Управление "Белыми списками"
"Белый список" - WhiteList , это эквивалентные понятия в рамках работы MikBill
Функция управляет Firewall iptables на linux или address list на Mikrotik.
Чтобы обеспечить контроль доступа "валидных клиентов" к этим ресурсам.
Пример:
имеем подсети
локалка 10.48.0.0/16 PPP тунели 172.16.0.0/16 Внешний блок 195.2.205.0/24 Внутренние ресурсы 10.48.100.0/24
Настройка
Серверы
В данный справочник заносим данные для подключения к серверу.
Уточнение пароль - это пароль который бал здан на сервере который вы задаете командой passwd ну или в микротик через winbox.
Параметр disable - означает отключить этот сервер от управления модулем whitelist
Подсети
Добавляете IP адреса, сети либо имя домена (без http:// или https://) в справочник.
Галочка действия ACCEPT/DROP определяет что делать с данным адресом:
- Не отметить галочку - DROP
- Отметить галочку - Accept
Далее:
- white_list_users - IP адреса абонентов
- white_list_accept - разрешенные адреса
- white_list_drop - запрещенные адреса
в IPTABLES создаем
в цепочку INPUT таблицы filter добавляем
:white_list - [0:0]
цепочку и правила для заворачивания туда трафика соответственно.
[0:0] -A INPUT -s 10.48.0.0/16 -j white_list [0:0] -A INPUT -s 172.16.0.0/16 -j white_list [0:0] -A INPUT -s 195.2.205.0/24 -j white_list
Этим правила сделаю доступ всем клиентам которые "валидные", а дальше уже укажите те кому нужно давать всегда доступ например серверам для клиентов ну и естественно запрет.
[0:0] -A INPUT -s 10.48.100.0/24 -j ACCEPT [0:0] -A INPUT -s 10.48.0.0/16 -j DROP [0:0] -A INPUT -s 172.16.0.0/16 -j DROP [0:0] -A INPUT -s 195.2.205.0/24 -j DROP
Простой пример сохраненных правил:
# Generated by iptables-save v1.3.8 on Sat May 17 15:36:51 2008 *raw :PREROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] COMMIT # Completed on Sat May 17 15:36:51 2008 # Generated by iptables-save v1.3.8 on Sat May 17 15:36:51 2008 *mangle :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT # Completed on Sat May 17 15:36:51 2008 # Generated by iptables-save v1.3.8 on Sat May 17 15:36:51 2008 *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] COMMIT *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :white_list - [0:0] [0:0] -A INPUT -s 10.48.0.0/16 -j white_list [0:0] -A INPUT -s 172.16.0.0/16 -j white_list [0:0] -A INPUT -s 195.2.205.0/24 -j white_list [0:0] -A INPUT -s 10.48.100.0/24 -j ACCEPT [0:0] -A INPUT -s 10.48.0.0/16 -j DROP [0:0] -A INPUT -s 172.16.0.0/16 -j DROP [0:0] -A INPUT -s 195.2.205.0/24 -j DROP COMMIT
Как пользоваться address list и firewall на Mikrotik/linux выходит за рамки данного материала. В итоге у Вас имеется список всех кому можно разрешить какую либо услугу на каждом из серверов.