Dostęp do sieci tylko w wybranych godzinach
Witam,
Zgłosił się do nas klient, który z powodu nadużywania komputera przez jego syna postanowił, aby internet był dostępny tylko przez godzinę dziennie, od 21-22 ;)
Najprostszym rozwiązaniem jest chyba zablokowanie komputera klienta i z crona, o 21 odpalanie zapytania SQL, które włącza dany komputer i robi reload, a o 22 znowu oznacza jako zablokowany i reload.
Czy ktoś miał podobny "problem" ? Może macie na to jakiś inny sposób?
Pozdrawiam, SP
W dniu 23.04.2013 12:05, Sławomir Paszkiewicz napisał(a):
Witam,
Witaj,
Zgłosił się do nas klient, który z powodu nadużywania komputera przez jego syna postanowił, aby internet był dostępny tylko przez godzinę dziennie, od 21-22 ;)
Najprostszym rozwiązaniem jest chyba zablokowanie komputera klienta i z crona, o 21 odpalanie zapytania SQL, które włącza dany komputer i robi reload, a o 22 znowu oznacza jako zablokowany i reload.
Czy ktoś miał podobny "problem" ? Może macie na to jakiś inny sposób?
Masz przygotowany pod tym kątem w UI kod obsługujący nodelocks. Dorabiasz backend skryptowy zgodny z Twoim systemem dostępowym i masz z poziomu interfejsu użytkownika LMS zarządzania blokadami komputerów.
Pozdrawiam, SP
W dniu 23.04.2013 12:08, Tomasz Chiliński pisze:
Czy ktoś miał podobny "problem" ? Może macie na to jakiś inny sposób?
Masz przygotowany pod tym kątem w UI kod obsługujący nodelocks. Dorabiasz backend skryptowy zgodny z Twoim systemem dostępowym i masz z poziomu interfejsu użytkownika LMS zarządzania blokadami komputerów.
Mógłbyś to trochę bardziej rozwinąć? Od czego zacząć?
W dniu 23.04.2013 12:12, Sławomir Paszkiewicz napisał(a):
W dniu 23.04.2013 12:08, Tomasz Chiliński pisze: Czy ktoś miał podobny "problem" ? Może macie na to jakiś inny sposób?
Masz przygotowany pod tym kątem w UI kod obsługujący nodelocks. Dorabiasz backend skryptowy zgodny z Twoim systemem dostępowym i masz z poziomu interfejsu użytkownika LMS zarządzania blokadami komputerów. Mógłbyś to trochę bardziej rozwinąć? Od czego zacząć?
Wejdź na właściwości dowolnego komputera i zajrzyj do karty "Blokady". Zobaczysz o co chodzi.
W dniu 23.04.2013 12:19, Tomasz Chiliński pisze:
W dniu 23.04.2013 12:12, Sławomir Paszkiewicz napisał(a):
W dniu 23.04.2013 12:08, Tomasz Chiliński pisze: Czy ktoś miał podobny "problem" ? Może macie na to jakiś inny sposób?
Masz przygotowany pod tym kątem w UI kod obsługujący nodelocks. Dorabiasz backend skryptowy zgodny z Twoim systemem dostępowym i masz z poziomu interfejsu użytkownika LMS zarządzania blokadami komputerów. Mógłbyś to trochę bardziej rozwinąć? Od czego zacząć?
Wejdź na właściwości dowolnego komputera i zajrzyj do karty "Blokady". Zobaczysz o co chodzi.
O faktycznie, jest!
A jakaś dokumentacja do tego powstała? Bo na stronie nie widzę ;)
Ja potrzebuje odblokować od 21 do 22, a z tego co widzę to tutaj ustawia się godziny blokady. A niestety nie da się ustawić od 22 do 21.
W dniu 2013-04-23 12:23, Sławomir Paszkiewicz pisze:
W dniu 23.04.2013 12:19, Tomasz Chiliński pisze:
W dniu 23.04.2013 12:12, Sławomir Paszkiewicz napisał(a):
W dniu 23.04.2013 12:08, Tomasz Chiliński pisze: Czy ktoś miał podobny "problem" ? Może macie na to jakiś inny sposób?
Masz przygotowany pod tym kątem w UI kod obsługujący nodelocks. Dorabiasz backend skryptowy zgodny z Twoim systemem dostępowym i masz z poziomu interfejsu użytkownika LMS zarządzania blokadami komputerów. Mógłbyś to trochę bardziej rozwinąć? Od czego zacząć?
Wejdź na właściwości dowolnego komputera i zajrzyj do karty "Blokady". Zobaczysz o co chodzi.
O faktycznie, jest!
A jakaś dokumentacja do tego powstała? Bo na stronie nie widzę ;)
Ja potrzebuje odblokować od 21 do 22, a z tego co widzę to tutaj ustawia się godziny blokady. A niestety nie da się ustawić od 22 do 21.
to ustaw od 00 do 21, od 22 do 23
W dniu 2013-04-23 12:05, Sławomir Paszkiewicz pisze:
Witam,
Zgłosił się do nas klient, który z powodu nadużywania komputera przez jego syna postanowił, aby internet był dostępny tylko przez godzinę dziennie, od 21-22 ;)
Najprostszym rozwiązaniem jest chyba zablokowanie komputera klienta i z crona, o 21 odpalanie zapytania SQL, które włącza dany komputer i robi reload, a o 22 znowu oznacza jako zablokowany i reload.
Czy ktoś miał podobny "problem" ? Może macie na to jakiś inny sposób?
Nie mam tego zrobionego, ale wspomniana tutaj nakładka na radiusa o nazwie daloradius miała taką funkcjonalność. Z wykorzystaniem radiusa możesz zrobić 1. dostęp w określonych godzinach 2. dostęp z określonym limitem danych 3. dostęp z określonym czasem .. i jeszcze różne miksy tych wariantów. Niestety raczej nie da się tego "prosto zrobić".
W dniu 23.04.2013 12:09, Daniel Kulesza pisze:
W dniu 2013-04-23 12:05, Sławomir Paszkiewicz pisze:
Witam,
Zgłosił się do nas klient, który z powodu nadużywania komputera przez jego syna postanowił, aby internet był dostępny tylko przez godzinę dziennie, od 21-22 ;)
Najprostszym rozwiązaniem jest chyba zablokowanie komputera klienta i z crona, o 21 odpalanie zapytania SQL, które włącza dany komputer i robi reload, a o 22 znowu oznacza jako zablokowany i reload.
Czy ktoś miał podobny "problem" ? Może macie na to jakiś inny sposób?
Nie mam tego zrobionego, ale wspomniana tutaj nakładka na radiusa o nazwie daloradius miała taką funkcjonalność. Z wykorzystaniem radiusa możesz zrobić 1. dostęp w określonych godzinach 2. dostęp z określonym limitem danych 3. dostęp z określonym czasem .. i jeszcze różne miksy tych wariantów. Niestety raczej nie da się tego "prosto zrobić".
No tak, ale nie mam radiusa niestety, wiec musze stosowac takie pokrectwa jak wymyslilem powyzej ;) Moze kiedys przejde na radiusa.. i od razu ppp ;)
Pozdrawiam, SP
W dniu 2013-04-23 12:11, Sławomir Paszkiewicz pisze:
W dniu 23.04.2013 12:09, Daniel Kulesza pisze:
W dniu 2013-04-23 12:05, Sławomir Paszkiewicz pisze:
Witam,
Zgłosił się do nas klient, który z powodu nadużywania komputera przez jego syna postanowił, aby internet był dostępny tylko przez godzinę dziennie, od 21-22 ;)
Najprostszym rozwiązaniem jest chyba zablokowanie komputera klienta i z crona, o 21 odpalanie zapytania SQL, które włącza dany komputer i robi reload, a o 22 znowu oznacza jako zablokowany i reload.
Czy ktoś miał podobny "problem" ? Może macie na to jakiś inny sposób?
Nie mam tego zrobionego, ale wspomniana tutaj nakładka na radiusa o nazwie daloradius miała taką funkcjonalność. Z wykorzystaniem radiusa możesz zrobić 1. dostęp w określonych godzinach 2. dostęp z określonym limitem danych 3. dostęp z określonym czasem .. i jeszcze różne miksy tych wariantów. Niestety raczej nie da się tego "prosto zrobić".
No tak, ale nie mam radiusa niestety, wiec musze stosowac takie pokrectwa jak wymyslilem powyzej ;) Moze kiedys przejde na radiusa.. i od razu ppp ;)
Pozdrawiam, SP _______________________________________________ lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms
Jeżeli klient ma mikrotika to może u niego zrobić regułkę w firewallu odpalaną schedulerem. No chyba że nie ma MT.
W dniu 2013-04-23 12:31, Sławomir Paszkiewicz pisze:
W dniu 23.04.2013 12:28, Maciej Osuchowski, MASTERKOM pisze:
Jeżeli klient ma mikrotika to może u niego zrobić regułkę w firewallu odpalaną schedulerem. No chyba że nie ma MT.
Nie ma, ma UBNT. Ale to wystarczy na serwerze w iptables dla konkretnego IP robic DROP
jestem na etapie ogarniania tych blokad czasowych w iptables, moj pomysl to jedna regulka+ipset do sprawdzania czy dany klient ma blokade czasowa, potem osobny lancuch z timerange do blokowania
W dniu 23.04.2013 12:31, Sławomir Paszkiewicz pisze:
W dniu 23.04.2013 12:28, Maciej Osuchowski, MASTERKOM pisze:
Jeżeli klient ma mikrotika to może u niego zrobić regułkę w firewallu odpalaną schedulerem. No chyba że nie ma MT.
Nie ma, ma UBNT. Ale to wystarczy na serwerze w iptables dla konkretnego IP robic DROP
UBNT to też linux. Wystarczy w skryptach startowych sobie cośtam dodać. Przypadki takie są indywidualne i raczej bardzo rzadkie. Możesz wrzucić dowolny skrypt za pomocą sh i odpalać go w autostarcie ubnt.
A Pani możesz polecić też np. zabranie routera dziecku/kabla od komputera. Tak btw takie metody wychowawcze są totalnie z dupy ale to nie nasza działka.
W dniu 23 kwietnia 2013 14:04 użytkownik Jarosław 'YArii' Kłopotek < jkl@interduo.pl> napisał:
A Pani możesz polecić też np. zabranie routera dziecku/kabla od komputera. Tak btw takie metody wychowawcze są totalnie z dupy ale to nie nasza działka.
Pewnie, że do dupy. Do kogo ta pani będzie dzwonić, jak jej się przypomni, że musi ważny przelew zrobić a tu niestety neta niet ?? My mówimy prosto - nie wykonujemy takich usług i tyle.
W dniu 2013-04-23 15:35, Daniel Kulesza pisze:
W dniu 2013-04-23 14:12, Marcin pisze:
Do kogo ta pani będzie dzwonić, jak jej się przypomni, że musi ważny przelew zrobić a tu niestety neta niet ?? My mówimy prosto - nie wykonujemy takich usług i tyle.
No trzeba zrobić tak, żeby mogła sobie to włączać i wyłączać sms'em ;) _______________________________________________
zapomniałem dodać, że usługa płatna dodatkowo np. 5 zł miesięcznie
W dniu 23.04.2013 14:12, Marcin pisze:
W dniu 23 kwietnia 2013 14:04 użytkownik Jarosław 'YArii' Kłopotek <jkl@interduo.pl mailto:jkl@interduo.pl> napisał:
A Pani możesz polecić też np. zabranie routera dziecku/kabla od komputera. Tak btw takie metody wychowawcze są totalnie z dupy ale to nie nasza działka.Pewnie, że do dupy. Do kogo ta pani będzie dzwonić, jak jej się przypomni, że musi ważny przelew zrobić a tu niestety neta niet ?? My mówimy prosto - nie wykonujemy takich usług i tyle.
Ja się kiedyś zastanawiałem czy w panelu eBOK nie wartoby było wprowadzić kilku takich opcji związanych z tymi blokadami i połączyć to regułkami iptables+ipset, tak by robić to totalnie bezprzerwowo. Ale jak na razie takich zgłoszeń było u nas 3 może 5.
W dniu 2013-04-23 15:58, Jarosław 'YArii' Kłopotek pisze:
W dniu 23.04.2013 14:12, Marcin pisze:
W dniu 23 kwietnia 2013 14:04 użytkownik Jarosław 'YArii' Kłopotek <jkl@interduo.pl mailto:jkl@interduo.pl> napisał:
A Pani możesz polecić też np. zabranie routera dziecku/kabla od komputera. Tak btw takie metody wychowawcze są totalnie z dupy ale to nie nasza działka.Pewnie, że do dupy. Do kogo ta pani będzie dzwonić, jak jej się przypomni, że musi ważny przelew zrobić a tu niestety neta niet ?? My mówimy prosto - nie wykonujemy takich usług i tyle.
Ja się kiedyś zastanawiałem czy w panelu eBOK nie wartoby było wprowadzić kilku takich opcji związanych z tymi blokadami i połączyć to regułkami iptables+ipset, tak by robić to totalnie bezprzerwowo. Ale jak na razie takich zgłoszeń było u nas 3 może 5.
U nas w panelu jest opcja ustawiania mocy zasiegu wifi z opcja jego wylaczenia calkowitego. Normalnie zajoba mozna czasem dostac jak klient sobie ustawi na off i dzwoni ze internet mu zginal (3 razy potwierdza ze jest swiadomy tego co robi). Tu cos czuje, ze byloby podobnie :P
pozdrawiam
W dniu 23.04.2013 12:28, Maciej Osuchowski, MASTERKOM napisał(a):
W dniu 2013-04-23 12:11, Sławomir Paszkiewicz pisze:
W dniu 23.04.2013 12:09, Daniel Kulesza pisze: W dniu 2013-04-23 12:05, Sławomir Paszkiewicz pisze: Witam,
Zgłosił się do nas klient, który z powodu nadużywania komputera przez jego syna postanowił, aby internet był dostępny tylko przez godzinę dziennie, od 21-22 ;)
Najprostszym rozwiązaniem jest chyba zablokowanie komputera klienta i z crona, o 21 odpalanie zapytania SQL, które włącza dany komputer i robi reload, a o 22 znowu oznacza jako zablokowany i reload.
Czy ktoś miał podobny "problem" ? Może macie na to jakiś inny sposób?
Nie mam tego zrobionego, ale wspomniana tutaj nakładka na radiusa o nazwie daloradius miała taką funkcjonalność. Z wykorzystaniem radiusa możesz zrobić 1. dostęp w określonych godzinach 2. dostęp z określonym limitem danych 3. dostęp z określonym czasem .. i jeszcze różne miksy tych wariantów. Niestety raczej nie da się tego "prosto zrobić". No tak, ale nie mam radiusa niestety, wiec musze stosowac takie pokrectwa jak wymyslilem powyzej ;) Moze kiedys przejde na radiusa.. i od razu ppp ;)
Pozdrawiam, SP _______________________________________________ lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms [1] Jeżeli klient ma mikrotika to może u niego zrobić regułkę w firewallu odpalaną schedulerem. No chyba że nie ma MT.
RouterOS to jedynie zry**ny Linux, więc pochodzi te ich "autorskie" rozwiązanie nazywane schedulerem od testu time netfiltra. Polecam zapoznanie się dokumentacją do modułu xt_time oraz manem tego testu do iptables.
-- Pozdrawiam, Maciej Osuchowski
W dniu 23.04.2013 12:41, Tomasz Chiliński pisze:
W dniu 23.04.2013 12:28, Maciej Osuchowski, MASTERKOM napisał(a):
W dniu 2013-04-23 12:11, Sławomir Paszkiewicz pisze:
W dniu 23.04.2013 12:09, Daniel Kulesza pisze: W dniu 2013-04-23 12:05, Sławomir Paszkiewicz pisze: Witam,
Zgłosił się do nas klient, który z powodu nadużywania komputera przez jego syna postanowił, aby internet był dostępny tylko przez godzinę dziennie, od 21-22 ;)
Najprostszym rozwiązaniem jest chyba zablokowanie komputera klienta i z crona, o 21 odpalanie zapytania SQL, które włącza dany komputer i robi reload, a o 22 znowu oznacza jako zablokowany i reload.
Czy ktoś miał podobny "problem" ? Może macie na to jakiś inny sposób?
Nie mam tego zrobionego, ale wspomniana tutaj nakładka na radiusa o nazwie daloradius miała taką funkcjonalność. Z wykorzystaniem radiusa możesz zrobić 1. dostęp w określonych godzinach 2. dostęp z określonym limitem danych 3. dostęp z określonym czasem .. i jeszcze różne miksy tych wariantów. Niestety raczej nie da się tego "prosto zrobić". No tak, ale nie mam radiusa niestety, wiec musze stosowac takie pokrectwa jak wymyslilem powyzej ;) Moze kiedys przejde na radiusa.. i od razu ppp ;)
Pozdrawiam, SP _______________________________________________ lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms [1] Jeżeli klient ma mikrotika to może u niego zrobić regułkę w firewallu odpalaną schedulerem. No chyba że nie ma MT.
RouterOS to jedynie zry**ny Linux, więc pochodzi te ich "autorskie" rozwiązanie nazywane schedulerem od testu time netfiltra. Polecam zapoznanie się dokumentacją do modułu xt_time oraz manem tego testu do iptables.
Ok, poznałem iptables -m time ale w związku z tym mam 3 pytania:
1. Jaką zmienną należy użyć aby w module demona 'hosts ' pobierało czas blokady z nodelocks? 2. Według dokumentacji iptables czas do tego modułu podajemy w formacie (YYYY[-MM[-DD[Thh[:mm[:ss]]]]] a w LMS jest inny 3. Po wykonaniu z palca polecenia: # iptables -t nat -I PREROUTING -s 10.59.23.114 -m time --timestart 13:40:00 --timestop 13:45:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun -p tcp -j DNAT --to-destination 10.59.23.1:86
Dostaje informacje: iptables: No chain/target/match by that name.
Sam moduł oczywiście jest w systemie, bo iptables -m time działa
Pozdrawiam, SP
W dniu 24.04.2013 08:13, Sławomir Paszkiewicz napisał(a):
W dniu 23.04.2013 12:41, Tomasz Chiliński pisze: W dniu 23.04.2013 12:28, Maciej Osuchowski, MASTERKOM napisał(a): W dniu 2013-04-23 12:11, Sławomir Paszkiewicz pisze:
W dniu 23.04.2013 12:09, Daniel Kulesza pisze: W dniu 2013-04-23 12:05, Sławomir Paszkiewicz pisze: Witam,
Zgłosił się do nas klient, który z powodu nadużywania komputera przez jego syna postanowił, aby internet był dostępny tylko przez godzinę dziennie, od 21-22 ;)
Najprostszym rozwiązaniem jest chyba zablokowanie komputera klienta i z crona, o 21 odpalanie zapytania SQL, które włącza dany komputer i robi reload, a o 22 znowu oznacza jako zablokowany i reload.
Czy ktoś miał podobny "problem" ? Może macie na to jakiś inny sposób?
Nie mam tego zrobionego, ale wspomniana tutaj nakładka na radiusa o nazwie daloradius miała taką funkcjonalność. Z wykorzystaniem radiusa możesz zrobić 1. dostęp w określonych godzinach 2. dostęp z określonym limitem danych 3. dostęp z określonym czasem .. i jeszcze różne miksy tych wariantów. Niestety raczej nie da się tego "prosto zrobić". No tak, ale nie mam radiusa niestety, wiec musze stosowac takie pokrectwa jak wymyslilem powyzej ;) Moze kiedys przejde na radiusa.. i od razu ppp ;)
Pozdrawiam, SP _______________________________________________ lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms [1] Jeżeli klient ma mikrotika to może u niego zrobić regułkę w firewallu odpalaną schedulerem. No chyba że nie ma MT.
RouterOS to jedynie zry**ny Linux, więc pochodzi te ich "autorskie" rozwiązanie nazywane schedulerem od testu time netfiltra. Polecam zapoznanie się dokumentacją do modułu xt_time oraz manem tego testu do iptables.
Ok, poznałem iptables -m time ale w związku z tym mam 3 pytania:
- Jaką zmienną należy użyć aby w module demona 'hosts ' pobierało
czas blokady z nodelocks? 2. Według dokumentacji iptables czas do tego modułu podajemy w formacie (YYYY[-MM[-DD[Thh[:mm[:ss]]]]] a w LMS jest inny 3. Po wykonaniu z palca polecenia: # iptables -t nat -I PREROUTING -s 10.59.23.114 -m time --timestart 13:40:00 --timestop 13:45:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun -p tcp -j DNAT --to-destination 10.59.23.1:86
Na pierwszy rzut oka masz błąd logiczny w regule, bo robisz przekierowanie na port, a nie robisz testu portu.
Dostaje informacje: iptables: No chain/target/match by that name.
Sam moduł oczywiście jest w systemie, bo iptables -m time działa
Pozdrawiam, SP
W dniu 24.04.2013 09:31, Tomasz Chiliński pisze:
Ok, poznałem iptables -m time ale w związku z tym mam 3 pytania:
- Jaką zmienną należy użyć aby w module demona 'hosts ' pobierało
czas blokady z nodelocks? 2. Według dokumentacji iptables czas do tego modułu podajemy w formacie (YYYY[-MM[-DD[Thh[:mm[:ss]]]]] a w LMS jest inny 3. Po wykonaniu z palca polecenia: # iptables -t nat -I PREROUTING -s 10.59.23.114 -m time --timestart 13:40:00 --timestop 13:45:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun -p tcp -j DNAT --to-destination 10.59.23.1:86
Na pierwszy rzut oka masz błąd logiczny w regule, bo robisz przekierowanie na port, a nie robisz testu portu.
Do tej pory coś takiego działało:
$IPT -t nat -I PREROUTING -i eth1.50 -m set ! --match-set zarejestrowani_10.60.50.0 src,src -s 10.60.50.0/24 -m tcp -p tcp --dport 80 ! -d 8.8.8.8 -j DNAT --to-destination 10.60.50.1:80 -m comment --comment "Przekierowanie na strone LAN-u"
Dodałem do tego: -m time --timestart 13:40:00 --timestop 13:45:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun
i już działać nie chce. nadal jest tutaj błąd logiczny?
Pozdrawiam, SP
W dniu 24.04.2013 09:58, Sławomir Paszkiewicz napisał(a):
W dniu 24.04.2013 09:31, Tomasz Chiliński pisze: Ok, poznałem iptables -m time ale w związku z tym mam 3 pytania:
- Jaką zmienną należy użyć aby w module demona 'hosts ' pobierało
czas blokady z nodelocks? 2. Według dokumentacji iptables czas do tego modułu podajemy w formacie (YYYY[-MM[-DD[Thh[:mm[:ss]]]]] a w LMS jest inny 3. Po wykonaniu z palca polecenia: # iptables -t nat -I PREROUTING -s 10.59.23.114 -m time --timestart 13:40:00 --timestop 13:45:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun -p tcp -j DNAT --to-destination 10.59.23.1:86
Na pierwszy rzut oka masz błąd logiczny w regule, bo robisz przekierowanie na port, a nie robisz testu portu.
Do tej pory coś takiego działało:
$IPT -t nat -I PREROUTING -i eth1.50 -m set ! --match-set zarejestrowani_10.60.50.0 src,src -s 10.60.50.0/24 -m tcp -p tcp --dport 80 ! -d 8.8.8.8 -j DNAT --to-destination 10.60.50.1:80 -m comment --comment "Przekierowanie na strone LAN-u"
Dodałem do tego: -m time --timestart 13:40:00 --timestop 13:45:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun
i już działać nie chce. nadal jest tutaj błąd logiczny?
Napisałeś, że nie działa polecenie: iptables -t nat -I PREROUTING -s 10.59.23.114 -m time --timestart 13:40:00 --timestop 13:45:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun -p tcp -j DNAT --to-destination 10.59.23.1:86 i w nim jest oczywiście błąd (brak testu portu). Nie wiem co w międzyczasie do tej pory u Ciebie działało.
Pozdrawiam, SP
W dniu 24.04.2013 10:04, Tomasz Chiliński pisze:
$IPT -t nat -I PREROUTING -i eth1.50 -m set ! --match-set zarejestrowani_10.60.50.0 src,src -s 10.60.50.0/24 -m tcp -p tcp --dport 80 ! -d 8.8.8.8 -j DNAT --to-destination 10.60.50.1:80 -m comment --comment "Przekierowanie na strone LAN-u"
Dodałem do tego: -m time --timestart 13:40:00 --timestop 13:45:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun
i już działać nie chce. nadal jest tutaj błąd logiczny?
Napisałeś, że nie działa polecenie: iptables -t nat -I PREROUTING -s 10.59.23.114 -m time --timestart 13:40:00 --timestop 13:45:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun -p tcp -j DNAT --to-destination 10.59.23.1:86 i w nim jest oczywiście błąd (brak testu portu). Nie wiem co w międzyczasie do tej pory u Ciebie działało.
OK, ale nawet jak w tym zapytaniu poprawiłem (tak mi się wydaje to też nie działało) więc wkleiłem inne, które na 100% do tej pory u mnie działało i jedynie dodałem do niego opcje związane z xt_time. Mógłbyś podać jakieś polecenie które u Ciebie działa? Chce tylko sprawdzić czy ten moduł nie jest po prostu u mnie spieprzony.
W dniu 24.04.2013 10:10, Sławomir Paszkiewicz napisał(a):
W dniu 24.04.2013 10:04, Tomasz Chiliński pisze: $IPT -t nat -I PREROUTING -i eth1.50 -m set ! --match-set zarejestrowani_10.60.50.0 src,src -s 10.60.50.0/24 -m tcp -p tcp --dport 80 ! -d 8.8.8.8 -j DNAT --to-destination 10.60.50.1:80 -m comment --comment "Przekierowanie na strone LAN-u"
Dodałem do tego: -m time --timestart 13:40:00 --timestop 13:45:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun
i już działać nie chce. nadal jest tutaj błąd logiczny?
Napisałeś, że nie działa polecenie: iptables -t nat -I PREROUTING -s 10.59.23.114 -m time --timestart 13:40:00 --timestop 13:45:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun -p tcp -j DNAT --to-destination 10.59.23.1:86 i w nim jest oczywiście błąd (brak testu portu). Nie wiem co w międzyczasie do tej pory u Ciebie działało. OK, ale nawet jak w tym zapytaniu poprawiłem (tak mi się wydaje to też nie działało) więc wkleiłem inne, które na 100% do tej pory u mnie działało i jedynie dodałem do niego opcje związane z xt_time. Mógłbyś podać jakieś polecenie które u Ciebie działa? Chce tylko sprawdzić czy ten moduł nie jest po prostu u mnie spieprzony.
U mnie wchodzi nawet i to: iptables -t nat -I PREROUTING -s 10.59.23.114 -m time --timestart 13:40:00 --timestop 13:45:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun -p tcp -j DNAT --to-destination 10.59.23.1:86 Tyle tylko, że ja bym dowolnego ruchu na jeden port 86 nie kierował - to rozumiem przez błąd logiczny. Po co ruch nie-http kierować na port 86, gdzie pewnie działa apache vhost wyświetlający jakieś informacje o powodzie blokadu. Niepotrzebne obciążanie apache-a.
PS. W PLD same problemy ;-)
W dniu 24.04.2013 10:16, Tomasz Chiliński pisze:
W dniu 24.04.2013 10:10, Sławomir Paszkiewicz napisał(a):
W dniu 24.04.2013 10:04, Tomasz Chiliński pisze: $IPT -t nat -I PREROUTING -i eth1.50 -m set ! --match-set zarejestrowani_10.60.50.0 src,src -s 10.60.50.0/24 -m tcp -p tcp --dport 80 ! -d 8.8.8.8 -j DNAT --to-destination 10.60.50.1:80 -m comment --comment "Przekierowanie na strone LAN-u"
Dodałem do tego: -m time --timestart 13:40:00 --timestop 13:45:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun
i już działać nie chce. nadal jest tutaj błąd logiczny?
Napisałeś, że nie działa polecenie: iptables -t nat -I PREROUTING -s 10.59.23.114 -m time --timestart 13:40:00 --timestop 13:45:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun -p tcp -j DNAT --to-destination 10.59.23.1:86 i w nim jest oczywiście błąd (brak testu portu). Nie wiem co w międzyczasie do tej pory u Ciebie działało. OK, ale nawet jak w tym zapytaniu poprawiłem (tak mi się wydaje to też nie działało) więc wkleiłem inne, które na 100% do tej pory u mnie działało i jedynie dodałem do niego opcje związane z xt_time. Mógłbyś podać jakieś polecenie które u Ciebie działa? Chce tylko sprawdzić czy ten moduł nie jest po prostu u mnie spieprzony.
U mnie wchodzi nawet i to: iptables -t nat -I PREROUTING -s 10.59.23.114 -m time --timestart 13:40:00 --timestop 13:45:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun -p tcp -j DNAT --to-destination 10.59.23.1:86 Tyle tylko, że ja bym dowolnego ruchu na jeden port 86 nie kierował - to rozumiem przez błąd logiczny. Po co ruch nie-http kierować na port 86, gdzie pewnie działa apache vhost wyświetlający jakieś informacje o powodzie blokadu. Niepotrzebne obciążanie apache-a.
PS. W PLD same problemy ;-)
OK, pokombinuje zatem ;)
PS. Zrobiłem na szybko to w ten sposób, że z crona odpalam o 21 skrypt o nazwie internet on a o 22 skrypt o nazwie internet off:
internet_on
"UPDATE nodes SET access=1 WHERE id=595" "UPDATE hosts SET reload=1 WHERE id=2"
internet off:
"UPDATE nodes SET access=0 WHERE id=595" "UPDATE hosts SET reload=1 WHERE id=2"
I demon LMS wykonuje przeładowanie, po którym user traci dostęp do sieci.
Pozdrawiam, SP
W dniu 24.04.2013 12:53, Sławomir Paszkiewicz napisał(a):
W dniu 24.04.2013 10:16, Tomasz Chiliński pisze: W dniu 24.04.2013 10:10, Sławomir Paszkiewicz napisał(a): W dniu 24.04.2013 10:04, Tomasz Chiliński pisze: $IPT -t nat -I PREROUTING -i eth1.50 -m set ! --match-set zarejestrowani_10.60.50.0 src,src -s 10.60.50.0/24 -m tcp -p tcp --dport 80 ! -d 8.8.8.8 -j DNAT --to-destination 10.60.50.1:80 -m comment --comment "Przekierowanie na strone LAN-u"
Dodałem do tego: -m time --timestart 13:40:00 --timestop 13:45:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun
i już działać nie chce. nadal jest tutaj błąd logiczny?
Napisałeś, że nie działa polecenie: iptables -t nat -I PREROUTING -s 10.59.23.114 -m time --timestart 13:40:00 --timestop 13:45:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun -p tcp -j DNAT --to-destination 10.59.23.1:86 i w nim jest oczywiście błąd (brak testu portu). Nie wiem co w międzyczasie do tej pory u Ciebie działało. OK, ale nawet jak w tym zapytaniu poprawiłem (tak mi się wydaje to też nie działało) więc wkleiłem inne, które na 100% do tej pory u mnie działało i jedynie dodałem do niego opcje związane z xt_time. Mógłbyś podać jakieś polecenie które u Ciebie działa? Chce tylko sprawdzić czy ten moduł nie jest po prostu u mnie spieprzony.
U mnie wchodzi nawet i to: iptables -t nat -I PREROUTING -s 10.59.23.114 -m time --timestart 13:40:00 --timestop 13:45:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun -p tcp -j DNAT --to-destination 10.59.23.1:86 Tyle tylko, że ja bym dowolnego ruchu na jeden port 86 nie kierował - to rozumiem przez błąd logiczny. Po co ruch nie-http kierować na port 86, gdzie pewnie działa apache vhost wyświetlający jakieś informacje o powodzie blokadu. Niepotrzebne obciążanie apache-a.
PS. W PLD same problemy ;-)
OK, pokombinuje zatem ;)
PS. Zrobiłem na szybko to w ten sposób, że z crona odpalam o 21 skrypt o nazwie internet on a o 22 skrypt o nazwie internet off:
internet_on
"UPDATE nodes SET access=1 WHERE id=595" "UPDATE hosts SET reload=1 WHERE id=2"
internet off:
"UPDATE nodes SET access=0 WHERE id=595" "UPDATE hosts SET reload=1 WHERE id=2"
I demon LMS wykonuje przeładowanie, po którym user traci dostęp do sieci.
Na szybkiego to jest dobre, ale w dłuższej perspektywie utracisz rozróżnienie pomiędzy faktycznych odcięciem dostępu klientowi, a czasową blokadą. Na teraz ten "hack" wystarczy ;-)
Pozdrawiam, SP
W dniu 24.04.2013 12:59, Tomasz Chiliński pisze:
W dniu 24.04.2013 12:53, Sławomir Paszkiewicz napisał(a):
W dniu 24.04.2013 10:16, Tomasz Chiliński pisze: W dniu 24.04.2013 10:10, Sławomir Paszkiewicz napisał(a): W dniu 24.04.2013 10:04, Tomasz Chiliński pisze: $IPT -t nat -I PREROUTING -i eth1.50 -m set ! --match-set zarejestrowani_10.60.50.0 src,src -s 10.60.50.0/24 -m tcp -p tcp --dport 80 ! -d 8.8.8.8 -j DNAT --to-destination 10.60.50.1:80 -m comment --comment "Przekierowanie na strone LAN-u"
Dodałem do tego: -m time --timestart 13:40:00 --timestop 13:45:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun
i już działać nie chce. nadal jest tutaj błąd logiczny?
Napisałeś, że nie działa polecenie: iptables -t nat -I PREROUTING -s 10.59.23.114 -m time --timestart 13:40:00 --timestop 13:45:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun -p tcp -j DNAT --to-destination 10.59.23.1:86 i w nim jest oczywiście błąd (brak testu portu). Nie wiem co w międzyczasie do tej pory u Ciebie działało. OK, ale nawet jak w tym zapytaniu poprawiłem (tak mi się wydaje to też nie działało) więc wkleiłem inne, które na 100% do tej pory u mnie działało i jedynie dodałem do niego opcje związane z xt_time. Mógłbyś podać jakieś polecenie które u Ciebie działa? Chce tylko sprawdzić czy ten moduł nie jest po prostu u mnie spieprzony.
U mnie wchodzi nawet i to: iptables -t nat -I PREROUTING -s 10.59.23.114 -m time --timestart 13:40:00 --timestop 13:45:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun -p tcp -j DNAT --to-destination 10.59.23.1:86 Tyle tylko, że ja bym dowolnego ruchu na jeden port 86 nie kierował - to rozumiem przez błąd logiczny. Po co ruch nie-http kierować na port 86, gdzie pewnie działa apache vhost wyświetlający jakieś informacje o powodzie blokadu. Niepotrzebne obciążanie apache-a.
PS. W PLD same problemy ;-)
OK, pokombinuje zatem ;)
PS. Zrobiłem na szybko to w ten sposób, że z crona odpalam o 21 skrypt o nazwie internet on a o 22 skrypt o nazwie internet off:
internet_on
"UPDATE nodes SET access=1 WHERE id=595" "UPDATE hosts SET reload=1 WHERE id=2"
internet off:
"UPDATE nodes SET access=0 WHERE id=595" "UPDATE hosts SET reload=1 WHERE id=2"
I demon LMS wykonuje przeładowanie, po którym user traci dostęp do sieci.
Na szybkiego to jest dobre, ale w dłuższej perspektywie utracisz rozróżnienie pomiędzy faktycznych odcięciem dostępu klientowi, a czasową blokadą. Na teraz ten "hack" wystarczy ;-)
Wiadomo ;) Ja ogólnie jestem zwolennikiem aby możliwie wszystko było generowane dynamicznie z LMS dlatego chciałem skorzystać z tej opcji "Blokady". Niestety tak jak pisałem wcześniej, nie działa mi ten moduł (zaraz spróbuje na innym jaju) a po drugie nawet jakby zadziałał to ma w innym formacie czas no i w dodatku chyba demon lms nie umie tego sobie wyciągnąć w aktualnej wersji?
Pozdrawiam, SP
W dniu 24.04.2013 13:23, Sławomir Paszkiewicz napisał(a):
W dniu 24.04.2013 12:59, Tomasz Chiliński pisze: W dniu 24.04.2013 12:53, Sławomir Paszkiewicz napisał(a): W dniu 24.04.2013 10:16, Tomasz Chiliński pisze: W dniu 24.04.2013 10:10, Sławomir Paszkiewicz napisał(a): W dniu 24.04.2013 10:04, Tomasz Chiliński pisze: $IPT -t nat -I PREROUTING -i eth1.50 -m set ! --match-set zarejestrowani_10.60.50.0 src,src -s 10.60.50.0/24 -m tcp -p tcp --dport 80 ! -d 8.8.8.8 -j DNAT --to-destination 10.60.50.1:80 -m comment --comment "Przekierowanie na strone LAN-u"
Dodałem do tego: -m time --timestart 13:40:00 --timestop 13:45:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun
i już działać nie chce. nadal jest tutaj błąd logiczny?
Napisałeś, że nie działa polecenie: iptables -t nat -I PREROUTING -s 10.59.23.114 -m time --timestart 13:40:00 --timestop 13:45:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun -p tcp -j DNAT --to-destination 10.59.23.1:86 i w nim jest oczywiście błąd (brak testu portu). Nie wiem co w międzyczasie do tej pory u Ciebie działało. OK, ale nawet jak w tym zapytaniu poprawiłem (tak mi się wydaje to też nie działało) więc wkleiłem inne, które na 100% do tej pory u mnie działało i jedynie dodałem do niego opcje związane z xt_time. Mógłbyś podać jakieś polecenie które u Ciebie działa? Chce tylko sprawdzić czy ten moduł nie jest po prostu u mnie spieprzony.
U mnie wchodzi nawet i to: iptables -t nat -I PREROUTING -s 10.59.23.114 -m time --timestart 13:40:00 --timestop 13:45:00 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun -p tcp -j DNAT --to-destination 10.59.23.1:86 Tyle tylko, że ja bym dowolnego ruchu na jeden port 86 nie kierował - to rozumiem przez błąd logiczny. Po co ruch nie-http kierować na port 86, gdzie pewnie działa apache vhost wyświetlający jakieś informacje o powodzie blokadu. Niepotrzebne obciążanie apache-a.
PS. W PLD same problemy ;-)
OK, pokombinuje zatem ;)
PS. Zrobiłem na szybko to w ten sposób, że z crona odpalam o 21 skrypt o nazwie internet on a o 22 skrypt o nazwie internet off:
internet_on
"UPDATE nodes SET access=1 WHERE id=595" "UPDATE hosts SET reload=1 WHERE id=2"
internet off:
"UPDATE nodes SET access=0 WHERE id=595" "UPDATE hosts SET reload=1 WHERE id=2"
I demon LMS wykonuje przeładowanie, po którym user traci dostęp do sieci.
Na szybkiego to jest dobre, ale w dłuższej perspektywie utracisz rozróżnienie pomiędzy faktycznych odcięciem dostępu klientowi, a czasową blokadą. Na teraz ten "hack" wystarczy ;-)
Wiadomo ;) Ja ogólnie jestem zwolennikiem aby możliwie wszystko było generowane dynamicznie z LMS dlatego chciałem skorzystać z tej opcji "Blokady". Niestety tak jak pisałem wcześniej, nie działa mi ten moduł (zaraz spróbuje na innym jaju) a po drugie nawet jakby zadziałał to ma w innym formacie czas no i w dodatku chyba demon lms nie umie tego sobie wyciągnąć w aktualnej wersji?
Użyj RHEL/CentOS/Fedora - na pewno zadziała ;-) Debiana pozostawmy jako rozwiązanie akademickie + jako bazę do dystrybucji embedded, w końcu koncentrują się na dostępności na kilkanaście architektur sprzętowych. PLD to wyjątek ;-)
Pozdrawiam, SP
W dniu 24.04.2013 14:04, Tomasz Chiliński pisze:
Niestety tak jak pisałem wcześniej, nie działa mi ten moduł (zaraz spróbuje na innym jaju) a po drugie nawet jakby zadziałał to ma w innym formacie czas no i w dodatku chyba demon lms nie umie tego sobie wyciągnąć w aktualnej wersji?
Użyj RHEL/CentOS/Fedora - na pewno zadziała ;-) Debiana pozostawmy jako rozwiązanie akademickie + jako bazę do dystrybucji embedded, w końcu koncentrują się na dostępności na kilkanaście architektur sprzętowych. PLD to wyjątek ;-)
Tomku, a czy Distro War możesz zostawić i spróbować odpowiedzieć na pytania które zadałem związane z LMS ? Bo troche OT :D
Dzięki
Pozdrawiam, SP
W dniu 24.04.2013 14:07, Sławomir Paszkiewicz napisał(a):
W dniu 24.04.2013 14:04, Tomasz Chiliński pisze: Niestety tak jak pisałem wcześniej, nie działa mi ten moduł (zaraz spróbuje na innym jaju) a po drugie nawet jakby zadziałał to ma w innym formacie czas no i w dodatku chyba demon lms nie umie tego sobie wyciągnąć w aktualnej wersji?
Użyj RHEL/CentOS/Fedora - na pewno zadziała ;-) Debiana pozostawmy jako rozwiązanie akademickie + jako bazę do dystrybucji embedded, w końcu koncentrują się na dostępności na kilkanaście architektur sprzętowych. PLD to wyjątek ;-) Tomku, a czy Distro War możesz zostawić i spróbować odpowiedzieć na pytania które zadałem związane z LMS ? Bo troche OT :D
W ten sposób nie można, gdyż to ma bardzo duży wpływ na Twoje wszystkie problemy jak również innych subskrybentów listy. Zapomniałem dodać jeszcze SuSe i Gentoo do listy "like"-ów ;-) Demon lms może obsłużyć to co chcesz poprzez moduł tscript. Tscript nie jest już co prawda utrzymywany przez projekt macierzysty, ale działa.
Dzięki
Pozdrawiam, SP
W dniu 24 kwietnia 2013 14:04 użytkownik Tomasz Chiliński < tomasz.chilinski@chilan.com> napisał:
Użyj RHEL/CentOS/Fedora - na pewno zadziała ;-) Debiana pozostawmy jako rozwiązanie akademickie + jako bazę do dystrybucji embedded, w końcu koncentrują się na dostępności na kilkanaście architektur sprzętowych.
To ja tylko dodam do tego OT, że mam produkcyjnie od kilka lat Debiana 6 na routerze z własnym jajkiem, i wszystkie bajery jak xt_time, xt_ACCOUNT działają + pare innych :) Przepycha w szczytowym momencie 700-800Mbtiów. Maszyna oprócz routingu, robi NAT dla VoIPów i shaping. Jestem jeszcze studentem, więc może dlatego.
W dniu 24.04.2013 14:36, Skiba Marek napisał(a):
W dniu 24 kwietnia 2013 14:04 użytkownik Tomasz Chiliński tomasz.chilinski@chilan.com napisał:
Użyj RHEL/CentOS/Fedora - na pewno zadziała ;-) Debiana pozostawmy jako rozwiązanie akademickie + jako bazę do dystrybucji embedded, w końcu koncentrują się na dostępności na kilkanaście architektur sprzętowych.
To ja tylko dodam do tego OT, że mam produkcyjnie od kilka lat Debiana 6 na routerze z własnym jajkiem, i wszystkie bajery jak xt_time, xt_ACCOUNT działają + pare innych :) Przepycha w szczytowym momencie 700-800Mbtiów. Maszyna oprócz routingu, robi NAT dla VoIPów i shaping. Jestem jeszcze studentem, więc może dlatego.
Hehehe zaczyna się flamik ;-) Uwielbiam :D
Za mało precyzyjnie napisałem - Debian to rozwiązanie dla hobbistów, gdzie trzeba czytać każdy komunikat, który pojawia się na ekranie, bo potem może być dupa. Jeśli faktycznie jeszcze studiujesz to jeszcze masz na to czas ;-)
W dniu 24.04.2013 14:36, Skiba Marek napisał(a):
W dniu 24 kwietnia 2013 14:04 użytkownik Tomasz Chiliński tomasz.chilinski@chilan.com napisał:
Użyj RHEL/CentOS/Fedora - na pewno zadziała ;-) Debiana pozostawmy jako rozwiązanie akademickie + jako bazę do dystrybucji embedded, w końcu koncentrują się na dostępności na kilkanaście architektur sprzętowych.
To ja tylko dodam do tego OT, że mam produkcyjnie od kilka lat Debiana 6 na routerze z własnym jajkiem, i wszystkie bajery jak xt_time, xt_ACCOUNT działają + pare innych :) Przepycha w szczytowym momencie 700-800Mbtiów. Maszyna oprócz routingu, robi NAT dla VoIPów i shaping. Jestem jeszcze studentem, więc może dlatego.
Swoją drogą dla 95% debianowców jestem w ciągu 10 minut zademonstrować co mają zwalone w swojej instalacji, nie dlatego, że Debian jest zły, tylko dlatego, że nie widzą o wielu stosowanych produkcyjnie rozwiązaniach, których albo w ogóle nie ma w Debianie, albo są robione tak, że na codzień użytkowanie ich jest udręką.
Znasz kung-fu - więc pokaż. Zawsze warto czegoś nowego się nauczyć.
Dnia środa, 24 kwietnia 2013 o 14:57:27 Tomasz Chiliński napisał(a):
Swoją drogą dla 95% debianowców jestem w ciągu 10 minut zademonstrować co mają zwalone w swojej instalacji, nie dlatego, że Debian jest zły, tylko dlatego, że nie widzą o wielu stosowanych produkcyjnie rozwiązaniach, których albo w ogóle nie ma w Debianie, albo są robione tak, że na codzień użytkowanie ich jest udręką.
W dniu 24 kwietnia 2013 13:23 użytkownik Sławomir Paszkiewicz < paszczus@gmail.com> napisał:
Wiadomo ;) Ja ogólnie jestem zwolennikiem aby możliwie wszystko było generowane dynamicznie z LMS dlatego chciałem skorzystać z tej opcji "Blokady". Niestety tak jak pisałem wcześniej, nie działa mi ten moduł (zaraz spróbuje na innym jaju) a po drugie nawet jakby zadziałał to ma w innym formacie czas no i w dodatku chyba demon lms nie umie tego sobie wyciągnąć w aktualnej wersji?
Pozdrawiam, SP
Moduł parser umie:
{blokady = SELECT * FROM nodelocks}\ {foreach (blokada in blokady)}\ ... {/foreach}\
uczestnicy (10)
-
"D.Wesołowski" -
Andrzej Banach -
Daniel Kulesza -
Jarosław 'YArii' Kłopotek -
Maciej Osuchowski, MASTERKOM -
Marcin -
Robert Rakowski -
Skiba Marek -
Sławomir Paszkiewicz -
Tomasz Chiliński