Mudanças entre as edições de "Controllr/Manual/Regras de Bloqueio e Pendencia"

De BrByte Wiki
Linha 77: Linha 77:
  
 
ATENÇÃO Só aplique essa regra, se souber o que ela faz.
 
ATENÇÃO Só aplique essa regra, se souber o que ela faz.
 +
  
 
===Página Customizada===
 
===Página Customizada===
Linha 85: Linha 86:
 
     add action=dst-nat chain=dstnat comment=CTLR-MSG-AVISO disabled=yes dst-port=80,443 protocol=tcp to-addresses=172.30.254.2 to-ports=8096
 
     add action=dst-nat chain=dstnat comment=CTLR-MSG-AVISO disabled=yes dst-port=80,443 protocol=tcp to-addresses=172.30.254.2 to-ports=8096
  
 +
Ps. Esta regra trabalha em conjunto com a [[Controllr/Manual/Regras_de_Bloqueio_e_Pendencia#Netwatch|NETWATCH]] deste capitulo onde o monitoramento é responsável por Ativar e Desativar esta NAT
  
  

Edição das 06h16min de 14 de agosto de 2019

Regras de Bloqueio e Pendência

Para configurar a exibição das páginas de bloqueio primeiro é necessário testar o acesso a página de bloqueio e pendência manualmente, através do ip local do seu controllr na porta 8091 e 8092.

   ex: http://192.168.10.2:8091.

Caso não apareça a tela de bloqueio e pendência nestes endereços você deve abrir o aplicativo Configurações do Controllr > Endereços do Servidor e clicar em Salvar, pro sistema criar as páginas. Após isso acesse novamente as porta 8091 e 8092 para verificar a exibição das páginas.

Após o procedimento acima e validação da entrega das mensagens pelo sistema, caso não esteja aparecendo a tela de bloqueio pro cliente é por que as configurações das regras de bloqueio e pendência no Mikrotik não estão corretas ou não existem.

Outro detalhe é que a página não aparece quando o cliente tenta acesso em sites HTTPS, (ex: https://facebook.com), as páginas serão exibidas apenas quando o usuário tentar acessar um página HTTP, ou seja sem SSL.


Regras do Mikrotik

A partir dessa versão do Controllr, as regras devem ser atualizadas no seu Mikrotik, pois foram modificados os parâmetros e incluso novas regras, para que seja comprida as normas da ANATEL.

As telas de mensagens, foram modificadas:

  • Porta 8090: Página de aviso de Notificação, segundo a ANATEL o Cliente deve ser notificado que está em débito com o Provedor.
  • Porta 8091: Página de aviso de redução de Velocidade (antiga pendência).
  • Porta 8092: Página de aviso de Bloqueio.
  • Porta 8093: Página de aviso de Cancelamento.
  • Porta 8096: Página de aviso Customizado. - Por padrão as regras desta porta encontram-se desabilitadas


Veja como configurar cada uma das Páginas Páginas de Aviso disponível no App Configurações do Controllr.


Explicação completa no nosso fórum.

https://community.brbyte.com/forum/view/post/5222


Características de cada Address List

Notificação - brb-block-read-notification - Redirecionamento porta 8090

  • Bloqueio total até que seja confirmado (via login) que o responsável pelo contrato está ciente do atraso e sua conexão sofrerá alterações no futuro próximo caso não venha a quitar seu débito junto ao provedor.


Redução - brb-pendency - Redirecionamento porta 8091

  • Bloqueio parcial da navegação (apenas navegação WEB) redirecionando todas as navegações WEB do usuário para a página informativa de Redução de Velocidade.
  • Ao fim do tempo determinado no 'Scheduller' (atualmente já configurado) do Mikrotik usuário é removido da address list voltando o acesso, entretanto sua velocidade de acesso internet permanecerá com a velocidade Reduzida.


Bloqueio - brb-block - Redirecionamento porta 8092

  • Bloqueio total da navegação do cliente, redirecionado para a página de bloqueio sempre que realizar acesso WEB.


Cancelamento - brb-cancel - Redirecionamento porta 8093

  • Bloqueio total da navegação e desativação do Contrato do cliente.


Atenção onde estão os IPs "192.168.0.0" deve ser alterado para o IP do seu Controllr

Atenção para quem estiver na Build 125 e for para 126 deve se atualizar somente as regras 1 / 3 / 4 / 5 / 6 e 8


Segue link para download do script em TXT


Regras block e pendency anatel.png


Segue link para download do script em TXT

Regras Opcionais

Uma explicação básica de como é a logica do funcionamento das regras opcionais contidas neste manual.

ATENÇÃO Só aplique essa regra, se souber o que ela faz.


Página Customizada

Regra para redirecionamento para Página de Aviso Customizado por padrão esta regra vem desabilitada pois redireciona todos usuários do concentrador sem critério.

   /ip firewall nat
   add action=dst-nat chain=dstnat comment=CTLR-MSG-AVISO disabled=yes dst-port=80,443 protocol=tcp to-addresses=172.30.254.2 to-ports=8096

Ps. Esta regra trabalha em conjunto com a NETWATCH deste capitulo onde o monitoramento é responsável por Ativar e Desativar esta NAT


Netwatch

Essa regra fica pingando o DNS do Google para verificar se sua rede tem internet, se por um acaso parar de pingar será habilitado a regra de redirecionamento para todos os clientes para a tela de Aviso Customizado do Controllr.

Assim como as demais Páginas de Aviso podem ser configuradas.


   /tool netwatch
   add disabled=yes down-script="/ip firewall nat set [find comment=\"CTLR-MSG-AVISO\"] disabled=no" host=8.8.8.8 interval=30m up-script="/ip firewall nat set [find comment=\"CTLR-MSG-AVISO\"] disabled=yes"



Limpeza de Notificação

ATENÇÃO Só aplique essa regra, se souber o que ela faz.

Se não quiser utilizar a regulamentação para notificar o cliente (obrigar login e registro de leitura) poderá notifica-lo de 4 em 4 horas por 2 minutos. (Esse tempo pode ser alterado, conforme a sua necessidade) Para essa regra funcionar TEM que deixar desabilitado as regras de filter rules e de NAT com o comentário CTLR-MSG-NOTIFICACAO

   /system scheduler
   add disabled=yes interval=4h name="CTLR-MSG-NOTIFICACAO" on-event=\
       ":foreach nat in=[/ip firewall nat find comment=\"CTLR-MSG-NOTIFICACAO\"] do={/ip firewall nat enable \$nat}\r\
       \n:foreach drop in=[/ip firewall filter find comment=\"CTLR-MSG-NOTIFICACAO\"] do={/ip firewall filter enable \$drop}\r\
       \n:delay 120s\r\
       \n:foreach nat in=[/ip firewall nat find comment=\"CTLR-MSG-NOTIFICACAO\"] do={/ip firewall nat disable \$nat}\r\
       \n:foreach drop in=[/ip firewall filter find comment=\"CTLR-MSG-NOTIFICACAO\"] do={/ip firewall filter disable \$drop}" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-time=startup


Identificar IP do Radius

Devido a NAT na rede ou outros roteamento inadequado o endereço IP dos pacotes originados pelo Controllr pode sofrer alteração de IP chegando no MK com outro endereço e muitas vezes negado por desconhecer este IP como um Radius.

Para saber qual o IP que está chegando na volta do Controllr para o Mikrotik. Se o Controllr não estiver derrubando os clientes do Mikrotik

Se for um IP diferente do cadastrado no Radius do Mikrotik, deve-se cadastar esse IP também no Radius do Mikrotik.


   /ip firewall filter
   add action=add-src-to-address-list address-list=RADIUS_LOG address-list-timeout=1d chain=input comment="MONITORAMENTO RADIUS" dst-port=3799 protocol=udp



Vídeo


BUILD 125 e anteriores

Atenção onde estão os IPs "192.168.0.0" deve ser alterado para o IP do seu Controllr


Blk pen 1.png



Segue link para download do script em TXT