forum.lissyara.su

Или часть 2...
И вот, после того, как скорость с фтп улучшилась, начальствостало взбухать, как почки весной. "Мол, нагрузка на роутер сейчас 90%. Так дело на пойдем". И сказали сделать след. вещь :
Перенести фтпшник в локалку (у нас вланы). Но! Чтобы сервак сам подрубался к инету, через пптп, залезал на радиус, и, если счет у абонента(который подключен к инету) положительный, пускал к фтп. НО чтобы перекидывал весь трафик на внутренний. Т.е. после инетовской(радиус) авторизации пускал бы к себе, как простой сервер из локалки, дабы роутер не нагружать...
Вопрос :
Реализуемо ли это?
Не пора ли мне менять работу?

ну...
сосбсно задачу можно сузить - тебе надо пускать/непускать юзера в зависмости от балланса.
а это уже проще. уж как ты будешь проверять - это другой вопрос.

только я вообще не понимаю, как, после проверки баланса, чтобы качали из локалки... ведь авторизация проходит на уровне инета...

ну, proftpd cсам ного чё умеет...
но влёт - ничё не посоветую...

точно ничего не скажу потому что может точно не понял постновленной задачи, но
у меня нарисовалась схема типа dmz зоны...куда дается путь при подключении на VPN. Насколько я понимаю, клиент не сможет же подлючится к ВПН без денег на счету, правда тут поидеи нужно будет пересмотреть подсчет трафика( может и нет, все зависит от того как у вас все организовано)
если используете ipfw то правила для доступа к дмз будут приблизительно...
ipfw add allow tcp from ${vpn_ip} to ${dmz_ftp} out recv ${vpn_if} xmit ${dmz_if}


FF

SeeDru писал(а):Или часть 2...
Чтобы сервак сам подрубался к инету, через пптп, залезал на радиус, и, если счет у абонента(который подключен к инету) положительный, пускал к фтп. НО чтобы перекидывал весь трафик на внутренний. Т.е. после инетовской(радиус) авторизации пускал бы к себе, как простой сервер из локалки, дабы роутер не нагружать...
Вопрос :
Реализуемо ли это?
Не пора ли мне менять работу?

Ну и бред. Такое работать не будет. Но реализуемо, по крайней мере в теории , хотя и сильно зависит от схемы построения сети.
"Перекидывание трафика на внутренний" -- это как? клиент коннектится через внешний IP а данные получает с внутреннего? Если именно так, то можно попробовать мрачный изврат -- разрешить подключение только пассивным ftp. В такой схеме ftp сервер при попытке что то скачать не сам устанавливает подключение к клиенту, а дает клиенту адрес и порт куда подключаться. Соответственно можно обмануть клиента подсунув ему локальный IP. Инструкция по-моему в proftpd называется MasqueradeAddress. Однако есть подозрение что всякие "тупые" ftp клиенты, вроде msie, opera будут на такой схеме поглюкивать.
Гораздо проще, если сделать так, чтоб клиенты подключались к внешнему IP ftp сервера до того как попадут на NAT. Тогда вообще ничего делать не надо все и так из коробки будет работать.
Ну и самая нормальная схема -- объяснить начальству почему не надо локальным клиентам ходить на ftp через внешний IP

да не бред. просто он объяснить не смог.
я ж свёл задачу к простой - пускать/непускать по баллансу...

lissyara писал(а):да не бред. просто он объяснить не смог.
я ж свёл задачу к простой - пускать/непускать по баллансу...

Ну это смотря как радиус настроен. Если он при отрицательном балансе не разрешает аутентикацию, то тут все что надо. Если надо выполнять дополнительные пляски с бубном по выковыриванию баланса то тут конечно надо более подробно выяснять как система устроена.