5 minut przerwy 5 minut ma .... itd itd. Jak można zrobić taką pętle ? |
|
| Autor: | marask [ piątek, 1 grudnia 2006, 23:32 ] |
| Tytuł: | |
normalnie BOFH a sam skrypt byłby prosty do napisania, gdyby nie fakt, że regułki iptables działają tylko na nowe połączenia. Co robić z tymi już nawiązanymi ?
|
|
| Autor: | hx [ piątek, 1 grudnia 2006, 23:34 ] |
| Tytuł: | |
no zastanawiałem sie jeszcze nad arpem |
|
| Autor: | tasiorek [ sobota, 2 grudnia 2006, 00:05 ] |
| Tytuł: | |
marask pisze: gdyby nie fakt, że regułki iptables działają tylko na nowe połączenia.
Zartujesz, prawda? |
|
| Autor: | -MW- [ sobota, 2 grudnia 2006, 00:10 ] |
| Tytuł: | |
one nie moga dzialac tylko 5 min poniewaz 2^2=4 a nie 5 !!! 
|
|
| Autor: | adamol [ sobota, 2 grudnia 2006, 02:33 ] |
| Tytuł: | |
 ...
a tak na serio to nie możesz wrzucić do crona 2 skryptów które na przemian by robiło on i off w stylu: iptables -t nat -D PREROUTING -p tcp -s 192.168.1.100 --dport 80 -j REDIRECT --to-port 82 iptables -t nat -I PREROUTING -p tcp -s 192.168.1.100 --dport 80 -j REDIRECT --to-port 82 
Pzdr |
|
| Autor: | marask [ sobota, 2 grudnia 2006, 10:18 ] |
| Tytuł: | |
Cytuj: marask napisał:
gdyby nie fakt, że regułki iptables działają tylko na nowe połączenia. Zartujesz, prawda? Może źle pamiętam, ale pamiętam przez to był problem z blokowaniem p2p w pewnych godzinach. Osoby, które wcześniej ściągały i została nałożona na nie odpowiednia regułka dalej ściągały. Nie mogły tylko zakładać nowych połączeń. |
|
| Autor: | qbaf [ sobota, 2 grudnia 2006, 10:37 ] |
| Tytuł: | |
co 5 min na 5 min troche dziwne nie lepiej by było tak że w sytuacji kiedy nie zapłaci przekierowany zostaje na specjalną www i tam pisze że po nacisnieciu przycisku zostaje odblokowoany internet na 5,10 itp min w celu uregulowania płatności tylko kompletnie nie wiem czy jest to wykonalne 
|
|
| Autor: | tasiorek [ sobota, 2 grudnia 2006, 11:31 ] |
| Tytuł: | |
Marask, przeanalizuj sobie kolejnosc regul w firewallu, to zrozumiesz dlaczego tak sie dzialo. qbaf, wszystko jest wykonalne, a z tym mysle ze niebyloby duzego problemu. Cos jak tablica ogloszen, tylko z ponowna blokada. |
|
| Autor: | Terminator [ sobota, 2 grudnia 2006, 11:43 ] |
| Tytuł: | |
Ja wpisuje takie coś :
#usuwamy zeby sie nie dublowaly (czyli w cronie je usuwamy i piszemy jeszcze raz) $i -D INPUT -s $IP_LAN$2 -p tcp --dport 1:79 -j REJECT 2>/dev/null $i -D INPUT -s $IP_LAN$2 -p tcp --dport 82:65535 -j REJECT 2>/dev/null $i -D INPUT -s $IP_LAN$2 -p udp --dport 1:52 -j REJECT 2>/dev/null $i -D INPUT -s $IP_LAN$2 -p udp --dport 54:65535 -j REJECT 2>/dev/null $i -D FORWARD -s $IP_LAN$2 -p tcp --dport 1:79 -j REJECT 2>/dev/null $i -D FORWARD -s $IP_LAN$2 -p tcp --dport 82:65535 -j REJECT 2>/dev/null $i -D FORWARD -s $IP_LAN$2 -p udp --dport 1:52 -j REJECT 2>/dev/null $i -D FORWARD -s $IP_LAN$2 -p udp --dport 54:65535 -j REJECT 2>/dev/null $i -D PREROUTING -t nat -s $IP_LAN$2 -p tcp --dport 80 -j DNAT --to- 192.168.1.1:81 # a teraz dodajemy prawidlowe - blokowanie ! $i -I INPUT -s $IP_LAN$2 -p tcp --dport 1:79 -j REJECT 2>/dev/null $i -I INPUT -s $IP_LAN$2 -p tcp --dport 82:65535 -j REJECT 2>/dev/null $i -I INPUT -s $IP_LAN$2 -p udp --dport 1:52 -j REJECT 2>/dev/null $i -I INPUT -s $IP_LAN$2 -p udp --dport 54:65535 -j REJECT 2>/dev/null $i -I FORWARD -s $IP_LAN$2 -p tcp --dport 1:79 -j REJECT 2>/dev/null $i -I FORWARD -s $IP_LAN$2 -p tcp --dport 82:65535 -j REJECT 2>/dev/null $i -I FORWARD -s $IP_LAN$2 -p udp --dport 1:52 -j REJECT 2>/dev/null $i -I FORWARD -s $IP_LAN$2 -p udp --dport 54:65535 -j REJECT 2>/dev/null $i -A PREROUTING -t nat -s $IP_LAN$2 -p tcp --dport 80 -j DNAT --to- 192.168.1.1:81 (pewnie można to zrobić z ! przy liczbach - ale ja mam tak )
czyli blokuje wszytko(oprócz 53,80,81) - nawiązane połączenia też i port 80 -> na 81 w nnd (stronka dla niepłacących) Drugi skrypt to to samo tylko z literką -D W php napisać prota funkcje która uruchamia skrypt po naciśnieciu (np exec() ), a w cronie co 5,10 min uruchamianie blokowania Rozwiazanie z poszczegolnymi userami trzeba zrobić we własnym zakresie albo skrypt odczytuje kogo ma blokowac albo na sztywno wpisać numery IP... |
|
| Autor: | zciech [ sobota, 2 grudnia 2006, 13:53 ] |
| Tytuł: | |
marask pisze: Cytuj: marask napisał: gdyby nie fakt, że regułki iptables działają tylko na nowe połączenia. Zartujesz, prawda? Może źle pamiętam, ale pamiętam przez to był problem z blokowaniem p2p w pewnych godzinach. Osoby, które wcześniej ściągały i została nałożona na nie odpowiednia regułka dalej ściągały. Nie mogły tylko zakładać nowych połączeń. Ale tylko tabeli nat dotyczy to. Tabela filter sprawdza wszystkie pakiety. iptables -I FORWARD -j DROP #odetnie wszystkich i momentalnie
|
|
| Autor: | hx [ sobota, 2 grudnia 2006, 18:45 ] |
| Tytuł: | |
no to na czym stoimy ? |
|
| Autor: | litr [ sobota, 2 grudnia 2006, 20:40 ] |
| Tytuł: | |
iptables -A PREROUTING -t nat -s 192.168.0.10 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1:201 -m limit --limit 2/h --limit-burst 1 Powyzszy wpis przekierowuje danego usera na strone informacyjna co okreslony interwal (odstep w czasie). Wystarczy odpowiednio zmieniac limit np.: --limit 2/h ( 2 x w ciagu godziny, czyli co 30min), --limit 4/h ( 4 x w ciagu godziny, czyli co 15min), --limit 12/h ( 12 x w ciagu godziny, czyli co 5min). Takie rozwiazanie nie blokuje userowi dostepu do netu - wystarczy, ze po komunikacie odswiezy strone w przegladarce - a jest bardzo skuteczne jesli zwiekszy sie odpowednio ilosc komunikatow w ciagu jednej godziny. |
|
| Autor: | hx [ sobota, 2 grudnia 2006, 22:44 ] |
| Tytuł: | |
no i masz litr pół litra
|
|
| Autor: | mike [ piątek, 8 grudnia 2006, 00:28 ] |
| Tytuł: | |
a co myślicie o zablokowaniu pasma do 32kbps, albo jeszcze wolniej z informacją o ograniczeniu + przycisk, przez np. tydzień, a po tygodniu wyłączenie całkowite? |
|
| Autor: | JakubC [ piątek, 8 grudnia 2006, 00:30 ] |
| Tytuł: | |
mike pisze: a co myślicie o zablokowaniu pasma do 32kbps, albo jeszcze wolniej z informacją o ograniczeniu + przycisk, przez np. tydzień, a po tygodniu wyłączenie całkowite?
Płaciliby Ci zawsze po tygodniu... |
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|