Либо я что-то не понимаю, либо.....
gil писал(а):хм.. а почему "# netflow export destination 127.0.0.1 9996;" закоментирован?? куда он netflow лить-то будет??
правьте конфиг..
спасибо! Заработало. Начало считать. Только почему-то как-то странно. Смотрите, я залил файл размером 1,7 метра, ещё была включена аська и Skype, больше я ничего не качал в инете. У меня трафик показывает почему-то 3,81 метра. Это нормально? Или мне кажется что-то тут не так.?!
И вот такой есть вопрос:
У меня авторизация по IP+MAC должна быть, в iptables прописано правило
Код: Выделить всё
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 80.х.х.х
Т.е. я создаю пользователя в utm5 и пользователь авторизуется по IP+MAC и выходит в инет.
Возможно такое реализовать? Я покопался, но так и не понял как это настраивать. На сколько я понимаю это правила фаервола надо вводить, только я не могу понять там комманды. (стр.205 мануала)
Можно подетальнее?
Спасибо заранее:)
IP+MAC - пожалуйста.. в свойствах услуги передачи трафика вбиваете IP и MAC, в "Правила файрвола" добавляете соответствующее правило..
Либо же юзаете statarp для привязки ip к mac..
а по поводу трафика - посмотрите его утилитой get_nf_direct, да и думайте, почему он увеличился.. у меня, к примеру, раз "двоился" трафик из-за двух netflow-сенсоров, посылающих одни и те же данные..
Либо же юзаете statarp для привязки ip к mac..
а по поводу трафика - посмотрите его утилитой get_nf_direct, да и думайте, почему он увеличился.. у меня, к примеру, раз "двоился" трафик из-за двух netflow-сенсоров, посылающих одни и те же данные..
А как может с двух сенсоров получать? раньше же вообще не получал netflow-поток? Или у меня в системе помимо IPCAD ещё что-то стоит? Но оно же не работает, раз UTM по нему не получал данные....gil писал(а):IP+MAC - пожалуйста.. в свойствах услуги передачи трафика вбиваете IP и MAC, в "Правила файрвола" добавляете соответствующее правило..
Либо же юзаете statarp для привязки ip к mac..
а по поводу трафика - посмотрите его утилитой get_nf_direct, да и думайте, почему он увеличился.. у меня, к примеру, раз "двоился" трафик из-за двух netflow-сенсоров, посылающих одни и те же данные..
Ну в принципе, авторизовывать по ip+mac я могу, там я нашёл этот пунгкт, вопрос только в другом.
каким образов добавляются пользователи? Мне нужно убрать строчку из iptables
Код: Выделить всё
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 80.х.х.х
Я не могу понять принцып работы фаервола в utm, он способен прописать сам правило в фаервол? если да, то как? что за синтаксис такой?
Помимо всего прочего, нужно будет настроить прозрачный прокси и резать скорость, какую последавательность мне выбрать? сначала заставить работать? Считать и отключать/подключать пользователей, а потом настраивать squid или наоборот?
Последний раз редактировалось nops Вт мар 17, 2009 18:02, всего редактировалось 1 раз.
попробовал:
правда ничего не понял, плохо с английским. Что не так может?
Код: Выделить всё
[root@novour bin]# ./get_nf_direct -e
timestamp account_id source destination t_class packets bytes sport dport nexthop iface oface tcp_flags proto tos src_as dst_as src_mask dst_mask router_ip_from date
[root@novour bin]# ./get_nf_direct
timestamp account_id source destination t_class packets bytes sport dport date
[root@novour bin]#
get_nf_direct -hnops писал(а):попробовал:правда ничего не понял, плохо с английским. Что не так может?Код: Выделить всё
[root@novour bin]# ./get_nf_direct -e timestamp account_id source destination t_class packets bytes sport dport nexthop iface oface tcp_flags proto tos src_as dst_as src_mask dst_mask router_ip_from date [root@novour bin]# ./get_nf_direct timestamp account_id source destination t_class packets bytes sport dport date [root@novour bin]#
С этим делом я разобрался!
Вообщем, он у меня считает трафик по пользователю правильно, но вот в чём трабла, он считает трафик ещё и для пользователя с ID=0 что это за пользователь? Может это шлюз? если да, то мне всё понятно. Значит всё работает коректно. У меня был запущен Stargazer, поэтому и удваивался трафик.
сейчас хотелось бы узнать, каким образом пользователь выпускается в инет. Я так понимаю строку, о которой писал раньше, POSTROUTING которая, я из iptables удаляю и пишу правило для каждого пользователя во встроенном фаерволе. Так? А что с синтаксисом?
Можете привести пример написания правил фаервола.
Спасибо!
Вообщем, он у меня считает трафик по пользователю правильно, но вот в чём трабла, он считает трафик ещё и для пользователя с ID=0 что это за пользователь? Может это шлюз? если да, то мне всё понятно. Значит всё работает коректно. У меня был запущен Stargazer, поэтому и удваивался трафик.
сейчас хотелось бы узнать, каким образом пользователь выпускается в инет. Я так понимаю строку, о которой писал раньше, POSTROUTING которая, я из iptables удаляю и пишу правило для каждого пользователя во встроенном фаерволе. Так? А что с синтаксисом?
Можете привести пример написания правил фаервола.
Спасибо!
у меня, например, стоит файрволл pf..
конфиг rfw5.cfg из этого вытекает такой:конфиг /etc/pf.conf примерно такой:правило файрвола всего одно:и все..
ес-но, IP из сетки 172.16.0.0/16 выдает mpd..
а netflow у меня двоился так как отдавал ng_netflow свои записи, и mpd.. после переделал, чтоб интернет отдавал mpd, локальный трафик - ng_netflow..
конфиг rfw5.cfg из этого вытекает такой:
Код: Выделить всё
rfw_name=127.0.0.1
core_host=127.0.0.1
core_port=12758
rfw_login=rfwтакой
rfw_password=rfw
firewall_path=/sbin/pfctl
sudo_path=/usr/local/bin/sudo
dont_fork=yes
log_level=3
log_file_main=/netup/utm5/log/rfw.log
log_file_debug=/netup/utm5/log/rfw.log
log_file_critical=/netup/utm5/log/rfw.log
Код: Выделить всё
table <blocked> persist
rdr proto tcp from <blocked> to !192.168.1.1 port 80 -> 192.168.1.1 port 8080
nat inet proto { tcp udp } from { 172.16.0.0/16 } to !<LocalNet> -> (em0)
pass quick proto { tcp } from <blocked> to 192.168.1.1 port { 53 80 8080 }
block quick from <blocked> to any
Код: Выделить всё
id: 1
id пользователя: 0
id группы: 0
id тарифа: 0
Включение: -t blocked -T delete UIP
Выключение: -t blocked -T add UIP
id брандмауэра: 1
Галочка стоит Все пользователи
ес-но, IP из сетки 172.16.0.0/16 выдает mpd..
а netflow у меня двоился так как отдавал ng_netflow свои записи, и mpd.. после переделал, чтоб интернет отдавал mpd, локальный трафик - ng_netflow..
т.е., NAT стоит для всей подсети 172.16.0.0/16.. а эти IP раздает уже mpd тем, кто верно ввел логин/пароль и у кого включен интернет (т.е. - положительный баланс и отсутствие блокировки)..
ес-но, если у абонента закончились деньги - выключился интернет.. он добавился в таблицу <blocked> на файрволе, а там уже закрылся весь трафик, а любой трафик на 80 порт вообще пересылается на страничку "Гони бабло!"..
ес-но, если у абонента закончились деньги - выключился интернет.. он добавился в таблицу <blocked> на файрволе, а там уже закрылся весь трафик, а любой трафик на 80 порт вообще пересылается на страничку "Гони бабло!"..
# Создать в памяти таблицу <blocked>
table <blocked> persist
# Перенаправляем все, что идет от тех, кто в таблице <blocked> на 80 порт не биллинга (!192.168.1.1 port 80) на порт 8080 биллинга
rdr proto tcp from <blocked> to !192.168.1.1 port 80 -> 192.168.1.1 port 8080
# Натим всю подсеть 172.16.0.0/16
nat inet proto { tcp udp } from { 172.16.0.0/16 } to !<LocalNet> -> (em0)
# разрешаем от заблокированных соединения с хостом 192.168.1.1 на порты 53, 80, 8080
pass quick proto { tcp } from <blocked> to 192.168.1.1 port { 53 80 8080 }
# блокируем все от заблокированных
block quick from <blocked> to any
не пойму, неужели чтение конфига к pf может вызвать сложности? он же практически на чистом английском =)
table <blocked> persist
# Перенаправляем все, что идет от тех, кто в таблице <blocked> на 80 порт не биллинга (!192.168.1.1 port 80) на порт 8080 биллинга
rdr proto tcp from <blocked> to !192.168.1.1 port 80 -> 192.168.1.1 port 8080
# Натим всю подсеть 172.16.0.0/16
nat inet proto { tcp udp } from { 172.16.0.0/16 } to !<LocalNet> -> (em0)
# разрешаем от заблокированных соединения с хостом 192.168.1.1 на порты 53, 80, 8080
pass quick proto { tcp } from <blocked> to 192.168.1.1 port { 53 80 8080 }
# блокируем все от заблокированных
block quick from <blocked> to any
не пойму, неужели чтение конфига к pf может вызвать сложности? он же практически на чистом английском =)
понимающие люди, пожалуйста поглядите.
Это мой iptables. Вроде в него и добавлять нечего, на сколько я понимаю, только убрать надо
Так?
Код: Выделить всё
# Generated by iptables-save v1.2.7a on Thu Nov 20 23:44:08 2003
*nat
:PREROUTING ACCEPT [0:0]
#:PREROUTING ACCEPT [15:1651]
#-I PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-ports 3128
#-I PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 488 -j REDIRECT --to-ports 3128
#-I PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 591 -j REDIRECT --to-ports 3128
#-I PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 77 -j REDIRECT --to-ports 3128
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 80.х.х.х
COMMIT
# Completed on Thu Nov 20 23:44:08 2003
# Generated by iptables-save v1.2.7a on Thu Nov 20 23:44:08 2003
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:DIRECTLINK - [0:0]
#ssh
-A INPUT -i eth0 -p tcp --dport 22 -s 192.168.0.0/255.255.255.0 -j ACCEPT
#http
-A INPUT -i eth0 -d 80.х.х.х -p tcp --dport 80 -j ACCEPT
-A OUTPUT -o eth0 -s 80.х.х.х -p tcp --sport 80 -j ACCEPT
#dns
-A INPUT -i eth0 -d 80.х.х.х -p udp --dport 53 -j ACCEPT
-A OUTPUT -o eth0 -s 80.х.х.х -p udp --sport 53 -j ACCEPT
#
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT
-A INPUT -s 80.х.х.х -i lo -j ACCEPT
-A INPUT -s 192.168.0.1 -i lo -j ACCEPT
-A INPUT -d 80.х.х.х -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -d 80.х.х.х -p icmp -j ACCEPT
-A FORWARD -j DIRECTLINK
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-net-unreachable
-A OUTPUT -s 127.0.0.1 -j ACCEPT
-A OUTPUT -s 80.х.х.х -j ACCEPT
-A OUTPUT -s 192.168.0.1 -j ACCEPT
-A DIRECTLINK -s 192.168.0.0/255.255.255.0 -p tcp --dport 21 -j DROP
-A DIRECTLINK -s 192.168.0.0/255.255.255.0 -j ACCEPT
COMMIT
# Completed on Thu Nov 20 23:44:08 2003
Код: Выделить всё
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 80.х.х.х
допустим, я это всё сделаю, и допустим у меня заработает. Задача стоит такая:
использовать прозрачный прокси.
в iptables прописано, что перенаправлять пользователей, обратившихся к порту 80, на порт 3128 прокси.
Далее, если я закомментирую строчку в фаерволе, разрешающую юзерам выходить в инет, то по тому же 80-му порту они могут просматривать странички. Как сделать так, чтобы подключало и отключало пользователей юзающих через прозрачный squid?
использовать прозрачный прокси.
в iptables прописано, что перенаправлять пользователей, обратившихся к порту 80, на порт 3128 прокси.
Далее, если я закомментирую строчку в фаерволе, разрешающую юзерам выходить в инет, то по тому же 80-му порту они могут просматривать странички. Как сделать так, чтобы подключало и отключало пользователей юзающих через прозрачный squid?