Děkuji za přednášku. Jsem pouze zaučený, abychom strojaře neurazili. Mají své místo.
Já jen, že dotaz byl ohledně:
- časového vypnutí a zapnutí v ROS
- s tím, že problém HTTPS není v tomto případě podstatný, mpcz, 15.4.2018
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Jak na Mikrotiku neplatici podsunout informaci o neuhrazeni NETu
niečo na štýl tohoto?
Kód: Vybrat vše
ip firewall nat add chain=dstnat protocol=tcp src-address-list=neplatic dst-port=80 action=dst-nat to-addresses=1.2.3.4 to-ports=8
0 time=!19:00:00-19:30:00,fri,mon,sat,sun,thu,tue,wed
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
Dík, asi to bude ono, nějaký čas tam vidím, ale pokud by to šlo, jednodušší pro mě je otisk něčeho ve winboxu. mpcz, 15.4.2018
0 x
Ináč čas nájdeš pri zadávaní pravidla cez winbox v záložke "extra" - "Time"
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
OK, dík, cítím, že cíl je blízko. Ten čas jsem tam našel, ale není mi jasné, jak dosáhnu "odšednutí/zašednutí" toho příslušného řádku=IP v zadané době v address listu. mpcz, 15.4.2018
0 x
neviem či som dobre pochopil.
Adress list napr. "neplatici" si budeš musieť naplniť ručne alebo automatom z nejakého IS čo používaš.
Pravidlo Ti zabezpečí aby si v určenom čase presmeroval adresy ktoré sú v adresliste, v čase kedy pravidlo neplatí sa proste nebude uplatňovať tento adreslist, adresy nemusia byť "zašednuté", proste neplatí pre ne pravidlo a tým to hasne. Pokiaľ klient zaplatí tak ho len buď Ty alebo IS zmaže z adreslistu a hotovo.
Samozrejme bude záležať od umiestnenia pravidla v poradí.
Adress list napr. "neplatici" si budeš musieť naplniť ručne alebo automatom z nejakého IS čo používaš.
Pravidlo Ti zabezpečí aby si v určenom čase presmeroval adresy ktoré sú v adresliste, v čase kedy pravidlo neplatí sa proste nebude uplatňovať tento adreslist, adresy nemusia byť "zašednuté", proste neplatí pre ne pravidlo a tým to hasne. Pokiaľ klient zaplatí tak ho len buď Ty alebo IS zmaže z adreslistu a hotovo.
Samozrejme bude záležať od umiestnenia pravidla v poradí.
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
Ano, taky cítím, že tu je nesoulad v úvaze. V AL mám nyní všechny IP, které se historicky vyskytly v neplacení, konkrétně na této bráně (cca 800ks). Nyní jsou všechny zašedlé. Když účetní "systém" vyhodnotí neplatiče, odšedne jeho IP. Jediné, co je nyní potřeba, aby tyto odšedlé řádky byly aktivní (= přesměrované) celý den, mimo těch nastavitelných cca 10 minut denně. Děkuji za trpělivost. mpcz, 15.4.2018
0 x
ok super už som sa zorientoval.
v tom prípade by som použil toto pravidlo z dôvodu že cez winbox nie je možné nastaviť čas s príznakom "!"
upravil by som:
- src-adress-list= názov tvojho adreslistu obsahujúceho neplatičov
- to-addresses= adresa webservera kde budeš mať stránku s infom o nezaplatení
- time=! a časový rozsah v ktorom chceš aby internet na http fungoval, mimo tento rozsah sa bude pravidlo uplatňovať a teda presmerovávať klientov na stránku a vybrať dni (v mojom príklade všetky dni týždňa)
v adresliste ktorý Ti plní účtovníctvo nemusíš riešiť nič, pokiaľ je adresa zašednutá pravidlo pre ňu neplatí a teda presmerovanie neplatí, Pokiaľ adresa je "odšednutá" alebo novo pridaná - pravidlo s ňou štandardne pracuje =je presmerovaná. Ako náhle účtovníctvo adresu "zašedne" pravidlo bez ohľadu na čas prestáva platiť a klient sa dostane okamžite na internet. To znamená že čas sa určuje v pravidle o presmerovaní nie v adresliste
Finta je v tom nastavení Time pomocou "!"
ak by si to nechcel takto, tak potrebuješ dve pravidlá: jedno s trvaním 00:00:00 do 19:00:00 a druhé s trvaním od 19:10:00 do 23:59:59
dúfam že som Ti do ozrejmil dostatočne
v tom prípade by som použil toto pravidlo z dôvodu že cez winbox nie je možné nastaviť čas s príznakom "!"
Kód: Vybrat vše
ip firewall nat add chain=dstnat protocol=tcp src-address-list=neplatic dst-port=80 action=dst-nat to-addresses=1.2.3.4 to-ports=80 time=!19:00:00-19:10:00,fri,mon,sat,sun,thu,tue,wed
upravil by som:
- src-adress-list= názov tvojho adreslistu obsahujúceho neplatičov
- to-addresses= adresa webservera kde budeš mať stránku s infom o nezaplatení
- time=! a časový rozsah v ktorom chceš aby internet na http fungoval, mimo tento rozsah sa bude pravidlo uplatňovať a teda presmerovávať klientov na stránku a vybrať dni (v mojom príklade všetky dni týždňa)
v adresliste ktorý Ti plní účtovníctvo nemusíš riešiť nič, pokiaľ je adresa zašednutá pravidlo pre ňu neplatí a teda presmerovanie neplatí, Pokiaľ adresa je "odšednutá" alebo novo pridaná - pravidlo s ňou štandardne pracuje =je presmerovaná. Ako náhle účtovníctvo adresu "zašedne" pravidlo bez ohľadu na čas prestáva platiť a klient sa dostane okamžite na internet. To znamená že čas sa určuje v pravidle o presmerovaní nie v adresliste
Finta je v tom nastavení Time pomocou "!"
ak by si to nechcel takto, tak potrebuješ dve pravidlá: jedno s trvaním 00:00:00 do 19:00:00 a druhé s trvaním od 19:10:00 do 23:59:59
dúfam že som Ti do ozrejmil dostatočne
1 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
Nic samo od sebe zašedávat a odešedávat nebude. Třeba pravidlo
říká: pokud je protokol TCP a zdrojová adresa se vyskytuje v listu neplatici a cílový port je 80 a aktuální čas je jiný, než 19:00-19:10 v pondělí-neděli proveď dst-nat na adresu 1.2.3.4 na port 80
Tedy pravidlo se časově neaktivuje/nedeaktivuje (takže nešedne) jen podmínky platnosti pravidla jsou závislé na čase. Čas se, stejně jako všechny další podmínky, vyhodnocuje pro každý zpracovaný paket.
Kód: Vybrat vše
ip firewall nat add chain=dstnat protocol=tcp src-address-list=neplatic dst-port=80 action=dst-nat to-addresses=1.2.3.4 to-ports=80 time=!19:00:00-19:10:00,fri,mon,sat,sun,thu,tue,wed
říká: pokud je protokol TCP a zdrojová adresa se vyskytuje v listu neplatici a cílový port je 80 a aktuální čas je jiný, než 19:00-19:10 v pondělí-neděli proveď dst-nat na adresu 1.2.3.4 na port 80
Tedy pravidlo se časově neaktivuje/nedeaktivuje (takže nešedne) jen podmínky platnosti pravidla jsou závislé na čase. Čas se, stejně jako všechny další podmínky, vyhodnocuje pro každý zpracovaný paket.
0 x
Už se i bojím zeptat, ale snad to vydržíte: rozumím tomu dobře, že pro každou IP bude ve FW řádek?
Možná předbíhám: řešil někdo skript, který proběhne celý AL shora dolů a pokud nalezne řádek který je Enable, tak ho zašedne a změní name z "presmerovat-na-web" na "PNW"?
Druhý skript, který který proběhne celý AL shora dolů a pokud nalezne řádek který má name="PNW", tak ho odšedne a změní name na "presmerovat-na-web"?
To by asi nemělo být nijak složité, že? (samozřejmě jak pro koho). Děkuji, mpcz, 15.4.2018
Možná předbíhám: řešil někdo skript, který proběhne celý AL shora dolů a pokud nalezne řádek který je Enable, tak ho zašedne a změní name z "presmerovat-na-web" na "PNW"?
Druhý skript, který který proběhne celý AL shora dolů a pokud nalezne řádek který má name="PNW", tak ho odšedne a změní name na "presmerovat-na-web"?
To by asi nemělo být nijak složité, že? (samozřejmě jak pro koho). Děkuji, mpcz, 15.4.2018
0 x
nie vo FW nemusíš mať riadok pre každú IP to práve riešia address listy, to znamená že 1 pravidlo sa uplatňuje na všetky IP ktoré sú v danom adresliste (pokiaľ nie sú disabled - "zašednuté")
tj pravidlo nepíšeš pre ip ale pre address list či už source alebo destination
tj pravidlo nepíšeš pre ip ale pre address list či už source alebo destination
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
Ano, jenže já už tam pravidlo mám, pravděpodobně funguje trošku odlišně. Dík, mpcz, 15.4.2018
0 x
redirect ti spraví presmerovanie na jednu z IP routera, teda ti to presmeruje na tvoj router a port 8080, máš tam asi nejakú web službu nie?
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
Pokud ti to funguje a chceš jen na 10 minut denně povolit neplatičům internet, tak doklikej to časové pravidlo na záložce Extra v sekci Time a je to.
Ten address list je právě proto, aby se nemuselo opakovat mnoho řádků ve firewallu nebo to řešit nějakými JUMPy do jiného chainu. K čemu by byl addresslist když by se musela opisovat hromada pravidel?
S tím skriptem jsem to nepochopil teda vůbec.
Četl jsi jak jsem popisoval a jak konkrétně to pravidlo dělá? Chápeš alespoň trošku jak ta pravidla fungují?
Data po síti jezdí ve vozíčcích, kterým říkáme pakety. Pokud vozíček jede po určité koleji (třeba chain prerouting) platí pro něj všechny dopravní značky (pravidla) která jsou u té koleje umístěna. V tomto konkrétním případě se na značce píše "změň cílovou stanici", dodatkovými tabulkami je pak určeno, že to platí jen pro vozíčky které jsou typu TCP, jedou v cílové stanici na nástupiště číslo 80 a vyjeli z některé ze stanic uvedených ve věstníku v seznamu "presmerovat-na-web"
Pokud dotčené vozíčky chceš do jiné stanice přesměrovávat jen někdy podle času, nemusíš kvůli toho 2x denně v přesných časech vydávat nový věstník. Stačí k té dopravní značce dodat jen dodatkovou tabulku "neplatí v době od 19:00 do 19:10".
Ten address list je právě proto, aby se nemuselo opakovat mnoho řádků ve firewallu nebo to řešit nějakými JUMPy do jiného chainu. K čemu by byl addresslist když by se musela opisovat hromada pravidel?
S tím skriptem jsem to nepochopil teda vůbec.
Četl jsi jak jsem popisoval a jak konkrétně to pravidlo dělá? Chápeš alespoň trošku jak ta pravidla fungují?
Data po síti jezdí ve vozíčcích, kterým říkáme pakety. Pokud vozíček jede po určité koleji (třeba chain prerouting) platí pro něj všechny dopravní značky (pravidla) která jsou u té koleje umístěna. V tomto konkrétním případě se na značce píše "změň cílovou stanici", dodatkovými tabulkami je pak určeno, že to platí jen pro vozíčky které jsou typu TCP, jedou v cílové stanici na nástupiště číslo 80 a vyjeli z některé ze stanic uvedených ve věstníku v seznamu "presmerovat-na-web"
Pokud dotčené vozíčky chceš do jiné stanice přesměrovávat jen někdy podle času, nemusíš kvůli toho 2x denně v přesných časech vydávat nový věstník. Stačí k té dopravní značce dodat jen dodatkovou tabulku "neplatí v době od 19:00 do 19:10".
0 x
Noxus28 píše:redirect ti spraví presmerovanie na jednu z IP routera, teda ti to presmeruje na tvoj router a port 8080, máš tam asi nejakú web službu nie?
Ano, mám, to už funguje léta, jenom mi nějaká dobrák přehodil IP adresu v routeru a nemohl jsem se s tím samozřejmě domluvit. Už vše funguje tak, jak má. Ještě možná nastanou menší korekce toho času. Dík za trpělivost. mpcz, 15.4.2018
0 x