есть правила

create access_profile ip destination_ip_mask 255.255.255.255 profile_id 10
config access_profile profile_id 10 add access_id 1 ip destination_ip 10.0.0.1 port 2 permit

create access_profile ip destination_ip_mask 0.0.0.0 profile_id 20
config access_profile profile_id 20 add access_id 2 ip destination_ip 0.0.0.0 port 2 deny

этим запрещаем любые запросы кроме как на сервер 10.0.0.1 при недостатке средств на счету у клиента

но необходимо что бы клиент мог отправить запрос куда угодно, но получать ответ только от сервера...

дело в том что при блокировании клиента он открывает страничку в инете и его редиректит на страничку сервака с оповещением что баланс тю-тю...

а с этим acl он набирает адрес и в ответ получает "страница не найдена"...

и еще вопрос.. а можно осуществлять редирект с помощью acl?

почему именно на железке доступа?
способ подключения к инету?
что в центре стоит?

шлюз - ТИ
в центре ничего
на доступе у всех 3526

необходимо запретить локалку кроме сервера при блокировании клиента
в принципе так и происходит, ТИ скриптом включает вышеуказанные правила и клиент кроме как на сервак не может попасть...
но при этом для непродвинутого клиента непонятно что закончился баланс, так как запуская браузер с яндексом например - он получает - страница не найдена.
если не включать правила, то его редиректит на страничку где описана причина блокировки... но тогда ему доступна локалка.. что не есть гуд.

редиректорм занимаются сервисные роутеры, но никак не свичи, и уж тем более свичи доступа.

Стройте правила так:
Если у клиента недостаток средств - то:
разрешаем посещать страницу с сообщением о недостатке средств
разрешаем обращаться к DNS серверам
запрещаем всю локалку

В итоге, локаль у клиента работать не будет, а все запросы на удалённые серверы будут уходить, которые в свою очередь будут редиректиться на страницу "Дай денег".

Позвольте уточнить, ТИ - это Траффик Инспектор?

_________________
2008-2015г. компания Экстрим Интернет. Технический директор/Главный системный администратор.
2015-по н.в. компания "Подряд". Инженер сети ШПД

да трафик инспектор

terrible, так это и так сделано тоесть при вышеуказанных правилах нет локалки, есть только сервер, днс и местный сайт
и при наборе в браузере странички биллинга - есть сообщение о недостатке средств.
НО! ведь 99 процентов пользователей обращаются в интернет на какой либо хост и им выпадает "страница не найдена" и они звонят в суппорт..
им невдомек что нужно зайти на биллинг...
и надо что бы их РЕДИРЕКТИЛО на ту страничку , а при данных правилах это невозможно.

На данной модели нет Policy Based Routing.

А никак не сделать что бы исходящий трафик весь был разрешен, а входящий только с 10.0.0.1 ?

Только через acl на аплинке.

А на каких моделях коммутаторов есть такой функционал?

Policy Based Routing есть, например, на 36й серии.

то есть пока я не дострою звезду и не поставлю в центр например купленный для этого 3627g я не смогу воплотить то чего я добиваюсь?

я всего лишь хочу что бы клиент у которого баланс ниже нужного не мог пользоваться локалкой и у него был доступен только наш сайт, чат, днс, дхсп и тд что есть на серваке. Это все есть при этом правиле и работает...
но клиент не зайдя на сайт не понимает что его отключили...
может все же есть какая либо возможность ему об этом сообщить? (смс отсылается, но не все дают согласие и номер мобильного)...
раньше когда использовался клиентский агент и авторизация по имени и паролю такой проблемы не было, он показывал что инет отключен, а счас когда для удобства всех я оставил только ip(option82) мне придется еще и локалку открыть... и только для того что бы клиента могло перекинуть на страницу биллинга... жесть...

у ТИ же вроде клиентский агент есть, в трее и ругнется, что платить нужно -)
форвард на шлюзе ... или win? тогда isa, но дорого

агент то да ругнется
а кто на макинтоше или как большинство за роутером домашним?

pbr решит только часть задачи, все равно там, куда он будет хопать, придется ловить любые обращения к 80 порту и форвардить их на свою страницу про баланс
p.s. локалку открывать не придется