Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » FAQ Установка и настройка Netup UserTrafManager. (UTM)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Открыть новую тему     Написать ответ в эту тему

vaskes105



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ФАК По субжу. Просьба не постить сюда просьбы о помощи в поиске вышеозначенного продукта. Для этого есть соответствующая ветка  
http://forum.ru-board.com/topic.cgi?forum=35&topic=29627
Так как линух я в первый раз колупать начал токо месяц назад, то и фак этот попробовал сделать для таких же как я чайников .  Давайте сделаем так чтобы кустомеры нетупа шли за суппортом не на www.netup.ru а сюды
 
Итак. Прежде чем устанавливать UTM 4.0 (я ставил именно эту версию) вам понадобяться:
прямые руки
настойчивость и желание победить этот биллинг
море терпения
Linux (у меня RedHat 8.0)
мануал http://www.netup.ru/download/utm4_manual.pdf
официальный faq http://www.netup.ru/faq.html
када ваще ничего получаться не будет загляните сюда http://www.netup.ru/?fid=31
Mysql-3.23.55.tar.gz (почему такое старье? ну видимо потому что в компании NetUp работают консерваторы )
openssl-0.9.7b.tar.gz
apache_1.3.28.tar.gz (up )
modssl-2.8.12-1.3.28.tar.gz
DBI-1.32.tar.gz
 
ставим все точно по инструкции (как в pdf'ке написано). Шаг влево, шаг вправо - могуть  сказаться непонятными косяками в последствии. (не забудте запустить скрипт mysql_install_db). Если вы сделали все точно по инструкции то апач и mysql сконфигурированы и должны запускаться и работать.
 
1) трафик считает ipcad требующий для свой нармальной работы libpcap
я ставил такой: libpcap-0.7.2.tar.gz
2) ipcad идущий в поставке с UTM - у меня не собирался. не видил pcap.h как я ему ее не подсовывал, поэтому я выкинул ipcad из дистрибутива и положил на его место ipcad-2.8.4.tar.gz
3) проверяем, на месте ли iptables (или чего там у вас)
и установлен ли sudo - если нет замечательно, вы можете облегчить себе жисть сконфигив его вот так:
./configure --with -logpath=/var/log/sudo.log --with-logging=file
теперь распаковываем сам UTM и запускаем скрипт install.
(у меня была простейшая ситуация - када счетчики трафа и биллинг на одном компутере - в такой ситуации все тыкаем по умолчанию и в соответствии с документацией).
После того как он типа поставил ipcad проверяем появилась ли в rc.local строчка /usr/local/bin/ipcad & (не забудте про этот значек end - а то до консоли не достучаться при автозагрузке, если забыли - ткните на клаве ctrl+с - авось поможет ) и есть ли файлик /usr/local/bin/ipcad
если да - то вытирайте пот со лба, чтото установилось.
проверяем на наличие и правильность /usr/local/etc/ipcad.conf
 
не забудте сменить владельца папки utm_graph
 
ребутимся, проверяем запустился ли Mysql, httpd, и ipcad - если да, то тада можно лезть в нетуп через http интерфейс и крутить всякие крутилочки.
 
Чтоб зарегить нетап вам нужны будут два файла key и license. License кладем в /netup, key забиваем на страничке о программе.
 
Первым делом лезем в кнопку firewall и добавляем правила для подключения и отключения юзера от инета. НЕ ЗАБЫВ В ПОЛЕ ID вместо NULL поставить цифирку (я например ставил 1000).
Добавляем админскому пользователю денег на счет и пробуем ему включить инет.
в консоли роутера набираем iptables -nL (ну или какой вы там файрволл юзаете) и смотрим появилось ли правило. Если нет - грустно, идем в ФАК http://www.netup.ru/?fid=31 читаем первый вопрос и делаем все как написано. Ребутимся, снова включаем инет. Если правило не появилось - тада пипец. Че делать я не знаю - я дистриб линуха поменял..
ну вот вроде и все.
 
для меня остались открытыми несколько вопросов:
1. в rc.local у меня был включен маскарадинг. Если его выключить - то врубает, не врубает юзер себе инет - инета ему шишь. Если маскарадинг оставить, то юзер весело качает инет в обход всяких биллингов
2. Насколько точно считает ipcad знают наверное только те кто его создал.
 
 
 
 
Добавлено
да и еще. никто не знает - распространение UTM в закрытом откомпилированном виде - это нарушение gnu?  
 
 
ПРОДОЛЖЕНИЕ.-----------------------------------------------------------------------------
после того как все типа стоит и типа работает, необходимо хоть интернет настроить. Вот мой файл rc.local с пояснениями:
 
#iptables -P INPUT DROP
#iptables -A INPUT -i eth1 -j ACCEPT
эти правила типа закрывают доступ к роутеру с наружи и открывают изнутри (с интерфейса eth1) - у меня глючит, т.к. у меня интернет раздается через PPPoE - и похоже закрытие внешнего доступа приводит к безвременному падежу этого интерфейса
 
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
маскарадинг все из сетки выплевывается в ppp0 и наоборот,  если у вас в интернет смотрит eth0 то подставьте вместо ppp0 ваш интерфейс
 
iptables -P FORWARD DROP
это правило запрещает все пакеты из цепочки forward если не сделать то все юзеры счастливо будут ползать в нете выходя через правило написаное выше
iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT
это разрешает всей сетке входящие пакеты  
 
UTM выполняя правило iptables -A FORWARD  -s your_ip -j ACCEPT
открывает доступ юзеру с your_ip
 
safe_mysqld --user=root &
/usr/local/apache/bin/apachectl startssl &
/usr/local/bin/ipcad &  
запуск всей шелухи.
 
последний штрих - классификация трафика. без нее тож никуда.
 
В разделе настройка нужно означить билингу какие пакеты к какому классу трафика (входящий, исходящий, локальный) относить
таблица такая  
сеть куда уходит,      маска сети куда уходит,         сеть откуда,      маска сети откуда
Интернет входящий 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0  
Интернет исходящий 0.0.0.0 0.0.0.0 192.168.0.0 255.255.255.0  
Локальный 192.168.0.0 255.255.255.0 192.168.0.0 255.255.255.0  
Локальный Броадкастовый 192.168.0.0 255.255.255.0 192.168.0.255 255.255.255.255  
 
Настроив это можно идти пить пиво.  
Я не догадался как классифицировать трафик сквида - что очень грустно, ибо хочеться чуть чуть но сэкономить.
 
 
HINT. Наступил еще на одни грабли. проверьте чтобы раздел где у вас лежит база мускуля (/var как правило) был достаточно вместительный. У меня один юзер подцепил где то вирус-троян который ломился по направлению к моему гейту. Гейт устоял, но упала база мускуля, изза того что место на разделе кончилось. Юзверь разорван, база снесена, винт разбит ладом, билинг поднят заново
 
.

Всего записей: 29 | Зарегистр. 01-09-2003 | Отправлено: 07:11 19-09-2003 | Исправлено: infra48, 18:55 05-11-2006
XiNoID



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Понял, спасибо, попробую...

Всего записей: 41 | Зарегистр. 19-07-2007 | Отправлено: 17:24 13-11-2010
Cramac



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Всем привет. Подскажите, что то натворил на новом NAS (добавляю к рабочему серверу)
в логах вот такая ошибка
Accounting START failed for test7
Nov 13 20:36:54 ppp-server pptp[9374]: rc_send_server: no reply from RADIUS server billing:1813
 
при этом billing нормально пингуется и проходит авторизацию.
Что я сбил что такая ошибка стала?

Всего записей: 124 | Зарегистр. 07-01-2004 | Отправлено: 19:47 13-11-2010
ivm2003

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cramac
Что конкретно используется в качестве NAS- CISCO или PC-Router? Судя по ошибке нет ответа от Radius (Радиус сервера) по порту 1813. Пользователь test7 отправляет Радиусу запрос на авторизацию, но не получает от радиуса ответ по порту 1813. Может порт заблокирован?

Всего записей: 91 | Зарегистр. 02-03-2005 | Отправлено: 21:42 13-11-2010
Cramac



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
использую ПК в качестве наса на линуксе.
Порт открыт, т.к. рабочий сервер видит запросы (по tcpdump) но не дает ответа.
Авторизация проходит (она на 1812 порту) а вот аккаунтинг нет
 
Добавлено:
проблема решилась тем что в конфиге пптп сервера ип адрес этого сервера совпадал с ип адресом сервера с радиусом. после изменения на правильный адрес все заработало.

Всего записей: 124 | Зарегистр. 07-01-2004 | Отправлено: 10:10 14-11-2010 | Исправлено: Cramac, 10:11 14-11-2010
DerekTM

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите по настройке плиз.
Надо считать трафик пользователей без радиус-авторизации, т.е. основываясь на ip пользователя. Данные утм снимает по нетфло, данные приходят (/netup/utm5/db/iptraffic_raw.dbs растет ). Но вот как прописать пользователю в утм кокретный статический ip? Облазил админку, но ничего похожего ненашел Версия 5.2.1-005

Всего записей: 13 | Зарегистр. 04-09-2007 | Отправлено: 03:09 25-11-2010
AkeHayc

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Пока установил этот биллинг на столько граблей наступил, не ужели его так ставят все

Всего записей: 519 | Зарегистр. 24-02-2009 | Отправлено: 15:27 24-12-2010 | Исправлено: AkeHayc, 13:22 27-12-2010
DerekTM

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ, а под debian squeeze 5.2.1-005 кто-нибудь смог запустить?

Всего записей: 13 | Зарегистр. 04-09-2007 | Отправлено: 11:28 01-01-2011
AkeHayc

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть локальная сеть из 12 компьютеров и одним Интернет шлюзом, который дает Интернет компьютерам локальной сети.
Шлюз имеет две сетевые карты, eth0 - Интернет, eth1 - Локальная сеть. На шлюз установлен UTM5, произведена первоначальная настройка. Вроде все нормально. Но, биллинг почему не считает трафик. Подразумеваю что нужен коллектор. Какой коллектор можно быстро и без гемора поставить на шлюз? Или может вообще не нужен коллектор?
Биллинг поставил первый раз, поэтому много чего не знаю. Заранее спасибо!

Всего записей: 519 | Зарегистр. 24-02-2009 | Отправлено: 09:57 06-01-2011 | Исправлено: AkeHayc, 10:10 08-01-2011
lexassa1

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
windows 005 не дает положить денег на счет, как через интерфейс админа так и карточкой.
 
ошибка Error add new payment: RPC-End-Of-Stream (R-EoS) recieved
 
Куда копать?

Всего записей: 107 | Зарегистр. 29-07-2008 | Отправлено: 14:26 07-01-2011
AkeHayc

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Парни, а как настроить ipcad вместе с utm5 . Установил ipcad:
yum install ipcad
yum install ipcad-devel
 
Потом по инструкции начал создавать конфигурационные файлы, создал файлик:

Цитата:
gedit /netup/utm5/get_xyz.conf  

Вписав в него следующий текст:

Цитата:
outhost=127.0.0.1
outport=9996
loop=30
host {
type=cisco
ip=10.0.0.1
# IP-адрес сервера с установленным  ipcad.
port=514
login=root
password=my_root_password
timeout=5
}

Потом создал файлик:

Цитата:
gedit /usr/local/etc/ipcad.conf  

Cо следующим текстом-

Цитата:
interface fxp0;
rsh enable;
rsh root@127.0.0.1 admin;
rsh root@10.0.0.2 admin;
# IP-адрес сервера с get_xyz и логин пользователя, от которого требуется запускать get_xyz
pidfile = /var/run/ipcad.pid;
memory_limit = 32m;
dumpfile = ipcad.dump;
ttl = 3;
rsh timeout = 30;

 
Что тут нужно поменять, чтобы биллинг заработал???
Заранее спасибо!
PS: Биллинг установлен на компьютере с двумя сетевухами (шлюз)
 
 

Всего записей: 519 | Зарегистр. 24-02-2009 | Отправлено: 19:04 08-01-2011
ivm2003

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AkeHayc
Сервер на Ubuntu 10.04 Использую fprobe-ulog в качастве коллектора. Конфигурация вся в 3 строках
 
INTERFACE="eth:100,ppp0:200" # откуда снимаем
FLOW_COLLECTOR="127.0.0.1:9996" # куда отдаем
OTHER_ARGS="-e 60" # оставил по умолчанию
 
Это если биллинг и коллектор на одной машине.
И еще рекомендую обратить внимание на abills. Для небольшой сети лучше не придумаешь. Установил в тестовом режиме месяца 3 назад. Количество подключений - 10-12 в день. Пока ни одного сбоя.

Всего записей: 91 | Зарегистр. 02-03-2005 | Отправлено: 21:23 08-01-2011
lexassa1

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
тут некому отвечать. тут нет рыбы.

Всего записей: 107 | Зарегистр. 29-07-2008 | Отправлено: 23:01 08-01-2011
AkeHayc

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ivm2003
Спасибо!
Короче установил fprobe-ulog:
1. Скачал пакет с оф. сайта - http://sourceforge.net/projects/fprobe/files/fprobe/1.1/fprobe-1.1.tar.bz2/download?use_mirror=space
2. Устанавил не достающий пакет:
#yum install libpcap-devel
3. Распаковал архив fprobe-1.1.tar.bz2
Потом запустил:
#./configure
#make
#make install
 
Вроде он установился, а вот его конф файл я так и не нашел, куда нужно три строчки вписать...
Кроме fprobe-ulog не нужен случайно flow_tools ???
 
Далее в IPTABLES прописал правила:
#iptables -A FORWARD -o eth0 -j ULOG
#iptables -A INPUT -o eth0 -j ULOG
#iptables -A OUTPUT -o eth0 -j ULOG
 
Дальше не могу найти конф файл fprobe-ulog...
 
 
 
 
Добавлено:
Конф файл должен быть в /etc/default/, его там я не нашел, создал этот файл в ручную:
# gedit /etc/default/fprobe-ulog
 
Прописал что выше в него, уже башка не варит...
Завтра продолжу бороться с биллингом...

Всего записей: 519 | Зарегистр. 24-02-2009 | Отправлено: 16:10 09-01-2011
ivm2003

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AkeHayc
Судя по менеджеру  yum   у вас Fedora или что-то похожее. Пакет fprobe-ulog тоже должен быть в репозитариях. Попробуйте yum install fprobe-ulog. Я к сожалению кроме Debian и Ubuntu не работал с другими дистрибутивами. Попробуйте в консоли дать команду:
info@info:# ps -e | grep ulog
 1728 ?        00:20:22 fprobe-ulog
info@info:#
Пакет flow_tools  нужен для обработки статистики, которая снимается с коллектора. У Вас с этим справится штатный обработчик utm5.  
 
 

Всего записей: 91 | Зарегистр. 02-03-2005 | Отправлено: 08:51 10-01-2011
AkeHayc

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
С трафиком вроде разобрался, он считается. Теперь нужно правила фаервола прописать, делаю следующее:
Включение Интернета юзеру   - /sbin/iptables -A FORWARD -s UIP -j ACCEPT
 
Отключение Интернета юзеру - /sbin/iptables -D FORWARD -s UIP -j ACCEPT
 
Они у меня не работают.
До этих правил еще прописывал iptables -P FORWARD DROP

Всего записей: 519 | Зарегистр. 24-02-2009 | Отправлено: 11:48 15-01-2011 | Исправлено: AkeHayc, 11:52 15-01-2011
AkeHayc

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вручную если добавить правило: /sbin/iptables -D FORWARD -s *.*.*.* -j ACCEPT  
Все пашет.

Всего записей: 519 | Зарегистр. 24-02-2009 | Отправлено: 20:14 16-01-2011
AkeHayc

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ivm2003
Короче разобрался я с биллингом, будешь смеяться я оказывается банально не запускал демон utm5_rfw ))

Всего записей: 519 | Зарегистр. 24-02-2009 | Отправлено: 06:32 28-01-2011
AkeHayc

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Почему у юзера всегда есть Интернет, вот мои правила iptables:

Цитата:
[root@localhost ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination          
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0            
 
Chain FORWARD (policy DROP)
target     prot opt source               destination          
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0            
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination          
 
Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination          
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255  
ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0            
ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0            
ACCEPT     udp  --  0.0.0.0/0            224.0.0.251         udp dpt:5353  
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:631  
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:631  
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED  
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22  
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80  
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:11758  
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:53  
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:53  
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited  

 

Цитата:
 
[root@localhost ~]# iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination          
 
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination          
SNAT       all  --  10.168.50.0/24       0.0.0.0/0           to:192.168.1.25  
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination    

Всего записей: 519 | Зарегистр. 24-02-2009 | Отправлено: 16:48 29-01-2011
urodliv



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AkeHayc
Так у вас в цепочке RH-Firewall-1-INPUT первое же правило разрешает всем и всё:

Цитата:
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0



----------
Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

Всего записей: 6684 | Зарегистр. 29-04-2009 | Отправлено: 16:59 29-01-2011
AkeHayc

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
urodliv
Спасибо!
С этим разобрался, удалил это правило:
# iptables -D FORWARD 1
 
Теперь с правилами фаервола разбераюсь, вот эти правила включают/отключают Интернет, все работает:
Вкл:iptables -A FORWARD -s 0/0 -d UIP -j ACCEPT
Выкл:iptables -D FORWARD -s 0/0 -d UIP -j ACCEPT
И
Вкл:iptables -A FORWARD -d 0/0 -s UIP -j ACCEPT
Выкл:iptables -D FORWARD -d 0/0 -s UIP -j ACCEPT
 
Теперь если я добавляю UBITS(маску) к UIP  - UIP/UBITS, UTM5 ставит не IP адрес компьютера  и маску, а целую сеть.
То есть вот что происходит:
[root@localhost ~]# iptables -L FORWARD
Chain FORWARD (policy DROP)
target     prot opt source               destination          
ACCEPT     all  --  anywhere             10.168.50.0/24      
ACCEPT     all  --  10.168.50.0/24       anywhere      
 
 
 
Добавлено:
И еще вопрос: почему закачка не обрубается если юзер ушел в минус сразу?
Вот мой ipcad.conf
# Please see ipcad.conf.default file or ipcad.conf(5) manual page for
# complete file format explanation.
 
capture-ports disable;
interface eth0 promisc;
interface eth1;
netflow export version 5;
netflow export destination 127.0.0.1 9996;
pidfile = /var/run/ipcad.pid;
dumpfile = /var/log/ipcad/ipcad.dump;

Всего записей: 519 | Зарегистр. 24-02-2009 | Отправлено: 17:38 29-01-2011 | Исправлено: AkeHayc, 17:41 29-01-2011
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » FAQ Установка и настройка Netup UserTrafManager. (UTM)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru