Добавлено: 2006-12-18 17:17:29
как указать под каким пользователем и паролем нетамсу цеплятся к mysql ?
Хочешь попасть в США? Иди служить в РВСН!
https://forum.lissyara.su/
service storageNarkomanLove писал(а):как указать под каким пользователем и паролем нетамсу цеплятся к mysql ?
Ну и сетка у вас ,что- там Далап или Адсл по PPPoE? Готового решения у меня нет, смогу высказаться, если заинтересует , к вечеру.NarkomanLove писал(а):уже нашел, но все равно огромное спасибо.
Но у меня будут все таки еще пару вопросов:
1. Как считать трафик когда ip адресс постоянно разный, при чем он может меняться полностью. может быть 82.*.*.* может 95.*.*.* и еще как угодно..выход понятно считать по интерфейсу. но как это организовать?
Посмотрите здесь:NarkomanLove писал(а):2. Вопрос наверно чайника. Как добавить нового пользователя в mysql для управления базой netams. А то root как-то не хорошо.
Мы тут посовешались я решил предложить следующие решения:NarkomanLove писал(а): Ага как вы догадались. Конечно PPoE и наш родной Укртелеком, у которого все через одно место.
Если можно подскажите решение данной проблемы.
Нужно бы взглянуть на вашу конфигурацию, может чего-то не учитываете,а показания на внешнем и внутреннем итерфейсе совпадают?NarkomanLove писал(а): Да нетамс показывает интересную штуку.
Пров
151767 502496
Я
405.269M 153.798M
вот узнать ктож врет
Понятно ваше желание смотреть на внешнем интефесе.NarkomanLove писал(а):
После обеда это дело будет разбегатся минимум в 100 метров..
Мысли пока закончились, т.к. времени сейчас нет-озадачили вышестояще .NarkomanLove писал(а):По поводу модема не выйдет.
Причина в том что:
Есть у lissyara на сайте один классный скрипт по определению потери линии, который переподнимает ppp и записует отсутствие инета в лог.
А так как инет часто пропадает, из за зависание стойки у прова.
Мы получаем полный амбец.
При том что интерфейс в системе висит, а инета уже как пол дня нету.
Это может происходить из-за смены OID'ов на юнитах. У них в "документации" это написано, правда =)NarkomanLove писал(а):не могу только понять.
когда подключил второй data-source
после перезапуска netams обнуляется стистика.
Код: Выделить всё
#!/usr/local/bin/bash
cmd="/sbin/ipfw -q " # бинарник IPFW
exif="em2" # Внешняя сетевуха
exNet="......" # внешняя сеть
ipOut=".........." # Внешний IP
inif="em3" # внутренняя сетевуха
inNet="192.168.0.0/24" # Внутренняя сеть
ip_lan="192.168.0" # Шаблон внутреннего адреса нужен для ввода разрешений на инет
ISP_DNS_1="........"
ISP_DNS_2="............."
${cmd} -f flush # сбрасываем все правила
${cmd} -f pipe flush # сбрасываем все pipe
${cmd} -f queue flush # сбрасываем очереди
${cmd} add allow ip from any to any via lo0
${cmd} add deny ip from any to 127.0.0.0/8
${cmd} add deny ip from 127.0.0.0/8 to any
${cmd} add deny ip from ${inNet} to any in via ${exif}
${cmd} add deny ip from ${exNet} to any in via ${inif}
# режем частные сети на внешнем интерфейсе - по легенде он у нас
${cmd} add deny ip from any to 10.0.0.0/8 in via ${exif}
${cmd} add deny ip from any to 172.16.0.0/12 in via ${exif}
${cmd} add deny ip from any to 192.168.0.0/16 in via ${exif}
${cmd} add deny ip from any to 0.0.0.0/8 in via ${exif}
${cmd} add deny ip from any to 169.254.0.0/16 in via ${exif} # рубим автоконфигуреную частную сеть
${cmd} add deny ip from any to 224.0.0.0/4 in via ${exif} # рубаем мультикастовые рассылки
${cmd} add deny ip from any to 240.0.0.0/4 in via ${exif} # рубаем мультикастовые рассылки
${cmd} add deny icmp from any to any frag # рубим фрагментированные icmp
${cmd} add deny log icmp from any to 255.255.255.255 in via ${exif} # рубим широковещательные icmp на внешнем интерфейсе
${cmd} add deny log icmp from any to 255.255.255.255 out via ${exif}
${cmd} add fwd 127.0.0.1,3128 tcp from ${inNet} to any 80 via ${exif} # Отправляем всех на squid
# NetAMS <-------- Entry point
${cmd} add tee 199 ip from any to any via ${inif}
# Делаем NAT (трансляцию сетевых адресов) всему, что не ушло на squid
${cmd} add divert natd ip from ${inNet} to any out via ${exif}
${cmd} add divert natd ip from any to ${ipOut} in via ${exif}
# NetAMS --------> Exit point
${cmd} add tee 199 ip from any to any via ${exif}
# Begin of VPN
#${cmd} add allow tcp from any to me 1723 # Открываем VPN порт
#${cmd} add allow gre from any to any # Разрешаем протокол GRE
#${cmd} add allow all from any to any via tun0 # Туннельный интерфейс VPN: allow ip from any to any
#${cmd} add allow all from any to any via tun1
#${cmd} add allow all from any to any via tun2
# End of VPN
# рубим траффик к частным сетям через внешний интерфейс
${cmd} add deny ip from 10.0.0.0/8 to any out via ${exif}
${cmd} add deny ip from 172.16.0.0/12 to any out via ${exif}
${cmd} add deny ip from 192.168.0.0/16 to any out via ${exif}
${cmd} add deny ip from 0.0.0.0/8 to any out via ${exif}
${cmd} add deny ip from 169.254.0.0/16 to any out via ${exif} # рубим автоконфигуреную частную сеть
${cmd} add deny ip from 224.0.0.0/4 to any out via ${exif} # рубаем мультикастовые рассылки
${cmd} add deny ip from 240.0.0.0/4 to any out via ${exif} # рубаем мультикастовые рассылки
${cmd} add allow icmp from any to any icmptypes 0,8,11 # разрешаем ICMP трафик - эхо-запрос, эхо-ответ и время жизни пакета истекло
${cmd} add allow ip from any to ${inNet} in via ${inif} # Разрешаем траффик внутренней сети на внутреннем интерфейсе (входящий)
${cmd} add allow ip from ${inNet} to any out via ${inif} # Разрешаем траффик внутренней сети на внутреннем интерфейсе (исходящий)
${cmd} add allow tcp from any to any established # разрешаем tcp-пакеты по уже установленным соединениям
# DNS - 4 правила. (если на машине есть DNS сервер - иначе надо всего два)
${cmd} add allow udp from any to ${ipOut} 53 in via ${exif}
${cmd} add allow udp from ${ipOut} to any 53 out via ${exif}
${cmd} add allow udp from ${ipOut} 53 to any out via ${exif}
${cmd} add allow udp from any 53 to ${ipOut} in via ${exif}
${cmd} add allow tcp from any to ${ipOut} 53 in via ${exif} setup # разрешаем снаружи соединяться с 53 портом (TCP DNS)
${cmd} add allow udp from any to any 123 via ${exif} # разрешаем UDP (для синхронизации времени - 123 порт)
#${cmd} add allow tcp from any to ${ipOut} 80 in via ${exif} setup # открываем снаружи 80 порт - если у нас есть WWW сервер на машине
${cmd} add allow tcp from any to ${ipOut} 20,21 in via ${exif} setup # открываем снаружи 20,21 порт - для активного FTP
${cmd} add allow tcp from any to ${ipOut} 49152-65535 via ${exif} # пассивный FTP, sysctl net.inet.ip.portrange.first/last
#${cmd} add allow tcp from any to ${ipOut} 25 in via ${exif} setup # разрешаем входящую почту
#${cmd} add allow tcp from any to ${ipOut} 22 in via ${exif} setup # разрешаем SSH
# Begin of StarCraft
${cmd} add allow udp from any 6112-6119 to ${inNet} in via ${exif}
${cmd} add allow udp from any 6112-6119 to ${inNet} out via ${inif}
${cmd} add allow udp from ${inNet} to any 6112-6119 in via ${inif}
${cmd} add allow udp from ${ipOut} to any 6112-6119 out via ${exif}
# End of StarCraft
${cmd} add deny log tcp from any to ${ipOut} in via ${exif} setup # Блокируем все остальные попытки соединения с занесением в логи
${cmd} add allow tcp from ${ipOut} to any out via ${exif} setup
${cmd} add allow tcp from any to ${ipOut} in via ${inif} setup
########### BEGIN USERS ###############################
#${cmd} add allow tcp from ${inNet} to any 5190 in via ${inif} setup # Разрешаем всем аську (ICQ)
${cmd} add allow tcp from ${inNet} to not ${inNet} in via ${inif} setup # Пользователи которым разрешён инет
############# END USERS #################################
# запрещаем всё и всем.
${cmd} add deny ip from any to any
Код: Выделить всё
debug none
language ru
permit all
#services configuration
service server 0
login local
listen 20001
max-conn 6
service processor
lookup-delay 60
flow-lifetime 180
-------------policy----------------
restrict all drop local pass
-------------units-------------------
service storage 1
type mysql
accept all
service data-source 1
type ip-traffic
source tee 199
rule 11 "ip"
service quota
policy ip
notify soft {owner}
notify hard {owner} 0F96AC
notify return {owner}
service monitor 0
monitor to storage 1
-------------------monitors----------------------------
service html
path /var/www/html/stat/public_html
run 5min
url http://stat/
client-pages none
account-pages all
service scheduler
oid 08FFFF time 5min action "html"
#end
Код: Выделить всё
FreeBSD+NAT+SQUID. Конфигурация для подсчета трафика.
При помощи divert или tee трафик, проходящий через NAT и SQUID, нужно завернуть для подсчета а нетамс.
Для этого нужно добавить в файервол divert или tee на нетамс трафика по порту 3128(прокси)
Допустим правило трансляции стоит под номером 800.
Тогда, один divert или tee на нетамс до NAT-а и один после.
В этоге в netams.cfg нужно прописать следующее:
service data-source 0
type ip-traffic
source divert/tee 199
rule 400 "tcp from any to any 3128"
rule 500 "tcp from any 3128 to any"
rule 700 "ip from any to any via rl1"
rule 900 "ip from any to any via rl1"
получим в IPFW
.....
00400 divert/tee 199 tcp from any to any 3128
00500 divert/tee 199 tcp from any 3128 to any
......
00700 divert/tee 199 ip from any to any via rl1
00800 divert 8668 ip from any to any via rl1
00900 divert/tee 199 ip from any to any via rl1
......
rl1 - это внешний интерфейс, который смотрит в интернет.
Код: Выделить всё
rule 400 "tcp from any to any 3128"
rule 500 "tcp from any 3128 to any"
rule 700 "ip from any to any via rl1"
rule 900 "ip from any to any via rl1"
Если делать как предлагается, то плоучиться следующая картина: заворот трафика перед сквидом и перед дивертом, соответсвенно подсчет всего , что приперлось на сквид и на диверт, смысл данных действий мне видиться следующий: нельзя предусмотреть каждую конфигурацию фаервола у граждан и на каких интефейсах это реализованно. Я делал один диверт в самом начале своих правил....nomad писал(а):Меня не удивляет такое поведение системы - я говорю о том, что у меня недостаточно знаний о ipfw и natd, чтобы без разжеванной документации по netams самому решить проблему.
Проблема заключается в 2х моментах:
1. Зачем 2 tee на netams?
.
Не надо извращаться фаерволом, достаточно настроить Нетамс...nomad писал(а):2. Я не понимаю, как должно выглядеть правило в ipfw, чтобы считать только обмен внешним трафиком.
.
Сакральный смысл в следующем, из нетамса можно добавлять правила для фаервола, насколько я понял сделанно это для того, что бы они там появлялись только при старте программы.Иначе если мы пропишем жестко как у тебя в фаервольных правилах и напишем там не тее , а диверт, а нетамс по каким либо причинам не стартанет, то в итоге у нас все, что идет после данного диверта работать не будет. Т.к. пакеты посыпяться в никуда. Кстати вешать надо на внутренний интерфес в данном случае, а не на внешний, как написанно.nomad писал(а): И еще непонятно назначение вот этих строк:Может кто-нибудь намекнуть, чего я не знаю, чтобы понять это место?Код: Выделить всё
rule 400 "tcp from any to any 3128" rule 500 "tcp from any 3128 to any" rule 700 "ip from any to any via rl1" rule 900 "ip from any to any via rl1"
Спасибо.