Управление "Белыми списками" [MikBiLL]

Эта страница только для чтения. Вы можете посмотреть её исходный текст, но не можете его изменить. Сообщите администратору, если считаете, что это неправильно.
====== Управление "Белыми списками" ======
<alert type="info">С версии 3.13.04 связь с Mikrotik переведена на API</alert>

\\ "Белый список" - WhiteList , это эквивалентные понятия в рамках работы MikBill

\\ Функция управляет Firewall iptables на linux или address list на Mikrotik.
\\ Чтобы обеспечить контроль доступа "валидных клиентов" к этим ресурсам.

<note important>Фактически данная функция формирует список тех, кому нужно дать доступ на Каждом из перечисленных ресурсов.</note>

Пример:

имеем подсети
<code>локалка 10.48.0.0/16
PPP тунели 172.16.0.0/16
Внешний блок 195.2.205.0/24
Внутренние ресурсы 10.48.100.0/24
</code>

===== Настройка =====

<tabs>
  * [[#tab-mikrotik|Mikrotik]]
  * [[#tab-linux|Linux]]
 
<pane id="tab-mikrotik">
<alert type="info">Работа с Mikrotik осуществляется через RouterOS API, по этому необходимо включить API в IP => Services</alert>

</pane>
 
<pane id="tab-linux">
Настройте [[billing:configuration:cross_server_uathorization|взаимодействие между серверами по ssh]] что бы билинг мог зайти без пароля и выполнить необходимые команды

</pane>
</tabs>

==== Серверы ====
\\ В данный справочник заносим данные для подключения к серверу.
\\ Уточнение пароль - это пароль который бал здан на сервере который вы задаете командой passwd ну или в микротик через winbox.
\\ Параметр disable - означает отключить этот сервер от управления модулем whitelist
<alert type="danger">Так же данный сервер должен быть в справочнике NAS (Настройки => Сервера NAS)</alert>
==== Подсети ====
\\ Добавляете IP адреса, сети либо имя домена (<nowiki>без http:// или https://</nowiki>) в справочник.
\\ Галочка **действия ACCEPT/DROP** определяет что делать с данным адресом:
  * Не отметить галочку - DROP
  * Отметить галочку - Accept

Далее:

<tabs>
  * [[#tab-mikrotik2|Mikrotik]]
  * [[#tab-linux2|Linux]]
 
<pane id="tab-mikrotik2">
на Mikrotik у вас появится address list с именами:
  * white_list_users - IP адреса абонентов
  * white_list_accept - разрешенные адреса
  * white_list_drop - запрещенные адреса
</pane>
 
<pane id="tab-linux2">
\\ в IPTABLES создаем
\\ в цепочку INPUT таблицы filter добавляем

<code>:white_list - [0:0]</code>

\\ цепочку и правила для заворачивания туда трафика соответственно.
<code>
[0:0] -A INPUT -s 10.48.0.0/16 -j white_list
[0:0] -A INPUT -s 172.16.0.0/16 -j white_list
[0:0] -A INPUT -s 195.2.205.0/24 -j white_list
</code>

\\ Этим правила сделаю доступ всем клиентам которые "валидные", а дальше уже укажите те кому нужно давать всегда доступ например серверам для клиентов  ну и естественно запрет.
<code>
[0:0] -A INPUT -s 10.48.100.0/24 -j ACCEPT
[0:0] -A INPUT -s 10.48.0.0/16 -j DROP
[0:0] -A INPUT -s 172.16.0.0/16 -j DROP
[0:0] -A INPUT -s 195.2.205.0/24 -j DROP
</code>

\\ Простой пример сохраненных правил:
<code># Generated by iptables-save v1.3.8 on Sat May 17 15:36:51 2008
*raw
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Sat May 17 15:36:51 2008
# Generated by iptables-save v1.3.8 on Sat May 17 15:36:51 2008
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Sat May 17 15:36:51 2008
# Generated by iptables-save v1.3.8 on Sat May 17 15:36:51 2008

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:white_list - [0:0]
[0:0] -A INPUT -s 10.48.0.0/16 -j white_list
[0:0] -A INPUT -s 172.16.0.0/16 -j white_list
[0:0] -A INPUT -s 195.2.205.0/24 -j white_list
[0:0] -A INPUT -s 10.48.100.0/24 -j ACCEPT
[0:0] -A INPUT -s 10.48.0.0/16 -j DROP
[0:0] -A INPUT -s 172.16.0.0/16 -j DROP
[0:0] -A INPUT -s 195.2.205.0/24 -j DROP
COMMIT
</code>

</pane>
</tabs>

Как пользоваться address list и firewall на Mikrotik/linux выходит за рамки данного материала.
В итоге у Вас имеется список всех кому можно разрешить какую либо услугу на каждом из серверов.