место в рейтинге
  • 1092682
  • 686
  • 86
Нравится блог?
Подписывайтесь!

Настройка IPN модуля (черновик)

Установка этого модуля позволяет включить IPoE доступ к сети Интернет. Этот тип доступа стал де-факто в локальных сетях компаний. Так как в отличии VPN доступа здесь не надо настраивать соединение/логин/пароль.


Содержание:

1. Настройка кэширующего DNS сервера

2. Установка сенсора и коллектора

3. Настройка коллектора

4. Настройка сенсора

5. Настройка Abills

 

1. Настройка кэширующего DNS сервера

Отредактируем конфигурационный файл пакета BIND (службы named), добавим туда свою локальную  сеть и IP адрес сервера:

# gedit /etc/named.conf

listen-on { 127.0.0.1; 192.168.160.1; 10.168.50.2; }; # IP адреса вирт. интерфейса ppp0 и eth1 который смотрит в локальную сеть

allow-query     { localhost; 192.168.160.0/24; 10.168.50.0/24;}; # Адрес вирт. сети и локальной сети

allow-recursion { localhost; 192.168.160.0/24;  10.168.50.0/24;};

allow-query-cache { localhost; 192.168.160.0/24; 10.168.50.0/24;};

 

2. Установка коллектора и сенсора

Устанавливаем коллектор Flow Tools:

Подключаем репозиторий Epel:

# rpm -Uvh http://mirror.neolabs.kz/epel/6/i386/epel-release-6-8.noarch.rpm

или

# http://mirror.neolabs.kz/epel/6/x86_64/epel-release-6-8.noarch.rpm

# yum install flow-tools -y

# chkconfig flow-capture on

# chown flow-tools -R  /usr/abills/var/log/ipn/

 

Устанавливаем сенсор IPCAD:

# yum install libpcap libpcap-devel rsh -y

# wget http://centos.alt.ru/pub/repository/centos/6/i386/ipcad-3.7.3-5.el6.i686.rpm

# rpm -ivh ipcad-3.7.3-5.el6.i686.rpm

 

3. Настройка коллектора

Конфигурационный файл находится в /etc/ipcad.conf, иногда может быть в другом месте:

interface eth0;

interface eth1;

netflow export destination 127.0.0.1 9996;
netflow export version 5;
pidfile = /var/run/ipcad.pid;
dumpfile = /var/log/ipcad/ipcad.dump;

Сохраянем файл ipcad.conf

# mkdir /var/log/ipcad/

# touch /var/log/ipcad/ipcad.dump

# chmod 600 -R /var/log/ipcad/

Ставим IPCAD в автозагрузку:

# chkconfig --level 35 ipcad on

# ipcad -rds

# service ipcad restart

Проверяем отправляет ли нам ipcad данные на 9996 порт:

# tcpdump -npi lo port 9996

Еще проверка статистики ipcad

# rsh localhost show ip accounting

 

4. Настройка сенсора

Добавляем в настройки коллектора нужные нам поправки (строчку):

# vi /etc/sysconfig/flow-capture

OPTIONS="-w /usr/abills/var/log/ipn/ -n 287 -N 0 0/0/9996"

Запускаем демон Flow Capture:

# service  flow-capture  start
 

5. Настройка Abills

Включаем модуль ipn:

# vi /usr/abills/libexec/config.pl

@MODULES = (

'Ipn'

);

Добавляем базу в схему  IPN модуля:

# cd /usr/abills/db

# mysql -p -D abills < Ipn.sql

 

Делаем симлинки:

# cd /usr/abills/libexec/

# ln -s ../Abills/modules/Ipn/trafdstats trafdstats

# ln -s ../Abills/modules/Ipn/traffic2sql traffic2sql

# cd /usr/local/bin

# ln -s /usr/bin/flow-cat /usr/local/bin/flow-cat

# ln -s /usr/bin/flow-print /usr/local/bin/flow-print

Создаем дополнительные каталоги :

# mkdir /usr/abills/var/log/ipn/

# mkdir /usr/abills/backup/ipn

Добавляем в cron запуск утилиты Abills которая добавляет в базу информацию о трафике:

# vi /etc/crontab

*/5 * * * * root /usr/abills/libexec/traffic2sql 1 flowdir=/usr/abills/var/log/ipn/ FLOW_CAT=/usr/bin/flow-cat FLOW_PRINT=/usr/bin/flow-print

Здесь цифра 1 - это ID, номер  NAS сервера доступа. Его можно узнать в меню Настройка-> NAS->ID

В документации стоит цифра 8 - это наверно по феншуи.

Обычно в небольших локальных сетях используется всего один с номером 1, поэтому мы поставили номер 1. Это обязательно, иначе трафик не будет отображаться в Abills.

Есть еще Debug режим, если что-то не получается он помогает это выявить:

/usr/abills/libexec/traffic2sql 1 flowdir=/usr/abills/var/log/ipn debug=1 UNKNOWN_IP_LOG LOG_FILE='/var/log/httpd/abills.log'

В Cron можно добавлять запуск утилиты двумя способами:

1. */5 * * * * root /usr/abills/libexec/traffic2sql 8 flowdir=/usr/abills/var/log/ipn/

2. */5 * * * * root /usr/abills/libexec/traffic2sql 2 flowdir=/usr/abills/var/log/ipn/ FLOW_CAT=/usr/bin/flow-cat FLOW_PRINT=/usr/bin/flow-print

 

Редактируем  /usr/abills/libexec/config.pl, добавляем туда настройки IPN:

# vi /usr/abills/libexec/config.pl

$conf{IPN_DETAIL}=1;

$conf{IPN_DETAIL_MIN_SIZE}=1024;

$conf{IPN_STATIC_IP}=1;

$conf{IPN_FILTER}="/usr/abills/misc/ipn_filter.sh";

$conf{IPN_DETAIL_CLEAN_PERIOD}=30;

$conf{IPN_USERMENU}=1;

$conf{IPN_CLUBMONITOR}=1;

$conf{IPN_DEPOSIT_OPERATION}=1;

$conf{IPN_FW_FIRST_RULE}=20000;

$conf{IPN_FW_START_RULE}="/usr/bin/sudo /sbin/iptables -t nat -I PREROUTING 1 -s %IP/%MASK -j ACCEPT; /usr/bin/sudo iptables -I FORWARD 1 -s %IP -d 0/0 -j ACCEPT; /usr/bin/sudo iptables -I FORWARD 1 -s 0/0 -d %IP -j ACCEPT";

$conf{IPN_FW_STOP_RULE}="/usr/bin/sudo /sbin/iptables -t nat -D PREROUTING -s %IP/%MASK -j ACCEPT; /usr/bin/sudo iptables -D FORWARD -s 0/0 -d %IP -j ACCEPT; /usr/bin/sudo iptables -D FORWARD -s %IP -d 0/0 -j ACCEPT";

$conf{IPN_FW_RULE_UID}=1;

 

Редактируем /etc/sudoers, добавляем строчки:

# nano /etc/sudoers
apache  ALL = NOPASSWD: /usr/abills/libexec/linkupdown
apache  ALL = NOPASSWD: /sbin/iptables

В этом же файле находим строчку и коментим ее:

#Default requiretty

 

Проверяем поступает ли трафик от коллектора в Abills, для этого запускаем MySQL:

# mysql -p

mysql> use abills;

mysql> select * from ipn_log;

mysql> select * from ipn_traf_detail;

mysql> select * from ipn_unknow_ips;

mysql> exit

Если трафик поступает, значить можно настраивать сам Abills.

Для этого надо:

1. Создать новый NAS с типом IPCAD (Netflow) или изменить настройки существующего

2. Добавить новый IP Pool с адресом локальной сети и привязать его к созданному NAS

3. Создать тарифный план

4. Включить Интернет на первом компьютере.

 

Создаем  NAS

Заполним некоторые поля:

Название My NAS server
IP адрес вбиваем: 127.0.0.3
Выбираем тип pppd: ipcad netflow
Alive (sec.):
RADIUS Parameters (,):

Жмем кнопочку “Добавить”

Создаем ip pool

Название My first IP pool
First IP 10.168.50.3
Количество 252
MASK 24

Жмем кнопочку “Добавить”

 

Создаем тарифный план

Система -> Internet -> Тарифные планы -> Группы
 
Almas AkeHayc
Пишу для себя, блог как записная книжка. Со временем все забывается, а у меня оно все в бложике. Будьте упертым глухим и веселым бегемотиком :)
5 января 2014, 14:50
2167

Загрузка...
Loading...

Комментарии

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

СМИ – ассистент провокаторов? Как гости из соседних стран сеют раздор в Казахстане

СМИ – ассистент провокаторов? Как гости из соседних стран сеют раздор в Казахстане

Инцидент с пьяным киргизским гостем на борту Air Astana, наверное, остался бы только во внутренних сводках авиакомпании, если бы г-н Доган, не поднял громкий крик о государственном языке.
openqazaqstan
17 авг. 2017 / 14:43
  • 11849
  • 177
Казахский национализм раньше выглядел несовременно. Теперь он другой

Казахский национализм раньше выглядел несовременно. Теперь он другой

Националисты стали совсем другими. По-английски хорошо говорят, русскую классику цитируют. Очень современные, образованные, адекватные. А после Крыма в националисты уже чуть ли не любой казах готов был записаться.
Aidan_Karibzhanov
16 авг. 2017 / 16:52
Дайте Байбеку сломать и переделать город. Он хочет шагнуть вверх, а не бабло украсть

Дайте Байбеку сломать и переделать город. Он хочет шагнуть вверх, а не бабло украсть

Я в тогдашней Алма-Ате родился, вырос. В школу начал ходить пешком. Весь центр опползал. Все эти знаковые места помню как ещё не знаковые места. Никаких этих ностальгических страданий у меня нет.
Aidan_Karibzhanov
21 авг. 2017 / 16:25
  • 4589
  • 29
Имеющий уши да услышит. Латиница касается только казахского языка

Имеющий уши да услышит. Латиница касается только казахского языка

Президент Назарбаев наконец-то разъяснил для всех, кто ещё не понял, очевидный вопрос, который всем в Казахстане очевиден. Елбасы повторил: на латиницу мы переводим казахский язык, и это не означает отказ от русского языка.
openqazaqstan
18 авг. 2017 / 16:23
  • 3446
  • 52
Подземная Акмечеть Бекет-Ата в Атырауской области – одно из самых сакральных мест

Подземная Акмечеть Бекет-Ата в Атырауской области – одно из самых сакральных мест

Его отцом был Мырзагул, матерью Жания, оба глубоко верующие. По рассказам, Бекет-Ата обладал богатырской силой, что в том числе помогало выбивать мечети в крепких скалах.
theYakov
21 авг. 2017 / 17:21
  • 2357
  • 3
«Доехать до Алтын Орды» – как мошенники обманывают алматинцев

«Доехать до Алтын Орды» – как мошенники обманывают алматинцев

Из множества грустных откровений постепенно сложился перечень самых распространённых уловок охотников за нашими деньгами. В нём ожидаемо лидировали профессиональные попрошайки.
caravan_kz
16 авг. 2017 / 15:05
  • 2341
  • 4
Надо научиться видеть скрытые экономические процессы за вспышкой национального гнева

Надо научиться видеть скрытые экономические процессы за вспышкой национального гнева

При полном отсутствии бюджетного жилищного строительства, целые аулы оседают в ветхих домишках, сквозь заборы которых насмешливо возвышаются башни "коктемов", "риц карлтонов" и "есентаев".
niyazov
19 авг. 2017 / 11:16
  • 2502
  • 67
В Кокшетау строят два парка для молодёжи. Будут учтены интересы и любителей спорта

В Кокшетау строят два парка для молодёжи. Будут учтены интересы и любителей спорта

Общая площадь парка составляет 25 гектаров. На территории предусмотрено устройство прогулочных дорожек, площадок для установки аттракционов и павильонов различного назначения, цветников.
zhasakmola
17 авг. 2017 / 17:13
  • 2147
  • 1
«Нас и здесь неплохо кормят», или почему я не собираюсь уезжать из Казахстана

«Нас и здесь неплохо кормят», или почему я не собираюсь уезжать из Казахстана

Я всегда теряюсь, когда слышу этот вопрос, потому что я так и не сумел выразить причину одной фразой. Давайте рассмотрим популярные варианты, и я объясню, что именно мне в них не нравится.
convoluted
21 авг. 2017 / 12:29