» FAQ Установка и настройка Netup UserTrafManager. (UTM)

Приветствую всех.
У меня вот такая ситуация:
win server2003 спутник ПО SkyDSL 7,5
eth1 спутник
eth2 выделенка
eth3 192.168.90.1 смотрит в eth0 192.168.90.2 на linux (прямой линк)
Linux сервак
eth0 192.168.90.2 (Пинг из сети 200.200.0.0/255.255.0.0 ,есть. Настроен портмапиг 192.168.90.2:3128 -->192.168.90.1:8080)
eth1 200.200.170.2 FTP
eth2 200.200.170.3 Под Squid ставил но не получило(( скорее всего уберу.
RH 9.0 utm 5.0 (файл utm-5[1].1.10-017.i386.rpm) Настроено вроде все нормально.
В ручную с кансоли правило iptables -A FORWARD -s 200.200.170.6 -j ACCEPT Включает инет у юзера 200.200.170.6 а iptables -D FORWARD -d 200.200.170.6 -j ACCEPT Соответственно вырубает инет. Но в админке UTM5 задаю такиеже правила на конкретного, заранее заведенного юзера нихрена не работает. Много прочитал но толку ноль. Помагите може я что где не доганяю.

Попробуй поставить на линукс rfw из нетупа отредактируй конфиг rtw, пропиши его в ядре, пропиши правила для этого rfw, в настройках юзера укажи пользоваться зтим rfw.

>>Попробуй поставить на линукс rfw из нетупа отредактируй конфиг rfw, пропиши его в ядре, пропиши правила для этого rfw, в настройках юзера укажи пользоваться зтим rfw.

Спасибо за ответ.
Да пробовал, буквально вчера, видимо не так.
Что именно нужно указать в настройках юзера?
Его прописать в ядре УТМ или ядре Линуха? Если в ядре линуха то подскажите приблизительно как это сделать - недавно занимаюсь Linux
Пробовал ставить UTM4 - тоже самое, но админка работает крайне тормознуто.
Что то я наверное не догоняю ввожу по инструкции:
/sbin/iptables -D FORWARD -s UIP/UBITS -j ACCEPT
iptables сообщает что UIP/UBITS неправельная команда UBITS
пробую так
/sbin/iptables -D FORWARD -s UIP -j ACCEPT
Пишит что отсутствует host/network
Може у меня iptables старый версия 1.2.7а ?

Можно поподробнее или ссылку как, что и где прописывать, просто уже мозги высушил себе - не ем не сплю все пытаюсь сделать.

orelmshome
юзер, если мне память не изменяет, привязывается к группе, а к группе правила фаервола, которые в свою очередь к определённом gw (может быть linux, freebsd, cisco и всё сразу)
rfw вист как процесс на gw Linux? как его запускаете, конфиг покажите?


Цитата:

/sbin/iptables -D FORWARD -s UIP/UBITS -j ACCEPT

пользователя когда заводите, заводите ip и маску, покажите, также .

Добавлено:
pro_cess

Цитата:

Если установить на машине NETUP и не запускать его ядро, можно ли запустить rfw?

ТОлько насколько мне звестно, до последних версий, rfw после временного обрыва связи с ядром биллинга, либо умирал порцесс, либо просто переставал работать...


Добавлено:
magazinus

Цитата:

У нас сейчас внедряют какую-то новую систему на основе UTM+DHCP, подробностей не знаю, но если что-то будет - напишу.

свитчи надеюсь управляемые? )

Jovanotti
лучше поздно-чем никогда
в 4 версии существовало 2 вида таймаута: веб-сессии и самого инета,выставлялось в конфиге. в 5 версии в списке параметров (в админке) существует веб-таймаут, по какойто причине сами правила фаервола по таймауту не удаляются. либо просто нужно добавить этот параметр, читайте внимательно хелп(как вариант вапрос на форуме нетапа, как другой вариант-впн)

infra48
сами правила по таймауту не удаляются даже в 4-ой версии, там просто vpn сессия отваливается при простое, правилаже ваерволла удаляются исключительно по действиям пользователя, админа, или же самим ядром при определённых обстоятельствах (недостаточность средств на счету)

ZaqwrKos
ээээ вот нинада со мной спорить по этому поводу. учим конфиг до просветления!
user_session_timeout=
admin_session_timeout=
sa_timeout=
sa_refreshtime=
впн тут никаким боком не касается.

Цитата:

юзер, если мне память не изменяет, привязывается к группе, а к группе правила фаервола, которые в свою очередь к определённом gw (может быть linux, freebsd, cisco и всё сразу)
rfw вист как процесс на gw Linux? как его запускаете, конфиг покажите?

Запускаю так: (до этого вообще незапускал rfw т.к. в руководстве ничего по этому поводу не сказано)
/netup/utm5/bin/utm5_rfw /netup/utm5/rfw5.cfg
Вот сонфиг rfw5.cfg (може что исправить надо)
firewall_type=local
sudo_path=/usr/bin/sudo
firewall_path=/sbin/iptables
firewall_flush_cmd=/usr/sbin/iptables -F
rfw_name=127.0.0.1
core_host=127.0.0.1
core_port=11758
rfw_login=init
rfw_password=init
rfw_ssl_type=ssl3
log_level=3
log_file_main=/netup/utm5/log/rfw.log
log_file_debug=/netup/utm5/log/rfw.log
log_file_critical=/netup/utm5/log/rfw.log

Цитата:

rfw_name=127.0.0.1

Имя его для ядра, если он удаленный, то имя у него другое, 192.168.1.1 - например.
И в настройках "список брэндмауров" ставишь тип local и имя 192.168.1.1

Блин народ наставте на путь истинный.
Создал первого пользователя загнал в него несколько юзеров с компании.
Одного по VPN и 4 по IP подключение к интернету, поставил галочку безлимит.
Всё ОК.
Трафик общитывается, счет не уменьшается.
Создал период месяц.
Создал второго юзера но не безлимитного.
Если второму назначаю соединение по IP - то трафик считается.
Если по VPN ни в какую.
В отчетах по сесиям VPN, показвывает трафик, но необсчитывает, и не показывает трафик в разделе трафика.
Настройки ndsad
force sk0
forse ng
dummy all
По логам видно, что ng0 ng1 ndsad определяет.
Блин куда думать не знаю третий день бьюсь.
ndsad 1.32.1 utm5.1.10_17 freebsd 6.2 две машины под ядро и rfw-ndsad.

PS. Создал второе VPN для первого пользователя, трафик тоже не считается. (

pro_cess
как насчет создать тариф с платным трафиком , либо услугу с ним же ?
ну а трафик из впн - он и не попадает в трафик по ип (имхо,нужно проверять внимательно)

Блин, услуги с платным трафиком, созданы.
Обе класса передача IP трафика.
Для VPN в отличии от IP добавляю логин, пароль для доступа и IP-адрес из зоны контролируемой радиусом.
Первый юзер помечен анлимом, включает в себя 4 подключки по IP и одну по VPN.
У него весь трафик считался до тех пор пока не добавил к нему второй VPN, но без анлима. Теперь не считается только VPN.
В отчётах по модемным и VPN сессиям этот трафик регистрируется, но не общитывается стоимость и в общий отчет не попадает .
Теперь и у него перестал считаться трафик для первого VPN.
Нетупу создал отдельного пользователя MySQL базы, может прав у него каких не хватает?

насчет прав-можно попробовать доступ от root. с остальным не сталкивался,не могу ничего посоветовать... может кто из форумчан что скажет...

pro_cess


Ну вопервых ты ошибку в слове сделал forse(force) ng, да и слово должно быть другое.
Поробуй во так:
force_family ng - пишу на память в документации глянь (это означает обсчитывать все интерфейсы ng). И на том интерфейсе где подключается по ВПН не должно стоять например force rl0.
Удачи!

Добавлено:
И ещё, если у тебя будет много народу подключено по VPN, radius будет часто падать (глючный он у них). Так что если будет потом падать radius, лучше используй mpd.secret.

pro_cess

Цитата:

Если по VPN ни в какую

force_family ppp
ignore all
ng и sk0 тоже общитываться должны ??? что за топология такая что все интерфесы считаешь?

7eRJ, нет, очепятка здесь, в конфиге нет.
Руководство для семьи советует force ng.
ng без номера и определяет семью.

ZaqwrKos
У меня mpd, поэтому всётаки ng, а не ppp.
ignore - руководство предлагает для отдельных if использовать.
У меня в конфиге стоит dummy all.

И правильно нафик этот VPN не нужет.
Отказался я от него.

Чем больше пляшу с бубном вокруг UTM5, тем больше начинает нравиться мне он.

Вопросы по правилам файервола.
Правила можно создавать для тарифа, группы и отдельного юзера, приэтом указывается на каком маршрутере/файерволе их исполнять.
Те не смотря на то, что в настройках юзера прописывается, только один файервол, при откючении, включении этого юзера, правила выполнятся, для всех маршрутеров, где он попадает в группу, тариф или как персональный юзер этих правил?

pro_cess

Цитата:

Те не смотря на то, что в настройках юзера прописывается, только один файервол, при откючении, включении этого юзера, правила выполнятся, для всех маршрутеров, где он попадает в группу, тариф или как персональный юзер этих правил?

по идее правило срабатывает только на том маршрутеризаторе, к которому прикручена группа, в которую входит данный юзер, правило для него создаётся единственное для всех маршрутиризаторов, тоесть для каждого юзера свой id правил... правда незнаю как это фиксируется на cisc'каре

Угу, работает, по группам срабатывают правила на разных файерволах.

По расчётным периодам: по умолчанию забит период ежедневный длинной 200000000 сек.
Вообще что означает начало расчётного периода, конец и каноническая длинна?
Следущий расчетный период почемуто указывает всегда на это который по умолчанию...
Если указана переодическая составляющая в услуге, то надо ли заводить ещё одну услугу для снятия этой переодической составляющей?
У меня чего-то через день не снимает, эту составляющую, в ежедневном периоде, хотя трафик считает.
Установлено, снятие денег в течение периода.
Что значит, снять деньги в начале, в конце или в течении периода?

Цитата:

Что значит, снять деньги в начале, в конце или в течении периода?

это значит,как и написано. например период 1 день: в начале значит в 00 часов. в конце - значит в 23-59, в течении периода равными долями-зависит от параметра сколько раз в течении периода снимать абонплату. читаем внимательно доки,там всё написано. если не снимает за что-либо деньги значит либо услуга не подключена,либо она бесплатная,либо цена указана не там где нужно(маловероятно, но возможно).

pro_cess

Цитата:

Вообще что означает начало расчётного периода, конец и каноническая длинна?

начало и есть начало, конец будет в зависимости от того что за динну вы выберите, насчёт канонической незнаю, уже пол года утм5 в глаза не видел, да и новая версия значительно отличается по слухам от той, с которой я работал....

Цитата:

Если указана переодическая составляющая в услуге, то надо ли заводить ещё одну услугу для снятия этой переодической составляющей?

нет , услуга либо входит в тариф , либо вы её просто подключаете пользователю.

Цитата:

Установлено, снятие денег в течение периода.

это помойму отностися только к услугам входящим в тариф, и ещё услуга бывает переодическая, и бывает разовая...

pro_cess

Цитата:

По расчётным периодам: по умолчанию забит период ежедневный длинной 200000000 сек.

Этот период не используй, так как 200000000/3600= море часов. Создай новые периоды.

Спасибо.
Вроде всё правильно понимаю и делаю. Ман уже скурен до фильтра. )
Создаю класы трафика: Интернет >>> Клиент (0/0 >>> 10/8) и Интернет <<< Клиент (10/8 >>> 0/0)
Создаю услугу: Переодическая составляющая- 5.0
Метод снятия - в течении периода
Не обнулять предоплаченный трафик.
Ставлю границы:
Интернет >>> Клиент 0 0
Интернет >>> Клиент 1677312 1.6
Группирую границы:
Интернет >>> Клиент max
Интернет <<< Клиент max
Включаю в тарифный план ёё.
Создаю расчётный период - ежедневный.
Подключаю тариф пользователю, указываю ему расчётный период ежедневный.
Подключаю тарифную услугу.
У клиента снимается 5.0
Трафик до 1677312 считается по 0, дальше списывается уже по 1.6.
Вроде красиво.
Но проходят сутки и 5.0 не списывается, квота не появляется.
А продолжает списывать по 1.6 за метр.

Может у меня какая - нибудь альфа версия netupa?

Ура, заработало!!! (с) Трое из простаквашино.
Так сказать, взял быка за рога ... Utm5 - похож на быка с хвостом.
Считал только один VPN, потому-что, была закаментирована строка в mpd.conf - получать IP у радиуса.
Не переносил UTM периоды, потому-что глядя на период по умолчанию, ставил дату окончания периода где-то в 2037 г.

Всем спасибо, кто помогал советом.

ЗЫ. Ещё наверно будут последние штрихи.

Если у юзера несколько IP, rfw передаёт 1 правило, где UIP - массив IP юзера или для каждого IP отдельное правило?

Вместо управления файерволом, видимо можно подсунуть свой скрипт, который будет заускать rfw c указаными ему ключами, правильно понимаю?

Не хватает, чтоб определенный IP юзера был привязан к той или иной группе, если юзер входит в несколько групп, то utm буде спамить ip юзера куда надо и ненадо.

pro_cess

Цитата:

Если у юзера несколько IP, rfw передаёт 1 правило, где UIP - массив IP юзера или для каждого IP отдельное правило?

нет,оно одно единственное... точнее правил получится несколько под одним номером.

Цитата:

нет,оно одно единственное... точнее правил получится несколько под одним номером.

Юзаю PF, там номера правил не передаются, поэтому не мог отследить.
Но из твоих записей не факт, что передается одно правило, номер правила это Юзеровский UID + 5000, поэтому может передаются и несколько правил под одним номером.
Как бы узнать по точнее?

pro_cess

Цитата:

Но из твоих записей не факт, что передается одно правило, номер правила это Юзеровский UID + 5000, поэтому может передаются и несколько правил под одним номером.

угу
ZaqwrKos

Цитата:

нет,оно одно единственное... точнее правил получится несколько под одним номером.

это под ipfw , pf не юзал

Человеки, кто dynashape заморачивался?

lapoty
зачем обманывать юзеров ?
сделайте просто статические правила, анлим либо есть, либо это уже не анлим.

Мне не пользунов "обманывать", мне что бы канал на всех поровну нарезался.

ZaqwrKos

Цитата:

сделайте просто статические правила

Пример в студию можно?