Администратор писал(а):
В данный момент этот функционал можно реализовать только описанным вами способом.
ок, так и будем делать ...
Администратор писал(а):
А зачем вам это, опишите.. Что за там запросы посторонние?
дело в том что есть большая сеть в которой юзеры считают что "перезвон" в РРРоЕ соединении больше 1 секунды - это моветон, но даже не это основная проблема ... основная проблема в том что правильные логин и пароль никто в соедиение не вбивает и получается что из этой сети ежесекундно приходит толпа запросов на авторизацию вида:
Код:
23 18:03:49
Type=AUTHENTICATION_REQUEST
Attributes:
User-Name=++++++++++
NAS-Identifier=mpd
User-Password=----------
NAS-IP-Address=xxx.yyy.zzz.10
NAS-Port=374
Tunnel-Medium-Type=
Service-Type=2
Tunnel-Client-Endpoint=00:21:85:ca:1c:ee
Framed-Protocol=1
Acct-Session-Id=9356629-909-374
NAS-Port-Id=vlan909
NAS-Port-Type=15
Calling-Station-Id=002185ca1cee
Called-Station-Id=
mpd-link=909-374
23 18:03:49
Type=AUTHENTICATION_REJECT
Process time auth: 6 common_auth: 1
Attributes:
Reply-Message=14
нет
Код:
User-Name=++++++++++
User-Password=----------
это не опечатка и не скрытие реальных данных - это кто-то себе забил именно такой логин и пасс! оттуда приходит масса подобных логинов, которые, в лучшем случае, являются именем машины в сети, а обычно - звездочки, плюсики и т.п. ерунда ... пока в mpd нет
PPPoE Connection Throttling, хотя
может быть будет, то приходится терпеть эти все запросы ... да, в БГБ есть антиспам, но антиспам в данном случае - это как из пушки по воробьям, IMHO ... дело в том что у меня все логины запросто попадают под регексп и если бы была возможность прямо в скрипте предобработки проверить логин регекспом и послать reject не доводя дело до антиспама, то общая производительность БГБ выросла бы, т.к. не пришлось делать лишних проверок ...
если позволите - выскажу маленький, совершенно мизерный, фичереквест - сделайте опцию в конфиге NAS-а
Код:
# тип разрешенных User-Name
nas.allowed.username="<regexp>"
и если User-Name не попадает под регексп (например в dialup - логин, в voip - телефон), то сразу слать reject, т.е. сведя все к схеме выше:
Код:
запрос -> скрипт предобработки -> ответ
тогда антиспам будет обрадатывать только нужные запросы, например защищая радиус от атак на перебор пароля и не будет заниматься пустыми атрибутами или атрибутами содержащими, пардон, ерунду ...
я полагаю у многих пользователей БГБ атрибут User-Name можно описать регекспом, как минимум таким
Код:
^[A-Za-z0-9]+$
ну или таким
Код:
^[\w\d]+$
что по сути одно и тоже ... ведь есть же список символов разрешенных в пароле (password.chars), так пусть будет список/регексп символов разрешенных в логине
Вход
Регистрация
FAQ
Поиск
