Страница 2 из 2

Добавлено: 2006-12-18 17:17:29
InventoR
как указать под каким пользователем и паролем нетамсу цеплятся к mysql ?

Добавлено: 2006-12-18 17:44:28
kirill
NarkomanLove писал(а):как указать под каким пользователем и паролем нетамсу цеплятся к mysql ?
service storage
user username
Имя пользователя для подключению к MySQL/PostgreSQL. по умолчанию root

password password
Пароль для подключения к MySQL/PostgreSQL, по умолчанию отсутствует

host hostname
Имя хоста где установлен MySQL/PostgreSQL

dbname database_name
Имя базы данных, по умолчанию "netams"

accept { all | type ... } [except type ...]
Определяет, какие типы сообщений и какие сервисы будут работать с этим хранилищем. Таким образом, отпадает необходимость указывать тип хранилища в конфигурации каждого сервиса. Возможные типы (type) следующие:
raw summary monitor login quota events oids billing bdata config
Есть специальный тип all, который задан по умолчанию и определяет все типы данных вместе. Можно выборочно исключить один или несколько типов, написав all except type ...
Все выше, офицальная дока, итого имеем, если база на этом же сервере и пароль к руту мускулевому 123:

service storage
user root
password 123
accept all

В этом случае нетамс при первом запуске нужные ему таблицы должен создать сам, если конечно он собран с подддержкой мускула.

Добавлено: 2006-12-18 18:22:22
InventoR
уже нашел, но все равно огромное спасибо.
Но у меня будут все таки еще пару вопросов:
1. Как считать трафик когда ip адресс постоянно разный, при чем он может меняться полностью. может быть 82.*.*.* может 95.*.*.* и еще как угодно.
выход понятно считать по интерфейсу. но как это организовать?
2. Вопрос наверно чайника. Как добавить нового пользователя в mysql для управления базой netams. А то root как-то не хорошо.

Добавлено: 2006-12-18 21:37:55
nop
Уже два года использую StarGazer в локальной сетке (около 200 клиентов).
Программы для клиентской авторизации и управления пользователями слегка кривоваты, но вцелом программа очень удобная.

Добавлено: 2006-12-19 9:19:15
kirill
NarkomanLove писал(а):уже нашел, но все равно огромное спасибо.
Но у меня будут все таки еще пару вопросов:
1. Как считать трафик когда ip адресс постоянно разный, при чем он может меняться полностью. может быть 82.*.*.* может 95.*.*.* и еще как угодно..выход понятно считать по интерфейсу. но как это организовать?
Ну и сетка у вас :D ,что- там Далап или Адсл по PPPoE? Готового решения у меня нет, смогу высказаться, если заинтересует , к вечеру.
NarkomanLove писал(а):2. Вопрос наверно чайника. Как добавить нового пользователя в mysql для управления базой netams. А то root как-то не хорошо.
Посмотрите здесь:
http://www.kstu.kz/~tolik/info/MySQL/Adding_users.html
Но, если база одна и использовать ее планируется только нетамсом, то наверное вариант по этой ссылке оптимален в плане безопасности:
http://wombat.stapravda.ru/mysql.shtml

Добавлено: 2006-12-19 11:35:29
InventoR
Ну и сетка у вас :D ,что- там Далап или Адсл по PPPoE? Готового решения у меня нет, смогу высказаться, если заинтересует , к вечеру.


Ага как вы догадались. Конечно PPoE и наш родной Укртелеком, у которого все через одно место.
Если можно подскажите решение данной проблемы.
Да нетамс показывает интересную штуку.
Пров
151767 502496
Я
405.269M 153.798M
вот узнать ктож врет

Добавлено: 2006-12-19 23:48:16
kirill
NarkomanLove писал(а): Ага как вы догадались. Конечно PPoE и наш родной Укртелеком, у которого все через одно место.
Если можно подскажите решение данной проблемы.
Мы тут посовешались я решил :D предложить следующие решения:
1.Если есть доступ к модему и на нем есть лан порт, то поднять на нем роутер, соответсвенно на фрее можно поднять постоянный ip.
2.Наиболее изврашенный, назначить на интерфейсе постоянный алиес, к сожалениюкак это реализовать фантазия закончилась.... :)
3.Унетамса есть возможность считат по user, как сказанно в документации:user - аналог типа хост, используется для динамического задания ip адресов и привязке к пользователям, т.е. я бы нарисовал что-то типа :unit user name pupkin mac 00:03:47:c5:81:33 acct-policy ip, т.е. попробывал привязаться к мак адресу, насколько это реально-покажет только практика, т.к. в примерах для юзера идет авторизация по паролю,можно прочитать про радиус, но я бы все же попробовал первый вариант.Опять же не зная ваших конфигов приходиться гадать...

NarkomanLove писал(а): Да нетамс показывает интересную штуку.
Пров
151767 502496
Я
405.269M 153.798M
вот узнать ктож врет
Нужно бы взглянуть на вашу конфигурацию, может чего-то не учитываете,а показания на внешнем и внутреннем итерфейсе совпадают?

Добавлено: 2006-12-20 10:01:23
InventoR
Конфиг сейчас.

#NeTAMS version 3.3.5 (build 2916.1) compiled by root@mail.****
#configuration built Fri Dec 1 14:40:33 2006
#begin
#global variables configuration
#debug none
debug all
language ru


user oid 0F16FD name admin real-name "Admin" crypted $1$$HpXmjtul/3i1.bf.B27bU. email root@localhost permit all
user oid 0500EB name tender email tender@**** permit none

#services configuration

service server 0
login local
listen 20001
max-conn 6

service processor
lookup-delay 30
policy oid 0ED09B name ip target proto ip
policy name www_local target proto tcp port 80 81
policy name ftp_local target proto tcp port 20,21
policy oid 04B103 name www target proto tcp port 3128
policy name www_lan target proto tcp port 80
policy oid 025855 name mail target proto tcp port 25 110
policy oid 0D829C name ssh target proto tcp port 22
policy name icq target proto tcp port 443 5190
restrict all pass local pass
unit group oid 035AA8 name CLIENTS acct-policy ip www mail ssh local_ftp local_www
unit host oid 03781B name server ip 192.168.0.1 email admin@****a parent CLIENTS acct-policy ip www mail ssh ftp_local www_local
unit host oid 0A27BF name terminal ip 192.168.0.6 email admin@**** parent CLIENTS acct-policy ip www mail ssh ftp_local www_local
unit host oid 027320 name supervisor ip 192.168.0.11 email ivc@**** parent CLIENTS acct-policy ip www mail ssh ftp_local www_local
unit host oid 086D79 name visor ip 192.168.0.12 email admin@**** parent CLIENTS acct-policy ip www mail ssh ftp_local www_local
unit host name fin3 ip 192.168.0.33 email admin@**** parent CLIENTS acct-policy ip www mail ssh ftp_local www_local
unit host oid 049062 name plan2 ip 192.168.0.42 email admin@**** parent CLIENTS acct-policy ip www mail ssh ftp_local www_local
unit host name mo3 ip 192.168.0.53 email admin@**** parent CLIENTS acct-policy ip www mail ssh ftp_local www_local
unit host name zambyx1 ip 192.168.0.71 email admin@**** parent CLIENTS acct-policy ip www mail ssh ftp_local www_local
unit host oid 012137 name me1 ip 192.168.0.81 email metod@**** parent CLIENTS acct-policy ip www mail ssh ftp_local www_local
unit host oid 0BAEB0 name tender ip 192.168.0.191 email tender@**** parent CLIENTS acct-policy ip www mail ssh ftp_local www_local
unit net oid 055C95 name LAN ip 192.168.0.0 mask 255.255.255.0 acct-policy ip www mail ssh ftp_local www_local
unit host name server_test ip 192.168.9.119 acct-policy ip www mail ssh ftp_local www_local icq www_lan


service storage 1
type mysql
user root
password new
accept all

service data-source 1
type libpcap
source em0
rule 11 "ip"

service data-source 2
type libpcap
source gre0
rule 11 "ip"

service quota
policy ip
notify soft {owner}
notify hard {owner} 0F16FD
notify return {owner}

service alerter 0
report oid 06100 name rep1 type traffic period day detail simple
smtp-server localhost

service html
path /usr/local/www/stat
run 1min
url http://192.168.0.5/stat/
client-pages all
account-pages none

service scheduler
oid 08FFFF time 1min action "html"


#end




На данный момент статистика такова:
Пров
42399 125500 167899 (в байтах)

Я
118.500M 41.679M

После обеда это дело будет разбегатся минимум в 100 метров.


По поводу модема не выйдет.
Причина в том что:
Есть у lissyara на сайте один классный скрипт по определению потери линии, который переподнимает ppp и записует отсутствие инета в лог.
А так как инет часто пропадает, из за зависание стойки у прова.
Мы получаем полный амбец.
При том что интерфейс в системе висит, а инета уже как пол дня нету.

Добавлено: 2006-12-21 9:55:47
kirill
NarkomanLove писал(а):
После обеда это дело будет разбегатся минимум в 100 метров..
Понятно ваше желание смотреть на внешнем интефесе.
По поводу расхождений , могу констатировать факт, что действительно много,поищите на опен нет, когда я искал там инфу по PPPoE, натыкался насообщения по поводу паразитного трафика на скриптах обеспечивающих беспрерывное соединение.У меня ситуация проще в виде обычного лана, так что проверить и чо-то вам сообщить не могу... :(

NarkomanLove писал(а):По поводу модема не выйдет.
Причина в том что:
Есть у lissyara на сайте один классный скрипт по определению потери линии, который переподнимает ppp и записует отсутствие инета в лог.
А так как инет часто пропадает, из за зависание стойки у прова.
Мы получаем полный амбец.
При том что интерфейс в системе висит, а инета уже как пол дня нету.
Мысли пока закончились, т.к. времени сейчас нет-озадачили вышестояще :D.
Можно обратиться к другим системам счета, товарищ повыше предлагал старгазер,попробуйте его потеребить....

Добавлено: 2006-12-21 19:03:27
InventoR
У меня тут вопрос такого характера:
а кто в курсе. А может libcap при подсчете всетаки какой-то трафик пропускает?
а то забавно. тогда у меня было 100 метров.
а вот сегодня замерял каждый час. и в час примерно на 2-3 метра повышалось расхождение. И это при том чтто к прову у меня затянута прямая витая пара.

Добавлено: 2006-12-22 9:02:29
baklan
А что IPA никто не вспомнил? Или я пропустил в постах?
http://ipa-system.sourceforge.net/
Работает очень стабильно. Я пользуюсь около 2.5 лет. Первые 2 года использовал IPA1 , сейчас IPA2. Надо сказать , что IPA1 мне показалась намного более простой в настройках и в понимании, а с задачами вполне справляется. Она только пишет в свою базу трафик, ну и можно лимиты установить на разные периоды, я этим не пользовался а просто слепил на php обработку и вывод информации по вэбу.

Добавлено: 2007-01-12 21:42:42
sevalex77
кто нибудь пробовал вот этот биллинг http://abills.asmodeus.com.ua/wiki/doku ... ocs:ipn:ru?

Добавлено: 2007-03-05 14:01:12
nomad
NarkomanLove писал(а):не могу только понять.
когда подключил второй data-source
после перезапуска netams обнуляется стистика.
Это может происходить из-за смены OID'ов на юнитах. У них в "документации" это написано, правда =)
Когда ты делаешь reload, а перед ним не делаешь save он придумывает новые OID'ы, и статистику по ним-же выводит.

У меня другой косяк: есть шлюз, есть локалка. Смотрю, netams вроде че-то считает, потом залил музыки файла на шлюз (он у меня еще и музыку для АТС играет - типа на удержание звонка), и обнаружил, что оказывается трафик составил трафик+объем музыки.

Получилось, что netams считает не только трафик в инет, но еще и какую-то непонятную часть внутреннего, который (как ни странно) бесплатен =)

IPFW настраивал по статье Лиса:

Код: Выделить всё

#!/usr/local/bin/bash

cmd="/sbin/ipfw -q "        # бинарник IPFW

exif="em2"                  # Внешняя сетевуха
exNet="......"   # внешняя сеть
ipOut=".........."      # Внешний IP

inif="em3"                      # внутренняя сетевуха
inNet="192.168.0.0/24"        # Внутренняя сеть
ip_lan="192.168.0"            # Шаблон внутреннего адреса нужен для ввода разрешений на инет

ISP_DNS_1="........"
ISP_DNS_2="............."

${cmd} -f flush         # сбрасываем все правила
${cmd} -f pipe flush    # сбрасываем все pipe
${cmd} -f queue flush   # сбрасываем очереди

${cmd} add allow ip from any to any via lo0
${cmd} add deny ip from any to 127.0.0.0/8
${cmd} add deny ip from 127.0.0.0/8 to any

${cmd} add deny ip from ${inNet} to any in via ${exif}
${cmd} add deny ip from ${exNet} to any in via ${inif}

# режем частные сети на внешнем интерфейсе - по легенде он у нас
${cmd} add deny ip from any to 10.0.0.0/8 in via ${exif}
${cmd} add deny ip from any to 172.16.0.0/12 in via ${exif}
${cmd} add deny ip from any to 192.168.0.0/16 in via ${exif}
${cmd} add deny ip from any to 0.0.0.0/8 in via ${exif}
${cmd} add deny ip from any to 169.254.0.0/16 in via ${exif}            # рубим автоконфигуреную частную сеть
${cmd} add deny ip from any to 224.0.0.0/4 in via ${exif}               # рубаем мультикастовые рассылки
${cmd} add deny ip from any to 240.0.0.0/4 in via ${exif}               # рубаем мультикастовые рассылки
${cmd} add deny icmp from any to any frag                               # рубим фрагментированные icmp
${cmd} add deny log icmp from any to 255.255.255.255 in via ${exif}     # рубим широковещательные icmp на внешнем интерфейсе
${cmd} add deny log icmp from any to 255.255.255.255 out via ${exif}

${cmd} add fwd 127.0.0.1,3128 tcp from ${inNet} to any 80 via ${exif}   # Отправляем всех на squid

# NetAMS <-------- Entry point
${cmd} add tee 199 ip from any to any via ${inif}

# Делаем NAT (трансляцию сетевых адресов) всему, что не ушло на squid
${cmd} add divert natd ip from ${inNet} to any out via ${exif}
${cmd} add divert natd ip from any to ${ipOut} in via ${exif}

# NetAMS --------> Exit point
${cmd} add tee 199 ip from any to any via ${exif}

# Begin of VPN
#${cmd} add allow tcp from any to me 1723                               # Открываем VPN порт
#${cmd} add allow gre from any to any                                   # Разрешаем протокол GRE
#${cmd} add allow all from any to any via tun0                          # Туннельный интерфейс VPN: allow ip from any to any
#${cmd} add allow all from any to any via tun1
#${cmd} add allow all from any to any via tun2
# End of VPN

# рубим траффик к частным сетям через внешний интерфейс
${cmd} add deny ip from 10.0.0.0/8 to any out via ${exif}
${cmd} add deny ip from 172.16.0.0/12 to any out via ${exif}
${cmd} add deny ip from 192.168.0.0/16 to any out via ${exif}
${cmd} add deny ip from 0.0.0.0/8 to any out via ${exif}
${cmd} add deny ip from 169.254.0.0/16 to any out via ${exif}           # рубим автоконфигуреную частную сеть
${cmd} add deny ip from 224.0.0.0/4 to any out via ${exif}              # рубаем мультикастовые рассылки
${cmd} add deny ip from 240.0.0.0/4 to any out via ${exif}              # рубаем мультикастовые рассылки

${cmd} add allow icmp from any to any icmptypes 0,8,11                  # разрешаем ICMP трафик - эхо-запрос, эхо-ответ и время жизни пакета истекло

${cmd} add allow ip from any to ${inNet} in via ${inif}                 # Разрешаем траффик внутренней сети на внутреннем интерфейсе (входящий)
${cmd} add allow ip from ${inNet} to any out via ${inif}                # Разрешаем траффик внутренней сети на внутреннем интерфейсе (исходящий)

${cmd} add allow tcp from any to any established                        # разрешаем tcp-пакеты по уже установленным соединениям

# DNS - 4 правила. (если на машине есть DNS сервер - иначе надо всего два)
${cmd} add allow udp from any to ${ipOut} 53 in via ${exif}
${cmd} add allow udp from ${ipOut} to any 53 out via ${exif}
${cmd} add allow udp from ${ipOut} 53 to any out via ${exif}
${cmd} add allow udp from any 53 to ${ipOut} in via ${exif}
${cmd} add allow tcp from any to ${ipOut} 53 in via ${exif} setup       # разрешаем снаружи соединяться с 53 портом (TCP DNS)

${cmd} add allow udp from any to any 123 via ${exif}                    # разрешаем UDP (для синхронизации времени - 123 порт)

#${cmd} add allow tcp from any to ${ipOut} 80 in via ${exif} setup      # открываем снаружи 80 порт - если у нас есть WWW сервер на машине

${cmd} add allow tcp from any to ${ipOut} 20,21 in via ${exif} setup    # открываем снаружи 20,21 порт - для активного FTP
${cmd} add allow tcp from any to ${ipOut} 49152-65535 via ${exif}       # пассивный FTP, sysctl net.inet.ip.portrange.first/last

#${cmd} add allow tcp from any to ${ipOut} 25 in via ${exif} setup      # разрешаем входящую почту
#${cmd} add allow tcp from any to ${ipOut} 22 in via ${exif} setup      # разрешаем SSH


# Begin of StarCraft
${cmd} add allow udp from any 6112-6119 to ${inNet} in via ${exif}
${cmd} add allow udp from any 6112-6119 to ${inNet} out via ${inif}
${cmd} add allow udp from ${inNet} to any 6112-6119 in via ${inif}
${cmd} add allow udp from ${ipOut} to any 6112-6119 out via ${exif}
# End of StarCraft

${cmd} add deny log tcp from any to ${ipOut} in via ${exif} setup       # Блокируем все остальные попытки соединения с занесением в логи

${cmd} add allow tcp from ${ipOut} to any out via ${exif} setup
${cmd} add allow tcp from any to ${ipOut} in via ${inif} setup

########### BEGIN USERS   ###############################

#${cmd} add allow tcp from ${inNet} to any 5190 in via ${inif} setup            # Разрешаем всем аську (ICQ)
${cmd} add allow tcp from ${inNet} to not ${inNet} in via ${inif} setup         # Пользователи которым разрешён инет

############# END USERS #################################

# запрещаем всё и всем.
${cmd} add deny ip from any to any

netams.cfg

Код: Выделить всё

debug none
language ru
permit all

#services configuration

service server 0
login local
listen 20001
max-conn 6

service processor
lookup-delay 60
flow-lifetime 180
-------------policy----------------
restrict all drop local pass
-------------units-------------------

service storage 1
type mysql
accept all

service data-source 1
type ip-traffic
source tee 199
rule 11 "ip"

service quota
policy ip
notify soft {owner}
notify hard {owner} 0F96AC
notify return {owner}

service monitor 0
monitor to storage 1
-------------------monitors----------------------------

service html
path /var/www/html/stat/public_html
run 5min
url http://stat/
client-pages none
account-pages all

service scheduler
oid 08FFFF time 5min action "html"

#end
Подскажите, в чем я не прав?
Спасибо.

Добавлено: 2007-03-06 15:20:17
Гость
Не понимаю что тебя удивляет, судя по тому, что ты привел, у тебя считается все, что идет на внутреннем интерфейсе, или ты заливаешь музыку как то иначе?

Добавлено: 2007-03-06 15:38:10
nomad
Меня не удивляет такое поведение системы - я говорю о том, что у меня недостаточно знаний о ipfw и natd, чтобы без разжеванной документации по netams самому решить проблему.

Проблема заключается в 2х моментах:
1. Зачем 2 tee на netams?
2. Я не понимаю, как должно выглядеть правило в ipfw, чтобы считать только обмен внешним трафиком.

Не понимаю, потому выполнение NAT как раз окружено tee 199, что вроде как и требуется согласно "документации":

Код: Выделить всё

FreeBSD+NAT+SQUID. Конфигурация для подсчета трафика. 
При помощи divert или tee трафик, проходящий через NAT и SQUID, нужно завернуть для подсчета а нетамс. 
Для этого нужно добавить в файервол divert или tee на нетамс трафика по порту 3128(прокси) 
Допустим правило трансляции стоит под номером 800. 
Тогда, один divert или tee на нетамс до NAT-а и один после.
В этоге в netams.cfg нужно прописать следующее: 
 
service data-source 0
type ip-traffic
source divert/tee 199
rule 400 "tcp from any to any 3128"
rule 500 "tcp from any 3128 to any"
rule 700 "ip from any to any via rl1"
rule 900 "ip from any to any via rl1"
получим в IPFW
.....
00400 divert/tee 199 tcp from any to any 3128
00500 divert/tee 199 tcp from any 3128 to any
......
00700 divert/tee 199 ip from any to any via rl1
00800 divert 8668 ip from any to any via rl1
00900 divert/tee 199 ip from any to any via rl1
......

rl1 - это внешний интерфейс, который смотрит в интернет.
И еще непонятно назначение вот этих строк:

Код: Выделить всё

rule 400 "tcp from any to any 3128"
rule 500 "tcp from any 3128 to any"
rule 700 "ip from any to any via rl1"
rule 900 "ip from any to any via rl1"
Может кто-нибудь намекнуть, чего я не знаю, чтобы понять это место?

Спасибо.

Добавлено: 2007-03-07 12:30:44
kirill
nomad писал(а):Меня не удивляет такое поведение системы - я говорю о том, что у меня недостаточно знаний о ipfw и natd, чтобы без разжеванной документации по netams самому решить проблему.

Проблема заключается в 2х моментах:
1. Зачем 2 tee на netams?
.
Если делать как предлагается, то плоучиться следующая картина: заворот трафика перед сквидом и перед дивертом, соответсвенно подсчет всего , что приперлось на сквид и на диверт, смысл данных действий мне видиться следующий: нельзя предусмотреть каждую конфигурацию фаервола у граждан и на каких интефейсах это реализованно. Я делал один диверт в самом начале своих правил....
nomad писал(а):2. Я не понимаю, как должно выглядеть правило в ipfw, чтобы считать только обмен внешним трафиком.
.
Не надо извращаться фаерволом, достаточно настроить Нетамс...
nomad писал(а): И еще непонятно назначение вот этих строк:

Код: Выделить всё

rule 400 "tcp from any to any 3128"
rule 500 "tcp from any 3128 to any"
rule 700 "ip from any to any via rl1"
rule 900 "ip from any to any via rl1"
Может кто-нибудь намекнуть, чего я не знаю, чтобы понять это место?

Спасибо.
Сакральный смысл в следующем, из нетамса можно добавлять правила для фаервола, насколько я понял сделанно это для того, что бы они там появлялись только при старте программы.Иначе если мы пропишем жестко как у тебя в фаервольных правилах и напишем там не тее , а диверт, а нетамс по каким либо причинам не стартанет, то в итоге у нас все, что идет после данного диверта работать не будет. Т.к. пакеты посыпяться в никуда. Кстати вешать надо на внутренний интерфес в данном случае, а не на внешний, как написанно.

Добавлено: 2007-03-18 15:36:10
avg
А чем можно посчитать трафик на ipf ?