Биллинговая система Nodeny

Установка агента доступа задача посложнее - поскольку он управляет фаерволом, то сперва настроим его.
Команды bash
mv rc.firewall /etc/
ee /etc/rc.firewall
и в одной из первых строк меняем
ifOut='em0'
на имя интерфейса, который смотрит в "сторону интернета".
В предложенном /etc/rc.firewall правила обеспечивают:
- доступ по ssh к серверу;
- доступ к Web-статистике и админке NoDeny по tcp-портам 80 и 443;
- обслуживание DNS-запросов клиентов внутренней сети (предполагается, что на текущем маршрутизаторе запущен DNS-сервер);
- обслуживание l2-авторизации (авторизаторы NoDeny) клиентов внутренней сети;
- отправку трафика в коллектор его учета (правила с divert);
- разрешение доступа в интернет только разрешенных авторизованных клиентов, по требованию агента доступа noserver.pl.
Если сервер не перегружался, т.е. правила не сформированы, то запускаем вручную:
Команда bash
sh /etc/rc.firewall
Если получаем сообщение об ошибке примерно такое:
ipfw: getsockopt(IP_FW_ADD): Invalid argument
- ядро не скомпилировано с опцией IPDIVERT, не страшно - подгрузим как модуль ядра:

Команды bash

kldload ipdivert.ko
sh /etc/rc.firewall


rc.firewall должен запускаться при старте системы, поэтому:

Команда bash

echo firewall_enable=\"YES\" >> /etc/rc.conf



Для трансляции «серых» адресов в «белые» необходим NAT. Будем использовать pf nat:

Команда bash

ee /etc/pf.conf


Вставляем в файл pf.conf

set limit states 128000
set optimization aggressive
nat pass on em0 from 10.0.0.0/8 to any -> em0
nat pass on em0 from 192.168.0.0/16 to any -> em0

Обязательно вместо em0 укажите внешний интерфейс сервера, т.е тот, который смотрит с сторону провайдера. В это же значение должна быть установлена переменная ifOut в файле /etc/rc.firewall!

Команда bash

pfctl -N -f /etc/pf.conf


и если получаем сообщение:

pfctl: /dev/pf: No such file or directory

то подгрузим pf как модуль ядра и добавим в автозагрузку:

Команды bash

kldload pf.ko
pfctl -N -f /etc/pf.conf
pfctl -e
echo pf_load=\"YES\" >> /boot/loader.conf
echo pf_enable=\"YES\" >> /etc/rc.conf


В фаерволе предусмотрено, что трафик будет отправляться в коллектор, для его подсчета. В NoDeny есть возможность использования разных коллекторов. К примеру возьмем ipcad, который присутствует в портах:

Команды bash

cd /usr/ports/net-mgmt/ipcad && make install clean
echo ipcad_enable=\"YES\" >> /etc/rc.conf


По умолчанию, в конфиге /usr/local/etc/ipcad.conf много комментариев и несколько лишних настроек, удалим все и создадим «с нуля»:

Редактируем ipcad.conf

capture-ports enable;
interface divert port 1 netflow-disable;
interface divert port 2 netflow-disable;
rsh enable at 127.0.0.1;
rsh root@127.0.0.1 admin;
rsh ttl = 3;
rsh timeout = 30;
dumpfile = ipcad.dump;
chroot = /tmp;
memory_limit = 50m;


Команда bash

ipcad -d



Запускаем агент доступа:

Команда bash

perl noserver.pl &


Авторизуемся с помощью программы-авторизатора либо включаем режим «всегда онлайн» у одной из клиентских записей и через несколько секунд:

Команда bash

ipfw table 10 list


видим в списке этот ip. Теперь пробуем получать доступ в интернет только при авторизации и только когда учетная запись незаблокирована.



Автозапуск агентов с запуском системы.

Команда bash

cp /usr/local/nodeny/rc.d/* /usr/local/etc/rc.d/


После того это все сделал, агент перестал соединяться с сервером, пинги идут, в логах видно что l2auth работает, фаервол не блокирует. В чем может быть проблема? Может кто сталкивался?

ps -ax | grep no
sockstat -4 | grep 7723
tcpdump -i{твой_интерфейс} -p -n udp port 7723
cat /usr/local/nodeny/nol2auth.log
?? ??

p.s. и не надо кусок мана дьоргать. и юзай теги!

Хорошо, спасибо.

чуть неправильно
не  tcpdump -i{rl0} -p -n udp port 7723 а  tcpdump -irl0 -p -n udp port 7723

дай еще ipfw show

Тоже самое дает.
И еще, может я не правильно рассуждаю.
У меня сейчас сетевая только одна, то есть она инет берет, к ней хочу подключить L2.
В будущем будет 3 сетевые. Одна в сторону инета, вторая на клиетов, а третья на ТИ, что бы плавно переводить клиентов на nodeny, а то ТИ 500 клиентов уже не выдерживает.
И еще вопрос, что лучше использовать, L2 или pppoe. Читал на форуме что на l2 последнее время антивирусы жалуются, а клиенты у нас сами знаете какие, антивирус скажет удалить, клиент нажмет удалить, а потом звонит и говорит, я ничего не делал, она сам пропал.
+ интересует, как себя ведет агент в случае с пропаданием сети. К примеру падает линк к серверу на минуту, pppoe я так понял будет релогиниться пока не добьется сервера, а как в этом случае ведет себя l2.

авторизатор просто будет менять цвет.....
удали правило 2050

Спасибо, соединилось, что делала эта строка?
И все таки, лучше mpd5 pppoe?

2050 запретить все протоколы от любого к любому через rl0

man ipfw

Немного по другому задам вопрос.
У меня в данный момент 100 мыльниц, на них примерно 500 клиентов.
В сети стоит торрент и ftp. Которые после установки сервера нодени планирую убрать за него.
То есть пока не авторизировался на Nodeny не могу зайти на фтп или торрент, и весь трафик фтп будет ходить через севрер нодени. Но мне не нужно что бы весь трафик торрентов ходил через нодени, то есть получается что мне pppoe не пойдет? Я смогу сделать когда в сети появится умная железка и Pppoe авторизация будет не на сервера нодени, а на эту умную железку? А если сделаю Pppoe авторизацию на нодени, то весь торрент трафик будет ходить через нодени?

Ну вот подумай сам, как можно управлять трафиком который идет через мыльницы в обход сервера доступа?

А 100 мыльниц и 500 клиентов это сильно....  :o

Почему в обход?
Мне не нужно контролировать трафик внутри сети, мне нужно только что бы доступ к фтп серверу и торренту закрывался когда у человека не оплачен интернет. А 500 клиентов на 100 мылницах) так это потому что кредиты тянут много денег.
Только начинаем переход на оптику. Но нужно сначала с нодени разобраться что бы инет нормально работал.

Вот у нас тоже такой вопрос поднимался. Решается 2-мя способами:

• пустить локальный трафик через сателлит NoDeny и уже там им играться
• заменить мыльницы на вменяемое железо и воспользоваться модулем SNMP (http://forum.nodeny.com.ua/index.php?topic=518.0)

что то все так сложно... простой скип на сервере фтп или торенте

Каким образом?  :)

nomake.pl+шаблон...?

можно номаке
можно от старой версии там было такое
можно самому написать.
там особо писать нечего.

Это все хорошо, но при такой схеме остается работать локалка, поэтому сосед с положительным балансом без проблем натянет файлов (настроит прокси) для соседа с отрицательным балансом.

с таким же успехом сосед к соседу будет ходить в инет)

Тем более!  :) Закрывать юзеров лузеров в отдельный влан с доступом только на страницу статистики!

виталь почитай как стоял вопрос - как задан вопрос сделать не пролема.
а безопасность вещь очень интересная - при большом желании можно и циску обойти.

Имеете введу, что какой нибудь товарищ поставит днс и шлюз, ip своего друга, тот даст доступ и они будут работать через него вдвоем? И что много вы таких встречали?
А вообще я не совсем понимаю для чего в умный свич вставлять клиентов, они же его спалят во время грозы, по крайней мере так происходит в одной крупной сети нашего города. Или вы делаете это для того что бы клиенты не могли друг другу интернет раздавать?
Я вот думал делать так, приходит оптика на дом в какой нибудь умный l2, от него пачкорд в мыльницу и в нее же клиентов.
Еще вопрос как вы решаете проблему пропадания света. У нас бесперебойники эквикомовские рулят обычную мыльницу полтора суток без электричества, а крупный конкурент о котором я говорил ставит длинки л2 и обычный бесперебойник которого хватает максимум на пол часа.

я имел ввиду что в прямом смысле пришел до соседа в инет.

з.ы. сам так делал года 2 назад, когда еще через dial-up работал.....

Я имел введу это высказывание.

Ну придет к соседу, и пусть, это не мое дело, хоть десять человек пусть у него сидит, главное что бы за пределы его квартиры мой интернет не гулял.

Ну вот при вашей политике вы и не сможете этому препятствовать!
Умные свитчи на доступ это прежде всего безопасность, такая как DHCP-Snooping, ARP Inspection, ACL и т.д., а также поддержка VLAN, STP, SNMP etc. И никто вам их не спалит если витуха не висит снаружи здания. Дорого? При сети в 500 абонов вам дорого купить L2 свитч за 200 баксов для установки на 144-квартирный дом? Если да, то вы явно занимаетесь не своим делом.
По поводу питания: давайте подумаем, если в доме нету света больше 2-х часов, кому там нужен ваш инет? Юзерам с ноутбуками и мегобатареями? Таких единицы. Поэтому ваши крупные конкуренты и ставят обычный бесперебойник, и это правильно. Один 9-тиэтажный дом это 1-2 ящика со свитчами и бесперебойниками. Делайте выводы.

Вы можете крепко удивиться узнав сколько у вас в сети паразитов ничего не платящих и пользующихся вашими услугами.

Сразу хочу сказать спасибо, за дискуссию, мне действительно нужны умные советы, но:
У конкурентов витай только чердак, эти D-link по 200 баксов горят на ура, поэтому я и думаю делать только оптику в него, в rg45 Обычную мыльницу и в них уже клиентов.
Нет не дорого, я больше думаю где взять сварку, вот в интернете есть инфа, что можно клеить, вот буду скалыватель покупать. К тому же я говорил что 3 кредита(которые брались на помещение) жрут львиную долю+инет+работники.
Имел введу магистральный дом, через который сеть должна идти дальше, а из-за света она пропадет как только сдохнет бесперебойник, ясное дело что на конечную точку нет смысла ставить бесперебойник, максимум сбрасыватель.

Мыльницы на доступе режут половину функционала L2-свитча, ну разве что на каждого клиента по личной мыльнице ) а вообще есть готовые решения в виде грозозащит, погуглите.
Если нет возможности купить свой сварочник то покупайте услуги сварки, благо много кто этим сейчас занимается. А про всякие клеи забудьте.
Магистральный дом? Гирлянда? Делайте звезду ну или хотя-бы кольцо и не занимайтесь фигней. Мой вам совет.

Лежат грозы, набрал когда то на 5к грн эквикомовских. лежа в пакете пылятся, так как земли нет, а на нуле не сильно спасает.
Да но если что то случится, типа резанут, у нас такое бывает, а мне скажут люди со сваркой "будем через 3 дня" и что тогда?
Кольцо еще рано, так как нужно хотя бы на оптику перейти.
А вот про звезду не понял, как это? Как можно обойтись без магистральных домов, все конечные?

т.е. вы считаете что мыльницы вас спасут? )
другим позвоните, повторюсь: сейчас много кто этим занимается.
Именно, все конечные (логически). А физически будет проходить 1 кабель по всем домам. Есс-но оптика.

Ну я думаю это лучше чем втыкать напрямую в l2
У нас город 120 тыс. Поэтому паяльников не много, а конкуренты я думаю не захотят варить, хоты мы дружим неплохо.
Сразу брать оптику 96 жильную?)

не лучше)
найдите людей в областном центре которые смогут всегда поварить
У вас 48 домов? Не обязательно все вытягивать одним кабелем, можно ведь и двумя, тремя. А вообще на район делается узел агрегации с маршрутизатором, и такой район приходит к ядру 1-2 жилами. Например, решение от любимого Длинка:
(http://dlink.ru/up/uploads_img/5/switch/DGS-3600_sh2.jpg)

Вроде все понял, спасибо. Только еще пару вопросов.
Кольца хорошо тем что не нужно замарачиваться на бесперебойники? Если есть возможность колцануть?
В плане безопасности или защиты l2?

Кольца позволяют сэкономить на оптических жилах, но протокол STP не у всех вендоров корректно работает. Я рекомендовал-бы звезду.
И то и другое.