Либо я что-то не понимаю, либо.....

[gil]

хм.. а почему "# netflow export destination 127.0.0.1 9996;" закоментирован?? куда он netflow лить-то будет??
правьте конфиг..

[nops]

хм.. а почему "# netflow export destination 127.0.0.1 9996;" закоментирован?? куда он netflow лить-то будет??
правьте конфиг..

спасибо! Заработало. Начало считать. Только почему-то как-то странно. Смотрите, я залил файл размером 1,7 метра, ещё была включена аська и Skype, больше я ничего не качал в инете. У меня трафик показывает почему-то 3,81 метра. Это нормально? Или мне кажется что-то тут не так.?!

И вот такой есть вопрос:
У меня авторизация по IP+MAC должна быть, в iptables прописано правило

Код: Выделить всё

-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 80.х.х.х

разрешает всем пользователям с адресами 192.168.0.1-192.168.0.254 выходить в инет, а как-то можно сделать так, чтобы убрать эту строчку, и чтобы UTM сама прописывала подобные правила.
Т.е. я создаю пользователя в utm5 и пользователь авторизуется по IP+MAC и выходит в инет.
Возможно такое реализовать? Я покопался, но так и не понял как это настраивать. На сколько я понимаю это правила фаервола надо вводить, только я не могу понять там комманды. (стр.205 мануала)
Можно подетальнее?
Спасибо заранее:)

[gil]

IP+MAC - пожалуйста.. в свойствах услуги передачи трафика вбиваете IP и MAC, в "Правила файрвола" добавляете соответствующее правило..
Либо же юзаете statarp для привязки ip к mac..

а по поводу трафика - посмотрите его утилитой get_nf_direct, да и думайте, почему он увеличился.. у меня, к примеру, раз "двоился" трафик из-за двух netflow-сенсоров, посылающих одни и те же данные..

[nops]

IP+MAC - пожалуйста.. в свойствах услуги передачи трафика вбиваете IP и MAC, в "Правила файрвола" добавляете соответствующее правило..
Либо же юзаете statarp для привязки ip к mac..

а по поводу трафика - посмотрите его утилитой get_nf_direct, да и думайте, почему он увеличился.. у меня, к примеру, раз "двоился" трафик из-за двух netflow-сенсоров, посылающих одни и те же данные..

А как может с двух сенсоров получать? раньше же вообще не получал netflow-поток? Или у меня в системе помимо IPCAD ещё что-то стоит? Но оно же не работает, раз UTM по нему не получал данные....
Ну в принципе, авторизовывать по ip+mac я могу, там я нашёл этот пунгкт, вопрос только в другом.
каким образов добавляются пользователи? Мне нужно убрать строчку из iptables

Код: Выделить всё

-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 80.х.х.х

а в utm в фаерволе прописать правило, так?
Я не могу понять принцып работы фаервола в utm, он способен прописать сам правило в фаервол? если да, то как? что за синтаксис такой?
Помимо всего прочего, нужно будет настроить прозрачный прокси и резать скорость, какую последавательность мне выбрать? сначала заставить работать? Считать и отключать/подключать пользователей, а потом настраивать squid или наоборот?

[nops]

попробовал:

Код: Выделить всё

[root@novour bin]# ./get_nf_direct -e
timestamp account_id source destination t_class packets bytes sport dport nexthop iface oface tcp_flags proto tos src_as dst_as src_mask dst_mask router_ip_from date
[root@novour bin]# ./get_nf_direct
timestamp account_id source destination t_class packets bytes sport dport date
[root@novour bin]#

правда ничего не понял, плохо с английским. Что не так может?

[detx]

попробовал:

Код: Выделить всё

[root@novour bin]# ./get_nf_direct -e
timestamp account_id source destination t_class packets bytes sport dport nexthop iface oface tcp_flags proto tos src_as dst_as src_mask dst_mask router_ip_from date
[root@novour bin]# ./get_nf_direct
timestamp account_id source destination t_class packets bytes sport dport date
[root@novour bin]#

правда ничего не понял, плохо с английским. Что не так может?

get_nf_direct -h

[nops]

С этим делом я разобрался!
Вообщем, он у меня считает трафик по пользователю правильно, но вот в чём трабла, он считает трафик ещё и для пользователя с ID=0 что это за пользователь? Может это шлюз? если да, то мне всё понятно. Значит всё работает коректно. У меня был запущен Stargazer, поэтому и удваивался трафик.

сейчас хотелось бы узнать, каким образом пользователь выпускается в инет. Я так понимаю строку, о которой писал раньше, POSTROUTING которая, я из iptables удаляю и пишу правило для каждого пользователя во встроенном фаерволе. Так? А что с синтаксисом?
Можете привести пример написания правил фаервола.
Спасибо!

[gil]

у меня, например, стоит файрволл pf..
конфиг rfw5.cfg из этого вытекает такой:

Код: Выделить всё

rfw_name=127.0.0.1
core_host=127.0.0.1
core_port=12758
rfw_login=rfwтакой
rfw_password=rfw
firewall_path=/sbin/pfctl
sudo_path=/usr/local/bin/sudo
dont_fork=yes
log_level=3
log_file_main=/netup/utm5/log/rfw.log
log_file_debug=/netup/utm5/log/rfw.log
log_file_critical=/netup/utm5/log/rfw.log

конфиг /etc/pf.conf примерно такой:

Код: Выделить всё

table <blocked> persist
rdr proto tcp from <blocked> to !192.168.1.1 port 80 -> 192.168.1.1 port 8080
nat inet proto &#123; tcp udp &#125; from &#123; 172.16.0.0/16 &#125; to !<LocalNet> -> &#40;em0&#41;
pass quick proto &#123; tcp &#125; from <blocked> to 192.168.1.1 port &#123; 53 80 8080 &#125;
block quick from <blocked> to any

правило файрвола всего одно:

Код: Выделить всё

id: 1
id пользователя: 0
id группы: 0
id тарифа: 0
Включение: -t blocked -T delete UIP
Выключение: -t blocked -T add UIP
id брандмауэра: 1
Галочка стоит Все пользователи

и все..

ес-но, IP из сетки 172.16.0.0/16 выдает mpd..

а netflow у меня двоился так как отдавал ng_netflow свои записи, и mpd.. после переделал, чтоб интернет отдавал mpd, локальный трафик - ng_netflow..

[gil]

т.е., NAT стоит для всей подсети 172.16.0.0/16.. а эти IP раздает уже mpd тем, кто верно ввел логин/пароль и у кого включен интернет (т.е. - положительный баланс и отсутствие блокировки)..
ес-но, если у абонента закончились деньги - выключился интернет.. он добавился в таблицу <blocked> на файрволе, а там уже закрылся весь трафик, а любой трафик на 80 порт вообще пересылается на страничку "Гони бабло!"..

[nops]

Прикольно однако!!!
Но у меня не фря, а линь. У меня используется iptables, поэтому /etc/pf.conf не прокатит.... Или мне эти же правила добавить в /etc/sysconfig/iptables ?

[gil]

они вам не помогут прямо, но смысл уловить можно..
это так, к примеру было..

мануалы по iptables, NAT.. и пытаться реализовать подобное..

З.Ы.: а на фре все проще и элегантнее, имхо.. но не будем холивар устраивать..

[nops]

Всё бы хорошо, только я не понимаю что написано в фаерволе на фре. на лине я бы понял, а тут ничего понять не могу....

[gil]

# Создать в памяти таблицу <blocked>
table <blocked> persist
# Перенаправляем все, что идет от тех, кто в таблице <blocked> на 80 порт не биллинга (!192.168.1.1 port 80) на порт 8080 биллинга
rdr proto tcp from <blocked> to !192.168.1.1 port 80 -> 192.168.1.1 port 8080
# Натим всю подсеть 172.16.0.0/16
nat inet proto { tcp udp } from { 172.16.0.0/16 } to !<LocalNet> -> (em0)
# разрешаем от заблокированных соединения с хостом 192.168.1.1 на порты 53, 80, 8080
pass quick proto { tcp } from <blocked> to 192.168.1.1 port { 53 80 8080 }
# блокируем все от заблокированных
block quick from <blocked> to any


не пойму, неужели чтение конфига к pf может вызвать сложности? он же практически на чистом английском =)

[nops]

понимающие люди, пожалуйста поглядите.

Код: Выделить всё

# Generated by iptables-save v1.2.7a on Thu Nov 20 23:44:08 2003 
*nat 
:PREROUTING ACCEPT [0:0] 
#:PREROUTING ACCEPT [15:1651] 
#-I PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-ports 3128 
#-I PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 488 -j REDIRECT --to-ports 3128 
#-I PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 591 -j REDIRECT --to-ports 3128 
#-I PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 77 -j REDIRECT --to-ports 3128 
:POSTROUTING ACCEPT [0:0] 
:OUTPUT ACCEPT [0:0] 
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 80.х.х.х 
COMMIT 
# Completed on Thu Nov 20 23:44:08 2003 
# Generated by iptables-save v1.2.7a on Thu Nov 20 23:44:08 2003 
*filter 
:INPUT DROP [0:0] 
:FORWARD DROP [0:0] 
:OUTPUT DROP [0:0] 
:DIRECTLINK - [0:0] 
#ssh 
-A INPUT -i eth0 -p tcp --dport 22 -s 192.168.0.0/255.255.255.0 -j ACCEPT 
#http 
-A INPUT -i eth0 -d 80.х.х.х -p tcp --dport 80 -j ACCEPT 
-A OUTPUT -o eth0 -s 80.х.х.х -p tcp --sport 80 -j ACCEPT 
#dns 
-A INPUT -i eth0 -d 80.х.х.х -p udp --dport 53 -j ACCEPT 
-A OUTPUT -o eth0 -s 80.х.х.х -p udp --sport 53 -j ACCEPT 
# 
-A INPUT -i eth1 -j ACCEPT 
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT 
-A INPUT -s 80.х.х.х -i lo -j ACCEPT 
-A INPUT -s 192.168.0.1 -i lo -j ACCEPT 
-A INPUT -d 80.х.х.х -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -d 80.х.х.х -p icmp -j ACCEPT 
-A FORWARD -j DIRECTLINK 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -j REJECT --reject-with icmp-net-unreachable 
-A OUTPUT -s 127.0.0.1 -j ACCEPT 
-A OUTPUT -s 80.х.х.х -j ACCEPT 
-A OUTPUT -s 192.168.0.1 -j ACCEPT 
-A DIRECTLINK -s 192.168.0.0/255.255.255.0 -p tcp --dport 21 -j DROP 
-A DIRECTLINK -s 192.168.0.0/255.255.255.0 -j ACCEPT 
COMMIT 
# Completed on Thu Nov 20 23:44:08 2003

Это мой iptables. Вроде в него и добавлять нечего, на сколько я понимаю, только убрать надо

Код: Выделить всё

-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 80.х.х.х 

Так?

[nops]

допустим, я это всё сделаю, и допустим у меня заработает. Задача стоит такая:
использовать прозрачный прокси.
в iptables прописано, что перенаправлять пользователей, обратившихся к порту 80, на порт 3128 прокси.
Далее, если я закомментирую строчку в фаерволе, разрешающую юзерам выходить в инет, то по тому же 80-му порту они могут просматривать странички. Как сделать так, чтобы подключало и отключало пользователей юзающих через прозрачный squid?