Название: Авторизатор не соединяется с сервером. Отправлено: новичек от 21 Ноября 2010, 16:40:34 Установка агента доступа задача посложнее - поскольку он управляет фаерволом, то сперва настроим его.
Команды bash mv rc.firewall /etc/ ee /etc/rc.firewall и в одной из первых строк меняем ifOut='em0' на имя интерфейса, который смотрит в "сторону интернета". В предложенном /etc/rc.firewall правила обеспечивают: - доступ по ssh к серверу; - доступ к Web-статистике и админке NoDeny по tcp-портам 80 и 443; - обслуживание DNS-запросов клиентов внутренней сети (предполагается, что на текущем маршрутизаторе запущен DNS-сервер); - обслуживание l2-авторизации (авторизаторы NoDeny) клиентов внутренней сети; - отправку трафика в коллектор его учета (правила с divert); - разрешение доступа в интернет только разрешенных авторизованных клиентов, по требованию агента доступа noserver.pl. Если сервер не перегружался, т.е. правила не сформированы, то запускаем вручную: Команда bash sh /etc/rc.firewall Если получаем сообщение об ошибке примерно такое: ipfw: getsockopt(IP_FW_ADD): Invalid argument - ядро не скомпилировано с опцией IPDIVERT, не страшно - подгрузим как модуль ядра: Команды bash kldload ipdivert.ko sh /etc/rc.firewall rc.firewall должен запускаться при старте системы, поэтому: Команда bash echo firewall_enable=\"YES\" >> /etc/rc.conf Для трансляции «серых» адресов в «белые» необходим NAT. Будем использовать pf nat: Команда bash ee /etc/pf.conf Вставляем в файл pf.conf set limit states 128000 set optimization aggressive nat pass on em0 from 10.0.0.0/8 to any -> em0 nat pass on em0 from 192.168.0.0/16 to any -> em0 Обязательно вместо em0 укажите внешний интерфейс сервера, т.е тот, который смотрит с сторону провайдера. В это же значение должна быть установлена переменная ifOut в файле /etc/rc.firewall! Команда bash pfctl -N -f /etc/pf.conf и если получаем сообщение: pfctl: /dev/pf: No such file or directory то подгрузим pf как модуль ядра и добавим в автозагрузку: Команды bash kldload pf.ko pfctl -N -f /etc/pf.conf pfctl -e echo pf_load=\"YES\" >> /boot/loader.conf echo pf_enable=\"YES\" >> /etc/rc.conf В фаерволе предусмотрено, что трафик будет отправляться в коллектор, для его подсчета. В NoDeny есть возможность использования разных коллекторов. К примеру возьмем ipcad, который присутствует в портах: Команды bash cd /usr/ports/net-mgmt/ipcad && make install clean echo ipcad_enable=\"YES\" >> /etc/rc.conf По умолчанию, в конфиге /usr/local/etc/ipcad.conf много комментариев и несколько лишних настроек, удалим все и создадим «с нуля»: Редактируем ipcad.conf capture-ports enable; interface divert port 1 netflow-disable; interface divert port 2 netflow-disable; rsh enable at 127.0.0.1; rsh root@127.0.0.1 admin; rsh ttl = 3; rsh timeout = 30; dumpfile = ipcad.dump; chroot = /tmp; memory_limit = 50m; Команда bash ipcad -d Запускаем агент доступа: Команда bash perl noserver.pl & Авторизуемся с помощью программы-авторизатора либо включаем режим «всегда онлайн» у одной из клиентских записей и через несколько секунд: Команда bash ipfw table 10 list видим в списке этот ip. Теперь пробуем получать доступ в интернет только при авторизации и только когда учетная запись незаблокирована. Автозапуск агентов с запуском системы. Команда bash cp /usr/local/nodeny/rc.d/* /usr/local/etc/rc.d/ После того это все сделал, агент перестал соединяться с сервером, пинги идут, в логах видно что l2auth работает, фаервол не блокирует. В чем может быть проблема? Может кто сталкивался? Название: Re: Авторизатор не соединяется с сервером. Отправлено: VitalVas от 21 Ноября 2010, 17:08:23 ps -ax | grep no
sockstat -4 | grep 7723 tcpdump -i{твой_интерфейс} -p -n udp port 7723 cat /usr/local/nodeny/nol2auth.log ?? ?? p.s. и не надо кусок мана дьоргать. и юзай теги! Название: Re: Авторизатор не соединяется с сервером. Отправлено: новичек от 21 Ноября 2010, 18:21:22 ps -ax | grep no Хорошо, спасибо.sockstat -4 | grep 7723 tcpdump -i{твой_интерфейс} -p -n udp port 7723 cat /usr/local/nodeny/nol2auth.log ?? ?? p.s. и не надо кусок мана дьоргать. и юзай теги! Цитировать galaxy# ps -ax | grep no 973 ?? S< 0:00.68 perl noserver.pl (perl5.10.1) 974 ?? S< 0:02.69 perl nodeny.pl (perl5.10.1) 975 ?? S< 0:02.22 perl nol2auth.pl (perl5.10.1) 1861 ?? S< 0:00.00 /usr/bin/perl /usr/local/nodeny/ipcad.pl 127.0.0.1 /u 855 con- I 0:00.00 sh go.sh noserver 864 con- I 0:00.00 sh go.sh nol2auth 871 con- I 0:00.00 sh go.sh nodeny 1868 p0 S+ 0:00.00 grep no Цитировать root perl5.10.1 975 4 udp4 *:7723 *:* Цитировать galaxy# tcpdump -i{rl0} -p -n udp port 7723 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on rl0, link-type EN10MB (Ethernet), capture size 96 bytes Цитировать galaxy# cat /usr/local/nodeny/nol2auth.log 21.11.2010 15:55:36 ====== - NoDeny L2-auth starting - ====== 21.11.2010 15:55:40 Получен сигнал перезагрузки скрипта 21.11.2010 15:55:42 ====== - NoDeny L2-auth starting - ====== 21.11.2010 16:02:09 Script already running with pid=975 21.11.2010 16:28:03 Script already running with pid=975 21.11.2010 16:31:25 Получен сигнал завершения работы скрипта 21.11.2010 16:32:25 ====== - NoDeny L2-auth starting - ====== 21.11.2010 16:32:29 Получен сигнал перезагрузки скрипта 21.11.2010 16:32:31 ====== - NoDeny L2-auth starting - ====== Название: Re: Авторизатор не соединяется с сервером. Отправлено: VitalVas от 21 Ноября 2010, 18:43:26 чуть неправильно
не tcpdump -i{rl0} -p -n udp port 7723 а tcpdump -irl0 -p -n udp port 7723 дай еще ipfw show Название: Re: Авторизатор не соединяется с сервером. Отправлено: новичек от 21 Ноября 2010, 18:55:36 Тоже самое дает.
Цитировать galaxy# tcpdump -irl0 -p -n udp port 7723 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on rl0, link-type EN10MB (Ethernet), capture size 96 bytes Цитировать galaxy# ipfw show И еще, может я не правильно рассуждаю.00050 1090 83912 allow tcp from any to me dst-port 22 00051 798 88036 allow tcp from me 22 to any 00110 3056 153420 allow ip from any to any via lo0 00120 120 37106 skipto 1000 ip from me to any 00130 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17 00160 255 23657 skipto 2000 ip from any to me 00200 84376 7410641 skipto 500 ip from any to any via rl0 00300 0 0 skipto 4500 ip from any to any in 00400 0 0 skipto 450 ip from any to any recv rl0 00490 0 0 allow ip from any to any 00500 84376 7410641 skipto 32500 ip from any to any in 00540 0 0 allow ip from any to any 01000 0 0 allow udp from any 53,7723 to any 01010 0 0 allow tcp from any to any setup keep-state 01020 75 8092 allow udp from any to any keep-state 01100 99 35755 allow ip from any to any 02000 0 0 check-state 02010 1 60 allow icmp from any to any 02020 70 12060 allow tcp from any to any dst-port 80,443 02050 130 4796 deny ip from any to any via rl0 02060 0 0 allow udp from any to any dst-port 53,7723 02100 0 0 deny ip from any to any 32490 0 0 deny ip from any to any 65535 84376 7410641 deny ip from any to any galaxy# У меня сейчас сетевая только одна, то есть она инет берет, к ней хочу подключить L2. В будущем будет 3 сетевые. Одна в сторону инета, вторая на клиетов, а третья на ТИ, что бы плавно переводить клиентов на nodeny, а то ТИ 500 клиентов уже не выдерживает. И еще вопрос, что лучше использовать, L2 или pppoe. Читал на форуме что на l2 последнее время антивирусы жалуются, а клиенты у нас сами знаете какие, антивирус скажет удалить, клиент нажмет удалить, а потом звонит и говорит, я ничего не делал, она сам пропал. + интересует, как себя ведет агент в случае с пропаданием сети. К примеру падает линк к серверу на минуту, pppoe я так понял будет релогиниться пока не добьется сервера, а как в этом случае ведет себя l2. Название: Re: Авторизатор не соединяется с сервером. Отправлено: VitalVas от 21 Ноября 2010, 19:16:35 авторизатор просто будет менять цвет.....
удали правило 2050 Название: Re: Авторизатор не соединяется с сервером. Отправлено: новичек от 22 Ноября 2010, 09:44:48 авторизатор просто будет менять цвет..... Спасибо, соединилось, что делала эта строка?удали правило 2050 И все таки, лучше mpd5 pppoe? Название: Re: Авторизатор не соединяется с сервером. Отправлено: Aivanzipper от 22 Ноября 2010, 09:47:59 2050 запретить все протоколы от любого к любому через rl0
man ipfw Название: Re: Авторизатор не соединяется с сервером. Отправлено: новичек от 22 Ноября 2010, 12:35:46 Немного по другому задам вопрос.
У меня в данный момент 100 мыльниц, на них примерно 500 клиентов. В сети стоит торрент и ftp. Которые после установки сервера нодени планирую убрать за него. То есть пока не авторизировался на Nodeny не могу зайти на фтп или торрент, и весь трафик фтп будет ходить через севрер нодени. Но мне не нужно что бы весь трафик торрентов ходил через нодени, то есть получается что мне pppoe не пойдет? Я смогу сделать когда в сети появится умная железка и Pppoe авторизация будет не на сервера нодени, а на эту умную железку? А если сделаю Pppoe авторизацию на нодени, то весь торрент трафик будет ходить через нодени? Название: Re: Авторизатор не соединяется с сервером. Отправлено: Aivanzipper от 22 Ноября 2010, 12:57:56 Ну вот подумай сам, как можно управлять трафиком который идет через мыльницы в обход сервера доступа?
А 100 мыльниц и 500 клиентов это сильно.... :o Название: Re: Авторизатор не соединяется с сервером. Отправлено: новичек от 22 Ноября 2010, 14:29:44 Ну вот подумай сам, как можно управлять трафиком который идет через мыльницы в обход сервера доступа? Почему в обход?А 100 мыльниц и 500 клиентов это сильно.... :o Мне не нужно контролировать трафик внутри сети, мне нужно только что бы доступ к фтп серверу и торренту закрывался когда у человека не оплачен интернет. А 500 клиентов на 100 мылницах) так это потому что кредиты тянут много денег. Только начинаем переход на оптику. Но нужно сначала с нодени разобраться что бы инет нормально работал. Название: Re: Авторизатор не соединяется с сервером. Отправлено: Aivanzipper от 22 Ноября 2010, 14:39:13 Мне не нужно контролировать трафик внутри сети, мне нужно только что бы доступ к фтп серверу и торренту закрывался когда у человека не оплачен интернет. Вот у нас тоже такой вопрос поднимался. Решается 2-мя способами:
Название: Re: Авторизатор не соединяется с сервером. Отправлено: ser970 от 22 Ноября 2010, 15:12:02 Мне не нужно контролировать трафик внутри сети, мне нужно только что бы доступ к фтп серверу и торренту закрывался когда у человека не оплачен интернет. Вот у нас тоже такой вопрос поднимался. Решается 2-мя способами:
Название: Re: Авторизатор не соединяется с сервером. Отправлено: Aivanzipper от 22 Ноября 2010, 15:19:37 что то все так сложно... простой скип на сервере фтп или торенте Каким образом? :) Название: Re: Авторизатор не соединяется с сервером. Отправлено: VitalVas от 22 Ноября 2010, 18:18:00 Каким образом? :) nomake.pl+шаблон...?Название: Re: Авторизатор не соединяется с сервером. Отправлено: ser970 от 23 Ноября 2010, 09:14:41 можно номаке
можно от старой версии там было такое можно самому написать. там особо писать нечего. Название: Re: Авторизатор не соединяется с сервером. Отправлено: Aivanzipper от 23 Ноября 2010, 15:14:27 Это все хорошо, но при такой схеме остается работать локалка, поэтому сосед с положительным балансом без проблем натянет файлов (настроит прокси) для соседа с отрицательным балансом.
Название: Re: Авторизатор не соединяется с сервером. Отправлено: VitalVas от 23 Ноября 2010, 16:20:20 с таким же успехом сосед к соседу будет ходить в инет)
Название: Re: Авторизатор не соединяется с сервером. Отправлено: Aivanzipper от 23 Ноября 2010, 16:22:53 Тем более! :) Закрывать
Название: Re: Авторизатор не соединяется с сервером. Отправлено: ser970 от 23 Ноября 2010, 17:23:17 с таким же успехом сосед к соседу будет ходить в инет) виталь почитай как стоял вопрос - как задан вопрос сделать не пролема.а безопасность вещь очень интересная - при большом желании можно и циску обойти. Название: Re: Авторизатор не соединяется с сервером. Отправлено: новичек от 23 Ноября 2010, 18:37:42 Имеете введу, что какой нибудь товарищ поставит днс и шлюз, ip своего друга, тот даст доступ и они будут работать через него вдвоем? И что много вы таких встречали?
А вообще я не совсем понимаю для чего в умный свич вставлять клиентов, они же его спалят во время грозы, по крайней мере так происходит в одной крупной сети нашего города. Или вы делаете это для того что бы клиенты не могли друг другу интернет раздавать? Я вот думал делать так, приходит оптика на дом в какой нибудь умный l2, от него пачкорд в мыльницу и в нее же клиентов. Еще вопрос как вы решаете проблему пропадания света. У нас бесперебойники эквикомовские рулят обычную мыльницу полтора суток без электричества, а крупный конкурент о котором я говорил ставит длинки л2 и обычный бесперебойник которого хватает максимум на пол часа. Название: Re: Авторизатор не соединяется с сервером. Отправлено: VitalVas от 23 Ноября 2010, 18:46:20 я имел ввиду что в прямом смысле пришел до соседа в инет.
з.ы. сам так делал года 2 назад, когда еще через dial-up работал..... Название: Re: Авторизатор не соединяется с сервером. Отправлено: новичек от 23 Ноября 2010, 18:49:22 Я имел введу это высказывание.
Это все хорошо, но при такой схеме остается работать локалка, поэтому сосед с положительным балансом без проблем натянет файлов (настроит прокси) для соседа с отрицательным балансом. Название: Re: Авторизатор не соединяется с сервером. Отправлено: новичек от 23 Ноября 2010, 18:51:38 я имел ввиду что в прямом смысле пришел до соседа в инет. Ну придет к соседу, и пусть, это не мое дело, хоть десять человек пусть у него сидит, главное что бы за пределы его квартиры мой интернет не гулял.з.ы. сам так делал года 2 назад, когда еще через dial-up работал..... Название: Re: Авторизатор не соединяется с сервером. Отправлено: Aivanzipper от 24 Ноября 2010, 09:40:47 главное что бы за пределы его квартиры мой интернет не гулял. Ну вот при вашей политике вы и не сможете этому препятствовать! Умные свитчи на доступ это прежде всего безопасность, такая как DHCP-Snooping, ARP Inspection, ACL и т.д., а также поддержка VLAN, STP, SNMP etc. И никто вам их не спалит если витуха не висит снаружи здания. Дорого? При сети в 500 абонов вам дорого купить L2 свитч за 200 баксов для установки на 144-квартирный дом? Если да, то вы явно занимаетесь не своим делом. По поводу питания: давайте подумаем, если в доме нету света больше 2-х часов, кому там нужен ваш инет? Юзерам с ноутбуками и мегобатареями? Таких единицы. Поэтому ваши крупные конкуренты и ставят обычный бесперебойник, и это правильно. Один 9-тиэтажный дом это 1-2 ящика со свитчами и бесперебойниками. Делайте выводы. Вы можете крепко удивиться узнав сколько у вас в сети паразитов ничего не платящих и пользующихся вашими услугами. Название: Re: Авторизатор не соединяется с сервером. Отправлено: новичек от 25 Ноября 2010, 09:31:34 Сразу хочу сказать спасибо, за дискуссию, мне действительно нужны умные советы, но: Цитировать И никто вам их не спалит если витуха не висит снаружи здания. У конкурентов витай только чердак, эти D-link по 200 баксов горят на ура, поэтому я и думаю делать только оптику в него, в rg45 Обычную мыльницу и в них уже клиентов. Цитировать При сети в 500 абонов вам дорого купить L2 свитч за 200 баксов для установки на 144-квартирный дом? Нет не дорого, я больше думаю где взять сварку, вот в интернете есть инфа, что можно клеить, вот буду скалыватель покупать. К тому же я говорил что 3 кредита(которые брались на помещение) жрут львиную долю+инет+работники.Цитировать По поводу питания: давайте подумаем, если в доме нету света больше 2-х часов, кому там нужен ваш инет? Юзерам с ноутбуками и мегобатареями? Имел введу магистральный дом, через который сеть должна идти дальше, а из-за света она пропадет как только сдохнет бесперебойник, ясное дело что на конечную точку нет смысла ставить бесперебойник, максимум сбрасыватель.Название: Re: Авторизатор не соединяется с сервером. Отправлено: Aivanzipper от 25 Ноября 2010, 10:22:30 Цитировать я и думаю делать только оптику в него, в rg45 Обычную мыльницу и в них уже клиентов. Мыльницы на доступе режут половину функционала L2-свитча, ну разве что на каждого клиента по личной мыльнице ) а вообще есть готовые решения в виде грозозащит, погуглите.Цитировать я больше думаю где взять сварку, вот в интернете есть инфа, что можно клеить, вот буду скалыватель покупать Если нет возможности купить свой сварочник то покупайте услуги сварки, благо много кто этим сейчас занимается. А про всякие клеи забудьте.Цитировать Имел введу магистральный дом, через который сеть должна идти дальше, а из-за света она пропадет как только сдохнет бесперебойник Магистральный дом? Гирлянда? Делайте звезду ну или хотя-бы кольцо и не занимайтесь фигней. Мой вам совет.Название: Re: Авторизатор не соединяется с сервером. Отправлено: новичек от 25 Ноября 2010, 10:53:22 Цитировать Мыльницы на доступе режут половину функционала L2-свитча, ну разве что на каждого клиента по личной мыльнице ) а вообще есть готовые решения в виде грозозащит, погуглите. Лежат грозы, набрал когда то на 5к грн эквикомовских. лежа в пакете пылятся, так как земли нет, а на нуле не сильно спасает.Цитировать Если нет возможности купить свой сварочник то покупайте услуги сварки, благо много кто этим сейчас занимается. А про всякие клеи забудьте. Да но если что то случится, типа резанут, у нас такое бывает, а мне скажут люди со сваркой "будем через 3 дня" и что тогда?Цитировать Магистральный дом? Гирлянда? Делайте звезду ну или хотя-бы кольцо и не занимайтесь фигней. Мой вам совет. Кольцо еще рано, так как нужно хотя бы на оптику перейти.А вот про звезду не понял, как это? Как можно обойтись без магистральных домов, все конечные? Название: Re: Авторизатор не соединяется с сервером. Отправлено: Aivanzipper от 25 Ноября 2010, 10:59:36 Цитировать Лежат грозы, набрал когда то на 5к грн эквикомовских. лежа в пакете пылятся, так как земли нет, а на нуле не сильно спасает. т.е. вы считаете что мыльницы вас спасут? )Цитировать Да но если что то случится, типа резанут, у нас такое бывает, а мне скажут люди со сваркой "будем через 3 дня" и что тогда? другим позвоните, повторюсь: сейчас много кто этим занимается.Цитировать Кольцо еще рано, так как нужно хотя бы на оптику перейти. Именно, все конечные (логически). А физически будет проходить 1 кабель по всем домам. Есс-но оптика.А вот про звезду не понял, как это? Как можно обойтись без магистральных домов, все конечные? Название: Re: Авторизатор не соединяется с сервером. Отправлено: новичек от 25 Ноября 2010, 16:53:10 Цитировать т.е. вы считаете что мыльницы вас спасут? ) Ну я думаю это лучше чем втыкать напрямую в l2Цитировать другим позвоните, повторюсь: сейчас много кто этим занимается. У нас город 120 тыс. Поэтому паяльников не много, а конкуренты я думаю не захотят варить, хоты мы дружим неплохо.Цитировать Именно, все конечные (логически). А физически будет проходить 1 кабель по всем домам. Есс-но оптика. Сразу брать оптику 96 жильную?)Название: Re: Авторизатор не соединяется с сервером. Отправлено: Aivanzipper от 25 Ноября 2010, 17:28:42 Цитировать Ну я думаю это лучше чем втыкать напрямую в l2 не лучше)Цитировать У нас город 120 тыс. Поэтому паяльников не много, а конкуренты я думаю не захотят варить, хоты мы дружим неплохо. найдите людей в областном центре которые смогут всегда поваритьЦитировать Сразу брать оптику 96 жильную?) У вас 48 домов? Не обязательно все вытягивать одним кабелем, можно ведь и двумя, тремя. А вообще на район делается узел агрегации с маршрутизатором, и такой район приходит к ядру 1-2 жилами. Например, решение от любимого Длинка: (http://dlink.ru/up/uploads_img/5/switch/DGS-3600_sh2.jpg) Название: Re: Авторизатор не соединяется с сервером. Отправлено: новичек от 25 Ноября 2010, 19:03:24 Вроде все понял, спасибо. Только еще пару вопросов.
Кольца хорошо тем что не нужно замарачиваться на бесперебойники? Если есть возможность колцануть? Цитировать не лучше) В плане безопасности или защиты l2? Название: Re: Авторизатор не соединяется с сервером. Отправлено: Aivanzipper от 26 Ноября 2010, 09:12:04 Цитировать Кольца хорошо тем что не нужно замарачиваться на бесперебойники? Если есть возможность колцануть? Кольца позволяют сэкономить на оптических жилах, но протокол STP не у всех вендоров корректно работает. Я рекомендовал-бы звезду.Цитировать В плане безопасности или защиты l2? И то и другое. |