[HOWTO] Ubuntu 11.04+abills0.5 для малого офиса или мелкого провайдера.

[ttl]

да, но я так полагаю это для старой версии абилса. У меня 0,53. Скрипт баланс вытягивает маршрутизацию вродь правильно делает. Но - при подключении Абиллс рвет по причине "negative deposit" - у Auth.pm - =< 0. Уже что только не изменял - результат 0.
Может нужно еще что-то поправить?

Код: [Выделить]

cat radattr.ppp0

Framed-Protocol PPP
Framed-Compression Van-Jacobson-TCP-IP
Acct-Interim-Interval 60
Session-Timeout 1842750
Filter-Id negative
User-Name test
PPPD-Upstream-Speed-Limit 2000
Framed-IP-Address 172.21.21.144
Framed-IP-Netmask 255.255.255.255
PPPD-Downstream-Speed-Limit 2000


[kfmn]

При подключении 691 ошибка из винды.
Хотел проверить подключение radtest:
root@inet483:/home/mik/.backup/20110922_2# radtest -d /etc/freeradius  user01 123456+ 127.0.0.1 1812 qw130795
Sending Access-Request of id 2 to 127.0.0.1 port 1812
        User-Name = "user01"
        User-Password = "123456+"
        NAS-IP-Address = 127.0.0.1
        NAS-Port = 1812
rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=2, length=47
        Reply-Message = "Login Not Exist or Expire"

Вот такой ответ. Хотя перепроверил пользовател "user01" c паролем "123456+" есть. Добавлял этого пользователя через web-интерфейс.
Что не так с моим пользователем?

[ttl]

Проверь есть ли у него денежный счет и активен ли он.

[Nesmit]

У меня 0,53.

боюсь я не могу помочь, я уже 0.5й версии не ставил. Да и нет рабочего сервера.
Ищи помощь на форуме производителя.

При подключении 691 ошибка из винды.
Хотел проверить подключение radtest:
root@inet483:/home/mik/.backup/20110922_2# radtest -d /etc/freeradius  user01 123456+ 127.0.0.1 1812 qw130795
Sending Access-Request of id 2 to 127.0.0.1 port 1812
        User-Name = "user01"
        User-Password = "123456+"
        NAS-IP-Address = 127.0.0.1
        NAS-Port = 1812
rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=2, length=47
        Reply-Message = "Login Not Exist or Expire"

Вот такой ответ. Хотя перепроверил пользовател "user01" c паролем "123456+" есть. Добавлял этого пользователя через web-интерфейс.
Что не так с моим пользователем?

Да все что угодно, словари к фрарадиусу например. Лучше запустите фрирад -X и попробуйте соедениться пользователем.
вывод консоли сюда положите.

[Dasuber]

У кого-нибудь работает новый фаерфол? У меня получилось настроить Abills только со старым фаерволом.

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

pppoe-server -I eth1 -L 192.168.160.1 -O /etc/ppp/pppoe-server-options

iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X

#Правила для NAT
iptables -t nat -A POSTROUTING -s 192.168.160.0/255.255.255.0 -j SNAT --to-source 10.0.2.15
#Правило для прозрачного прокси, если таковой имеется.
iptables -t nat -A PREROUTING -p tcp -s 192.168.160.0/24 --dport 80 -j REDIRECT --to-port 3128


#Закрываем важные порты на Интерфейсах
iptables -A INPUT -p TCP -i eth0 --dport 3128 -j DROP #Порты proxy
iptables -A INPUT -p TCP -i eth1 --dport 3128 -j DROP
iptables -A INPUT -p TCP -i eth0 --dport 3306 -j DROP #mysql
iptables -A INPUT -p TCP -i eth1 --dport 3306 -j DROP

#Открываем Фовардинг
echo "1" > /proc/sys/net/ipv4/ip_forward
exit 0


С новым пытался разобраться, но не получилось.

/etc/network/interfaces

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

auto lo
iface lo inet loopback

# Сеть наружу
auto eth0
iface eth0 inet dhcp

# Сеть внутри
auto eth1
iface eth1 inet static
          address 192.168.1.1
          netmask 255.255.255.0


/etc/rc.local

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

pppoe-server -I eth1 -L 192.168.160.1 -O /etc/ppp/pppoe-server-options

#Устанавливаем правила по умолчанию
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
#Очищаем существующие цепочки правил
iptables -F
iptables -F -t nat
iptables -F -t mangle
#Удаляем пользовательские цепочки (если они есть)
iptables -X
iptables -X -t nat
iptables -X -t mangle
#Разрешаем для lo хождение пакетов
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#Разрешаем SSH для всех интерфейсов
iptables -A INPUT -p TCP  --dport 22 -j ACCEPT
#Разрешаем входящие и исходящие UDP-пакеты DNS-запросов
iptables -A INPUT -p UDP -s 0/0 --sport 53 -j ACCEPT
iptables -A INPUT -p UDP -s 0/0  --dport 53 -j ACCEPT
#Разрешаем входящие пакеты для установленных соединений и связанных с установленными
iptables -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT
#Разрешаем перенаправляемые пакеты из ppp в eth0
iptables -A FORWARD -i ppp+ -o eth0 -j ACCEPT
#Открываем Фовардинг
echo "1" > /proc/sys/net/ipv4/ip_forward
exit 0


iptables -nvL

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
   25  1624 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:53
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:53
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  ppp+   eth0    0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 13 packets, 1500 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0


[Nesmit]

а какой новый?

[Dasuber]

Новый тот, что сейчас написан в мануале. Вот пост где его привели.

(Нажмите, чтобы показать/скрыть)

а, да еще на счет iptables он может быть до боли простым, но и правильным ))) не обязательно сочинять целые книги, т.к. вы своими цепочками загрузите процессор, а просто все по умолчанию закрыть, и включить только не обходимое и то только где нужно.
например вот так

Код: [Выделить]

#!/bin/sh

IPTABLES="/usr/sbin/iptables"

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP

$IPTABLES -F
$IPTABLES -F -t nat
$IPTABLES -F -t mangle
$IPTABLES -X
$IPTABLES -X -t nat
$IPTABLES -X -t mangle

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT

$IPTABLES -A INPUT -p TCP  --dport 22 -j ACCEPT

$IPTABLES -A INPUT -p UDP -s 0/0 --sport 53 -j ACCEPT
$IPTABLES -A INPUT -p UDP -s 0/0  --dport 53 -j ACCEPT

$IPTABLES -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A FORWARD -i ppp+ -o eth1 -j ACCEPTПользователь решил продолжить мысль 01 Декабря 2010, 16:24:49:а еще правильнее, разделить все. Скрыть в дмз биллинг, а на другую машину насом в локалку и в инет ))

До этого, как я понял, был другой вариант (его можно глянуть на хабре). Вот со старым все работает, а новый мне кажется нужно допилить до рабочего.

[Nesmit]

На хабре первый вариант для дальтоников. Работает, но никак низя такой использовать на рабочем сервере. Только для проверки.
В новом я ошибок не вижу, максимум что там может быть не правильным так это отсутствие маскарада на eth1(интерфейс смотрит в инет).

Ну я например полностью переписал используя вот это:
http://easyfwgen.morizot.net/gen/
Только там малюсенькая ошибка в одной генерируемой строке, исправляется легко. iptables сам подскажет где ошибка.

[Dasuber]

Внес кое-какие изменения до полурабочего состояния.
eth0 - интернет eth1 - локальная сеть

добавляем маскарадинг

Код: [Выделить]

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Разрешаем подключатся к шлюзу из внутренней сети для портов 443 и 80

Код: [Выделить]

iptables -A INPUT -i eth1 -p TCP  --dport 443 -j ACCEPT #cтатистика Abills
iptables -A INPUT -i eth1 -p TCP  --dport 80 -j ACCEPT #phpmyadmin
Разрешаем подключатся к шлюзу из внутренней сети для утановки PPTP

Код: [Выделить]

iptables -A INPUT -i eth1 -p TCP  --dport 1723 -j ACCEPT
Открываем сайт mysite.ru (если есть необходимость считать трафик, как локальный)

Код: [Выделить]

iptables -A FORWARD -i eth1 -o eth0 --destination mysite.ru -j ACCEPT
iptables -A FORWARD -o eth1 -i eth0 --source mysite.ru -j ACCEPT

В результате rc.local

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

pppoe-server -I eth1 -L 192.168.160.1 -O /etc/ppp/pppoe-server-options

#Устанавливаем правила по умолчанию
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
#Очищаем существующие цепочки правил
iptables -F
iptables -F -t nat
iptables -F -t mangle
#Удаляем пользовательские цепочки (если они есть)
iptables -X
iptables -X -t nat
iptables -X -t mangle
#Разрешим пропуск трафика через шлюз (в противном случае трафик не проходит цепочку FORWARDING)
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#Разрешаем для lo хождение пакетов
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#Разрешаем SSH для всех интерфейсов
iptables -A INPUT -p TCP  --dport 22 -j ACCEPT
#Разрешаем подключатся к шлюзу из внутренней сети для портов 443 и 80
iptables -A INPUT -i eth1 -p TCP  --dport 443 -j ACCEPT #cтатистика Abills
iptables -A INPUT -i eth1 -p TCP  --dport 80 -j ACCEPT #phpmyadmin
#Разрешаем подключатся к шлюзу из внутренней сети для утановки PPTP
iptables -A INPUT -i eth1 -p TCP  --dport 1723 -j ACCEPT
#Разрешаем входящие и исходящие UDP-пакеты DNS-запросов
iptables -A INPUT -p UDP -s 0/0 --sport 53 -j ACCEPT
iptables -A INPUT -p UDP -s 0/0  --dport 53 -j ACCEPT
#Разрешаем входящие пакеты для установленных соединений и связанных с установленными
iptables -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT
#Разрешаем перенаправляемые пакеты из ppp в eth0 и обратно
iptables -A FORWARD -i ppp+ -o eth0 -j ACCEPT
iptables -A FORWARD -o ppp+ -i eth0 -j ACCEPT
#Открываем сайт mysite.ru (если есть необходимость считать трафик, как локальный)
iptables -A FORWARD -i eth1 -o eth0 --destination mysite.ru -j ACCEPT
iptables -A FORWARD -o eth1 -i eth0 --source mysite.ru -j ACCEPT

#Открываем Фовардинг
echo "1" > /proc/sys/net/ipv4/ip_forward

Не получилось настроить правило для прозрачного прокси
Не заработало

Код: [Выделить]

iptables -t nat -A PREROUTING -p tcp -s 192.168.160.0/24 --dport 80 -j REDIRECT --to-port 3128

[Nesmit]

$IPT -t nat -A PREROUTING -p tcp -i $LOCAL_IFACE --destination-port 80  -j REDIRECT --to-ports 3128
и убери из rc.local
сделай отдельным скриптом в init.d
в случае сбоя rc.local не запускается

[Dasuber]

$IPT -t nat -A PREROUTING -p tcp -i $LOCAL_IFACE --destination-port 80  -j REDIRECT --to-ports 3128

Не заработало. По крайней мере модуль в Abills ничего не показывает. Думаю дело в MASQUERADE. На http://easyfwgen.morizot.net/gen/ пакеты перекидываются с помощью SNAT.

Код: [Выделить]

$IPT -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_ADDRESSВ первой версии "для дальтоников" тоже SNAT было.

и убери из rc.local
сделай отдельным скриптом в init.d
в случае сбоя rc.local не запускается

Век живи - век учись. Не знал.

[Nesmit]

На самом деле был, но давно
SNAT быстрее работает чем MASQUERADE.
Я то же не знал, узнал когда в 200 км от меня у серва свет кончился, а потом еще и еще раз и каждый раз репу чесал, чОй то у меня не срабатывает фаервол и не запускается фовардинг.

[Farton]

Хочу сказать про атрибуты радиуса gigawords. Который нужен, если трафик в сессии превышает 4 GB, иначе счетчик трафика
сессии обнуляется после достижения данного значения. ppp из коробки gigawords не поддерживает, надо патчить.
Патч взял с нага, автор nuclearcat. Теперь считает сессии больше 4 гигов. Если кому надо могу поделится deb пакетом.

Добавляем в /etc/freeradius/dictionary

Код: [Выделить]

ATTRIBUTE Acct-Input-Gigawords 52 integer
ATTRIBUTE Acct-Output-Gigawords 53 integer
и в /etc/radiusclient/dictionary

Код: [Выделить]

ATTRIBUTE Acct-Input-Gigawords 52 integer
ATTRIBUTE Acct-Output-Gigawords 53 integer
И вопрос. На шлюзе используется pppoe сервер. Некоторые сессии подвисают в самом начале работы, т.е. соединение
устанавливается, но трафик в нем не ходит. Можно отключиться и подключиться обратно тут же, и инет работает.
Данная проблема появилась после того как число одновременных сессий перевалило за 50 пользователей.
Система Ubuntu Server 10.04.3 LTS. Внешний IP статический, используется SNAT.

[Nesmit]

Что-то было такое, а у вас pppoe с ядерным модулем?

[Farton]

Да, с ядерным. Пересобирал rp-pppoe. Впрочем подобное легко повторяется и с pptp, т.е. зависание.