Назад | Перейти на главную страницу

Использование FreeRADIUS для фильтрации учетных пакетов перед пересылкой

Я пытаюсь понять, можно ли использовать FreeRADIUS для фильтрации определенных типов запросов перед пересылкой запроса в его конечный пункт назначения.

У меня следующая топология для пакетов учета RADIUS.

WAP -> Aruba Clearpass (RADIUS Server) -> Fortigate (Firewall)

Это настроено так, что я могу использовать учетные пакеты RADIUS для аутентификации пользователей на межсетевом экране.

У меня возникла проблема, когда, когда пользователь перемещается между AP, пакет Accounting-Start поступает на брандмауэр от Новой AP до того, как пакет Accounting-Stop прибывает от Старой AP. Это приводит к прерыванию сеанса аутентификации межсетевого экрана.

Я хотел бы вставить FreeRADIUS между Clearpass и Fortigate только для пересылки / прокси-пакетов Accounting-Start.

FreeRADIUS - большой и запутанный зверь, если вы не использовали его раньше. Я надеюсь, что кто-то может указать мне правильное направление с точки зрения необходимого типа конфигурации. Я счастлив провести исследование, просто нужно знать, где искать.

Я пробовал использовать attr_filter

attr_filter attr_filter.accounting_request {
        key = "%{User-Name}"
        filename = ${modconfdir}/${.:name}/accounting_request
}

Со следующей конфигурацией

DEFAULT
        Acct-Status-Type == Start,
        Filter-Id =* ANY,
        User-Name =* ANY,
        Framed-IP-Address =* ANY

Все, что это, кажется, на данный момент, - это удалить Acct-Status-Type атрибут, если он не типа Start. Но пропустим другие детали.