Сентябрь месяц знаний! Сентябрь месяц - начало школьной поры. Ученики, студенты и преподаватели, отдохнувшие и полные сил, готовы к новому учебному году. Для них наступает пора уроков, лекций, сложной, но интересной работы.
UpIt-Systems представляет акцию "Школьная пора". Всем образовательным учереждениям, весь сентябрь скидка 30% на все продукты TraffPro, скидка на установку и поддержку 40%!
Разрешите представить, PAM модуль для TraffPro и OS Linux
Что такое PAM? Это система авторизации для всего Linux. Уже в версии 1.3.6 появился модуль PAM авторизации для TraffPro в Альфа варианте, вернее сказать PAM модуль авторизации из базы TraffPro. Скорее всего из за малой освещённости данного модуля до сих пор не было ни слова ни в форуме не в личных беседах.
Что позволяет данный модуль? Он позволяет управлять доступом практически для любых служб Linux, пока отстаёт только samba из за того, что она имеет немного другой способ управления, отличный от PAM, в остальном все службы Linux могут управлятся через этот модуль ssh, ftp, apach, squid и прочие, по русски так сказать можно привести сравнение MS AD и Linux PAM (ну в какой то мере).
Выпущена новая версия системы учёт трафика и защиты TraffPro.Free Beta 1.3.8
Изменения:
Переход на новый модуль ядра (c QUEUE на NFQUEUE)
Переадресация на авторизацию.
Изменено формирование отчётов по посещению. ускорено построение отчёта. (по последним данным отчёт по 35 пользователям за 3 месяца строился порядка нескольких секунд)
Встроена очистка хранящихся данных по истечению устанавлеваемого в параметрах traffpro.
Исправлена ошибка защиты сервера которая возникала в некоторых случаях.
Стресс тестер сети и сетевого оборудования (используется для тестов системы учёта трафика TraffPro) Позволяет: 1 - Моделировать сетевую активность в сети 2 - Осуществлять нагрузку канала с определённой скоростью 3 - Нагружать канал определённым количеством пакетов протоколов (tcp,udp,icmp) 4 - Нагружать сеть определённым количеством пользователей 5 - Генерировать трафик из локальной сети в глобальную и наоборот 6 - Генерировать трафик в определённом диапозоне портов 7 - Генерировать трафик с определённым размером пакетов 8 - Во время генерации принимать трафик сгенерированный с другой точки сети
Предлагаем видео (сырой вариант) по установке системы учёта трафика и защиты TraffPro с НУЛЯ. 1 - Установка OS Fedora 12 2 - Настройка сети 3 - Установка TraffPro 4 - Внесение нового пользователя.
Если есть пожелания предложения что добавить что убрать пишите.
Видео ещё до конца не обработано, к выпуску новой версии предполагается наложить звук и добавить настройку через WEB административную консоль дополнительных модулей.
Использую Slackware 12, обновленный до current. В /etc/init.d/linbilling почищено все, что касается iptable. Вот мой /etc/linbilling_rule.cfg, есть несколько сайтов, которые должны быть доступны всегда.
$IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -P OUTPUT DROP
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE1 -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LO_IFACE -j ACCEPT $IPTABLES -A INPUT -p ALL -i $INET_IFACE1 -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A INPUT -j QUEUE
$IPTABLES -A FORWARD -p icmp -i $LAN_IFACE1 --icmp-type 8 -j ACCEPT $IPTABLES -A FORWARD -p icmp -i $LAN_IFACE1 --icmp-type 11 -j ACCEPT $IPTABLES -A FORWARD -p tcp -i $LAN_IFACE1 --dport 443 -j ACCEPT $IPTABLES -A FORWARD -p tcp -i $LAN_IFACE1 --dport 5190 -j ACCEPT $IPTABLES -A FORWARD -p tcp -s 192.168.2.0/24 -d XX.XX.XX.XX/32 -j ACCEPT $IPTABLES -A FORWARD -p tcp -s 192.168.2.0/24 -d XX.XX.XX.XX/32 -j ACCEPT $IPTABLES -A FORWARD -p tcp -s 192.168.2.0/24 -d XX.XX.XX.XX/32 -j ACCEPT $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -j QUEUE
$IPTABLES -A OUTPUT -p ALL -o $LO_IFACE -j ACCEPT $IPTABLES -A OUTPUT -p ALL -o $LAN_IFACE1 -j ACCEPT $IPTABLES -A OUTPUT -p ALL -o $INET_IFACE1 -j ACCEPT $IPTABLES -A OUTPUT -j QUEUE
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE1 -j MASQUERADE
Исходящий считает нормально, с входящим проблема.
P.S.: Забыл добавить, других правил для фаервола нет.
и FORWARD для клиетнтов лучше -j QUEUE И таблица NAT всегда должна быть перед FORWARD
-------------------- Внимание! Штатный телепат проекта ушел в отпуск, поэтому на вопросы вида "у меня ничего не работает. как исправить?" мы не отвечаем.
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Вот ваша ошибка Это правило пускает всех кто установил соединений тоесть соединяются они через нашу систему а работает всё после соединения по этой цепочке и просто не доходит до нашей системы так как
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -j QUEUE правило пропускать всех подключившихся выше правила очереди нашей системы а как известно в правиах отрабатывает первое подходящее правило остальные игнорируются
--------------------
Учёт трафика бывает очень интересен, некоторые со мной не согласны, а зря :) http://www.Traffpro.ru
$IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -P OUTPUT DROP
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE1 -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LO_IFACE -j ACCEPT $IPTABLES -A INPUT -p ALL -i $INET_IFACE1 -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A INPUT -j QUEUE
$IPTABLES -A FORWARD -p icmp -i $LAN_IFACE1 --icmp-type 8 -j ACCEPT $IPTABLES -A FORWARD -p icmp -i $LAN_IFACE1 --icmp-type 11 -j ACCEPT $IPTABLES -A FORWARD -p tcp -i $LAN_IFACE1 --dport 443 -j ACCEPT $IPTABLES -A FORWARD -p tcp -i $LAN_IFACE1 --dport 5190 -j ACCEPT $IPTABLES -A FORWARD -p tcp -s 192.168.2.0/24 -d XX.XX.XX.XX/32 -j ACCEPT $IPTABLES -A FORWARD -p tcp -s 192.168.2.0/24 -d XX.XX.XX.XX/32 -j ACCEPT $IPTABLES -A FORWARD -p tcp -s 192.168.2.0/24 -d XX.XX.XX.XX/32 -j ACCEPT $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -d 192.168.2.0/24 -s XX.XX.XX.XX/32 -j ACCEPT $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -d 192.168.2.0/24 -s XX.XX.XX.XX/32 -j ACCEPT $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -d 192.168.2.0/24 -s XX.XX.XX.XX/32 -j ACCEPT $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -p icmp --icmp-type 8 -j ACCEPT $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -p icmp --icmp-type 11 -j ACCEPT $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -p tcp --dport 443 -j ACCEPT $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -p tcp --dport 5190 -j ACCEPT $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j QUEUE $IPTABLES -A FORWARD -j QUEUE
$IPTABLES -A OUTPUT -p ALL -o $LO_IFACE -j ACCEPT $IPTABLES -A OUTPUT -p ALL -o $LAN_IFACE1 -j ACCEPT $IPTABLES -A OUTPUT -p ALL -o $INET_IFACE1 -j ACCEPT $IPTABLES -A OUTPUT -j QUEUE
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE1 -j MASQUERADE
Конечно скрипт еще нужно дорабатывать, потому-что сейчас на 3 хоста не нужно считать траффик, через месяц еще на 10. Но в целом все работает, тему можно закрывать.
Я тож не понимал, посему нужно читать внимательно информацию по iptables.
-------------------- Внимание! Штатный телепат проекта ушел в отпуск, поэтому на вопросы вида "у меня ничего не работает. как исправить?" мы не отвечаем.
Ну очередь можно представить ввиде трубы , причем оба конца смотрят в одно итоже место:) , только вот посередине этой трубы, стоит нечто что принимает пакеты ну и может и возращать их, тобиш все пакеты подпадающие под правило попадают в очередь, дальше их кто то должен обработать (в на шем случае билинг) и по необходимости вернуть на место. Ну и поправочка если очередь не кто не обрабатывает, к примеру билинг упал, топакеты не куда не придут . они так и зависнут на конвеере очереди :), вот вобщемто и весь тайный смысл QUEUE.
--------------------
--------------------------------------------------- Всегда Ваш злобный фИй.
непонятная проблема... Стоит traffpro последней версии, в ОТЧЕТ ТРАФФИКА - СВОБОДНЫЕ КЛИЕНТЫ по пользователям показывает объем траффика входящий и исходящий, но если зайти в КЛИЕНТЫ - СВОБОДНЫЕ КЛИЕНТЫ - КЛИЕНТЫ то в столбце Количество трафика колличество траффика равен 0... Может я что-то не понимаю, или в этом столбце траффик считается только при внешней проксе типа сквида... Или что-то не так сделал, в настройках включен "Детелизация www страниц true"
Это поле за которое вы говорите отвечает за наличие трафика на счету клиента если тип учёта у него не безлимит!!! Это не учёт это наличие на счёту, не путайте эти два понятия, думаю разберётексь. Внимательно в этом месте, очень часто ошибаются и при переходе с безлимита на лимит забывают добавить трафик клиента, и интернет отключается.
Если Вы установите НЕбезлимит (тип учёта входящий, исходящий, весь) то с этого поля будут списывать мегабайты (в бизнес версии деньги)
Сообщение отредактировал Sly - 5 января 2009 10:14
--------------------
Учёт трафика бывает очень интересен, некоторые со мной не согласны, а зря :) http://www.Traffpro.ru
При безлимите цыфра в этом поле менятся не будет, а при остальных типах учёта из этого поля будет списываться трафик (не путайте с добавлением трафика, а именно списываться, при НЕбезлимите когда цыфра в этом поле станет равна НУЛЮ интернет у пользоватя отключиться)
--------------------
Учёт трафика бывает очень интересен, некоторые со мной не согласны, а зря :) http://www.Traffpro.ru
да я понял, я когда юзера заводил плавновое ему накинул, а траффик вручную так не добавил, кстати может как предложение, чтобы при добавлении пользователя траффик добавлялся сразу на баланс в соответствии с плановым добавлением
Это будет не совсем правильно, так как представьте что человека добавили в списки 15 числа а трафик ему упал плановый, так что в данном случае считаю что нужно что бы администратор сам решал количество добавляемого трафика и добавлял вручную
--------------------
Учёт трафика бывает очень интересен, некоторые со мной не согласны, а зря :) http://www.Traffpro.ru
Не считает входящий траффик
Traffpro - Учёт трафика Биллинг Файрвол Учёт телефонных звонков мини АТС межсетевой экран шейпер ограничение скорости интернет vpn radius бесплатно » Система TraffPro, Учёт трафика, файрвол, биллинг » Вопросы
23 марта 2008 12:13
