Показать страницуСсылки сюдаНаверх Эта страница только для чтения. Вы можете посмотреть её исходный текст, но не можете его изменить. Сообщите администратору, если считаете, что это неправильно. ====== Управление "Белыми списками" ====== <alert type="info">С версии 3.13.04 связь с Mikrotik переведена на API</alert> \\ "Белый список" - WhiteList , это эквивалентные понятия в рамках работы MikBill \\ Функция управляет Firewall iptables на linux или address list на Mikrotik. \\ Чтобы обеспечить контроль доступа "валидных клиентов" к этим ресурсам. <note important>Фактически данная функция формирует список тех, кому нужно дать доступ на Каждом из перечисленных ресурсов.</note> Пример: имеем подсети <code>локалка 10.48.0.0/16 PPP тунели 172.16.0.0/16 Внешний блок 195.2.205.0/24 Внутренние ресурсы 10.48.100.0/24 </code> ===== Настройка ===== <tabs> * [[#tab-mikrotik|Mikrotik]] * [[#tab-linux|Linux]] <pane id="tab-mikrotik"> <alert type="info">Работа с Mikrotik осуществляется через RouterOS API, по этому необходимо включить API в IP => Services</alert> </pane> <pane id="tab-linux"> Настройте [[billing:configuration:cross_server_uathorization|взаимодействие между серверами по ssh]] что бы билинг мог зайти без пароля и выполнить необходимые команды </pane> </tabs> ==== Серверы ==== \\ В данный справочник заносим данные для подключения к серверу. \\ Уточнение пароль - это пароль который бал здан на сервере который вы задаете командой passwd ну или в микротик через winbox. \\ Параметр disable - означает отключить этот сервер от управления модулем whitelist <alert type="danger">Так же данный сервер должен быть в справочнике NAS (Настройки => Сервера NAS)</alert> ==== Подсети ==== \\ Добавляете IP адреса, сети либо имя домена (<nowiki>без http:// или https://</nowiki>) в справочник. \\ Галочка **действия ACCEPT/DROP** определяет что делать с данным адресом: * Не отметить галочку - DROP * Отметить галочку - Accept Далее: <tabs> * [[#tab-mikrotik2|Mikrotik]] * [[#tab-linux2|Linux]] <pane id="tab-mikrotik2"> на Mikrotik у вас появится address list с именами: * white_list_users - IP адреса абонентов * white_list_accept - разрешенные адреса * white_list_drop - запрещенные адреса </pane> <pane id="tab-linux2"> \\ в IPTABLES создаем \\ в цепочку INPUT таблицы filter добавляем <code>:white_list - [0:0]</code> \\ цепочку и правила для заворачивания туда трафика соответственно. <code> [0:0] -A INPUT -s 10.48.0.0/16 -j white_list [0:0] -A INPUT -s 172.16.0.0/16 -j white_list [0:0] -A INPUT -s 195.2.205.0/24 -j white_list </code> \\ Этим правила сделаю доступ всем клиентам которые "валидные", а дальше уже укажите те кому нужно давать всегда доступ например серверам для клиентов ну и естественно запрет. <code> [0:0] -A INPUT -s 10.48.100.0/24 -j ACCEPT [0:0] -A INPUT -s 10.48.0.0/16 -j DROP [0:0] -A INPUT -s 172.16.0.0/16 -j DROP [0:0] -A INPUT -s 195.2.205.0/24 -j DROP </code> \\ Простой пример сохраненных правил: <code># Generated by iptables-save v1.3.8 on Sat May 17 15:36:51 2008 *raw :PREROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] COMMIT # Completed on Sat May 17 15:36:51 2008 # Generated by iptables-save v1.3.8 on Sat May 17 15:36:51 2008 *mangle :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT # Completed on Sat May 17 15:36:51 2008 # Generated by iptables-save v1.3.8 on Sat May 17 15:36:51 2008 *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] COMMIT *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :white_list - [0:0] [0:0] -A INPUT -s 10.48.0.0/16 -j white_list [0:0] -A INPUT -s 172.16.0.0/16 -j white_list [0:0] -A INPUT -s 195.2.205.0/24 -j white_list [0:0] -A INPUT -s 10.48.100.0/24 -j ACCEPT [0:0] -A INPUT -s 10.48.0.0/16 -j DROP [0:0] -A INPUT -s 172.16.0.0/16 -j DROP [0:0] -A INPUT -s 195.2.205.0/24 -j DROP COMMIT </code> </pane> </tabs> Как пользоваться address list и firewall на Mikrotik/linux выходит за рамки данного материала. В итоге у Вас имеется список всех кому можно разрешить какую либо услугу на каждом из серверов. billing/preferences/security/whitelist.txt Последнее изменение: 16 мес. назад — alexd