使用 FreeRADIUS 在转发之前过滤计费数据包

使用 FreeRADIUS 在转发之前过滤计费数据包

我正在尝试查看是否可以使用 FreeRADIUS 来过滤某些请求类型,然后再将请求转发到最终目的地。

我有以下 RADIUS 计费数据包的拓扑。

WAP -> Aruba Clearpass (RADIUS Server) -> Fortigate (Firewall)

这样设置是为了我可以使用 RADIUS 计费数据包来验证防火墙的用户身份。

我遇到一个问题,当用户在 AP 之间漫游时,来自新 AP 的 Accounting-Start 数据包在来自旧 AP 的 Accounting-Stop 数据包到达之前到达防火墙。这会导致防火墙身份验证会话中断。

我想在 Clearpass 和 Fortigate 之间插入 FreeRADIUS 以仅转发/代理 Accounting-Start 数据包。

如果您以前没有使用过 FreeRADIUS,那么它就是一个庞大而令人困惑的怪物。我希望有人能就所需的配置类型为我指明正确的方向。我很乐意进行研究,只是需要知道在哪里查找。

我已经尝试使用属性过滤器

attr_filter attr_filter.accounting_request {
        key = "%{User-Name}"
        filename = ${modconfdir}/${.:name}/accounting_request
}

使用以下配置

DEFAULT
        Acct-Status-Type == Start,
        Filter-Id =* ANY,
        User-Name =* ANY,
        Framed-IP-Address =* ANY

目前看来,这一切只是消除了帐户状态类型如果不是 Start 类型,则不允许该属性。但允许其他详细信息通过。

相关内容