URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 69198
[ Назад ]

Исходное сообщение
"Караул!! Спасайте!"

Отправлено Shaokoa , 29-Сен-06 01:09 
Народ!!! такая проблема выползла...

Стоит у меня билинг, работает он через ВПН, который организован на МПД 3.18_4...
Инет раздается через этот канал...
Сетка имеет АйПишники 192,168,0,0\24
МПД-сервер 10,1,4,0\24

Недавно обнаружил супер проблему!  если заходить на шары в сети, и качать трафик оттудо - все нормально - идет безплатно...  но если человек подключен к интернету, тоесть имеет 2 соединения, однос сетевое, второе на МПД-сервере и в строке проводника вбить например "\\10,1,4,1" - то откроеться шара, та которая есть в доступе у чевака. И если качать оттудо, то весь трафик идет через билинг!  например если скачать оттудо кино, то весь трафик пощитаеться как интернетовский!!!

Как это убрать?  Выходит что оно через сам МПД протикает?


Содержание

Сообщения в этом обсуждении
"Караул!! Спасайте!"
Отправлено samson_la , 29-Сен-06 02:19 
>Сетка имеет АйПишники 192,168,0,0\24
>МПД-сервер 10,1,4,0\24
>если человек подключен к интернету, тоесть имеет 2 соединения, однос сетевое,
>второе на МПД-сервере и в строке проводника вбить например "\\10,1,4,1" -
>то откроеться шара, та которая есть в доступе у чевака. И
>если качать оттудо, то весь трафик идет через билинг!

как я понимаю, на машине, на которой стоит биллинг, есть и файлсервер.
IP_SERV: 192.168.0.1
При соединении к MPD удаленный_IP: 10.1.4.1
если так? То шару надо открывать как 192.168.0.1, а не как 10.1.4.1.
т.к. при поднятии VPN пакеты до 10.1.4.1 пойдут через vpn соединеие.
В таком случае вам на сервере надо перекрыть доступ к 10.1.4.1, например, фаерволом.


"Караул!! Спасайте!"
Отправлено CocoBrice , 29-Сен-06 08:45 
>>Сетка имеет АйПишники 192,168,0,0\24
>>МПД-сервер 10,1,4,0\24
>>если человек подключен к интернету, тоесть имеет 2 соединения, однос сетевое,
>>второе на МПД-сервере и в строке проводника вбить например "\\10,1,4,1" -
>>то откроеться шара, та которая есть в доступе у чевака. И
>>если качать оттудо, то весь трафик идет через билинг!
>
>как я понимаю, на машине, на которой стоит биллинг, есть и файлсервер.
>
>IP_SERV: 192.168.0.1
>При соединении к MPD удаленный_IP: 10.1.4.1
>если так? То шару надо открывать как 192.168.0.1, а не как 10.1.4.1.
>
>т.к. при поднятии VPN пакеты до 10.1.4.1 пойдут через vpn соединеие.
>В таком случае вам на сервере надо перекрыть доступ к 10.1.4.1, например,
>фаерволом.


Либо настроить биллинг таким образом, чтобы трафик был бесплатным для сети/хоста 192.168.0.1


"Караул!! Спасайте!"
Отправлено PixeL , 30-Сен-06 06:41 
нужно самому писать биллинговые программы, а не юзать всякие заготовки, тогда и знать будешь где рыть и перед написанием любой программы обдумываешь её алгоритм, как должно быть, что б не возникало подобных граблей... а заготовки нуна юзать как приеры!

"Караул!! Спасайте!"
Отправлено Shaokoa , 29-Сен-06 09:29 
>>Сетка имеет АйПишники 192,168,0,0\24
>>МПД-сервер 10,1,4,0\24
>>если человек подключен к интернету, тоесть имеет 2 соединения, однос сетевое,
>>второе на МПД-сервере и в строке проводника вбить например "\\10,1,4,1" -
>>то откроеться шара, та которая есть в доступе у чевака. И
>>если качать оттудо, то весь трафик идет через билинг!
>
>как я понимаю, на машине, на которой стоит биллинг, есть и файлсервер.
>
>IP_SERV: 192.168.0.1
>При соединении к MPD удаленный_IP: 10.1.4.1
>если так? То шару надо открывать как 192.168.0.1, а не как 10.1.4.1.
>
>т.к. при поднятии VPN пакеты до 10.1.4.1 пойдут через vpn соединеие.
>В таком случае вам на сервере надо перекрыть доступ к 10.1.4.1, например,
>фаерволом.

Полностью перекрыть доступ фаерволом к 10.1.4.1 нельзя...  это АйПи ВПН-сервера через него раздается и-нет. а у пользователей от 10.1.4.2 до 10.1.4.254.   Но перекрытия связи между ними так же не даст ничего... так как трафик перекачивается через сам билинг, тоесть через 10.1.4.1 .  Может надо где-то покапаться в настройках МПД?  

   #Включаем proxy-arp, чтобы компьютер "видел" без маршрутизации
   #корпоративную сеть (по протоколу arp)
   set iface enable proxy-arp

Может что-то типа такого пункта????

Вот мой конфиг МПД(его часть):

pptp_standart:
   set iface disable on-demand
   set bundle enable multilink
   set link yes acfcomp protocomp

   #Требуем chap авторизации
   set link no pap chap
   set link enable chap
   set link keep-alive 60 180
   set ipcp yes vjcomp

   #Устанавливаем DNS и Wins
   ########################set ipcp dns 10.1.1.1
   #set ipcp nbns 10.1.1.1

   #Включаем proxy-arp, чтобы компьютер "видел" без маршрутизации
   #корпоративную сеть (по протоколу arp)
   set iface enable proxy-arp

   #Включаем компрессию данных
   set bundle enable compression

   #Включаем компрессию данных, совсестимую с Microsoft-клиентами, должно быть вкомпилено в ядро
   set ccp yes mppc
   #Включаем шифрование, совместимое с Microsoft-клиентами, должно быть вкомпилено в ядро
   set ccp yes mpp-e40
   set ccp yes mpp-e56
   set ccp yes mpp-e128
   set ccp yes mpp-stateless
   #set bundle yes crypt-reqd

   #Задаем адрес для входящих соединений, если закомментирован - то mpd будет слушать все интерфейсы.
   #set pptp self 192.168.0.100

   #Разрешаем входящие соединения
   set pptp enable incoming
   set pptp disable originate

   set iface mtu 1500
   set link mtu 1500

   # какой скрипт запускать при поднятии интерфейса
   #set iface up-script /usr/local/traff/up.pl
   # какой скрипт запускать при опускании интерфейса
   #set iface down-script /usr/local/traff/down.pl

   set radius server 192.168.0.100 passворд 1812 1813
   set radius timeout 10
   #set radius config /usr/local/etc/raddb/radius.conf опыт показал что это строка тормозит работу соединения
   set radius retries 3
   set bundle enable radius-acct
   set bundle enable radius-auth
   set ipcp yes radius-ip
open


"Караул!! Спасайте!"
Отправлено samson_la , 29-Сен-06 13:22 
>Полностью перекрыть доступ фаерволом к 10.1.4.1 нельзя...  это АйПи ВПН-сервера через
>него раздается и-нет. а у пользователей от 10.1.4.2 до 10.1.4.254.  

зачем полностью? перекрой доступ только к файлсерверу. к ftp, samba-е, и.т.д с с дресов 10.1.4.0/24
к самбе надо перекрыть порты:
tcp 139
tcp 445
udp 137
udp 138
или можно с hosts_allow в smb.conf пограться...
для ftp, помему, достаточно перекрыть 20, 21 tcp порты.


"Караул!! Спасайте!"
Отправлено Den , 29-Сен-06 15:13 
Это происходит потому что доступ юзера в инет идет с другой сети чем той где стоит VPN сервер. У юзера есть default gateway, когда он конектится в инет must die переназначает default gateway на gate vpn сервера и весь трафик идет туда, так как у тебя нету прямого маршрута к сети где находится vpn. Нужно у клиента прописать статикой роут.
route add 192.168.0.0 mask 255.255.255. 192.168.0.254 -p  что-то похожее. Но если юзера постоянно переустанавливают must die то лучше в сервисах поставить rip слушатель и на твоем роуте анонсить той же зеброй роуты в другие сети.

"Караул!! Спасайте!"
Отправлено samson_la , 30-Сен-06 00:12 
>Это происходит потому что доступ юзера в инет идет с другой сети
>чем той где стоит VPN сервер. У юзера есть default gateway,
>когда он конектится в инет must die переназначает default gateway на
>gate vpn сервера и весь трафик идет туда, так как у
>тебя нету прямого маршрута к сети где находится vpn. Нужно у
>клиента прописать статикой роут.
>route add 192.168.0.0 mask 255.255.255. 192.168.0.254 -p  что-то похожее. Но если
>юзера постоянно переустанавливают must die то лучше в сервисах поставить rip
>слушатель и на твоем роуте анонсить той же зеброй роуты в
>другие сети.
вы абсолютно правы. если юзер коннектится с виндов к инету, то default gw автоматом становится удаленный IP ppp соединения. но обяснить каждому юзеру, что надо "прописать маршрут" - нереально. в ответ услышите: "не знаю я че такое маршрут, и знать нехочу, у меня инет не рабоает...". поэтому и надо первым делом просто прикрыть все (файлсервер) фаерволом, чтоб локальный трахик не считался как глобальный....

"Караул!! Спасайте!"
Отправлено Shaokoa , 30-Сен-06 10:46 
Господа-товарищи...    Вы наверное немного не поняли суть вопроса...    На сервере не стоит никаких ФТП, или Самба...  на серваке есть только МПД-сервер для ВПН с адрусом 10.1.4.1 .    А у клиентов адреса  -- 10.1.4.2-254    

Так вот клиент 1 может зайти на клиент 2 с Айпи(1- 10,1,4,7(например) на 2 -10,1,4,20)   и видеть общедоступные папки как дает виндовс, качать из нах и т.д.   как в обычной сети..  Но трафик весь пробегает через сервер 10,1,4,1(там то он и считаеться).
тоесть маршрут такой:   1клиент(10,1,4,7) ---> МПД-сервер(10,1,4,1) --> 2 клиент(10,1,4,20).    Так какие тут прикрыть порты?


"Караул!! Спасайте!"
Отправлено samson_la , 30-Сен-06 15:16 
>Господа-товарищи...    Вы наверное немного не поняли суть вопроса...  
>  На сервере не стоит никаких ФТП, или Самба...  
>на серваке есть только МПД-сервер для ВПН с адрусом 10.1.4.1 .
>   А у клиентов адреса  -- 10.1.4.2-254
>
>Так вот клиент 1 может зайти на клиент 2 с Айпи(1- 10,1,4,7(например)
>на 2 -10,1,4,20)   и видеть общедоступные папки как дает
>виндовс, качать из нах и т.д.   как в обычной
>сети..  Но трафик весь пробегает через сервер 10,1,4,1(там то он
>и считаеться).
>тоесть маршрут такой:   1клиент(10,1,4,7) ---> МПД-сервер(10,1,4,1) --> 2 клиент(10,1,4,20).    Так какие тут прикрыть порты?

так у вас же еще есть сеть 192.168.0.0/24 где трафик не считается. И по хорошему клиенты всегда должны между собой работаеть по сети 192.168.0.0/24 а не по 10.1.4.0/24. Тогда запретите фаерволом транзитный трафик с адресов сети 10.1.4.0/24 на адреса этойже сети 10.1.4.0/24. Чтоб пользователи никак не могли качать друг с друга через vpn сеть. А только потом разбирайтесь с маршрутизацией на клиентской части, если это потребуется. А скорее всего, не потребуется. Думаю, винды у клиентов сразу же буду работать между собой по сети 192.168.0.0/24. У меня аналогичная сеть (биллинг не на mpd). ничего нигде не прикрывал, все и так работает нормально.

ps: Может быть это реализуемо средствами mpd, как не знаю.


"Караул!! Спасайте!"
Отправлено Shaokoa , 30-Сен-06 17:39 
>>Господа-товарищи...    Вы наверное немного не поняли суть вопроса...  
>>  На сервере не стоит никаких ФТП, или Самба...  
>>на серваке есть только МПД-сервер для ВПН с адрусом 10.1.4.1 .
>>   А у клиентов адреса  -- 10.1.4.2-254
>>
>>Так вот клиент 1 может зайти на клиент 2 с Айпи(1- 10,1,4,7(например)
>>на 2 -10,1,4,20)   и видеть общедоступные папки как дает
>>виндовс, качать из нах и т.д.   как в обычной
>>сети..  Но трафик весь пробегает через сервер 10,1,4,1(там то он
>>и считаеться).
>>тоесть маршрут такой:   1клиент(10,1,4,7) ---> МПД-сервер(10,1,4,1) --> 2 клиент(10,1,4,20).    Так какие тут прикрыть порты?
>
>так у вас же еще есть сеть 192.168.0.0/24 где трафик не считается.
>И по хорошему клиенты всегда должны между собой работаеть по сети
>192.168.0.0/24 а не по 10.1.4.0/24. Тогда запретите фаерволом транзитный трафик с
>адресов сети 10.1.4.0/24 на адреса этойже сети 10.1.4.0/24. Чтоб пользователи никак
>не могли качать друг с друга через vpn сеть. А только
>потом разбирайтесь с маршрутизацией на клиентской части, если это потребуется. А
>скорее всего, не потребуется. Думаю, винды у клиентов сразу же буду
>работать между собой по сети 192.168.0.0/24. У меня аналогичная сеть (биллинг
>не на mpd). ничего нигде не прикрывал, все и так работает
>нормально.
>
>ps: Может быть это реализуемо средствами mpd, как не знаю.

Именно так все и есть!  Вначале они работають по сети 192,168,0,0/24, просто одним поздним вечером я ввел в строку проводника такую штуку : \\10,4,1,7 (например)  и мне открылись все шары того пользователя который подключен к и-нету через МПД( ну и у меня тоже было подключение)  
какого типа правило нужно написать?  что-то типа XMIT???   так как нужно запретить все транзакции из сети 10,4,1,0/24 в эту же сеть, НО НЕ ЗАПРЕТИТИЬ соединяться с 10,4,1,1 (сервер)


"Караул!! Спасайте!"
Отправлено samson_la , 02-Окт-06 17:51 
>какого типа правило нужно написать? что-то типа XMIT???
> так как нужно запретить все транзакции из сети 10,4,1,0/24 в эту же сеть

Как я понимаю, вы работаете с freeBSD (тк mpd стоит). Как это сделать во фре я не знаю.
В linux-е можно запретить forward пакетов с сети 10.4.1.0/24 в эту же сеть, думаю, так будет работать:
# iptables -t nat -I FORWARD -s 10.4.1.0/24 -d 10.4.1.0/24 -j DROP
Суть такая: "НАДО ЗАПРЕТИТЬ ТРАНЗИТНЫЙ ТРАФИК С СЕТИ 10.4.1.0/24 В ЭТУ ЖЕ СЕТЬ"
После чего пользователи не будут иметь доступ к шарам из сети 10.4.1.0/24
И им ничего не останется, кроме как работать с адресами из сети 192.168.0.0/24, трафик с которых не считается.

>НО НЕ ЗАПРЕТИТИЬ соединяться с 10,4,1,1 (сервер)

1. никто и не предлагает запрещять доступ к вашему МПД
2. как я понимаю, соединяются пользователи не с 10.4.1.1 а с 192.168.0.1. 10.4.1.1 - это удаленный IP_адрес на интерфейсе ppp* после соединения. Я хочу сказать что адрес vpn сервера у вас 192.168.0.1 а не 10.4.1.1. Когда пользователь "создает новое vpn соединение" с виндов, какой адрес он прописывает в свойствах соединения?