Биллинговая система Nodeny
26 Ноября 2024, 03:11:40 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Прекращена поддержка версии Nodeny 49
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: 1 [2] 3
  Печать  
Автор Тема: Распределенная система  (Прочитано 16716 раз)
DenisNikolaich
Пользователь
**

Карма: 0
Offline Offline

Сообщений: 67


Просмотр профиля Email
« Ответ #15 : 06 Июля 2018, 07:45:16 »

Спасибо огромное многоуважаемый Cell, благодаря Вашим подсказкам я разобрался, теперь клиенский ПК работает через сателит под управлением NoDeny. Но остался еще один не решенный момент - перенаправление на заглушку.
Записан
Cell
NoDeny
Спец
*

Карма: 52
Offline Offline

Сообщений: 1407



Просмотр профиля
« Ответ #16 : 06 Июля 2018, 09:56:35 »

Спасибо огромное многоуважаемый Cell, благодаря Вашим подсказкам я разобрался, теперь клиенский ПК работает через сателит под управлением NoDeny. Но остался еще один не решенный момент - перенаправление на заглушку.
Ну тут делать тоже самое что на основном серваке.
Записан
DenisNikolaich
Пользователь
**

Карма: 0
Offline Offline

Сообщений: 67


Просмотр профиля Email
« Ответ #17 : 06 Июля 2018, 10:01:11 »

Заглушку запускать на насе? И за unbound? Его на NAS надо настраивать, как по мануалу.
Записан
Pa4ka
Старожил
****

Карма: 4
Offline Offline

Сообщений: 281

591884591
Просмотр профиля Email
« Ответ #18 : 06 Июля 2018, 10:50:50 »

Заглушку запускать на насе? И за unbound? Его на NAS надо настраивать, как по мануалу.
unbound ставьте где вам удобнее, мы ставим по возможности на NAS, а ним форвардим на свой основной днс сервер и на несколько внешних
Записан
DenisNikolaich
Пользователь
**

Карма: 0
Offline Offline

Сообщений: 67


Просмотр профиля Email
« Ответ #19 : 06 Июля 2018, 11:37:04 »

Огромное спасибо за помощь, вроде все удалось настроить и заглушку и доступ в инет под управлением нодени. Еще раз спасибо!!!
Записан
elite
Начальник планеты
NoDeny
Спец
*

Карма: 52
Offline Offline

Сообщений: 1226

In LAN we trust!

358714596
Просмотр профиля
« Ответ #20 : 06 Июля 2018, 12:41:12 »

unbound ставьте где вам удобнее, мы ставим по возможности на NAS, а ним форвардим на свой основной днс сервер и на несколько внешних
кстати, почему так? разве не правильне держать отдельных 1-2 днс сервера
Записан
Cell
NoDeny
Спец
*

Карма: 52
Offline Offline

Сообщений: 1407



Просмотр профиля
« Ответ #21 : 06 Июля 2018, 12:44:36 »

unbound ставьте где вам удобнее, мы ставим по возможности на NAS, а ним форвардим на свой основной днс сервер и на несколько внешних
кстати, почему так? разве не правильне держать отдельных 1-2 днс сервера
Через определенное количество лет ко мне пришло понимание что ДНС должны стоять отдельно и не быть связанны с NAS ))) объяснений существует великое множество, тут больше даже "мудрость предков" скорее важна )))
Записан
WideAreaNetwork
Старожил
****

Карма: 1
Offline Offline

Сообщений: 358


Просмотр профиля Email
« Ответ #22 : 21 Марта 2021, 21:54:38 »

Огромное спасибо за помощь, вроде все удалось настроить и заглушку и доступ в инет под управлением нодени. Еще раз спасибо!!!
если помните то напишите пожалуйста как решили вопрос с заглушкой
Записан
WideAreaNetwork
Старожил
****

Карма: 1
Offline Offline

Сообщений: 358


Просмотр профиля Email
« Ответ #23 : 27 Мая 2021, 07:32:27 »

разделили все в одном на биллинг и нас, ОС на FreeBSD, с заглушкой не получается, точнее с правилом ipfw

заглушка запущена на насе
Код:
ps aux | grep cap | grep -v grep
root   7872    0.4  0.2 41632 25212  0  S    08:24      0:00.14 perl /usr/local/nodeny/nokernel.pl -m=cap -d

если в ручную добавить правило на насе то работает, правда есть нюансы, о них потом
Код:
ipfw add 18400 fwd 127.0.0.1,8080 tcp from any to any dst-port 80

добавляю его в rc.firewall
Код:
cat /etc/rc.firewall | grep fwd
${f} add 18400 fwd 127.0.0.1,8080 tcp from any to any 80
и после ребута получаю отсутствие это правило в ipfw show, его там нету

подскажите плиз как руки то выпрямить если в них дело? ЧЯДНТ ?

или может кто поделится конфигами на насе для заглушки
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #24 : 28 Мая 2021, 00:41:47 »

nofire.pm удаляет правила попадающие в диапазон $cfg::ipfw_num_out_start .. $cfg::ipfw_num_out_end и $cfg::ipfw_num_in_start .. $cfg::ipfw_num_in_end.

По дефолту в конфиге:

Код:
$ipfw_num_out_start = 5000;     # начиная с этого номера будут идти правила фильтрации пакетов, идущих от клиентов
$ipfw_num_out_end   = 32000;

$ipfw_num_in_start  = 33000;    # начиная с этого номера будут идти правила фильтрации пакетов, идущих к клиентам
$ipfw_num_in_end    = 60000;

попробуй в другое место поставить правило. Если не получится логически, то можно будет в nofire.pm запретить удалять правило именно с этим номером:

Код:
    if( ($num >= $cfg::ipfw_num_out_start && $num <= $cfg::ipfw_num_out_end) ||
        ($num >= $cfg::ipfw_num_in_start  && $num <= $cfg::ipfw_num_in_end) )
на
Код:
    if( (($num >= $cfg::ipfw_num_out_start && $num <= $cfg::ipfw_num_out_end) ||
        ($num >= $cfg::ipfw_num_in_start  && $num <= $cfg::ipfw_num_in_end)) && $num !=18400 )
но тут надо понимать, что 18400 это тупо где-то посредине окна, в котором динамически прописываются правила. Лучше куда-то под конец его вставить. Можно даже в коде где-то около:
Код:
  $M->{fw}{rules} .= 'add '.$M->{fw}{cursor_out2}++." deny ip from any to any\n";
 $M->{fw}{rules} .= 'add '.$M->{fw}{cursor_in2}++." deny ip from any to any\n";
 $M->{fw}{rules} .= 'add '.$cfg::ipfw_num_in_end." deny ip from any to any\n";
 $M->{fw}{rules} .= 'add '.$cfg::ipfw_num_out_end." deny ip from any to any\n"
Вообще, этот код писал кучу лет назад, может где-то ошибаюсь
Записан
WideAreaNetwork
Старожил
****

Карма: 1
Offline Offline

Сообщений: 358


Просмотр профиля Email
« Ответ #25 : 02 Июня 2021, 08:53:35 »

спасибо, но но тогда интересно откуда правило для заглушки бралось когда было все в одном, вот сейчас на нем
Код:
# ipfw show
00100        0           0 deny ip from table(102) to any
00110    50547     6155136 allow ip from any to any via lo0
00120  9158313 13203163485 skipto 1000 ip from me to any
00130      763       27468 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160  4101528   256871745 skipto 2000 ip from any to me
00200    29091     8179412 skipto 500 ip from any to any { via vlan19 or via vlan34 }
00300   492749   157788856 skipto 4500 ip from any to any in
00400        0           0 skipto 450 ip from any to any { recv vlan19 or recv vlan34 }
00420        0           0 tee 1 ip from any to any
00450        0           0 tee 2 ip from any to any
00490        0           0 allow ip from any to any
00500    29091     8179412 skipto 32500 ip from any to any in
00510        0           0 tee 1 ip from any to any
00540        0           0 allow ip from any to any
01000        0           0 allow udp from any 53,7723 to any
01010 12425840 13151443991 allow tcp from any to any setup keep-state :default
01020    11784     1225146 allow udp from any to any keep-state :default
01100   373291   270637777 allow ip from any to any
02000        0           0 check-state :default
02010   103185     5819921 allow icmp from any to any
02020   196177    23083816 allow tcp from any to any 22,80,443,5006
02030        0           0 allow tcp from table(101) to any 3306
02050   115748     5517015 deny ip from any to any { via vlan19 or via vlan34 }
02060        0           0 allow udp from any to any 53,7723
02100    33816     2307564 deny ip from any to any
04500        0           0 allow ip from any to table(100)
05000        0           0 skipto 18502 ip from table(24) to table(14)
05001        0           0 allow ip from table(44) to table(14)
05002        0           0 skipto 18503 ip from table(21) to table(11)
05003        0           0 allow ip from table(41) to table(11)
18500        0           0 fwd 127.0.0.1,8080 tcp from any to any 80
18501   492723   157780517 deny ip from any to any
18502        0           0 pipe tablearg ip from table(24) to any
18503        0           0 pipe tablearg ip from table(21) to any
32000        0           0 deny ip from any to any
32490       26        8339 deny ip from any to any
32500        0           0 allow ip from table(100) to any
33000        0           0 skipto 46501 ip from table(14) to table(34)
33001        0           0 allow ip from table(14) to table(44)
33002        0           0 skipto 46502 ip from table(11) to table(31)
33003        0           0 allow ip from table(11) to table(41)
46500    29068     8172056 deny ip from any to any
46501        0           0 pipe tablearg ip from any to table(34)
46502        0           0 pipe tablearg ip from any to table(31)
60000        0           0 deny ip from any to any
65535       90       20433 deny ip from any to any

Код:
18500        0           0 fwd 127.0.0.1,8080 tcp from any to any 80

и его в rc.firewall нету
Код:
# cat /etc/rc.firewall
#!/bin/sh -

f='/sbin/ipfw'

ifOut='vlan19 vlan34'

use_ipcad_divert=YES


ifVia=''
ifRecv=''
tmp_or=''
for i in $ifOut
  do
    ifVia="${ifVia}${tmp_or}via $i"
    ifRecv="${ifRecv}${tmp_or}recv $i"
    tmp_or=' or '
  done

${f} -f flush

# dns
${f} table 100 add 8.8.8.8

#TurboSMS
${f} add 52 allow ip from 94.249.146.189 3306 to me via vlan19
${f} add 53 allow ip from me to 94.249.146.189 3306 via vlan19

${f} add 100 deny ip from "table(102)" to any

${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me

${f} add 200 skipto 500 ip from any to any { $ifVia }

${f} add 300 skipto 4500 ip from any to any in

${f} add 400 skipto 450 ip from any to any { $ifRecv }
if [ $use_ipcad_divert ]; then
  ${f} add 420 tee 1 ip from any to any
  ${f} add 450 tee 2 ip from any to any
fi
${f} add 490 allow ip from any to any

${f} add 500 skipto 32500 ip from any to any in
if [ $use_ipcad_divert ]; then
  ${f} add 510 tee 1 ip from any to any
fi
${f} add 540 allow ip from any to any


${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 22,80,443,5006
${f} add 2030 allow tcp from "table(101)" to any 3306
${f} add 2050 deny ip from any to any { $ifVia }
${f} add 2060 allow udp from any to any 53,7723

${f} add 2100 deny ip from any to any

${f} add 4500 allow ip from any to "table(100)"
${f} add 32490 deny ip from any to any

${f} add 32500 allow ip from "table(100)" to any
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #26 : 02 Июня 2021, 18:40:35 »

А вот я нашел в конфиге:
Код:
$forward_enabled    = 0;        # включить форвард неавторизованных клиентов на заглушку. Требует перекомпиляции ядра системы
$forward_port       = 8080;     # на какой порт форвардить
Записан
WideAreaNetwork
Старожил
****

Карма: 1
Offline Offline

Сообщений: 358


Просмотр профиля Email
« Ответ #27 : 15 Января 2022, 11:35:05 »

хотел уточнить у тех кто реализовывал у себя заглушки на насе с ОС FreeBSD, сейчас есть биллинг 1.1.1.1 и нас 2.2.2.2

при разделении на биллинг и нас нужно ли тушить правило fwd на биллинге? сейчас получается правило форвардинга и на биллинге и на насе включено
Код:
$forward_enabled    = 1;        # включить форвард неавторизованных клиентов на заглушку. Требует перекомпиляции ядра системы

а спрашиваю, так как @Cell писал что делать надо локально, абонента на насе при перекидывании на заглушку кидает по адресу
Код:
1.1.1.1/cgi-bin/cap.pl?url=msftconnecttest.com/redirect

разве не должно было быть как ниже?
Код:
2.2.2.2/cgi-bin/cap.pl?url=msftconnecttest.com/redirect

сам модуль заглушки запущен на насе

если добавлять второй нас то модуль заглушки нужно будет и на нем запускать?
Записан
Cell
NoDeny
Спец
*

Карма: 52
Offline Offline

Сообщений: 1407



Просмотр профиля
« Ответ #28 : 15 Января 2022, 11:47:42 »

фряха не умеет редиректить на другой хост, только на самого себя поэтому сколько брасов столько и заглушек нужно настраивать
Записан
WideAreaNetwork
Старожил
****

Карма: 1
Offline Offline

Сообщений: 358


Просмотр профиля Email
« Ответ #29 : 15 Января 2022, 19:35:27 »

спасибо

значит правило форварда включаем на насах, также на каждом запускаем заглушку cap.pl
Записан
Страниц: 1 [2] 3
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!