[HOWTO] Ubuntu 11.04+abills0.5 для малого офиса или мелкого провайдера.

[Nesmit]

в тарифе, в пользователе.

[stempher]

в тарифе, в пользователе.

я не использую abills
просто авторизация впн пользователей через радиус с выделением персонального ip-адреса юзеру

[Procik]

Собрал такой скрипт, думаю пригодится многим, положил его в /etc/ppp/ip-up.d/, в кредит клиентам добавил по копейке, теперь с нулевым балансом клиенты подключаются, но инета у них нет, а при открытиии любой страницы его перенапрвляют на определённую страницу, в моём случае она на 81 порту.

Код: [Выделить]

#!/bin/sh
export CDATE=$(date "+%Y-%m-%d_%H:%M:%S")
FILTERS=`/usr/bin/awk   '/Filter-Id/    {print $2}'     /var/run/radattr.$1`
IP_PPTP=${PPP_REMOTE}
IF_PPTP=${PPP_IFACE}
UNAME=`/usr/bin/radwho|grep ${IP_PPTP}|awk '{print $2}'|head -n 1`
USERBALANCE=$( /usr/bin/mysql -uroot -p111111 -B abills -e \
            "SELECT SUM(users.credit + bills.deposit) FROM users \
            INNER JOIN bills ON (users.uid=bills.uid) \
            WHERE users.id='$UNAME'" | /usr/bin/tail -n 1 )

        iptables -A FORWARD -i ${IF_PPTP} -o eth3 -s ${IP_PPTP} -j ACCEPT
        iptables -A FORWARD -i eth3 -o ${IF_PPTP} -d ${IP_PPTP} -m state --state RELATED,ESTABLISHED -j ACCEPT
        iptables -t nat -D PREROUTING -s ${IP_PPTP} ! -d 10.0.0.1/32 -p tcp -m multiport --dport 80,81,82,8080,3128,443 -j DNAT --to-destination 10.0.0.1:81
if [ "$FILTERS" = "no_money" ]; then
    echo "$CDATE User [$1] $FILTERS / $UNAME (${IP_PPTP}) add rules (no_money filter)" >> /var/log/no_money.log

elif [ "x$USERBALANCE" != "x" ] && [ "x$USERBALANCE" != "xNULL" ]; then
    echo "$CDATE $UNAME $USERBALANCE negative" >> /var/log/no_money.log
if [ "x$( /usr/bin/awk 'BEGIN { if('$USERBALANCE'<=0.1) print("NEGATIVE") }' )" = "xNEGATIVE" ]; then
                echo "$CDATE User [$1] $FILTERS / $UNAME [${IP_PPTP}] add rules (negative deposit $USERBALANCE)" >> /var/log/no_money.log
                iptables -D FORWARD -i ${IF_PPTP} -o eth3 -s ${IP_PPTP}  -j ACCEPT
                iptables -D FORWARD -i eth3 -o ${IF_PPTP} -d ${IP_PPTP} -m state --state RELATED,ESTABLISHED -j ACCEPT
                iptables -t nat -A PREROUTING -s ${IP_PPTP} ! -d 10.0.0.1/32 -p tcp -m multiport --dport 80,81,82,8080,3128,443 -j DNAT --to-destination 10.0.0.1:81

        else
                echo "$CDATE User [$1] $FILTERS / $UNAME [${IP_PPTP}] logged in (deposit: $USERBALANCE)" >> /var/log/no_money.log
        fi
fiВ /etc/ppp/ip-down.d/ лежит скрипт который удаляет добавленные правила.

Код: [Выделить]

#!/bin/sh

IF_PPTP=${PPP_IFACE}
IP_PPTP=${PPP_REMOTE}

    iptables -D FORWARD -i ${IF_PPTP} -o eth3 -s ${IP_PPTP} -j ACCEPT
    iptables -D FORWARD -i eth3 -o ${IF_PPTP} -d ${IP_PPTP} -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -D PREROUTING -s ${IP_PPTP} ! -d 10.0.0.0/32 -p tcp -m multiport --dport 80,81,82,8080,3128,443 -j DNAT --to-destination 10.0.0.1:81
done


[Nesmit]

мегареспект тебе человечище!

[stempher]

Собрал такой скрипт, думаю пригодится многим

Код: [Выделить]

               iptables -t nat -A PREROUTING -s ${IP_PPTP} ! -d 10.0.0.1/32 -p tcp -m multiport --dport 80,81,82,8080,3128,443 -j DNAT --to-destination 10.0.0.1:81


я так понимаю ты закрываешь доступ по http, https и squid'у, а ftp, почта и прочее все равно работают?

[Procik]

Код: [Выделить]

       iptables -D FORWARD -i ${IF_PPTP} -o eth3 -s ${IP_PPTP}  -j ACCEPT
                iptables -D FORWARD -i eth3 -o ${IF_PPTP} -d ${IP_PPTP} -m state --state RELATED,ESTABLISHED -j ACCEPTинета не будет вообще

Пользователь решил продолжить мысль 04 Февраля 2011, 13:15:49:а там браузерные порты

[Nesmit]

я так понимаю ты закрываешь доступ по http, https и squid'у, а ftp, почта и прочее все равно работают?

он делает подмену удаленного ip на свой локальный сервер с веб страничкой (DNAT --to-destination 10.0.0.1:81)
Получается, пользователь пытается куда нить зайти на www, а ему выдает типа "А куды вы собрались? Да еще и бесплатно?".

[stempher]

Procik, Nesmit
понял, спасибо

по моему вопросу не подскажете все-таки как лучше реализовать?

[Procik]

Я не помогу, с радиусом толком не сталкивался, стоит, работает, учить надо, а времени не хватает. ))

[Nesmit]

фикссирование ip ручками.
и чет мне кажется, есть опция в pptpd. Точно не помню, последний раз возился, когда эту статью ваял.

[stempher]

фикссирование ip ручками.
и чет мне кажется, есть опция в pptpd. Точно не помню, последний раз возился, когда эту статью ваял.

фиксирование понятно, а как послать ответ radiusu или pptpd что аутентификация не прошла?

[Nesmit]

писать ручками скрипт проверки для фрирадиуса, по аналогии с абиллсом.
или как сделали в биллинге cake на postgresql, там сама база умеет выполнять проверку (скрипты)

[Procik]

А если разрешить по порту 1723 с фиксированого адреса только одно подключение

[mapki3]

Здраствуйте.
Сегодня несколько раз пробовал поставить сие чудо, но наверное руки-крюки.
Ув. автор темы и другие осилившие абиллс, могу ли я здесь описать свои творения и попросить вас показать мне ошибку.


P.S. Хотя месяца два назад все удалось. Вот только не могу вспомнить по какой инструкции.

[Nesmit]

пиши