Авторизатор не соединяется с сервером.

[новичек]

Установка агента доступа задача посложнее - поскольку он управляет фаерволом, то сперва настроим его.
Команды bash
mv rc.firewall /etc/
ee /etc/rc.firewall
и в одной из первых строк меняем
ifOut='em0'
на имя интерфейса, который смотрит в "сторону интернета".
В предложенном /etc/rc.firewall правила обеспечивают:
- доступ по ssh к серверу;
- доступ к Web-статистике и админке NoDeny по tcp-портам 80 и 443;
- обслуживание DNS-запросов клиентов внутренней сети (предполагается, что на текущем маршрутизаторе запущен DNS-сервер);
- обслуживание l2-авторизации (авторизаторы NoDeny) клиентов внутренней сети;
- отправку трафика в коллектор его учета (правила с divert);
- разрешение доступа в интернет только разрешенных авторизованных клиентов, по требованию агента доступа noserver.pl.
Если сервер не перегружался, т.е. правила не сформированы, то запускаем вручную:
Команда bash
sh /etc/rc.firewall
Если получаем сообщение об ошибке примерно такое:
ipfw: getsockopt(IP_FW_ADD): Invalid argument
- ядро не скомпилировано с опцией IPDIVERT, не страшно - подгрузим как модуль ядра:

Команды bash

kldload ipdivert.ko
sh /etc/rc.firewall


rc.firewall должен запускаться при старте системы, поэтому:

Команда bash

echo firewall_enable=\"YES\" >> /etc/rc.conf



Для трансляции «серых» адресов в «белые» необходим NAT. Будем использовать pf nat:

Команда bash

ee /etc/pf.conf


Вставляем в файл pf.conf

set limit states 128000
set optimization aggressive
nat pass on em0 from 10.0.0.0/8 to any -> em0
nat pass on em0 from 192.168.0.0/16 to any -> em0

Обязательно вместо em0 укажите внешний интерфейс сервера, т.е тот, который смотрит с сторону провайдера. В это же значение должна быть установлена переменная ifOut в файле /etc/rc.firewall!

Команда bash

pfctl -N -f /etc/pf.conf


и если получаем сообщение:

pfctl: /dev/pf: No such file or directory

то подгрузим pf как модуль ядра и добавим в автозагрузку:

Команды bash

kldload pf.ko
pfctl -N -f /etc/pf.conf
pfctl -e
echo pf_load=\"YES\" >> /boot/loader.conf
echo pf_enable=\"YES\" >> /etc/rc.conf


В фаерволе предусмотрено, что трафик будет отправляться в коллектор, для его подсчета. В NoDeny есть возможность использования разных коллекторов. К примеру возьмем ipcad, который присутствует в портах:

Команды bash

cd /usr/ports/net-mgmt/ipcad && make install clean
echo ipcad_enable=\"YES\" >> /etc/rc.conf


По умолчанию, в конфиге /usr/local/etc/ipcad.conf много комментариев и несколько лишних настроек, удалим все и создадим «с нуля»:

Редактируем ipcad.conf

capture-ports enable;
interface divert port 1 netflow-disable;
interface divert port 2 netflow-disable;
rsh enable at 127.0.0.1;
rsh root@127.0.0.1 admin;
rsh ttl = 3;
rsh timeout = 30;
dumpfile = ipcad.dump;
chroot = /tmp;
memory_limit = 50m;


Команда bash

ipcad -d



Запускаем агент доступа:

Команда bash

perl noserver.pl &


Авторизуемся с помощью программы-авторизатора либо включаем режим «всегда онлайн» у одной из клиентских записей и через несколько секунд:

Команда bash

ipfw table 10 list


видим в списке этот ip. Теперь пробуем получать доступ в интернет только при авторизации и только когда учетная запись незаблокирована.



Автозапуск агентов с запуском системы.

Команда bash

cp /usr/local/nodeny/rc.d/* /usr/local/etc/rc.d/


После того это все сделал, агент перестал соединяться с сервером, пинги идут, в логах видно что l2auth работает, фаервол не блокирует. В чем может быть проблема? Может кто сталкивался?

[VitalVas]

ps -ax | grep no
sockstat -4 | grep 7723
tcpdump -i{твой_интерфейс} -p -n udp port 7723
cat /usr/local/nodeny/nol2auth.log
?? ??

p.s. и не надо кусок мана дьоргать. и юзай теги!

[новичек]

ps -ax | grep no
sockstat -4 | grep 7723
tcpdump -i{твой_интерфейс} -p -n udp port 7723
cat /usr/local/nodeny/nol2auth.log
?? ??

p.s. и не надо кусок мана дьоргать. и юзай теги!

Хорошо, спасибо.

galaxy# ps -ax | grep no
  973  ??  S<     0:00.68 perl noserver.pl (perl5.10.1)
  974  ??  S<     0:02.69 perl nodeny.pl (perl5.10.1)
  975  ??  S<     0:02.22 perl nol2auth.pl (perl5.10.1)
 1861  ??  S<     0:00.00 /usr/bin/perl /usr/local/nodeny/ipcad.pl 127.0.0.1 /u
  855 con- I      0:00.00 sh go.sh noserver
  864 con- I      0:00.00 sh go.sh nol2auth
  871 con- I      0:00.00 sh go.sh nodeny
 1868  p0  S+     0:00.00 grep no

root     perl5.10.1 975   4  udp4   *:7723                *:*

galaxy# tcpdump -i{rl0} -p -n udp port 7723
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on rl0, link-type EN10MB (Ethernet), capture size 96 bytes

galaxy# cat /usr/local/nodeny/nol2auth.log
21.11.2010 15:55:36 ====== -  NoDeny L2-auth starting - ======
21.11.2010 15:55:40 Получен сигнал перезагрузки скрипта
21.11.2010 15:55:42 ====== -  NoDeny L2-auth starting - ======
21.11.2010 16:02:09 Script already running with pid=975
21.11.2010 16:28:03 Script already running with pid=975
21.11.2010 16:31:25 Получен сигнал завершения работы скрипта
21.11.2010 16:32:25 ====== -  NoDeny L2-auth starting - ======
21.11.2010 16:32:29 Получен сигнал перезагрузки скрипта
21.11.2010 16:32:31 ====== -  NoDeny L2-auth starting - ======

[VitalVas]

чуть неправильно
не  tcpdump -i{rl0} -p -n udp port 7723 а  tcpdump -irl0 -p -n udp port 7723

дай еще ipfw show

[новичек]

Тоже самое дает.

galaxy# tcpdump -irl0 -p -n udp port 7723
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on rl0, link-type EN10MB (Ethernet), capture size 96 bytes

galaxy# ipfw show
00050  1090   83912 allow tcp from any to me dst-port 22
00051   798   88036 allow tcp from me 22 to any
00110  3056  153420 allow ip from any to any via lo0
00120   120   37106 skipto 1000 ip from me to any
00130     0       0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160   255   23657 skipto 2000 ip from any to me
00200 84376 7410641 skipto 500 ip from any to any via rl0
00300     0       0 skipto 4500 ip from any to any in
00400     0       0 skipto 450 ip from any to any recv rl0
00490     0       0 allow ip from any to any
00500 84376 7410641 skipto 32500 ip from any to any in
00540     0       0 allow ip from any to any
01000     0       0 allow udp from any 53,7723 to any
01010     0       0 allow tcp from any to any setup keep-state
01020    75    8092 allow udp from any to any keep-state
01100    99   35755 allow ip from any to any
02000     0       0 check-state
02010     1      60 allow icmp from any to any
02020    70   12060 allow tcp from any to any dst-port 80,443
02050   130    4796 deny ip from any to any via rl0
02060     0       0 allow udp from any to any dst-port 53,7723
02100     0       0 deny ip from any to any
32490     0       0 deny ip from any to any
65535 84376 7410641 deny ip from any to any
galaxy#

И еще, может я не правильно рассуждаю.
У меня сейчас сетевая только одна, то есть она инет берет, к ней хочу подключить L2.
В будущем будет 3 сетевые. Одна в сторону инета, вторая на клиетов, а третья на ТИ, что бы плавно переводить клиентов на nodeny, а то ТИ 500 клиентов уже не выдерживает.
И еще вопрос, что лучше использовать, L2 или pppoe. Читал на форуме что на l2 последнее время антивирусы жалуются, а клиенты у нас сами знаете какие, антивирус скажет удалить, клиент нажмет удалить, а потом звонит и говорит, я ничего не делал, она сам пропал.
+ интересует, как себя ведет агент в случае с пропаданием сети. К примеру падает линк к серверу на минуту, pppoe я так понял будет релогиниться пока не добьется сервера, а как в этом случае ведет себя l2.

[VitalVas]

авторизатор просто будет менять цвет.....
удали правило 2050

[новичек]

авторизатор просто будет менять цвет.....
удали правило 2050

Спасибо, соединилось, что делала эта строка?
И все таки, лучше mpd5 pppoe?

[Aivanzipper]

2050 запретить все протоколы от любого к любому через rl0

man ipfw

[новичек]

Немного по другому задам вопрос.
У меня в данный момент 100 мыльниц, на них примерно 500 клиентов.
В сети стоит торрент и ftp. Которые после установки сервера нодени планирую убрать за него.
То есть пока не авторизировался на Nodeny не могу зайти на фтп или торрент, и весь трафик фтп будет ходить через севрер нодени. Но мне не нужно что бы весь трафик торрентов ходил через нодени, то есть получается что мне pppoe не пойдет? Я смогу сделать когда в сети появится умная железка и Pppoe авторизация будет не на сервера нодени, а на эту умную железку? А если сделаю Pppoe авторизацию на нодени, то весь торрент трафик будет ходить через нодени?

[Aivanzipper]

Ну вот подумай сам, как можно управлять трафиком который идет через мыльницы в обход сервера доступа?

А 100 мыльниц и 500 клиентов это сильно.... 

[новичек]

Ну вот подумай сам, как можно управлять трафиком который идет через мыльницы в обход сервера доступа?

А 100 мыльниц и 500 клиентов это сильно....  

Почему в обход?
Мне не нужно контролировать трафик внутри сети, мне нужно только что бы доступ к фтп серверу и торренту закрывался когда у человека не оплачен интернет. А 500 клиентов на 100 мылницах) так это потому что кредиты тянут много денег.
Только начинаем переход на оптику. Но нужно сначала с нодени разобраться что бы инет нормально работал.

[Aivanzipper]

Мне не нужно контролировать трафик внутри сети, мне нужно только что бы доступ к фтп серверу и торренту закрывался когда у человека не оплачен интернет.

Вот у нас тоже такой вопрос поднимался. Решается 2-мя способами:

• пустить локальный трафик через сателлит NoDeny и уже там им играться
• заменить мыльницы на вменяемое железо и воспользоваться модулем SNMP

[ser970]

Мне не нужно контролировать трафик внутри сети, мне нужно только что бы доступ к фтп серверу и торренту закрывался когда у человека не оплачен интернет.

Вот у нас тоже такой вопрос поднимался. Решается 2-мя способами:

• пустить локальный трафик через сателлит NoDeny и уже там им играться
• заменить мыльницы на вменяемое железо и воспользоваться модулем SNMP

что то все так сложно... простой скип на сервере фтп или торенте

[Aivanzipper]

что то все так сложно... простой скип на сервере фтп или торенте

Каким образом? 

[VitalVas]

Каким образом? 

nomake.pl+шаблон...?