Jump to content
Local
mgo

Ubilling + NAS на FreeBSD бортжурнал починаючого адміна

Recommended Posts

Хлопцi. Вибачайте, питання простi, але "щось тут не так".
1) не працюе интернет з lan`y до wan`y. Хоча б повинно :angry:
2) uhw не резолвить тобто не робить редирект при заходi на сайт. Хоча б повинно. :angry:
 

Для того, щоб интернет був у ланi - вказано "gateway_enable".

Для того, щоб робило редиректи при заходи на сайт - доступ вiдкрит до 8.8.8.8

em1 - интернет по дхцп, например 10.0.0.1/24

em0 - лан з користувачами

rc.conf

hostname="localho"
ifconfig_em1="DHCP"
gateway_enable="YES"
ifconfig_em0="172.17.0.1/24"
ifconfig_em0_alias0="inet 172.32.0.1 netmask 255.255.240.0"
cloned_interfaces="vlan7"
ifconfig_vlan7="inet 172.17.10.1/24 vlan 7 vlandev em0"

ifconfig_em2="10.0.3.15/24"
sshd_enable="YES"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"
# ====== added by UBinstaller ====

#all needed services
mysql_enable="YES"
apache24_enable="YES"
dhcpd_enable="YES"
dhcpd_flags="-q"
dhcpd_conf="/usr/local/etc/multinet/dhcpd.conf"
dhcpd_ifaces="em0 vlan7"

ubilling_enable="YES"
ubilling_flags="em0"

#optional services
memcached_enable="NO"
memcached_flags="-l 127.0.0.1 -m 64"
radiusd_enable="NO"

# ==========
#access/shape/nat
firewall_enable="YES"
firewall_nat_enable="YES"
dummynet_enable="YES"
firewall_script="/etc/firewall.conf"

# ==========

firewall.conf

#!/bin/sh

# firewall command
FwCMD="/sbin/ipfw -q"
${FwCMD} -f flush

# Interfaces setup
LAN_IF="em0"
WAN_IF="em1"

# Networks define
${FwCMD} table 2 add 172.17.0.0/24
${FwCMD} table 9 add 10.0.0.0/24

#NAT
${FwCMD} nat 1 config log if ${WAN_IF} reset same_ports
${FwCMD} add 6000 nat 1 ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}
${FwCMD} add 6001 nat 1 ip from any to me in recv ${WAN_IF}

#Shaper - table 4 download speed, table 3 - upload speed
${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via ${LAN_IF} out
${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via ${LAN_IF} in

# default block policy
#${FwCMD} add 65533 deny all from table\(2\) to any via ${LAN_IF}
#${FwCMD} add 65534 deny all from any to table\(2\) via ${LAN_IF}
${FwCMD} add 65535 allow all from any to any

#Debtors forwarding
${FwCMD} add 4 allow ip from any to 8.8.8.8 via ${LAN_IF}
${FwCMD} add 4 allow ip from 8.8.8.8 to any via ${LAN_IF}
${FwCMD} add 4 allow ip from table\(2\) to me dst-port 80 via em0
${FwCMD} add 4 allow ip from me to table\(2\) src-port 80 via em0
${FwCMD} add 6 fwd 127.0.0.1,80 ip from table\(47\) to not me dst-port 80
${FwCMD} delete 65534

#unknown users redirect
${FwCMD} add 5 fwd 127.0.0.1,80 ip from 172.32.0.0/20 to not me dst-port 80


вывод ipfw show

root@localho:/usr/home/ubilling # ipfw show
00004    0      0 allow ip from any to 8.8.8.8 via em0
00004    0      0 allow ip from 8.8.8.8 to any via em0
00004    0      0 allow ip from table(2) to me dst-port 80 via em0
00004    0      0 allow ip from me to table(2) src-port 80 via em0
00005   12   1531 fwd 127.0.0.1,80 ip from 172.32.0.0/20 to not me dst-port 80
00006    0      0 fwd 127.0.0.1,80 ip from table(47) to not me dst-port 80
06000    0      0 nat 1 ip from table(2) to not table(9) out xmit em1
06001  135  13936 nat 1 ip from any to me in recv em1
12000    0      0 pipe tablearg ip from table(3) to any via em0 in
12001    0      0 pipe tablearg ip from any to table(4) via em0 out
65535 2271 201601 allow ip from any to any

Edited by Qvent

Share this post


Link to post
Share on other sites

 

 

${FwCMD} table 9 add 10.0.0.0/24
 

вам действительно вся сеть нужна там?

проще сделайте её пустой или добавте ипишник WAN-a туда, а не сеть целеком

Share this post


Link to post
Share on other sites

Вы правы, исправил, оставив только айпи вана.

 

${FwCMD} table 9 add 10.0.0.0/24
 

вам действительно вся сеть нужна там?

проще сделайте её пустой или добавте ипишник WAN-a туда, а не сеть целеком

 

Share this post


Link to post
Share on other sites

Ну что, благодаря снапшотам в esxi, разобрался с первой проблемой. ДНС не те были указаны.

Также завелась переадресация  должников. Но а вот uhw, что-то выделывается, айпишки даёт, но не редиректит с сайтов.

 

Должники и uhw, в той форме что у меня, я так понял не могут "дружить"? либо то либо то?

 

 

 

firewall сейчас такой.

#!/bin/sh

# firewall command
FwCMD="/sbin/ipfw -q"
${FwCMD} -f flush

# Interfaces setup
LAN_IF="em0"
WAN_IF="em1"

# Networks define
${FwCMD} table 2 add 172.17.0.0/24
${FwCMD} table 9 add 10.0.0.0/24

#NAT
${FwCMD} nat 1 config log if ${WAN_IF} reset same_ports
${FwCMD} add 6000 nat 1 ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}
${FwCMD} add 6001 nat 1 ip from any to me in recv ${WAN_IF}

#Shaper - table 4 download speed, table 3 - upload speed
${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via ${LAN_IF} out
${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via ${LAN_IF} in

${FwCMD} add 4 allow ip from any to 8.8.8.8 via ${LAN_IF}
${FwCMD} add 4 allow ip from 8.8.8.8 to any via ${LAN_IF}
${FwCMD} add 4 allow ip from table\(2\) to me dst-port 80 via em0
${FwCMD} add 4 allow ip from me to table\(2\) src-port 80 via em0

#unknown users redirect
${FwCMD} add 5 fwd 127.0.0.1,80 ip from 172.32.0.0/20 to not me dst-port 80

# default block policy
${FwCMD} add 65533 deny all from table\(2\) to any via ${LAN_IF}
${FwCMD} add 65534 deny all from any to table\(2\) via ${LAN_IF}
${FwCMD} add 65535 allow all from any to any


#Debtors forwarding
${FwCMD} add 4 allow ip from table\(2\) to 8.8.8.8 dst-port 53 via em0
${FwCMD} add 4 allow ip from 8.8.8.8 to table\(2\) src-port 53 via em0
${FwCMD} add 4 allow ip from table\(2\) to me dst-port 80 via em0
${FwCMD} add 4 allow ip from me to table\(2\) src-port 80 via em0
${FwCMD} add 6 fwd 127.0.0.1,80 ip from table\(47\) to not me dst-port 80
${FwCMD} delete 65534

Edited by Qvent

Share this post


Link to post
Share on other sites

Нужно поднять 20вланов.

Подскажите, по поводу firewall.conf верно ли будет указывать каждый интерфейс либо же можно как-то задать сразу диапазон?

#!/bin/sh

# firewall command
FwCMD="/sbin/ipfw -q"
${FwCMD} -f flush

# Interfaces setup
LAN_IF="re0"
WAN_IF="ste0"
VLAN2_IF="vlan2"
VLAN3_IF="vlan3"
VLAN4_IF="vlan4"
VLAN5_IF="vlan5"
VLAN7_IF="vlan7"
тут аналогично вланы от 8 до 17
VLAN18_IF="vlan18"
VLAN19_IF="vlan19"
VLAN20_IF="vlan20"


# Networks define
${FwCMD} table 2 add 172.17.0.0/24
${FwCMD} table 2 add 172.17.2.0/24
${FwCMD} table 2 add 172.17.3.0/24
${FwCMD} table 2 add 172.17.4.0/24
${FwCMD} table 2 add 172.17.5.0/24
тут айпи от 7до18
${FwCMD} table 2 add 172.17.19.0/24
${FwCMD} table 2 add 172.17.20.0/24



#NAT
${FwCMD} nat 1 config log if ${WAN_IF} reset same_ports
${FwCMD} add 6000 nat 1 ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}
${FwCMD} add 6001 nat 1 ip from any to me in recv ${WAN_IF}

#Shaper - table 4 download speed, table 3 - upload speed
${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via ${LAN_IF} out
${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via ${VLAN2_IF} out
${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via ${VLAN3_IF} out
тут также вланы от 4до28
${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via ${VLAN29_IF} out
${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via ${LAN_IF} in
${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via ${VLAN2_IF} in
${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via ${VLAN3_IF} in
${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via ${VLAN4_IF} in
${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via ${VLAN5_IF} in
тут также от 7го до 28
${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via ${VLAN29_IF} in


Edited by Qvent

Share this post


Link to post
Share on other sites

Отличный мануал, но имелось ввиду именно правила ipfw, а не то что писать в rc.conf. В rc.conf всё прописал.

 

Кстати. Подскажите ubilling_flags за что отвечает?  Если у меня 20вланов, все их туда писать?

Share this post


Link to post
Share on other sites

можно сделать конструкцию 

ipfw table 12000 tablearg ip from table\(4\) to any via "vlan*"

 

Отличный мануал, но имелось ввиду именно правила ipfw, а не то что писать в rc.conf. В rc.conf всё прописал.

 

Кстати. Подскажите ubilling_flags за что отвечает?  Если у меня 20вланов, все их туда писать?

 

ubilling_flags расчитан только на один ифейс

как варианто просто модифицировать rc скрипт

Share this post


Link to post
Share on other sites

Подскажите.

 

Если взять одну сеть из "сети и услуги" и добавить её с несколькими разными названиями в услуги. Последствий с путаницей в системе потом не будет?

 

 

Мне нужно сеть например 1.1.1.1/24 несколькими разными названиями(например  улицой) назвать в услугах, чтобы при добавлении пользователя, выбирать нужное название.

Проблем же с всякими дублями или еще чем-то не должно быть?

Share this post


Link to post
Share on other sites

Подскажите.

 

Если взять одну сеть из "сети и услуги" и добавить её с несколькими разными названиями в услуги. Последствий с путаницей в системе потом не будет?

 

 

Мне нужно сеть например 1.1.1.1/24 несколькими разными названиями(например  улицой) назвать в услугах, чтобы при добавлении пользователя, выбирать нужное название.

Проблем же с всякими дублями или еще чем-то не должно быть?

нет, там вроде заполнение сети смотрится непосредственно по самой сети, а не услуге

так что должно быть ок

Edited by l1ght

Share this post


Link to post
Share on other sites

Подскажите пожалуйста.

 

Если открыть порт 1919 для абона (172.17.0.99) методом:

ipfw add 11 allow tcp from any 1919 to 172.17.0.99 1919 
ipfw add 10 allow tcp from 172.17.0.99 1919 to any 1919

на абона продолжит своё действие ограничение скорости установленное согласно тарифу ? на всех портах или на всех кроме 1919?

 

Данный метод открытия порта верный? или есть более правильные методы с точки зрения freebsd?

Edited by Qvent

Share this post


Link to post
Share on other sites

Подскажите пожалуйста.

 

Если открыть порт 1919 для абона (172.17.0.99) методом:

ipfw add 11 allow tcp from any 1919 to 172.17.0.99 1919 
ipfw add 10 allow tcp from 172.17.0.99 1919 to any 1919

на абона продолжит своё действие ограничение скорости установленное согласно тарифу ? на всех портах или на всех кроме 1919?

 

Данный метод открытия порта верный? или есть более правильные методы с точки зрения freebsd?

открыть порт снаружи или только внутри сети?

если снаружи через нат - то нужно делать port forwarding и к вашим правилам отношения не имеет.

и вообще почитайте как фаервол работает - при прохождении пакета при (one_pass=1) при первом же правиле типо allow,pipe пакет проходит через него и вылетает из фаервола

т.е. разрешаете трафик до шейпинга - шейпится не будет, после шейпинга - будет применятся только если юзер в должниках и его выкинуло из таблиц 3 и 4.

Share this post


Link to post
Share on other sites

Привіт , є можливість зробити звіт про використання модулю "живи з цим " ?

+   і перевірка на створенні завдання , щоб не дублювалися іншим адміном  :D

Edited by kissbohda

Share this post


Link to post
Share on other sites

С праздниками всех.

Подскажите решения проблемы со старгейзером:

 

2016-01-07 17:31:36 -- Cannot read tariff 18MB.
2016-01-07 17:31:36 -- Cannot read tariff 18MB. Parameter Period
2016-01-07 17:31:36 -- Cannot read user VNLR130ap533_x854. Tariff 6MB not exist.
2016-01-07 17:31:36 -- USERS: Error: Cannot read users!
 
Скрипты конекта к насу немного покуражены под себя, но работали без проблем до переезда.

Share this post


Link to post
Share on other sites

 

 

Tariff 6MB not exist.

Куда дели тариф? 

Share this post


Link to post
Share on other sites

Яхху! Я хоть кого-то научил использовать хотя бы ctrl-F по FAQ-у :)

Share this post


Link to post
Share on other sites

Яхху! Я хоть кого-то научил использовать хотя бы ctrl-F по FAQ-у :)

победа ящитаю

Share this post


Link to post
Share on other sites

Підкажіть , які термінали найкраще підходять для отримання оплати від клієнтів , тобто де найменша комісія , і швидкість роботи тоже нічого , хто з ким працює ? 

Share this post


Link to post
Share on other sites

Яхху! Я хоть кого-то научил использовать хотя бы ctrl-F по FAQ-у :)

 

К сожалению имел большой интерес к документации еще года два назад ... Не думал, что в факе имеет место быть такой случай.

Может быть мне попробовать написать абзац об восстановлении из бекапа в разделе "бекапалка". Или это банально просто и не интересно?

Share this post


Link to post
Share on other sites

 

Яхху! Я хоть кого-то научил использовать хотя бы ctrl-F по FAQ-у :)

 

К сожалению имел большой интерес к документации еще года два назад ... Не думал, что в факе имеет место быть такой случай.

Может быть мне попробовать написать абзац об восстановлении из бекапа в разделе "бекапалка". Или это банально просто и не интересно?

 

видео есть . 

Share this post


Link to post
Share on other sites

3sQ4wHA.png

3sQ3wwW.png

перший скрін то білінг (172.16.0.1)

другий кілєнт  172.16.23.44

 

Хлопці туплю, але не пойму де

підкажіть а?

бо сторінка відкривається з середини пів години

Edited by mgo

Share this post


Link to post
Share on other sites

Що треба: Розділити абонбазу з одного на два різні Убілінги. (непитайте нах, любий каприз за ваші гроші якто кажуть :) )

Що я зробив, тупо влив всю базу stg і в табличці users  зніс лишне, поки виглядає все ок.

 

чим череватий може бути такий маневр у майбутньому?

 

може є кращі методи? порадьте

Дякую

 

--------------------------------------------------------------------------------------------------------------------

Підозрюю, що треба пробігтися по  ...  табличках і грохнути записи з логінами яких немає в табличці users

Edited by mgo

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By dimonian
      Не получается настроить SMSPILOT, все сделал по инструкции: включил собаку-посылаку, включил SMSZILLA, установил длину номера и код (раскоментировал строки и установил значение), вставил API-ключ, создал список номеров и у клиентов указал номера телефонов. При попытке отправить сообщение клиентам, номера не извлекаются (фильтр настроен, как "отправить всем"). При попытке отправить на номера из списка возникает ошибка Warning: strpos(): Empty needle in /usr/local/www/apache24/data/billing/api/libs/api.workaround.php on line 2813.
      Пробовал на чистом Биллинге, сообщения ставятся в очередь, но не отсылаются. На сервис смс не приходит запрос от Биллинга. Номера извлекаются из списка номеров но Notice: Undefined index: mobile in /usr/local/www/apache24/data/billing/api/libs/api.smszilla.php on line 3093
    • By vovvw
      Здравствуйте, господа форумчане. Помогите пожалуйста решить проблемку с убилингом:
      У абонов нет интернета на новой подсети. Айпи выдаются, шлюз пингуется, интернета нет.
      Система ubuntu 18.04
    • By dimonian
      при настройке smspilot возникла проблема, smszilla и собакапосылака включены, api указан- (баланс счета в биллинге виден)-однако сообщения ставятся в очередь но не отсылаются, на стороне smspilot запросов api нет. При некоторых манипуляциях с телефонами возникает ошибка: 
      Warning: strpos(): Empty needle in /usr/local/www/apache24/data/billing/api/libs/api.workaround.php on line 2813
      Прошу прощения за возможно глупый вопрос.
    • By DAnEq
      root@nas-bras:~/ubinstaller/nas_preconf # ./autosetup.sh ./autosetup.sh: Permission denied.
      ладно, мы не гордые
      root@nas-bras:~/ubinstaller/nas_preconf # sh autosetup.sh The package management tool is not yet installed on your system. Do you want to fetch and install it now? [y/N]: y Bootstrapping pkg from pkg+http://pkg.FreeBSD.org/FreeBSD:11:amd64/quarterly, please wait... Verifying signature with trusted certificate pkg.freebsd.org.2013102301... done Installing pkg-1.11.1... Extracting pkg-1.11.1: 100% pkg-1.11.1 Package manager pkgng.installer: pkg2ng: not found NAS_120_64.tar.gz 100% of 99 MB 8287 kBps 00m12s x NAS_120_64/trafshow-5.2.3_2,1.txz далее куча сообщений подобного рода
      и потом
      Installing bandwidthd-2.0.1_11...
      pkg: wrong architecture: FreeBSD:12:amd64 instead of FreeBSD:11:amd64
      и так еще 62 пакета
       
      потом соответственно куча FAIL! not found No such file or directory
       
      но
       
      uname -a
      FreeBSD nas-bras 11.2-RELEASE FreeBSD 11.2-RELEASE #0 r335510: Fri Jun 22 04:32:14 UTC 2018     root@releng2.nyi.freebsd.org:/usr/obj/usr/src/sys/GENERIC  amd64

      такая же самая на которую на соседней виртуалке без проблем накатил убиллинг

      вопрос.
      что взять для наса ?
      11.0 или 11.1 ?
    • By reductor
      Помогите правильно настроить модуль "По ком звонит колокол" 
      Как правильно сделать запись в Кронтаб asterisk - возможен следующий запрос: /?module=remoteapi&key=[ubserial]&action=asterisk&number=[mobile_number]&param=[login|realname|swstatus]
×