Mikrotik+UTM5-2.1.007.
На фаерволле порядка 5000 правил и при отсылке из UTM по одному часть теряется (вероятно, из-за time-out), поэтому опытным путем доказано, что лучше делать так:
Создать локальный файл всех правил для нужного фаерволла, затем передать его по ssh или ftp на удаленный фаерволл и оттуда его запустить.
Часть такого механизма подразумевает исключение задвоения, для этого отрабатывается команда поиска (на микротике): :foreach i in=[/ip firewall address-list find address=192.168.0.2] do={/ip firewall address-list disable $i}, где 192.168.0.2 – IP адрес клиента, который сообщает UTM.
На самом же UTM в интерфейсе администратора, например при выключении интернета такое правило фаерволла:
/netup/utm5/extended_sh/freebsd_local_sh.sh ':foreach i in=[/ip firewall address-list find address=UIP] do={/ip firewall address-list disable $i}',
Где netup/utm5/extended_sh/freebsd_local_sh.sh – скрипт, который получает от UTM правила, передает себя по ftp на удаленный фаерволл (Mikrotik) и затем по ssh запускается на фаерволле.
Все бы хорошо, но вот UTM никак не хочет передать символ «$i», сейчас приходится слеплять команды из UTM с остатками команды, содержащей специальные символы из отдельного файла.
Есть ли способ в стрроке правила фаерволла в интерфейсе администратора UTM передавать специальные символы, такие как «$» или «;»?
Синхронизация всех правил фаерволла и исключение дубликатов
Синхронизация всех правил фаерволла и исключение дубликатов
Вижу, что в течение года никто не ответил. Это заставляет задуматься о качестве поддержки пользователей.
Тем не менее, надеюсь эта информация окажется полезной для читателей:
Устойчивое решение выработалось следующее: в правиле фаерволла UTM указывать запуск скрипта (назовем этот скрипт «start1.sh») с параметрами. В качестве параметров указывать, например UID UIP ( id пользователя и IP пользователя). Далее на сервере биллинга (в нашем случае это FreeBSD) указывать вспомогательный скрипт-шаблон (назовем этот скрипт «shablon1.sh»). Т.е. start1.sh запускается биллингом при любом событии (например, назначить можно на «включить интернет») и указывая параметры (например, UID UIP) запускает скрипт-шаблон (шаблон формирования списка команд для пограничных маршрутизаторов или шейперов с контролем корректности выполнения команд и отсутствия левых правил). Сам же скрипт shablon1.sh содержит сколь угодно сложные ветвления и условия (в нашем случае мы реализовали проверку ответов по syslog с пограничных маршрутизаторов и шейперов, если ответа не пришло, то команды отправляются повторно на зависший роутер или админу отправляется смс-уведомление на мобилку). Практика показала, что такой подход очень гибкий, т.к. в нашей сети мы реализовали балансировку нагрузки на шейперы через указанные скрипты (один шейпер не может прокачивать трафик более 600 Mbps, поэтому необходимо в биллинге создавать дополнительные правила для распределения нагрузки между маршрутизаторами).
Словом, сейчас все отлажено, Mikrotik показывает себя как отличный узел с интеграцией с UTM5.
С радостью поделимся опытом и поможем с реализацией, цена договорная, после обследования, пишите на мыло: voice7@gmail.com
Тем не менее, надеюсь эта информация окажется полезной для читателей:
Устойчивое решение выработалось следующее: в правиле фаерволла UTM указывать запуск скрипта (назовем этот скрипт «start1.sh») с параметрами. В качестве параметров указывать, например UID UIP ( id пользователя и IP пользователя). Далее на сервере биллинга (в нашем случае это FreeBSD) указывать вспомогательный скрипт-шаблон (назовем этот скрипт «shablon1.sh»). Т.е. start1.sh запускается биллингом при любом событии (например, назначить можно на «включить интернет») и указывая параметры (например, UID UIP) запускает скрипт-шаблон (шаблон формирования списка команд для пограничных маршрутизаторов или шейперов с контролем корректности выполнения команд и отсутствия левых правил). Сам же скрипт shablon1.sh содержит сколь угодно сложные ветвления и условия (в нашем случае мы реализовали проверку ответов по syslog с пограничных маршрутизаторов и шейперов, если ответа не пришло, то команды отправляются повторно на зависший роутер или админу отправляется смс-уведомление на мобилку). Практика показала, что такой подход очень гибкий, т.к. в нашей сети мы реализовали балансировку нагрузки на шейперы через указанные скрипты (один шейпер не может прокачивать трафик более 600 Mbps, поэтому необходимо в биллинге создавать дополнительные правила для распределения нагрузки между маршрутизаторами).
Словом, сейчас все отлажено, Mikrotik показывает себя как отличный узел с интеграцией с UTM5.
С радостью поделимся опытом и поможем с реализацией, цена договорная, после обследования, пишите на мыло: voice7@gmail.com
Update
Добавлена поддержка платежной системы "Деньги Online" (http://dengionline.com). Поделимся модулем за небольшое вознаграждение.
Добавлена поддержка сертифицированных криптомаршрутизаторов технологии "Дионис" (http://www.factor-ts.ru) (ФСБ+ФСТЭК России).
Обращайтесь на тоже мыло (voice7@gmail.com)
Добавлена поддержка сертифицированных криптомаршрутизаторов технологии "Дионис" (http://www.factor-ts.ru) (ФСБ+ФСТЭК России).
Обращайтесь на тоже мыло (voice7@gmail.com)