INSTRUKCJA INSTALACJI I KONFIGURACJItdk.trzcianka.com.pl/userfiles/file/FiQs80.pdf · Szybki start, czyli 8 kroków dla niecierpliwych.....4 3. Instalacja systemu z obrazu dysku

INTRUX Firewall & QoS - INSTRUKCJA INSTALACJI I KONFIGURACJI

INTRUX Firewall & QoS v 8.0

INSTRUKCJA INSTALACJI I KONFIGURACJI

1Copyright © 2010 by INTRUX - All Rights Reserved


Spis treści1. Wstęp.................................................................................................................................................4

2. Szybki start, czyli 8 kroków dla niecierpliwych........................................................................................4

3. Instalacja systemu z obrazu dysku........................................................................................................5

3.1 Przed uruchomieniem płyty............................................................................................................5

3.2 Instalacja systemu - nagrywanie dysku...........................................................................................6

4. Pierwsze uruchomienie - wybór kernela.................................................................................................6

5. Przydatne informacje dla początkujących...............................................................................................7

5.1 Gdy dysk twardy jest większy niż 10GB...........................................................................................7

6. Uruchomienie i konfiguracja interfejsów sieciowych...............................................................................7

7. Panel administracyjny..........................................................................................................................8

7.1 Wybrane moduły panelu................................................................................................................9

7.1.1 Ustawienia Firewall & QoS......................................................................................................9

7.1.2 Klienci, urządzenia i powiadomienia........................................................................................9

7.1.3 Wspólna taryfa prędkości dla kilku klientów...........................................................................10

7.1.4 Backup - kopia konfiguracji...................................................................................................10

7.2 Pozostałe informacje i dodatkowe funkcje panelu..........................................................................11

8. Ograniczenia wersji startowej i konieczność rejestracji.........................................................................11

9. Konfiguracja ustawień INTRUX Firewall & QoS.....................................................................................12

9.1 Opis zmiennych w głównym pliku main.cfg....................................................................................12

9.1.1 Podstawowe ustawienia sieci................................................................................................12

9.1.2 Podstawowe ustawienia QoS.................................................................................................13

9.1.3 Limitowanie i blokada ruchu P2P...........................................................................................14

9.1.4 Ustawienia zabezpieczeń......................................................................................................15

9.1.5 Logowanie ruchu i statystyki sieci.........................................................................................16

9.1.6 Ustawienia przekierowań......................................................................................................17

9.1.7 Autoryzacja RACL.................................................................................................................17

9.1.8 Zaawansowane ustawienia QoS............................................................................................18

9.1.9 Zaawansowane ustawienia limitowania ruchu........................................................................20

9.1.10 Pozostałe ustawienia..........................................................................................................21

9.2 Konfiguracja interfejsów WAN (dla wersji 2xWAN i 4xWAN)...........................................................22

9.2.1 Podstawowe informacje i wstępna konfiguracja.....................................................................22

9.2.2 Opis zmiennych pliku multiwan.cfg........................................................................................23

9.2.3 Opis zmiennych w plikach wan3.cfg i wan4.cfg (dla wersji 4xWAN).........................................25

9.3 Pozostałe pliki konfiguracyjne.......................................................................................................26

9.3.1 band.cfg..............................................................................................................................26

9.3.2 client.cfg.............................................................................................................................27



9.3.3 dlimit.cfg.............................................................................................................................27

9.3.4 ipf.cfg.................................................................................................................................28

9.3.5 iserv.cfg..............................................................................................................................28

9.3.6 lan.cfg.................................................................................................................................28

9.3.7 mserv.cfg............................................................................................................................29

9.3.8 noport.cfg...........................................................................................................................29

9.3.9 nostring.cfg.........................................................................................................................29

9.3.10 notime.cfg.........................................................................................................................29

9.3.11 oplaty.cfg..........................................................................................................................30

9.3.12 p2pt.cfg.............................................................................................................................30

9.3.13 portf.cfg............................................................................................................................30

9.3.14 proxy.cfg...........................................................................................................................30

9.3.15 racl.cfg..............................................................................................................................31

9.3.16 addcmd.cfg........................................................................................................................31

9.3.17 grupy.cfg...........................................................................................................................31

9.3.18 lan_list.cfg.........................................................................................................................31

9.3.19 snat.cfg.............................................................................................................................31

10. Autoryzacja użytkowników przez formularz www................................................................................32

10.1 Włączenie autoryzacji RACL........................................................................................................32

10.2 Kontrola aktywności, zabezpieczenia i ograniczenia......................................................................32

10.3 Pozostałe informacje..................................................................................................................33

11. Backup konfiguracji..........................................................................................................................33

12. Zbieranie i archiwizacja logów ulogd..................................................................................................34

13. Własna strona www.........................................................................................................................34

14. Uruchomienie i konfiguracja PPPoE....................................................................................................35

15. Uruchomienie serwera proxy Squid....................................................................................................36

16. Kolejne interfejsy LAN lub aliasy IP....................................................................................................37

17. Pozostałe usługi serwera..................................................................................................................37

18. Przydatne programy i polecenia.........................................................................................................38

19. Samodzielna kompilacja kernela........................................................................................................39

20. Gdy wymieniasz kartę lub karty sieciowe...........................................................................................39

21. Współpraca z programem PYXIS.......................................................................................................40

22. BMonitor - zdalne monitorowanie interfejsów.....................................................................................40

23. Na zakończenie................................................................................................................................41



1. Wstęp

Dziękujemy za wybór naszego rozwiązania podziału łącza. Mamy nadzieję, iż spełni ono Państwa oczekiwania i dobrze sprawdzi się w środowisku sieci komputerowej, w której zostanie przez Państwa wdrożone. Gorąco zachęcamy do uważnego zapoznania się z całą treścią niniejszej instrukcji przed rozpoczęciem użytkowania systemu.

Choć wg. spisu treści dany temat może wydać się Państwu zbędny - prosimy o przeczytanie mimo wszystko całości instrukcji. Niejednokrotnie konkretny temat zawiera też cenną informację ogólną, która może okazać się przydatna podczas dostosowywania systemu do własnych potrzeb lub często w późniejszej, bieżącej administracji.

Zdecydowanie zalecamy także dokładne zapoznanie się z opisem zmiennych konfiguracyjnych pliku main.cfg (w panelu administracyjnym moduł Ustawienia Firewall & QoS) oraz z opisem pozostałych plików, aby wpływ zastosowanych przez Państwa ustawień i ich działanie były zrozumiałe. Tylko wtedy można optymalnie dobrać właściwe parametry, w zależności od charakteru danej sieci, rodzaju przeważającego ruchu oraz potrzeb i oczekiwań.

Dołożyliśmy wszelkich starań, aby niniejsza instrukcja była czytelna i zrozumiała, zakładając jednak, iż czytelnik ma podstawową wiedzę na temat systemu Linux, posiada umiejętność edycji plików konfiguracyjnych z poziomu konsoli systemu, potrafi sprawnie poruszać się po systemie plików, zna podstawowe komendy, elementarnie zna również popularne programy obecne w systemie Linux, jak i podstawy ich konfiguracji.

2. Szybki start, czyli 8 kroków dla niecierpliwych

Niniejszy rozdział to skrócona instrukcja ''krok po kroku'' dla niecierpliwych i zapracowanych, czyli administratorów sieci. Jeśli więc masz już pewne doświadczenie, bądź korzystałeś w przeszłości z naszych produktów, a sposób instalacji, wstępnej konfiguracji, jak i późniejszej administracji nie jest już dla Ciebie nowością - wykonaj kolejno, krok po kroku niżej opisane czynności.

1. Uruchom serwer z płyty DVD lub CD. Postępuj zgodnie z wyświetlonymi informacjami na ekranie i nagraj system na dysk twardy. Zazwyczaj dysk zostaje wykryty jako /dev/sda i taki też będzie jego adres po uruchomieniu gotowego systemu.

2. Podczas pierwszego uruchomienia system powinien działać prawidłowo na domyślnym kernelu. Jeśli jest inaczej - wybierz stosowny kernel z listy wyboru wyświetlonej zaraz po uruchomieniu serwera lub dokonaj modyfikacji wpisu poprzez wciśnięcie litery a na wybranym kernelu i poprawienie wartości zmiennej root=/dev/... Po uruchomieniu zapisz swój wybór na trwałe poprzez edycję pliku /boot/grub/menu.lst

3. Po uruchomieniu świeżo nagranego systemu z dysku - wpisz prawidłowo nr nośnika. Następnie zaloguj się do konsoli jako root (hasło: intrux80). Skonfiguruj interfejsy sieciowe przy pomocy automatycznego kreatora intrux-netset. Postępuj dokładnie wg. wyświetlonych informacji. W razie pomyłki - uruchom kreatora ponownie, wpisując: intrux-netset. Możesz także od razu zmienić wszystkie domyślne hasła intrux80 na własne.

4. Wykonaj: reboot. Po restarcie i kolejnym zalogowaniu uruchom intrux-pass (jeśli jeszcze nie zmieniłeś haseł). Ze względów bezpieczeństwa nie zaleca się użytkować systemu z hasłami domyślnymi!



5. Podłącz serwer do sieci LAN, a na swoim komputerze klienckim ustaw IP z klasy adresowej, którą ustawiłeś na interfejsie LAN serwera. Bramą i pierwszym serwerem DNS jest IP serwera. Uwaga! Gdy będziesz logował się zdalnie na konsolę serwera poprzez SSH (np. przy użyciu programu putty, który znajdziesz na płycie DVD) pamiętaj, iż serwer SSH w tej wersji działa domyślnie na nietypowym porcie 7878. Oczywiście mogłeś już to zmienić podczas konfiguracji intrux-netset.

6. Zaloguj się do panelu administracyjnego przez przeglądarkę www z komputera klienckiego.W tym celu wpisz adres: http://TU.IP.LOKALNE.SERWERA/intrux-admin/(np. http://192.168.1.1/intrux-admin/). Pamiętaj o ukośniku na końcu adresu! Użyj loginu i hasła administratora ustawionego przez Ciebie wcześniej przy pomocy intrux-pass. Jeśli podczas logowania pomylisz się 3-krotnie - dostęp z Twojego adresu IP zostanie trwale zablokowany. Aby usnąć blokadę dostępu do panelu - musisz usunąć plik /usr/intrux/www/admin/.log_TU.TWOJ.ADRES.IP

7. Jeśli Twój router posiada dostęp do internetu oraz nie przewidujesz już zmian sprzętowych dotyczących interfejsów sieciowych - wykonaj jego rejestrację (usługa ta dostępna jest pod pierwszą ikonką w menu panelu administracyjnego - Rejestracja i aktualizacja), by uzyskać pełną funkcjonalność zakupionego oprogramowania.

8. Przejrzyj kolejno dostępne opcje w menu konfiguracyjnym i ustaw parametry zgodnie z potrzebami. Wpisz parametry konta e-mail, gadu-gadu, ftp. Zapoznaj się z wyskakującym opisem pomocy dla niektórych zmiennych w konfiguracji panelu. Zdefiniuj nazwy grup klientów. Dodaj klientów sieci, zatwierdź zmiany i sprawdź log restartu. Klientów możesz zaimportować poprzez załadowanie pliku backupu ustawień z poprzedniej wersji 7.0 (zostanie wtedy przyjęty tylko plik client.cfg). Pamiętaj przy tym, aby wcześniej nie definiować hasła archiwum - możesz to uczynić, gdy import i export ustawień będzie dotyczył aktualnej wersji. Zrób backup (export) ustawień zapisując konfiguracje na swój dysk.

3. Instalacja systemu z obrazu dysku

3.1 Przed uruchomieniem płyty

W konfiguracji BIOS-u komputera przeznaczonego na serwer/router, napęd optyczny (czytnik bądź nagrywarka płyt DVD) powinien być ustawiony jako pierwsze urządzenie, z którego komputer ma startować (boot device).

Zalecane jest ustawienie prawidłowej daty i czasu systemowego. Aktualna data i czas w BIOS-ie serwera mogą się różnić jedynie nieco wstecz - nie powinien to być czas z przyszłości. Później system w pierwszej dobie działania sam zadba o synchronizację czasu i prawidłowe jego ustawienie na podstawie informacji z serwera czasu w Internecie (zgodnie ze stosownym wpisem zadań w cronie).

Jeśli w komputerze jest tylko napęd bądź nagrywarka CD-ROM (brak jest DVD), można uprzednio przygotować samodzielnie instalacyjną płytę CD na podstawie pliku iso znajdującego się w katalogu /cd_iso na otrzymanej płycie DVD.

Standardowo dysk twardy ATA wielkości min. 10 GB powinien być podłączony jako master na kanale primary (PRIMARY IDE, IDE1 itp. - zworka na dysku ustawiona jako master bądź single). Jest to najczęściej stosowane, zazwyczaj zalecane, prawidłowe ustawienie - dysk dostępny będzie w systemie Linux jako hda. Natomiast napęd optyczny podłącz na osobnej taśmie jako secondary master (najbardziej popularne, prawidłowe ustawienie - napęd widoczny w systemie Linux jako hdc).

Nie są wymagane żadne wcześniejsze zabiegi dotyczące dysku twardego - nie trzeba go formatować, nie ma też konieczności usuwania wcześniejszej zawartości bootsektora, albowiem podczas procesu nagrywania wszystkie obecne na dysku informacje zostaną nadpisane nową zawartością.



Dyski SATA w zależności od kontrolera będą widoczne dla systemu jako /dev/sda lub /dev/hda. Jeśli nagrywasz dysk SCSI - on także powinien być podłączony jako pierwsze urządzenie na kontrolerze (i powinien być dostępny jako /dev/sda).

Zastosowana konfiguracja domyślnego kernela systemu instalatora z płyty DVD/CD, jak i nagranego systemu sprawia, iż standardowe dyski ATA (/dev/hda) mogą być adresowane i dostępne jako /dev/sda. To znaczne ułatwienie.

Inne konfiguracje połączeń dysków, choć nie są zalecane, także są możliwe - podczas nagrywania można dokładnie określić stosowne adresacje urządzeń. Niektóre kontrolery RAID serwerów narzucają własny system zaawansowanej adresacji dysku. W takich sytuacjach należy pamiętać, aby podczas pierwszego uruchomienia już nagranego systemu - dla wybranego kernela zmodyfikować wartość wpisu root=. Modyfikacji wpisu możesz dokonać poprzez wciśnięcie litery a na wybranym kernelu i poprawienie wartości zmiennej root=/dev/... Po uruchomieniu zapisz swój wybór na trwałe poprzez edycje pliku /boot/grub/menu.lst (wskaż domyślny kernel poprawiając wartość zmiennej default, edytuj wpis dla danego kernela).

3.2 Instalacja systemu - nagrywanie dysku

Płyta z obrazem dysku jest płytą bootującą (bootowalną). Oznacza to, iż komputer powinien wystartować (uruchomić się) z systemu operacyjnego umieszczonego na płycie, aby umożliwić wykonanie procesu nagrywania. Zalecane jest, aby w komputerze na chwilę nagrywania dysku jedynie podłączonymi, dostępnymi napędami był docelowy dysk twardy oraz źródłowy napęd optyczny z systemem.

Uruchom komputer umieszczając płytę w napędzie. Gdy system live-linux uruchomi się, na ekranie ujrzysz istotne informacje dotyczące wykrytego dysku oraz rozpoczęcia procesu nagrywania. Zazwyczaj wystarczy po prostu wcisnąć dwukrotnie Enter, by rozpocząć cały proces.

Jeśli Twój dysk nie zostanie wykryty - spróbuj zastosować inną konfigurację sprzętu (sprawdź prawidłowość podłączenia dysku i napędu). Możesz także wypalić płytę z iso z innym systemem instalatora (stosowne pliki iso G4L znajdziesz w katalogu /cd_iso na płycie DVD) i z niej spróbować uruchomić komputer.

Obraz dysku na płycie dostarczony jest w formie skompresowanego pliku. Proces nagrywania trwa zazwyczaj od kilku do kilkudziesięciu minut. Nagrywany dysk nie może być mniejszy niż 10 GB - absolutnie nie należy próbować nagrywać dysków o mniejszej pojemności! Podczas nagrywania system na bieżąco rozpakowuje obraz dysku z pliku na płycie i nagrywa na dysk twardy tworząc kompletną strukturę wielkości ok. 10 GB.

Po ukończeniu procesu nagrywania zastosuj się do informacji wyświetlonej na ekranie i zrestartuj

komputer (nie zapomnij o usunięciu płyty z napędu przed kolejnym uruchomieniem).

4. Pierwsze uruchomienie - wybór kernela

Domyślny kernel (jądro), widoczny na wyświetlonej podczas startu listy wyboru (menu grub), w większości przypadków prawidłowo obsłuży standardowy dysk (gdy jest on dostępny jako /dev/hda lub /dev/sda) i pozostałe podzespoły serwera. Jeśli więc system uruchomił się do końca na tym właśnie jądrze - zazwyczaj nie będzie potrzeby jakichkolwiek zmian. Jeśli jednak tak się nie stało i podczas pierwszego uruchomienia system zatrzymał się informując np. o braku partycji root - po resecie komputera, podczas drugiej próby najlepiej wybrać kolejny kernel z listy. Jeśli adres dysku jest inny niż dostępny na liście - jak już wcześniej zostało to opisane - zmodyfikuj wartość root=. Modyfikacji wpisu możesz dokonać poprzez wciśnięcie litery a na wybranym kernelu i poprawienie wartości zmiennej root=/dev/... Po uruchomieniu



zapisz swój wybór na trwałe poprzez edycję pliku /boot/grub/menu.lst (wskaż domyślny kernel poprawiając wartość zmiennej default i edytuj wpis dla danego kernela zmieniając wartość root=/dev/... - tak, jak podczas uruchomienia).

Przy okazji, aby skrócić czas oczekiwania na każde kolejne uruchomienie systemu na wybranym kernelu, zamień także wartość timeout z 10 na np. 5. Po zapisaniu pliku grub.conf zmiany będą już obowiązywać (bootmanager grub, w odróżnieniu od lilo, nie wymaga absolutnie żadnych dodatkowych zabiegów po zapisaniu swojego pliku konfiguracyjnego).

5. Przydatne informacje dla początkujących

Do szybkiego, sprawnego poruszania się po systemie plików oraz do edycji plików konfiguracyjnych najwygodniej jest użyć menadżera plików Mydnight Commander (mc). Po zalogowaniu na konsoli wpisz: mc i wciśnij Enter. Aby edytować dany plik, należy po jego wybraniu wcisnąć klawisz F4, a po zakończeniu edycji: F2 (aby zapisać wprowadzone zmiany). Wyjście: F10.

Wszystkie wpisy w plikach konfiguracyjnych poprzedzone znakiem # nie są brane po uwagę podczas ich czytania przez oprogramowanie. Dzięki temu można w plikach konfiguracyjnych umieszczać komentarze i opisy. Pamiętaj o tym! W plikach .cfg systemu Firewall & QoS w ten właśnie sposób poprzedzonych jest wiele wierszy wpisów. Niektóre z nich to pomocny komentarz, a kolejne to konkretne przykłady właściwych wpisów, które łatwo można uaktywnić usuwając tylko początkowy znak #.

5.1 Gdy dysk twardy jest większy niż 10GB

Jeśli dysk jest większy niż obraz, z którego został nagrany (10 GB) - po nagraniu i uruchomieniu gotowego systemu możesz zagospodarować pozostałą część tworząc jedną nową lub więcej partycji, np. przy użyciu cfdisk. Jeśli więc jesteś zalogowany bezpośrednio jako root, wpisz: cfdisk. Zjedź strzałką w dół na ''Free space'', utwórz jedną lub więcej nowych partycji (zwykle wystarczy wybrać [ New ] i zatwierdzić). Następnie wybierz [ Write ] i wpisz yes, aby nowa tablica partycji została zapisana. Wykonaj reboot. Po restarcie należy sformatować nowa partycję (np. poleceniem: mkfs.ext3 /dev/sda8) i zamontować w dowolnym miejscu systemu plików (np. tworzymy nowy katalog: mkdir /mnt/sda8 i montujemy tam nową partycję poleceniem: mount /dev/sda8 /mnt/sda8).

Edytuj także plik /etc/fstab dopisując stosowny wiersz dla nowej partycji zgodnie z zasadami obowiązującymi w każdym systemie Linuksowym (za ostatnim wierszem w pliku musi być Enter, czyli przejście do nowego wiersza). Przykład wpisu:/dev/sda8 /mnt/sda8 ext3 defaults,noatime 1 2

W razie problemów, bądź obaw odnośnie tej operacji - zawsze możemy pomóc zdalnie - wystarczy podesłać do nas mailem dane dostępowe do routera. Pamiętaj, iż wymagany jest 1 pełny reboot routera po utworzeniu partycji, a przed jej formatowaniem.

6. Uruchomienie i konfiguracja interfejsów sieciowych

Gdy Twój komputer (serwer/router) uruchomi się po raz pierwszy z nagranego dysku - oprogramowanie dynamicznej obsługi sprzętu (udev) powinno prawidłowo wykryć wszystkie karty sieciowe zainstalowane w Twoim serwerze i załadować dla nich odpowiednie moduły sterowników. Nie ma już więc potrzeby ręcznego określania właściwych aliasów w pliku /etc/modprobe.conf.



Zalecamy używanie kart na chipsetach Intel lub 3Com. W razie problemów z obsługą danej karty, pomocne okazać się może konsolowe polecenie lspci (lub dokładniejsza odmiana: lspci -v). Zwykle na dole wyświetlą się nazwy wykrytych kart sieciowych - wpisy o treści: Ethernet controller:... itd. Polecenie lspci -v pokaże dokładne informacje o urządzeniach - niekiedy pomocne do zdiagnozowania przyczyny ewentualnych problemów podczas pracy serwera (np. używanie tego samego przerwania, IRQ, przez kilka podzespołów serwera może być przyczyną nieprawidłowego ich działania). Moduły (sterowniki) wszystkich kart sieciowych znajdują się w katalogu /lib/modules/2.6.x.../kernel/drivers/net/. Pamiętaj, iż popularne i tanie karty PCI na chipsecie Realtek nie są zalecane do zastosowań serwerowych.

Po pierwszym zalogowaniu się do konsoli jako root (hasło: intrux80) skonfiguruj interfejsy sieciowe przy pomocy automatycznego kreatora intrux-netset. Na początku zatwierdź powiązanie nazw interfejsów z adresami wykrytych kart sieciowych (wykonywane automatycznie po uruchomieniu kreatora). Jest to ważna czynność, która zapobiegnie zmianie kolejności kart podczas automatycznego ich wykrywania przez udev po ponownym uruchomieniu serwera. Postępuj dokładnie wg. wyświetlonych informacji. W razie pomyłki - uruchom kreatora ponownie, wpisując: intrux-netset.

Jeśli dokonałeś już ustawienia interfejsów przy pomocy kreatora intrux-netset, to zalecamy wykonywanie dalszej konfiguracji już zdalnie - z poziomu przeglądarki www komputera klienckiego administratora - od strony sieci LAN. Uwaga dla początkujących: pamiętaj o ustawieniu na swoim komputerze klienckim adresu IP z klasy ustawionej dla interfejsu LAN serwera (domyślnie 192.168.1.0/24). Tak więc by połączyć się z serwerem, ustaw uprzednio na swoim komputerze dowolny adres IP z zakresu 192.168.1.6 do 192.168.1.200, podaj maskę 255.255.255.0, a jako bramę oraz serwer DNS podaj IP serwera (domyślnie 192.168.1.1).

Przypominamy! Gdy będziesz logował się zdalnie na konsolę serwera poprzez SSH (np. przy użyciu putty, które jest na płycie DVD) pamiętaj, iż serwer SSH w tej wersji działa domyślnie na nietypowym porcie 7878. Oczywiście możesz to zmienić.

Uwaga! Gdy zmienisz kartę sieciową w serwerze, użyj intrux-netset lub - jeśli wszystkie ustawienia sieciowe pozostają bez zmian - zaktualizuj tylko wpis w pliku powiązań dla udev (/etc/udev/rules.d/80-dev-net.rules) przy pomocy polecenia: /usr/intrux/sbin/intrux-udevinfo-net.

Sposób prawidłowego postępowania w przypadku wymiany kart sieciowych opisany jest dokładniej, ''krok po kroku'' w punkcie 20 niniejszej instrukcji.

7. Panel administracyjny

Jeśli IP serwera na interfejsie LAN pozostało domyślne - zaloguj się do panelu wpisując w swojej przeglądarce adres: http://192.168.1.1/intrux-admin/. Można także zalogować się przy użyciu bezpiecznego, szyfrowanego połączenia https. Jeśli zmieniłeś IP - oczywiście wpisz adres odpowiednio zmieniony w części IP przed ścieżką /intrux-admin/. Domyślny użytkownik, to admin, hasło intrux80. Ale zapewne zmieniłeś już te wartości przy użyciu intrux-pass? Jeśli nie - zmień je koniecznie!

Loginy i hasła użytkowników panelu administracyjnego możesz zmienić także z poziomu samego panelu. Przejdź do modułu: Konfiguracja kont i opcji panelu.

Uwaga! Jeśli kilka razy omyłkowo wpiszesz błędną wartość (login lub hasło) podczas logowania do panelu administracyjnego - dostęp do niego z Twojego adresu IP zostanie trwale zablokowany. W celu usunięcia blokady należy usunąć plik .log_TU.TWOJ.ADRES.IP z katalogu /usr/intrux/www/admin/.

Pamiętaj, iż ze względów bezpieczeństwa nigdy nie należy zostawiać domyślnych haseł! Konsolowy kreator intrux-pass ułatwia prawidłową zmianę haseł dla ważnych kont systemowych.



Dla zwiększenia bezpieczeństwa możesz nawet ograniczyć dostęp do panelu administracyjnego tylko dla określonych adresów IP. Można to zrobić edytując plik .htaccess znajdujący się w katalogu /usr/intrux/www/admin/. Przykładowe 4 końcowe wiersze, ''zakomentowane'' znakiem #, już się w nim znajdują - wystarczy je tylko dostosować (zmienić IP komputera administratora) i usunąć znak # na początku (czyli ''odkomentować'').

Użytkownik o mniejszych uprawnieniach do panelu może dokonywać zmian tylko w obrębie modułu Klienci, urządzenia i powiadomienia. Może także podejrzeć statystyki sieci oraz raport dobowy logwatch. Nie ma możliwości edycji istotnych ustawień systemu w innych modułach panelu administracyjnego.

7.1 Wybrane moduły panelu

7.1.1 Ustawienia Firewall & QoS

Moduł Ustawienia Firewall i QoS obejmuje konfigurację wszystkich zmiennych znajdujących się w głównym pliku konfiguracji ustawień - /etc/intrux/main.cfg. Większość istotnych informacji została już tam wpisana podczas konfiguracji przy pomocy kreatora intrux-netset i często w początkowej fazie pracy serwera nie będzie potrzeby dokonywania tam żadnych istotnych zmian.

Zaznaczenie (wybranie) danej opcji z poziomu panelu jest równoznaczne z podaniem wartości ''yes'' podczas ewentualnej, bezpośredniej edycji pliku konfiguracyjnego z poziomu konsoli. Pomoc dotycząca danej zmiennej konfiguracyjnej dostępna jest w panelu w 3 kolumnie tabeli po prawej stronie (zalecamy także zapoznanie się z wyskakującym opisem po najechaniu na znak [?]), a dokładniejszy opis wszystkich zmiennych pliku main.cfg znajdziesz w kolejnym rozdziale instrukcji.

7.1.2 Klienci, urządzenia i powiadomienia

Moduł Klienci, urządzenia i powiadomienia obejmuje konfigurację pliku /etc/intrux/client.cfg oraz - w zależności od potrzeby - automatycznie ingeruje w plik mserv.cfg określający przekierowania na stronę informacyjną powiadomień dla klientów, jak również w plik oplaty.cfg, w którym zachowywane są informacje o zapłaconych przez klienta miesiącach roku. Obsługa tego najczęściej użytkowanego modułu jest intuicyjna i nie wymaga szczegółowych objaśnień. Po najechaniu na daną ikonę wyświetli się jej objaśnienie. Aby dodać nowego klienta należy użyć zielonej ikonki ''PLUS''. Wszelkie zmiany należy zatwierdzić zieloną ikoną ''V'' (tzw. ''ptaszek'') w prawym dolnym rogu lub na górze listy (pojawia się ona dopiero, gdy zmiany wymagają zatwierdzenia).

Na liście z poziomu panelu nie można zmienić kolejności dodanych wierszy. Można to oczywiście zrobić poprzez bezpośrednią edycję pliku /etc/intrux/client.cfg z poziomu konsoli.

Należy zawsze pamiętać, aby nie dokonywać w tym samym czasie zmian przy pomocy 2 narzędzi, czyli przed edycją z konsoli należy uprzednio wylogować się z panelu administracyjnego, a po dokonaniu zmian w plikach z poziomu konsoli, należy je ręcznie przeładować przy pomocy /etc/intrux/restart i dopiero w następnej kolejności ponownie zalogować się do panelu administracyjnego.

Uwaga! Gdy konieczne jest podanie 2 adresów MAC dla 1 klienta (niekiedy wymagane w przypadku AP w trybie client), należy rozdzielić je przecinkiem w polu wpisu MAC danego klienta. Pierwszy adres brany jest po uwagę dla powiązań mac-ip, a drugi dodawany jest do wpisu dla dhcp danego klienta. Tak więc jako pierwszy MAC podajemy IP, z którym klient porusza się w sieci (gdy AP maskuje jego adres MAC), natomiast drugi adres to właściwy MAC jego karty sieciowej.



Zatwierdzenie zmian dokonywanych przy pomocy panelu www skutkuje zapisaniem odpowiednich wartości w stosownych plikach oraz automatycznym wykonaniem polecenia z konsoli: /etc/intrux/rc.fiqs restart soft. Drugi parametr polecenia (soft) informuje oprogramowanie, aby nie przekierowywać ponownie klientów posiadających już potwierdzone przekierowane (czy to wynikające z wyświetlonej i potwierdzonej wiadomości, czy też z poprawnej autoryzacji przez formularz www).

Generowanie aktualnej listy może chwilę potrwać, jeśli użytkowników jest dużo. Maksymalny czas generowania listy to 120 sekund.

Warto wyrobić sobie nawyk, iż po zalogowaniu do panelu i wyświetleniu listy użytkowników, w pierwszej kolejności usuwamy potwierdzone przez klientów wiadomości, a następnie dokonujemy kolejnych czynności (jeśli są wymagane). Należy zawsze pamiętać o zaakceptowaniu wszystkich zmian.

Standardowo włączone zmienne GEN_HOSTS oraz GEN_DHCPD w grupie ''Pozostałe ustawienia'' modułu Ustawienia Firewall i QoS powodują każdorazowe generowanie plików /etc/hosts, /etc/dhcpd.conf na podstawie bieżącej listy klientów oraz plików (tzw. nagłówków) umieszczonych w katalogu /etc/intrux/def/. Rozważ, czy ta funkcjonalność jest przydatna w Twojej sieci (zazwyczaj w standardowej konfiguracji - tak). Jeśli nie, zawsze można je wyłączyć i samodzielnie ingerować wg. potrzeb i wymagań w zawartość ww. plików. Zmienna GEN_ARP powoduje dodanie powiązania IP klienta z jego adresem MAC już w tablicy arp serwera. To elementarne zabezpieczenie przed podszywaniem (świadomą zmianą MAC) i warto je włączyć, jeśli tylko warunki danej sieci na to pozwalają.

Na podstawie ustawionych opcji danych klientów generowane są wpisy w /etc/ppp/chap-secrets (plik bazy klientów dla PPPoE) oraz w /etc/intrux/racl.cfg (autoryzacja przez formularz www). Nie jest więc zalecana ręczna edycja tych plików. To samo dotyczy pliku /etc/intrux/mserv.cfg.

7.1.3 Wspólna taryfa prędkości dla kilku klientów

Wpis dla klienta, który ma należeć do już istniejącej kolejki (czyli współdzielenie jednej taryfy prędkości przez kilka komputerów) należy poprzedzić znakiem minus bezpośrednio przed jego adresem IP. Czyli dodając nowego klienta z poziomu panelu należy dopisać w polu, gdzie znajduje się IP tylko znak minus przed tym adresem (bez żadnych dodatkowych spacji, np. -192.168.1.125). Takie IP jest obsługiwane kolejką określoną wpisem znajdującym się bezpośrednio powyżej danego adresu IP.

7.1.4 Backup - kopia konfiguracji

Moduł Backup - kopia konfiguracji oprócz standardowej możliwości zapisania (exportu) ustawień do pliku spakowanego archiwum i zapisu na dysk, umożliwia także wysyłanie tego pliku na zdalny serwer FTP. Parametry zdalnego serwera (adres, login i hasło użytkownika) należy uprzednio zapisać we właściwych polach modułu Konfiguracja kont i opcji panelu. Konto użytkownika ftp powinno służyć wyłącznie do celu archiwizacji plików, gdyż zapisanych konfiguracji (plików) może być tylko 10.

Jeśli ustaliłeś hasło zabezpieczające dla archiwum - nie zapomnij go! Gdy nie znasz hasła - nie odzyskasz danych z kopii.

Warto regularnie wykonywać backup, zachowując ustawienia w wygodny dla siebie sposób, aby w sytuacji awaryjnej mieć możliwość szybkiego przywrócenia najbardziej aktualnych ustawień. Import z pliku przywraca wszystkie ważne ustawienia routera, po czym wykonywany jest restart interfejsów sieciowych, a do panelu administracyjnego należy powtórnie się zalogować. Import umożliwia więc łatwe powielanie całej konfiguracji podczas przywracania ustawień np. po wymianie dysku twardego lub gdy uruchamiany jest kolejny router z podobną konfiguracją.



7.2 Pozostałe informacje i dodatkowe funkcje panelu

Dostęp do panelu od strony WAN (od strony Internetu) w domyślnej konfiguracji nie jest możliwy. Od strony sieci lokalnej LAN domyślnie wszystkie usługi są dostępne. Dostęp do usług serwera określa się poprzez odblokowanie portów w pliku iserv.cfg. Edycję tego pliku można wykonać z poziomu panelu administracyjnego (moduł Edycja plików konfiguracyjnych) lub bezpośrednio z poziomu konsoli (/etc/intrux/iserv.cfg). Więcej informacji znajdziesz w rozdziale ''Własna strona www''.

Zaawansowany administrator może umieścić w menu głównym panelu dodatkowe linki lub inne informacje. Wystarczy edytować plik o nazwie my_menu.php w katalogu /usr/intrux/www/admin/. Zawartość tego pliku jest automatycznie includowana na dole tabeli menu, pod ikonami modułów. Plik my_menu.php może zawierać kod HTML i PHP.

8. Ograniczenia wersji startowej i konieczność rejestracji

Podstawowa funkcjonalność wersji startowej, czyli udostępnianie internetu, podział łącza i ograniczanie prędkości działają w standardowym trybie i oczywiście mogą działać na serwerze produkcyjnym przez dłuższy czas. Jednak wersja ta ma bardzo istotne ograniczenia funkcjonalne i aby korzystać w pełni ze wszystkich możliwości oprogramowania INTRUX Firewall & QoS - należy dokonać rejestracji danej kopii instalacji. Rejestrację zalecamy wykonać w ciągu 21 dni od chwili zakupu i otrzymania nośnika.

Do chwili zarejestrowania routera istnieją m.in. takie ograniczenia wersji startowej, jak:

✔ brak możliwości wysyłania zgłoszeń serwisowych do naszej firmy poprzez panel pomocy,

✔ brak możliwości włączenia kolejek usługowych określanych zmiennymi QOS_FAST, QOS_PRIO oraz QOS_WWW (bez względu na wpisane tam wartości - są one całkowicie ignorowane),

✔ brak możliwości zmiany algorytmu kolejkowania (działa jedynie htb) oraz metody kolejkowania (bez względu na wybór użytkownika - wszędzie obowiązuje tylko i wyłącznie jedna metoda sfq),

✔ brak możliwości podziału kolejki klienta na 2 części,

✔ brak możliwości wykonania kolejkowania na interfejsie LAN lub na interfejsach fizycznych (wartości w zmiennych LAN_QOS_DEV oraz DL_VDEV i UL_VDEV są ignorowane),

✔ pomijanie wpisów w pliku noport.cfg, co oznacza brak możliwości blokady ruchu na wybranych portach,

✔ brak możliwości włączenia zaawansowanego limitowania z użyciem modułu hashlimit (zmienna HASH_LIMIT_LAN_DEV oraz zmienne zależne są ignorowane),

✔ brak możliwości logowania ruchu internetowego (wpisy w LOGS_IP lub włączenie ULOG_ON są ignorowane),

✔ brak możliwości automatycznego limitowania ruchu P2P przy użyciu ipset (wpis w zmiennej P2P_IPSET_LIMIT jest ignorowany),

✔ brak możliwości włączenia autoryzacji przez formularz www (włączenie RACL i wpisy w pliku racl.cfg są zupełnie ignorowane),

✔ pomijanie wpisów w pliku mserv.cfg, co jest równoznaczne z brakiem możliwości wysyłania powiadomień do klientów,

✔ brak zabezpieczenia przed wysyłaniem spamu - nie działa limit nawiązywanych połączeń SMTP (zmienna SMTP_LIMIT_S),

✔ brak możliwości włączenia specjalnego przyspieszenia kolejki użytkownika,

✔ brak możliwości włączenia funkcji Wizytówka sieci,



✔ brak generowania wpisów powiązania IP klientów z MAC w tablicy ARP,

✔ funkcja auto-backupu konfiguracji routera na serwer FTP nie działa,

✔ funkcja monitorowania urządzeń nie działa,

✔ wpisy w pliku addcmd.cfg są pomijane i nie zostaną wykonane,

✔ brak możliwości włączenia w opcji multiWAN markowania dla load-balancing z użyciem modułu statistic nth, przez co load-balancing nie działa optymalnie i nie jest aż tak funkcjonalny.

Poza ww. ograniczeniami, wszystkie pozostałe funkcje routera linuksowego wynikające z dystrybucji, jak również zainstalowanych serwerów usług dodatkowych są w pełni dostępne.

Aby zarejestrować swoją kopię, należy po zalogowaniu do panelu administracyjnego z menu wybrać pierwszą ikonę na górze, moduł: Rejestracja i aktualizacja. Router musi mieć dostęp do internetu.

Wypełnij formularz u dołu (wpisz uważnie swój adres e-mail) i wyślij. W nowym oknie zostanie otwarta strona, która wyświetli stosowne informacje. Postępuj zgodnie z wyświetlonymi instrukcjami.

Licencjonowaniu i ochronie podlega oprogramowanie INTRUX obecne w katalogu /etc/intrux/ oraz większość plików w katalogu /usr/intrux/. Pozostałe pliki oprogramowania, dostarczane z dystrybucją PLD Titanium, jak również dodatkowo zainstalowane i prekonfigurowane serwery usług, specjalnie przygotowane iproute, iptables oraz kernel ze stosownymi patchami - w większości objęte są licencją GNU GPL lub pokrewnymi. Wymagane źródła oprogramowania znajdują się na płycie DVD w katalogu /src. Na ich podstawie - jeśli jesteś zaawansowanym administratorem - możesz samodzielnie skonfigurować własny kernel lub ''dokompilować'' dodatkowe moduły obsługi nowych urządzeń.

Duża część plików w katalogu /etc/intrux/.sc/ ma możliwość ingerencji w ich treść i dokonywania w nich zmian. Tak więc zaawansowany administrator może samodzielnie, bez większych ograniczeń dokonać przemyślanych modyfikacji, aby w większym stopniu zmieniać charakterystykę lub sposób działania niektórych funkcji. Z reguły jednak zdecydowanie nie zalecamy wykonywania samodzielnych zmian w plikach umieszczonych w tym katalogu.

9. Konfiguracja ustawień INTRUX Firewall & QoS

Większość zmiennych posiada swój krótki oraz rozwinięty opis bezpośrednio w panelu administracyjnym. Aby go odczytać - najedź wskaźnikiem myszy na znak zapytania [?]. Informacje te oraz informacje zawarte w niniejszej instrukcji opisują przeznaczenie i rolę danej zmiennej, jej funkcję oraz format danych, w którym wpisuje się do nich wartości.

9.1 Opis zmiennych w głównym pliku main.cfg

9.1.1 Podstawowe ustawienia sieci

NAT_ON - włącza udostępnianie internetu. Jeśli nie masz przydzielonego stałego adresu IP od swojego dostawcy internetowego, wybierz masq. Zmienna może przyjmować 4 wartości: yes, masq, off lub no (puste). Ustawienie off skutkuje dodawaniem reguł forwardu dla klientów, jednak bez wykonywania nat, co bywa przydatne w sieci, gdzie wszyscy klienci mają własne publiczne IP. Standardowo stosuje się wpis yes. Możliwe jest także ustawienie ''file'', co skutkuje czytaniem przez system pliku snat.cfg i dodawaniem reguł nat wyłącznie na podstawie wpisów w nim zawartych.



INTERNET_DEV - zmienna określa interfejs internetowy. To domyślne ''wyjście na świat'' naszego routera. Zazwyczaj pozostaje bez zmian, czyli eth1 (WAN1).

INTERNET_IP - określa IP na interfejsie internetowym. Wymagane dla SNAT. Jeśli IP zmienne, to ww. zmienna NAT_ON=''masq'', a INTERNET_IP może pozostać puste. Standardowo należy wpisać tutaj IP domyślnego interfejsu WAN1.

LAN_LIST - uproszczone określenie dostępu do serwera od strony interfejsu sieci lokalnej LAN. Zmienna nieistotna, jeśli nw. LIMIT_LAN="yes", gdyż wtedy dostęp do serwera jest szczegółowo określony w odrębnym pliku lan.cfg. Jeśli jednak nie jest, to przykład wpisu wygląda następująco: LAN_LIST="eth0-192.168.1.0/24" (interfejs lokalny-adres i maska sieci lokalnej). Dwa elementy rozdzielone znakiem minus. Sieć lokalna traktowana jest w tym wypadku jako bezpieczna - wszelkie usługi serwera dla klientów sieci lokalnej są dostępne. Więcej wpisów (gdy posiadasz kilka interfejsów/aliasów LAN) rozdzielamy spacją. Przykład wpisu: LAN_LIST=''eth0-192.168.10.0/24 eth3-192.168.20.0/24 ppp+-10.0.0.0/24''.W zmiennej LAN_LIST można także wpisać słowo: file. Należy wtedy wypisać sieci lokalne w odrębnym pliku lan_list.cfg. Uwaga! Zmienna jest zawsze nadpisywana wartościami sieci przez kreator intrux-netset.

LIMIT_LAN - włącza dokładne określanie usług (portów) serwera dostępnych dla klientów w sieci lokalnej LAN. Jeśli LIMIT_LAN=''yes'' oprogramowanie czyta plik lan.cfg, w którym należy szczegółowo określić porty, protokoły i IP klientów, dla których dostępne będą dane usługi serwera. Zmienna może przyjmować 2 wartości: yes lub no (puste).

LAN_FORWARD - włącza forward (przekazywanie połączeń) pomiędzy sieciami lokalnymi, gdy posiadamy 2 lub więcej interfejsów/aliasów sieci LAN. Przykład wpisu może wyglądać następująco: LAN_FORWARD=''192.168.1.0/24-192.168.2.0/24''. Adresy sieci rozdzielone znakiem minus. Więcej wpisów (par sieci) rozdzielamy spacją.

CLAMP_MTU - włącz, gdy posiadasz np. neostradę. Zaznaczenie powoduje dodanie reguły automatycznie ustawiającej odpowiednią wartości MSS dla danego połączenia.

9.1.2 Podstawowe ustawienia QoS

QOS_ON - włącza dzielenie pasma z wykorzystaniem algorytmu hfsc lub htb (zależnie od wartości QOS_ALG). Zmienna może przyjmować 2 wartości: yes lub no (puste).

DOWNLOAD - zmienna określa całkowitą, możliwą prędkość ściągania (download) interfejsu internetowego WAN1 (w kbit). Przykład wpisu: DOWNLOAD=''4000''.

UPLOAD - określa całkowitą, możliwą prędkość wysyłania interfejsu internetowego (w kbit). Przykład wpisu: UPLOAD=''500''. Zarówno dla UPLOAD, jak i ww. DOWNLOAD zalecane jest podanie wartości nieco niższych od określonych przez dostawcę internetowego.

QOS_ALG - wybór zastosowanego w regułach kolejkowania algorytmu. Generalnie algorytm HFSC oferuje niższe opóźnienia (większą interaktywność). Niekiedy jednak znane i cenione HTB może okazać się lepsze. Wszystko zależy od charakterystyki danej sieci. Zmienna może przyjmować tylko 2 wartości: hfsc lub htb.

QOS_FAST - określa pasmo (w kbit) wydzielone specjalnie dla ruchu, który wymaga niskich opóźnień (np. voip, gry internetowe, ssh). Pierwsza liczba to gwarantowana prędkość ściągania (download rate), druga określa prędkość wysyłania (upload rate). Trzeci parametr (0 lub 1) decyduje, czy pasmo szybkiej kolejki jest współdzielone z pozostałym ruchem (0), czy też nie (1). Poszczególne elementy zmiennej rozdzielamy średnikiem. Nie zaleca się używania tej kolejki dla ruchu typu www, poczta, ftp itp. Przykład wpisu: QOS_FAST=''64;64;1''. Poszczególne protokoły i porty, z którymi połączenia będą skierowane do tej kolejki, określa się w dalszych zmiennych w grupie ''Zaawansowane ustawienia QoS''. Kolejka jest opcjonalna - aby jej nie tworzyć, pozostaw puste.



QOS_PRIO - określa pasmo (w kbit) dla ruchu priorytetowego. Do tej kolejki mogą być skierowane połączenia pakietów potwierdzających ACK oraz zapytań DNS użytkowników sieci LAN - zgodnie z wybranymi opcjami w grupie ''Zaawansowane ustawienia QoS''. Poszczególne elementy zmiennej (download_rate;download_ceil;upload_rate;upload_ceil) rozdzielamy średnikiem (edytując plik main.cfg bezpośrednio - w panelu wszystkie elementy dla ułatwienia rozbite są na poszczególne okna formularza). Dla wartości ceil można użyć słowa auto. Przykład wpisu: QOS_PRIO=''32;auto;64;auto''. Kolejka QOS_PRIO jest opcjonalna - nie musi, a niekiedy nie powinna być tworzona (wpis dla zmiennej powinien być wtedy pusty).

QOS_ROUTER - określa pasmo (w kbit) dla połączeń routera. Elementy download_rate;download_ceil;upload_rate;upload_ceil rozdzielamy średnikiem. Wartości ceil można zastąpić słowem auto. Kolejka ma zastosowanie, gdy w standardowej konfiguracji do interfejsów wirtualnych IMQ kierowany jest ruch WAN. Przykład wpisu: QOS_ROUTER=''32;auto;24;auto''.

QOS_WWW - określa pasmo (w kbit) dla początkowego ruchu www (z portów 80 i 443). Poszczególne elementy zmiennej, to download_rate;download_ceil;upload_rate;upload_ceil. Wartości ceil można zastąpić słowem auto. Przykład wpisu: QOS_WWW=''256;auto;32;auto''. Kolejka opcjonalna - aby jej nie tworzyć, pozostaw puste.

QOS_WWW_KB - określa wielkość w KB (kilobajty) ruchu www, który będzie realizowany wyżej określoną kolejką QOS_WWW. Po osiągnięciu tej wartości transfer będzie realizowany w dalszym ciągu już w kolejce danego użytkownika. Przykład wpisu: QOS_WWW_KB=''200''.

QOS_FAST_MTD - wybór metody kolejkowania w kolejce fast (określonej w zmiennej QOS_FAST). Zmienna ta może przyjmować 4 wartości: pfifo, sfq, esfq lub srr.

QOS_METHOD - wybór metody kolejkowania w głównych kolejkach (prio, router, www). Zmienna przyjmuje 3 wartości: sfq, esfq lub srr.

QOS_USER_MTD - wybór metody kolejkowania w kolejkach klientów. Zmienna przyjmuje 3 wartości: sfq, esfq lub srr. W większości zastosowań dobrze sprawdza się metoda srr.

USER_CL - określa sposób podziału pasma klienta. Gdy zmienna USER_CL=''2'' pasmo (kolejka klienta) jest dzielone na 2 kolejki, z których pierwsza ma wyższy priorytet i realizowane są nią połączenia tcp na portach wymienionych w nw. zmiennej PR1_TCPPORT. Jeśli USER_CL=''1'' - klient ma standardowo 1 kolejkę. W sieci z dużą ilością klientów, lepsze wydaje się być stosowanie tradycyjnej 1 kolejki. Zmienna przyjmuje 2 wartości: 1 lub 2.

PR1_TCPPORT - jeśli ww. zmienna USER_CL=''2'' - określa porty tcp, z którymi połączenia są realizowane kolejką klienta o wyższym priorytecie. Poszczególne porty rozdzielamy spacją. Nie należy wpisywać zbyt wielu portów. Zawartość PR1_TCPPORT nie ma znaczenia, gdy USER_CL=''1''. Przykład wpisu: PR1_TCPPORT=''80 443 110 587''.

PR1_P - wielkość procentowa określająca wartość rate dla ważniejszej kolejki klienta (gdy zmienna USER_CL=''2''). Zalecane jest podanie wartości w przedziale 50-90 lub pozostawienie domyślnej wartości. Przykład wpisu: PR1_P=''70''.

9.1.3 Limitowanie i blokada ruchu P2P

P2P_DENY_TIME - włącza blokowania rozpoznanych połączeń programów P2P w określonym czasie. Po włączeniu zmiennej należy określić szczegóły blokady w pliku p2pt.cfg. Zmienna przyjmuje 2 wartości: yes lub no (puste).

P2P_NO_PORT - określa porty, na których próba ruchu rozpoznanych połączeń programów P2P będzie blokowana. Poszczególne porty rozdzielamy spacją lub przecinkiem. Można stosować także zakres portów. Przykład wpisu: P2P_NO_PORT=''0:1024 3128,8080''.



P2P_CS_LIMIT - podaj wartości (wyłącznie w formacie: 2 liczby rozdzielone średnikiem) określające limit ilości jednoczesnych połączeń (wartość pierwsza) oraz ilość połączeń na sek. (wartość druga) dla rozpoznanego ruchu P2P. Limit ten dotyczy i działa dla każdego klienta odrębnie. Przykład wpisu: ''40;4''.

P2P_L7_PROTO - określa protokoły layer7 używane do rozpoznawania ruchu P2P. Poszczególne nazwy rozdzielone spacją. Definicje znajdują się w /etc/l7-protocols/. Szczegółowy opis znajduje się także na stronie http://l7-filter.sf.net/protocols. Przykład wpisu: P2P_L7_PROTO=''edonkey ares bittorrent gnutella fasttrack''.

P2P_DENY - określa hosty lub sieci, z których rozpoznane połączenia P2P będą blokowane. Poszczególne IP rozdzielone spacją. Przykład: P2P_DENY=''192.168.1.0/24''.

P2P_NO_LIMIT_IP - określa hosty lub sieci, z których rozpoznane połączenia P2P nie będą podlegały limitowaniu. Poszczególne IP rozdzielone spacją. Przykład: P2P_NO_LIMIT_IP=''192.168.1.2 192.168.1.3''.

9.1.4 Ustawienia zabezpieczeń

BADHOSTS - definiuje hosty lub sieci, które są blokowane. Połączenia przychodzące z wymienionych IP zostaną natychmiast odrzucone przez firewall. Kolejne adresy rozdzielamy spacją. Przykład: BADHOSTS=''123.120.130.44 130.111.23.10''.

ADMIN_HOST_IP - definiuje hosty, które mają pełny dostęp do routera. Reguły firewalla dla dostępu z tych IP są ładowane na samym początku podczas uruchamiania bądź restartu. Połączenia przychodzące z wymienionych IP na każdym interfejsie zostaną natychmiast wpuszczone. Kolejne adresy rozdzielamy spacją. Przykład: ADMIN_HOST_IP=''192.168.1.2''.

TCPSYN_LIMIT - określa wielkość limitu ilości przychodzących połączeń tcp syn na sekundę. Poszczególne 2 elementy: wartości limit oraz burst, rozdzielone średnikiem. Przykład wpisu: ''60;2''. Uwaga! Niskie wartości w tej zmiennej przeszkadzają podczas zdalnej pracy z użyciem panelu administracyjnego www (gdy łączysz się z routerem od strony WAN).

TCPSYN_DEV - określa interfejs lub interfejsy, na których działa ww. zabezpieczenie. Jeśli zmienna pusta, a TCPSYN_LIMIT zostało określone - ograniczenie działa na interfejsie internetowym WAN. Przykład wpisu: TCPSYN_DEV=''eth0 eth1''.

BADPORTS - włączenie filtracji ruchu netbios (w tym niektórych wirusów). Firewall blokuje ruch sieciowy z i do Internetu na portach: 135(tcp), 137(tcp), 138(tcp), 139(tcp), 445(tcp), 137(udp), 138(udp), 139(udp). Zmienna przyjmuje 2 wartości: yes lub no (puste).

NOSMB - włączenie filtracji ruchu prywatnych klas adresowych na interfejsie internetowym. Firewall blokuje ruch z i do adresów IP z podstawowych, nieużywanych w Internecie prywatnych klas adresowych. Zmienna przyjmuje 2 wartości: yes lub no (puste).

NOSCAN - włączenie podstawowego zabezpieczenia przed skanowaniem portów. Dotyczy zarówno ruchu wchodzącego (input), jak i przekazywanego (forward). Zmienna przyjmuje 2 wartości: yes lub no (puste).

MAC_CHECK - włączenie powiązania IP z adresem MAC karty sieciowej klienta. Możliwe są 3 ustawienia: yes, internet lub no. Gdy wybrano ''internet'' - zabezpieczenie będzie obowiązywało tylko dla ruchu internetowego klienta. Gdy ''yes'' - adres MAC klienta będzie weryfikowany także na wejściu od strony interfejsu LAN. Reguły dodawane są do tablicy security iptables. W dużych sieciach nie jest zalecane stosowanie tego zabezpieczenia.

MAC_ALL_DEV - interfejs lokalny, na którym odbywa się bezwzględne sprawdzanie powiązania IP z adresem MAC karty sieciowej klienta. Gdy istnieje kilka interfejsów lokalnych - wpisy rozdzielamy spacją. Przykład wpisu: MAC_CHECK_ALL_DEV=''eth0''. Gdy zmienna nie jest pusta - każdy klient w client.cfg



bezwzględnie musi posiadać wpisany adres MAC. Uwaga - gdy konieczne jest podanie 2 adresów MAC dla 1 klienta, należy rozdzielić je przecinkiem w kolumnie wpisu MAC pliku client.cfg.

MARTIAN_LOG - włączenie logowania ''dziwnych'' pakietów. Nie brakuje ich w sieci - włączenie może spowodować pojawienie się niekiedy znacznej ilości wpisów w logach. Zmienna przyjmuje 2 wartości: yes lub no (puste).

PING_OFF - wyłączenie odpowiedzi na ping przez router. Gdy ''yes'' - serwer nie będzie odpowiadał na ping na żadnym z interfejsów. Zmienna przyjmuje 2 wartości: yes lub no (puste).

SSH_LIST - podaj interfejs oraz lokalny port, na którym działa SSH, np. SSH_LIST=''eth0-22 eth1-22''. Elementy rozdzielone znakiem minus - więcej wpisów: spacją. Warto skonfigurować sam serwer SSH (zazwyczaj w pliku /etc/ssh/sshd_config), by pracował na dowolnym, innym porcie niż 22 (ze względów bezpieczeństwa szczególnie jest to zalecane, gdy SSH ma być dostępne od strony Internetu!). W proponowanej przez nas konfiguracji SSH działa na nietypowym porcie 7878. Dostęp do innych portów (usług) serwera określa się w odrębnym pliku iserv.cfg.

SSH_LIST_LIMIT_M - określa limit nawiązywanych nowych połączeń SSH na minutę z jednego adresu IP. Przykład wpisu: SSH_LIST_LIMIT_M=''4''.

SMTP_LIMIT_S - określa limit połączeń SMTP (wysyłanie poczty, port 25 i 587) dla każdego klienta. Wpisana wartość oznacza ilość sekund pomiędzy kolejnym połączeniem (np. 5 - pozwoli na wysłanie kolejnego listu po upływie 5 sek. od poprzedniego połączenia SMTP danego klienta). Nadużycia (gdy klienci np. rozsyłają świadomie bądź nieświadomie spam) będą logowane i doraźnie widoczne po wydaniu komendy dmesg. Stosowne informacje [SMTP_FLOOD] możesz znaleźć także w dobowym raporcie logwatch. Warto sprawdzać to regularnie.

TTL - określenie zmiany TTL pakietu. Jeśli ''po drodze'' od naszego routera do klienta nie ma dodatkowego routera, to ustawiając wartość TTL dla danego klienta w LAN na 1 - utrudniamy dalsze udostępnianie przez niego Internetu. Elementy rozdzielone minusem, więcej wpisów: spacją. Przykłady wpisów: TTL=''192.168.1.5-1'', TTL=''192.168.2.0/24-255 192.168.1.23-2''. Zmiana wartości TTL nie dotyczy protokołu icmp.

TCPSYN_LOG - włączenie logowania informacji o dużej ilości przychodzących połączeń tcp syn. Zmienna przyjmuje wartości: yes lub no (puste).

MAC_CHECK_LOG - logowanie informacji o braku zgodności MAC z IP, gdy włączono to powiązanie zmienną MAC_CHECK. Zmienna przyjmuje 2 wartości: yes lub no (puste).

SMTP_LIMIT_LOG - logowanie informacji o próbach wysyłania spamu przez klientów. Zmienna przyjmuje 2 wartości: yes lub no (puste).

ICMP_PROTECT - ochrona przed niewłaściwymi próbami połączeń ICMP. Zmienna przyjmuje 2 wartości: yes lub no (puste).

9.1.5 Logowanie ruchu i statystyki sieci

LOGS_IP - określa hosty lub sieci, z których wszystkie nawiązywane z Internetem połączenia będą logowane (standardowo wpisy trafiają do /var/log/logs_ip i są również widoczne po wydaniu komendy dmesg). Plik z danymi jest automatycznie, raz na dobę archiwizowany (jeśli jego wielkość tego wymaga). Archiwum przenoszone jest do katalogu domowego użytkownika admin (/home/users/admin/logs/). Kolejne IP rozdzielamy spacją. Należy liczyć się z możliwością pojawienia się bardzo dużej ilości wpisów w logach. Przykład wpisu: LOGS_IP=''192.168.1.4 192.168.1.55'' (gdy logujemy tylko połączenie wybranych klientów) lub np. LOGS_IP=''192.168.1.0/24'' (gdy logujemy połączenie wszystkich klientów z danej sieci). Nie należy stosować jednocześnie obu metod zbierania logów (LOGS_IP i ULOG_ON).



ULOG_ON - włączenie szczegółowego logowania przekazywanych połączeń przy wykorzystaniu celu ULOG i oprogramowania ulogd. Dane zbierane są w pliku /var/log/ulogd.logemu (lub ulogd.pcap) oraz automatycznie, raz na dobę archiwizowane. Pliki archiwum przenoszone są do katalogu domowego użytkownika admin (/home/users/admin/logs/). Zmienna przyjmuje 2 wartości: yes lub no (puste). Przypominamy! Zaleca się wybranie tylko 1 metody zbierania logów: LOGS_IP lub ULOG_ON.

ULOG_FORMAT - określa format pliku, w którym zbierane będą dane. Metoda logemu - dane zapisywane w postaci tekstowej, umożliwiającej ich bezpośrednie odczytanie, w pliku /var/log/ulogd.logemu. Metoda pcap - dane zapisywane w formacie pcap, wymagają użycia odrębnego programu do ich odczytania (np. Wireshark). Plik z danymi ulogd.pcap zajmuje nieco mniej miejsca, niż standardowy ulogd.logemu (mimo, iż zawiera więcej informacji). Zaawansowany administrator z pewnością doceni format pcap i możliwość obróbki pliku logu, szczegółowego przeszukiwania i generowania raportów przy pomocy Wireshark.

STATIPTA - określa adres sieci, dla których będą zbierane dane przy użyciu modułu statystyki ipt_account. Przykład wpisu: STATIPTA=''192.168.1.0/24''. Gdy więcej podsieci, elementy rozdzielamy spacją. Liczniki statystyk są zapisywane i odtwarzane podczas każdego restartu oprogramowania. Nie zaleca się stosowania dla więcej niż 10 sieci. Ponadto ipt_account nie obsługuje sieci z maską poniżej /24 (sieci większych niż 255 IP). Aby zresetować liczniki, uruchom rc.fiqs z parametrem reset (./rc.fiqs reset). Dokonując zmian w zawartości tej zmiennej lub dodając nową sieć - należy pamiętać o wydaniu z konsoli poleceń: account_create oraz /etc/intrux/reset

DL_LIMIT_UNIT - włącza obsługę limitów oraz określa jednostkę (MB lub GB), w jakiej podawana jest wielkość limitu dla danego klienta w pliku dlimit.cfg. Wpisanie MB lub GB włącza obsługę limitu transferu (tylko download) z sieci Internet do klienta w sieci lokalnej. Aby limity działały musi być włączony moduł statystyk ipt_account (ww. zmienna STATIPTA musi zawierać adres sieci). Zliczanie i ograniczanie działa tylko dla 1 sieci, podanej jako pierwsza w zmiennej STATIPTA. Klient, który przekroczy swój limit, nie może pobrać żadnych danych z Internetu, jednak ma dostęp do sieci lokalnej. Stan liczników jest zapisywany podczas każdego restartu firewalla. Reset liczników wykonywany jest poleceniem /etc/intrux/reset.

9.1.6 Ustawienia przekierowań

PROXY_SERV - włącza przekierowania ruchu www dla klientów wymienionych w pliku proxy.cfg. Zmienna ustala przekierowania na lokalny serwer PROXY (na tej samej maszynie: ''REDIRECT'' lub ''yes'' - obie wartości skutkują tym samym) lub na inny serwer PROXY w sieci lokalnej (podaj wtedy jego IP). Przykłady prawidłowych wpisów: PROXY_SERV=''yes'', PROXY_SERV=''REDIRECT'', PROXY_SERV=''192.168.1.200''. Po włączeniu zmiennej należy jeszcze wpisać klientów i port serwera proxy w pliku proxy.cfg.

IPF_ALIAS_ON - włączenie automatycznego tworzenia aliasów na interfejsie internetowym dla udostępnianych przy pomocy DNAT adresów IP w pliku ipf.cfg. Zmienna przyjmuje 2 wartości: yes lub no (puste).

REDIRECT - określa szczegółowe przekierowania - opcja dla zaawansowanych. Przykład wpisu: REDIRECT=''192.168.1.0/24-194.204.152.34-192.168.1.1-53-udp'' (kto-gdzie-cel-port-protokół). Elementy rozdzielamy znakiem minus, natomiast kilka wpisów rozdzielamy spacją. Objaśnienie powyższego przykładu: wszystkie wywołania portu 53(udp) z adresów sieci 192.168.1.0/24 skierowane do adresu 194.204.152.34 będą przekierowane na IP 192.168.1.1.

9.1.7 Autoryzacja RACL

RACL - włączenie autoryzacji www, czyli konieczności zalogowania się klientów przez formularz www przed uzyskaniem dostępu do Internetu. Zmienna przyjmuje 2 wartości: yes lub no (puste).



RACL_MODE - określa sposób działania autoryzacji. Gdy wybrano ''return'', autoryzacja dotyczy tylko klientów, dla których wybrano tę metodę autoryzacji (wymienionych w pliku racl.cfg). Gdy wybierzemy ''deny'' - obowiązuje wszystkich (każdy z klientów musi więc mieć wybraną metodę autoryzacji RACL, ustalone logi i hasło - posiadać stosowny wpis w pliku racl.cfg). Wartość ''return'' umożliwia więc autoryzację tylko części klientów.

RACL_LOGIN_ADDR - określa adres, na który zostaną przekierowani przy pomocy DNAT autoryzowani klienci. Domyślnie jest to strona przekierowująca na formularz obsługiwany szyfrowanym połączeniem SSL.

RACL_CHK_METOD - określa metodę sprawdzania aktywności klienta (czy jego komputer jest nadal włączony). Dostępne metody, to arpscan (1), arping (2) oraz ping (3).

RACL_CHK_TIME - określa interwał czasowy (w minutach) sprawdzania aktywności klienta. Gdy podamy ''0'' - klient nie będzie sprawdzany. Aktualnie obowiązujące uprawnienia resetowane są, gdy z poziomu konsoli wykonujemy restart ustawień bez parametru soft.

9.1.8 Zaawansowane ustawienia QoS

FAST_L7 - włącza znakowanie przy pomocy layer7 dla połączeń kolejki określonej zmienną QOS_FAST. Zmienna przyjmuje 2 wartości: yes lub no (puste).

FAST_L7_PROTO - określa protokoły layer7, gdy ww. zmienna FAST_L7=''yes''. Poszczególne wpisy rozdzielamy spacją. Definicje obsługiwanych protokołów znajdują się w katalogu /etc/l7-protocols/. Przykład wpisu: FAST_L7_PROTO=''ssh''.

FAST_ICMP - włączenie umożliwia obsługę protokołu icmp (ping) w kolejce fast. Zmienna przyjmuje 2 wartości: yes lub no (puste).

FAST_VOIP_SIP_RTP - włączenie umożliwia obsługę protokołu sip rtp (voip) w kolejce fast. Zmienna przyjmuje 2 wartości: yes lub no (puste).

FAST_PORTS_TCP - zmienna określa porty tcp, z których ruch obsługiwany będzie kolejką fast. Poszczególne, pojedyncze porty rozdzielane wyłącznie spacją! Obsługa bezpośrednio w tc (bez markowania). Przykład wpisu: FAST_PORTS_TCP=''22 53''.

FAST_PORTS_UDP - określa porty udp, z których ruch obsługiwany będzie kolejką fast. Poszczególne, pojedyncze porty rozdzielane wyłącznie spacją! Obsługa bezpośrednio w tc (bez markowania). Przykład wpisu: FAST_PORTS_TCP=''53''.

FAST_PORTS_TCP_M - zmienna określa porty tcp markowane do kolejki fast. Tutaj można stosować zakres portów oraz rozdzielanie przecinkiem i spacją. Przykład wpisu: FAST_PORTS_TCP_M=''20:22,53''.

FAST_PORTS_UDP_M - określa porty udp markowane do kolejki fast. Tutaj można stosować zakres portów oraz rozdzielanie przecinkiem i spacją. Przykład wpisu: FAST_PORTS_UDP_M=''53,20000''.

FAST_IP - określa adresy IP, z którymi połączenia obsługiwane będą w kolejce fast. Adresy IP hostów w Internecie rozdzielane spacją. Przykład wpisu: FAST_IP=''123.45.67.89''.

PRIO_DL_DNS - włączenie obsługi połączeń informacji DNS w kolejce prio. Zmienna przyjmuje 2 wartości: yes lub no (puste).

PRIO_DL_ICMP - włączenie obsługi protokołu icmp (ping) w kolejce prio. Zmienna przyjmuje 2 wartości: yes lub no (puste).



PRIO_UL_DNS - włączenie obsługi zapytań DNS w kolejce prio. Zmienna przyjmuje 2 wartości: yes lub no (puste).

PRIO_UL_ACK - włączenie obsługi pakietów potwierdzeń ACK w kolejce prio. Zmienna przyjmuje 2 wartości: yes lub no (puste).

PRIO_UL_ICMP - włączenie obsługi protokołu icmp (ping) w kolejce prio. Zmienna przyjmuje 2 wartości: yes lub no (puste).

HTB_QUANTUM - określ parametr htb quantum. Opcja - wpis nie jest wymagany. Przykład: HTB_QUANTUM=''quantum 1500''.

HTB_R2Q - określ parametr htb r2q. Opcja - wpis nie jest wymagany. Przykład: HTB_R2Q=''r2q 10''.

QOS_HASH_DL - zmienna umożliwia wybór parametru hash download w kolejkach głównych. Standardowo jest to dst. Tylko nietypowe konfiguracje wymagają zmiany parametrów hash na odmienne od domyślnie proponowanych ustawień. Opcja dla zaawansowanych.

QOS_HASH_UL - wybór parametru hash upload w kolejkach głównych. Standardowo src.

QOS_HASH_USER_DL - wybór parametru hash download w kolejkach użytkowników. Standardowo src.

QOS_HASH_USER_UL - wybór parametru hash upload w kolejkach użytkowników. Standardowo dst.

QOS_HASH_SRR_DL - wybór parametru hash download w kolejkach głównych, gdy metoda to srr.

QOS_HASH_SRR_UL - wybór parametru hash upload w kolejkach głównych, gdy wybrana metoda kolejkowania to srr.

QOS_SRR_SLOTS - określa ilość (parametr) slots w metodzie srr w głównych kolejkach. Przykład: QOS_SRR_SLOTS=''64''. Zazwyczaj wartość 64 jest optymalna.

QOS_SRR_USER_SL - określa ilość (parametr) slots w metodzie srr w kolejkach użytkowników. Przykład: QOS_SRR_SLOTS=''64''. Zazwyczaj wartość 64 jest optymalna.

QOS_FAST_DELAY - parametr delay w kolejce fast. Przykład wpisu: QOS_FAST_DELAY=''1s'', QOS_FAST_DELAY=''50ms''.

RATE_P - procent dla określenia rate całości łącza. Zalecana wartość w zakresie 90-100, np. 95. Przykład: RATE_P=''95''.

QOS_INFO - włączenie wyświetlania dodatkowych informacji podczas restartu oprogramowania. Zmienna przyjmuje 2 wartości: yes lub no (puste).

QOS_USER_INFO - włączenie wyświetlania podczas restartu dodatkowych informacji o wielkościach kolejek użytkowników. Zmienna przyjmuje 2 wartości: yes lub no (puste).

NO_QOS_ROUTER - połączenia inicjowane bezpośrednio z routera do określonych tu IP w sieci Internet nie będą kolejkowane. Wpisy rozdzielane spacją. Przykład: NO_QOS_ROUTER=''194.204.159.1 194.204.152.34''.

START_T_NOC - określ godzinę, w której cron ma wykonać przełączenie użytkowników sieci na prędkość taryfy nocnej. Format wpisu: HH:MM (godzina i minuta rozdzielone dwukropkiem), np. ''23:30''.

STOP_T_NOC - określ godzinę powrotu do prędkości taryfy dziennej. Format wpisu: HH:MM (godzina i minuta rozdzielone dwukropkiem), np. ''07:30''.



USER_SPEC_SPEED - włączenie specjalnego przyspieszenia dla kolejki użytkownika. Działa wyłącznie dla algorytmu HFSC. Stosuj z rozwagą. Zmienna przyjmuje 2 wartości: yes lub no (puste). Gdy włączona - podaj odpowiednie wartości w nw. zmienne określające prędkość i czas - zarówno dla download, jak i upload.

USER_SPEC_PROC - włączenie formatu procentowego zamiast w kbit dla wartości prędkości przyspieszenia kolejki użytkownika.

DL_USER_SPEC_SPEED - wartość prędkości download (ściąganie) klienta (w kbit lub %) oraz czas jej obowiązywania w sekundach rozdzielone średnikiem. Podana prędkość (jeśli w kbit) powinna być większa od standardowo dostępnej dla klientów sieci. Jeśli zaś w procentach (gdy włączono ww. USER_SPEC_PROC) - będzie to zawsze wartość pow. 100. Przykład wpisu: ''125;5'' (klient przez pierwsze 5 sek. osiągnie prędkość dla nowego połączenia o wartości równej 125% swojej standardowej prędkości download). Można także ustawić wartość ''auto''. Wtedy klient może uzyskać przez pierwsze 3 sekundy prędkość wielkości 80% wartości DOWNLOAD łącza WAN.

UL_USER_SPEC_SPEED - wartość prędkości upload (wysyłanie) klienta (w kbit lub %) oraz czas jej obowiązywania w sekundach rozdzielone średnikiem. Podana prędkość (jeśli w kbit) powinna być większa od standardowo dostępnej dla klientów sieci. Jeśli zaś w procentach (gdy włączono ww. USER_SPEC_PROC) - będzie to zawsze wartość pow. 100. Przykład wpisu: ''120;1'' (klient przez pierwszą sekundę osiągnie prędkość dla nowego połączenia o wartości równej 120% swojej standardowej prędkości upload). Można także ustawić wartość ''auto''. Wtedy klient może uzyskać przez pierwsze 2 sekundy prędkość wielkości 60% wartości UPLOAD łącza WAN. Używaj z rozwagą!

9.1.9 Zaawansowane ustawienia limitowania ruchu

ICMP_INPUT_LIMIT - określa limit przychodzących połączeń icmp (limit;burst). Format wpisu: wyłącznie 2 elementy rozdzielone średnikiem, np. ''10;2''.

P2P_UDP_S_LIMIT - określa limit rozpoznanych połączeń udp P2P - dotyczy każdego klienta odrębnie, np. ''20''.

LENGTH_REJECT - pakiety o określonej długości zakresu length zostaną odrzucone, np. ''2000:20000''. Przykładowy wpis bywa przydatny w blokowaniu nadużyć programu P2P Ares.

DST_LIMIT - określa limit ilości wysyłanych pakietów na sekundę - dotyczy odrębnie każdego klienta. Używaj z rozwagą. Przykład: DST_LIMIT=''100''.

P2P_IPSET_LIMIT - zmienna określa limit ilości połączeń tcp na portach powyżej 1024. Po przekroczeniu limitu połączenia są automatycznie blokowane przez 1 min. przy wykorzystaniu oprogramowania ipset. Dotyczy każdego klienta odrębnie i jest bardzo skutecznym zabezpieczeniem przed dużą ilością połączeń. Określ interfejs LAN, którego dotyczy limit oraz liczbę możliwych połączeń. Format wpisu: wyłącznie 2 elementy (interfejs-limit) rozdzielone znakiem minus, np. ''eth0-20''. Aktualny stan zawsze można wyświetlić na konsoli, wydając polecenie: ipset -L p2p

HASH_LIMIT_LAN_DEV - zmienna określa interfejs LAN, na którym działa uniwersalne limitowanie pakietów na sek. np. ''eth0''.

HASH_LIMIT_DOWNLOAD - określa wartość dopuszczalnej ilości ściąganych (download) pakietów na sek. Limit dotyczy każdego klienta odrębnie. Przykład wpisu: ''1000''.

HASH_LIMIT_UPLOAD - określa wartość dopuszczalnej ilości wysyłanych (upload) pakietów na sek. Limit dotyczy każdego klienta odrębnie. Przykład wpisu: ''100''.

HASH_LIMIT_NOPORT_TCP - określa porty tcp, z którymi połączenia nie będą limitowane. Można stosować zakres portów oraz rozdzielanie przecinkiem i/lub spacją. Przykład: ''80,443''.



HASH_LIMIT_NOPORT_UDP - określa porty udp, z którymi połączenia nie będą limitowane. Można stosować zakres portów oraz rozdzielanie przecinkiem i/lub spacją. Przykład wpisu: ''53''.

HASH_LIMIT_NO_IP - określa adresy IP, z którymi połączenia nie będą limitowane.

HASH_LIMIT_TYPE - zmienna pozwala określić charakterystykę działania - miejsce tworzenia reguł hashlimit. Przyjmuje 2 wartości: raw lub filter. Gdy puste, działa w tablicy raw.

HASH_LIMIT_BURST - określa wartość parametru burst limitowania hashlimit (domyślna wartość, gdy puste, to 2).

HASH_LIMIT_DL_MODE - określa tryb hash download (domyślnie, gdy puste, to dstip).

HASH_LIMIT_UL_MODE - tryb hash upload (domyślnie, gdy puste, to srcip).

9.1.10 Pozostałe ustawienia

FRW_MODE - określa tryb obsługi reguł forwardu klientów sieci. Zalecane użycie: ''ipset''. Funkcjonalność ipset nie jest używana, gdy określono DST_LIMIT. Listę przypisanych IP w tablicy ipset o nazwie fwout można wyświetlić poleceniem: ipset -L fwout

SNAT_MODE - określa tryb obsługi reguł nat dla klientów sieci. Zalecane użycie: ''ipset''. Tryb ipset nie będzie używany, jesli NAT_ON=''file'' (określono reguły nat w pliku snat.cfg). Listę przypisanych IP w tablicy ipset o nazwie nat można wyświetlić poleceniem: ipset -L nat

LOCAL_PORTF_DEV - określa interfejs LAN, na którym również lokalnie obowiązują przekierowania portów z pliku port.cfg.

LAN_QOS_DEV - określa interfejs LAN, który będzie skierowany do kolejkowania z użyciem IMQ. Rozwiązanie alternatywne, gdyż standardowo to WAN jest kierowany do IMQ. Przydatne m.in. w sytuacji, gdy działa lokalny serwer proxy. Przykład wpisu: ''eth0''.

LOCAL_SERV_IP - podaj IP lokalne serwera, gdy do IMQ kierowany jest interfejs LAN (ww. zmienna LAN_QOS_DEV) lub gdy kolejki wykonane są na interfejsach fizycznych bez użycia IMQ. Przykład wpisu: ''192.168.1.1''.

LOCAL_PROXY_SERV_IP - podaj IP lokalne serwera proxy, gdy włączono przekierowanie na proxy. Przykład wpisu: ''192.168.1.1''.

LAN_PORT_NO_QOS - określ porty, które nie podlegają kolejkowaniu w obrębie sieci LAN, gdy do IMQ kierowany jest interfejs LAN (zmienna LAN_QOS_DEV). Elementy (porty lub zakresy portów) rozdzielane wyłącznie przecinkiem (tylko 1. pełny wpis bez spacji!). Przykład wpisu: ''137:139,445,80,443,3128''.

DL_VDEV - określ interfejs kolejkowania download. Standardowo jest to imq0. Jeśli fizyczny, to LAN, czyli z reguły eth0. Zazwyczaj nie wymaga zmian i pozostaje puste.

UL_VDEV - określ interfejs kolejkowania upload. Standardowo jest to imq1. Jeśli fizyczny, to WAN, czyli najczęściej eth1. Zazwyczaj nie wymaga zmian i pozostaje puste.

USER_UL_CLSFY - włączenie classify dla upload, gdy kolejkowanie wykonano w ww. zmiennych na interfejsach fizycznych.

BKP_FILES - włączenie skutkuje wykonywaniem kopii bezpieczeństwa wszystkich plików .cfg podczas każdego restartu oprogramowania. Zmienna przyjmuje 2 wartości: yes lub no (puste).



Kopie zachowywane są w katalogu /etc/intrux/.bk/{DATA}. Pozwala to na łatwe przywrócenie przez administratora niemal każdego stanu wcześniejszej konfiguracji. Należy pamiętać o tej możliwości w przypadku trudności ze znalezieniem ostatnio popełnionego błędu.

GEN_HOSTS - gdy włączone, oprogramowanie generuje podczas każdego restartu plik /etc/hosts na podstawie informacji nagłówkowych z pliku /etc/intrux/def/hosts oraz adresu IP i nazwy klienta z pliku client.cfg. Zmienna przyjmuje 2 wartości: yes lub no (puste). Niekiedy w zaawansowanych konfiguracjach serwerów takie automatyczne generowanie pliku może przeszkadzać.

GEN_ARP - podczas restartu dodaje aktualne wpisy powiązań IP z MAC klienta w tablicy arp. Elementarne zabezpieczenie przed podszywaniem (świadomą zmianą MAC). Zmienna przyjmuje 2 wartości: yes lub no (puste).

GEN_DHCPD - generuje podczas restartu plik /etc/dhcpd.conf na podstawie informacji nagłówkowych z pliku /etc/intrux/def/dhcpd.conf oraz adresu IP, MAC i nazwy klienta z pliku client.cfg. Po wygenerowaniu uruchomi polecenie: service dhcpd restart. Zmienna przyjmuje 2 wartości: yes lub no (puste). Rozważ przydatność tej ''automatyzacji'' dla Twojej sieci - w zaawansowanych konfiguracjach niekiedy może przeszkadzać.

WIZYTOWKA - włącz wyświetlanie wizytówki sieci dla przypadkowych klientów. Taki klient otrzyma adres z zakresu 10.176.177.65-77 i zostanie przekierowany na stronę z treścią informacji, działającą na porcie 799 routera. Używaj z rozwagą! Opcja powinna być uprzednio aktywowana podczas konfiguracji interfejsów sieciowych z użyciem kreatora intrux-netset. Zmienna przyjmuje 2 wartości: yes lub no (puste).

M_CTSTATE - włącz użycie modułu conntrack zamiast standardowego state dla śledzenia stanu połączeń (SPI). Zmienna przyjmuje 2 wartości: yes lub no (puste).

DEF_FRW_ACPT - umożliwia ustawienie domyślnej polityki FORWARD firewalla na ACCEPT. Używaj tylko doraźnie, w uzasadnionych przypadkach! Zmienna przyjmuje 2 wartości: yes lub no (puste).

9.2 Konfiguracja interfejsów WAN (dla wersji 2xWAN i 4xWAN)

9.2.1 Podstawowe informacje i wstępna konfiguracja

Oprogramowanie INTRUX Firewall & QoS w wersjach 2xWAN i 4xWAN umożliwia dystrybucje ruchu pomiędzy łącza WAN zarówno w trybie wskazania konkretnych portów usług do obsługi danym interfejsem WAN (jest to tzw. ''podział na usługi''), jak i w trybie wskazania klientów sieci, którzy są obsługiwani w całości przez dane łącze WAN (tzw. ''podział na klientów''). Obie metody mogą być stosowane równocześnie. Można także określić, iż ruch do określonych hostów w sieci Internet będzie realizowany tylko konkretnym interfejsem WAN. Dodatkowo istnieje możliwość włączenia load-balancing (czyli próby równego obciążenia łącz) i stosowanie wszystkich tych metod równocześnie. Wszystko to daje ogromnie możliwości konfiguracji. Obserwacja statystyk obciążenia interfejsów WAN (każdy interfejs ma własny wykres w lstat) może być pomocna w doborze wymaganych parametrów podczas pracy sieci - zależnie od potrzeb i wymagań. Monitorowanie obciążenia interfejsów WAN jest szczególnie istotne, gdy posiadamy łącza o różnych parametrach prędkości.

Load-balancing umożliwia podniesienie odporności na awarię łącza, a w razie jej wystąpienia - klienci sieci nie stracą całkowicie możliwości korzystania z zasobów Internetu, a jedynie częściowo. Przypisanie klienta do konkretnego łącza WAN ma najwyższy priorytet w podziale multiWAN. Dzięki temu można łączyć metody podziału ''na usługi'' i ''na klientów'', jednak awaria łącza przypisanego dla danego klienta nie pozwoli mu na korzystanie z zasobów sieci Internet bez interwencji administratora. Wszystkie metody podziału mają swoje zalety i wady. Rolą administratora jest dokonywanie właściwego wyboru ustawień w reakcji na aktualny stan sieci WAN i LAN.

Wstępne ustawienia i istotne zmiany konfiguracji i pracy multiWAN należy zawsze wykonywać przy pomocy kreatora intrux-netset.



Istotniejsze zmiany w obrębie zaawansowanego podziału pomiędzy łączami WAN (włączenie, bądź wyłączenie danego interfejsu WAN) powinny zostać potwierdzone pełnym restartem interfejsów sieciowych lub samego serwera (wydaj polecenie reboot z konsoli).

Należy pamiętać, iż interfejsy WAN muszą posiadać stałe IP z różnych klas adresowych - łącza WAN nie mogą ''spotykać'' się na tej samej bramie!

Przy standardowej konfiguracji kolejkowania (WAN do IMQ) każdy klient posiada odrębne kolejki na łączach WAN (z opcją zwiększenia procentowo jej wartości dla konkretnych interfejsów w stosunku do standardowych wartości prędkości). Tak więc ruch klienta danym łączem może osiągać inne prędkości maksymalne, niż określone standardowo. Opis zmiennych odpowiedzialnych za konfiguracje tych i innych parametrów znajduje się w kolejnym rozdziale instrukcji. Oczywiście można także zrobić kolejkowanie po stronie LAN, gdzie niezależnie od ilości łącz WAN klient ma standardowo jedną własną kolejkę prędkości. Decyzja o wyborze danej metody jest jeszcze uwarunkowana innymi opcjami, które nie są bezpośrednio związane z istnieniem kilku łącz WAN. Wspomnimy o tym jeszcze w dalszej części instrukcji.

Dla łącza WAN2, WAN3 i WAN4 tworzone są jedynie: kolejka routera oraz kolejki użytkowników (analogicznie jak na łączu domyślnym WAN1, jednak - jak wspomniano wyżej - z możliwością zwielokrotnienia wartości ceil). Nie istnieją tam opcjonalne, odrębne kolejki usługowe typu fast, prio, www (jak to może mieć miejsce na łączu WAN1). Ponadto stosując ''podział na usługi'' z reguły nie zaleca się używania kolejek usługowych na łączu WAN1 (czyli najlepiej pozostawić puste wartości w zmiennych QOS_FAST, QOS_PRIO i oczywiście QOS_WWW). Zaawansowany administrator może jednak zdecydować inaczej.

Należy pamiętać, iż stosując udostępnianie IP (wpisy w pliku ipf.cfg) należy także w client.cfg włączyć danego klienta do obsługi w całości przez łącze WAN, z którego publiczne IP klient otrzymuje. Podczas edycji klienta na liście wybieramy dla niego stosowne łącze WAN oraz możemy śmiało włączyć opcję PUB, skoro klient będzie miał przypisane własne IP w pliku ipf.cfg.

W plikach ipf.cfg, iserv.cfg oraz portf.cfg można dokładnie określić, którego łącza dotyczy dany wpis (np. podając wartość 2 lub WAN2 w stosownej kolumnie).

9.2.2 Opis zmiennych pliku multiwan.cfg

MULTIWAN - włączenie i sposób działania podziału multiWAN. Ustawienie ''yes'' umożliwia podział tradycyjny, gdzie łącze WAN1 jest łączem domyślnym (obsługuje zawsze zapytania DNS i jest niezbędne do działania sieci), a na pozostałe łącza kieruje się usługi i/lub klientów. Ustawienie ''LB'' dodaje kolejną funkcjonalność: load-balancing (równe obciążenie łącz poprzez losowe kierowanie kolejnych połączeń na kolejny interfejs WAN). W tym przypadku łącze WAN1 nie jest niezbędne do działania sieci. Load-balancing umożliwia więc podniesienie odporności na awarię łącza, a w razie jej wystąpienia - klienci sieci nie stracą całkowicie możliwości korzystania z zasobów Internetu, a jedynie częściowo. Możliwe wartości zmiennej, to yes, LB lub no (puste).

WAN1_NET - określa adres sieci pierwszego łącza, domyślnego (określonego już częściowo w main.cfg zmienną INTERNET_DEV oraz INTERNET_IP). Należy podać adres sieci wraz z prawidłową maską (prefix) w krótkiej formie, np. ''81.123.45.67/29''. Kreator intrux-netset ustawił tam już wcześniej właściwą wartość. Jeśli jednak musisz dokonać zmian i nie wiesz, jaki powinien być prefix, użyj komendy:ipcalc TU.ADRES.IP.WAN TU.PELNA.MASKA -pnp.: ipcalc 83.12.34.56 255.255.255.248 -p

WAN1_GTW - określa adres IP bramy (gateway) dla sieci pierwszego łącza.

LB_EQZE - włącz parametr equalize dla load-balancing realizowanego bez użycia markowania z modułem statistic nth. Może mieć znaczenie, gdy LB_NTH_MARK jest wyłączone. Zmienna przyjmuje 2 wartości: yes lub no (puste).



LB_NTH_MARK - włącz markowanie dla load-balancing z wykorzystaniem modułu iptables statistic nth. To zaawansowane rozwiązanie pozwala na dokładne i równomierne obciążenie łącz WAN. Zmienna przyjmuje 2 wartości: yes lub no (puste).

LB_NTH_MARK_DEV - interfejs lub interfejsy LAN, na których następuje oznaczenie nowego połączenia dla potrzeb równomiernego rozłożenia ruchu w load-balancing z wykorzystaniem modułu iptables statistic nth. Przykład wpisu: ''eth0 ppp+''.

LB_NTH_IPSET_SEC - przypisanie ''na trwałe'' do danego łącza WAN przez określoną ilość sekund. Funkcja elementu load-balancing - umożliwia przypisanie klienta do kolejnego łącza WAN na trwałe, jeśli przez określoną ilość sekund wciąż dany klient korzysta z internetu. Przykładowa wartość: ''180'' (czyli 3 minuty). Ipset utworzy tablice o nazwach: wan1_ip, wan2_ip, wan3_ip oraz wan4_ip, w których będą umieszczane IP klientów na określoną ilość sekund. Klient realizujący kolejne połączenie w czasie, gdy jest już przypisany do jakiegoś interfejsu - spowoduje odliczanie dla siebie czasu od nowa (wciąż będzie obsługiwany tym samym interfejsem WAN). Jeśli jednak przez określoną ilość sekund nie nawiązał żadnego nowego połączenia - przy kolejnym może zostać przypisany już do innego interfejsu (zgodnie z algorytmem równego obciążenia łącz zastosowanym w oprogramowaniu FiQs). Bieżącą zawartość tablic można wyświetlać poleceniem: ipset -L, np. ipset -L wan2_ip pokaże listę IP, które aktualnie są przypisane do interfejsu WAN2 (czyli ich ruch internetowy realizowany jest łączem WAN2).

WAN1_TO_HOST - określ IP lub hosty w sieci Internet, do których połączenia będą realizowane w całości przez interfejs WAN1. Kilka wpisów rozdziel spacją. Podając domenową nazwę hosta licz się z wydłużeniem czasu restartu ustawień z powodu potrzeby odpytania przez iptables serwera DNS i wstawienia do reguł właściwych adresów IP. Przykład wpisu: ''onet.pl wp.pl''.

LB_WAN1_WEIGHT - waga (ważność, stopień wykorzystania) łącza dla load-balancing, gdy nie jest używane statistic nth (LB_NTH_MARK jest wyłączone). Zazwyczaj nie wymaga zmian. Przykład wpisu: ''1''.

WAN2_ON - włączenie i sposób obsługi łącza WAN2. Możliwe wartości zmiennej, to yes, LB lub no (puste).

WAN2_DEV - określa interfejs drugiego łącza. Zazwyczaj jest to eth2.

WAN2_IP - określa adres IP na interfejsie WAN2.

WAN2_NET - określa adres sieci drugiego łącza. Należy podać adres sieci wraz z prawidłową maską (prefix) w krótkiej formie, np. ''83.100.200.44/30''. Kreator intrux-netset ustawił tam już wcześniej właściwą wartość. Jeśli jednak musisz dokonać zmian i nie wiesz, jaki powinien być prefix, użyj komendy:ipcalc TU.ADRES.IP.WAN TU.PELNA.MASKA -pnp.: ipcalc 83.12.34.56 255.255.255.248 -p

WAN2_GTW - określa adres IP bramy (gateway) dla sieci drugiego łącza.

WAN2_DOWNLOAD - określa całkowitą prędkość pobierania (download) drugiego interfejsu w kbit. Przykład wpisu: ''4000''.

WAN2_UPLOAD - określa całkowitą prędkość wysyłania (upload) drugiego interfejsu w kbit. Przykład wpisu: ''500''.

WAN2_TCP_PORT - określa porty (usługi) protokołu tcp, z którymi połączenia klientów będą realizowane 2 łączem. Poszczególne wartości rozdzielamy spacją. Można stosować zakres portów. Przykład: ''80 443''.

WAN2_UDP_PORT - określa porty (usługi) protokołu udp, z którymi połączenia klientów będą realizowane 2 łączem. Poszczególne wartości rozdzielamy spacją.

WAN2_ICMP - włączenie obsługi protokołu icmp łączem WAN2.

WAN2_TO_HOST - określ adresy IP lub hosty w sieci Internet, do których połączenia będą realizowane w



całości przez interfejs WAN2. Kilka wpisów rozdziel spacją. Podając domenową nazwę hosta licz się z wydłużeniem czasu restartu ustawień z powodu potrzeby odpytania przez iptables serwera DNS i wstawienia do reguł właściwych adresów IP. Przykład wpisu: ''allegro.pl''.

WAN2_USER_CEIL_DL_X - określa procentowe zwiększenie lub zmniejszenie prędkości pobierania w kolejce klienta na 2 łączu. Jeśli wpiszemy np. wartość 150, to prędkość ceil (maksymalna) download (określana w pliku client.cfg) w kolejce danego klienta utworzonej dla drugiego łącza będzie 1,5 razy większa (150% wartości ceil).

WAN2_USER_CEIL_UL_X - określa procentowe zwiększenie lub zmniejszenie prędkości wysyłania w kolejce klienta na 2 łączu. Jeśli wpiszemy np. wartość 50, to prędkość ceil (maksymalna) upload (określana w pliku client.cfg) w kolejce danego klienta utworzonej dla drugiego łącza będzie o połowę mniejsza (50% wartości ceil).

DL2_VDEV - określa interfejs kolejkowania download WAN2. Domyślnie imq2. Zazwyczaj nie wymaga zmian i pozostaje puste. Jeśli fizyczny - podaj interfejs LAN (standardowo eth0).

UL2_VDEV - określa interfejs kolejkowania upload WAN2. Domyślnie imq3. Zazwyczaj nie wymaga zmian i pozostaje puste. Jeśli fizyczny - podaj rzeczywisty interfejs WAN2 (standardowo eth2).

9.2.3 Opis zmiennych w plikach wan3.cfg i wan4.cfg (dla wersji 4xWAN)

WAN3_ON - włączenie i sposób obsługi łącza WAN3. Możliwe wartości zmiennej, to yes, LB lub no (puste).

WAN3_DEV - określa interfejs trzeciego łącza. Zazwyczaj jest to eth3.

WAN3_IP - określa adres IP na interfejsie WAN3.

WAN3_NET - określa adres sieci trzeciego łącza. Należy podać adres sieci wraz z prawidłową maską (prefix) w krótkiej formie. Kreator intrux-netset zapewne ustawił tam już wcześniej właściwą wartość.

WAN3_GTW - określa adres IP bramy (gateway) dla sieci trzeciego łącza.

WAN3_DOWNLOAD - określa całkowitą prędkość pobierania (download) trzeciego interfejsu w kbit.

WAN3_UPLOAD - określa całkowitą prędkość wysyłania (upload) trzeciego interfejsu w kbit.

WAN3_TCP_PORT - określa porty (usługi) protokołu tcp, z którymi połączenia klientów będą realizowane 3 łączem. Poszczególne wartości rozdzielamy spacją. Można stosować zakres portów. Nie wolno podawać takich samych portów w analogicznej zmiennej dotyczącej innego interfejsu WAN.

WAN3_UDP_PORT - określa porty (usługi) protokołu udp, z którymi połączenia klientów będą realizowane 3 łączem. Poszczególne wartości rozdzielamy spacją. Nie wolno podawać takich samych portów w analogicznej zmiennej dotyczącej innego interfejsu WAN.

WAN3_ICMP - włączenie obsługi protokołu icmp łączem WAN3. Tylko dla jednego z łącz WAN można ustawić jako włączone.

WAN3_TO_HOST - określ IP lub hosty w sieci Internet, do których połączenia będą realizowane w całości przez interfejs WAN3. Kilka wpisów rozdziel spacją.

WAN3_USER_CEIL_DL_X - określa procentowe zwiększenie lub zmniejszenie prędkości pobierania w kolejce klienta na 3 łączu.

WAN3_USER_CEIL_UL_X - określa procentowe zwiększenie lub zmniejszenie prędkości wysyłania w kolejce klienta na 3 łączu.





Analogicznie dla pliku wan4.cfg wszystkie ww. zmienne występują w stosownej odmianie nazwy WAN4_ON, WAN4_DEV itd. i dotyczą one interfejsu WAN4.



Pamiętaj! Wszystkie ważniejsze zmiany w obrębie włączenia/wyłączenia danego interfejsu WAN powinny być potwierdzone pełnym restartem interfejsów sieciowych lub serwera (polecenie reboot z konsoli). W innym wypadku mogą występować istotne błędy mimo prawidłowych wpisów i łącze nie będzie działać właściwie.

9.3 Pozostałe pliki konfiguracyjne

9.3.1 band.cfg

Plik definicji 10 opcjonalnych taryf prędkości (od T0 do T9). W konfiguracji prędkości klientów (client.cfg lub moduł Klienci, urządzenia i powiadomienia) można odwoływać się do zdefiniowanych tu prędkości używając nazw taryf.

Plik edytowany jest automatycznie poprzez moduł panelu Grupy klientów i taryfy prędkości. Nie zaleca się więc jego edycji bezpośrednio z poziomu konsoli.

Taryfy można zdefiniować bardzo szczegółowo, podając wszystkie 4 elementy określające kolejkę: download_rate;download_ceil;upload_rate;upload_ceil lub tylko 2 elementy: download_ceil;upload_ceil (rate zostanie obliczone automatycznie). Poszczególne, 4 lub 2 elementy zmiennych rozdzielamy wyłącznie średnikiem. Ponadto dla prędkości gwarantowanej (rate) oraz maksymalnej (ceil) można stosować słowo auto. Nie można zmieniać nazw proponowanych zmiennych - obowiązują tu tylko podane T0, T1... do T9.

Wartości dla prędkości gwarantowanej (rate) należy określać z rozwagą - podając przemyślane parametry, aby suma prędkości rate nie przekroczyła wartości całości łącza! Nie jest wymagane używanie tego pliku (wszak w client.cfg można podawać prędkości bezpośrednio). Przykład zawartości ww. pliku:

T0=''auto;auto''T1=''auto;auto;auto;auto''T2=''auto;256;auto;32''T3=''auto;512;auto;64''T4=''128;1024;32;128''T5=''1;256;1;64''T6="auto;auto;auto;auto"T7="auto;256;auto;32"T8="auto;900;auto;auto"T9="128;auto;64;auto"



9.3.2 client.cfg

Z poziomu panelu www plik ten jest automatycznie edytowany za pomocą modułu Klienci, urządzenia i powiadomienia. Zalecamy konfigurację klientów sieci właśnie przy pomocy tego narzędzia. Edytując plik bezpośrednio w poziomu konsoli należy pamiętać, iż po zapisaniu zmian w pliku należy wykonać restart lub restart-soft, a dopiero później można ponownie zalogować się do panelu administracyjnego. Nigdy nie należy w tym samym czasie dokonywać zmian ustawień przy pomocy konsoli i panelu www.

Plik client.cfg wraz z main.cfg to najważniejsze pliki konfiguracyjne systemu. Określa konfigurację udostępniania Internetu i przydzielania pasma dla klientów (w kbit). Zawiera także loginy i hasła klientów dla potrzeb autoryzacji PPPoE lub RACL.

Stosując wpisy określające oferowaną prędkość danego klienta o wartości auto zamiast konkretnych liczb, prędkość ta jest automatycznie określana na maksymalną możliwą do osiągnięcia w danej chwili (jednak ta dynamika realizowana jest wyłącznie przez sam algorytm - bez żadnego dodatkowego ''wspomagania''). Optymalną wartością dla maksymalnej ilości jednoczesnych połączeń (tcp syn) danego klienta wydaje się być 50. Może mieć także wartość 0 (ograniczenie wtedy nie obowiązuje!).

Poszczególne elementy rozdzielamy spacją.Format wpisu:IP DL/UL(dz.) DL/UL(noc) CLIMIT MAC INT. PUB WAN NAZWA ATR LOGIN HASLO INFO GRUPYPrzykłady wpisów:192.168.1.2 256/32 auto 100 0 0 0 0 Kowalski 0 0 0 0192.168.1.3 T3 1024/128 100 0 ppp+ 0 0 Jan_Nowak pppoe t123 h123 0192.168.1.4 auto auto 0 00:12:AB:34:CD:56 0 0 0 HOST_4

Jeśli używanie adresów MAC i podawanie interfejsu klienta nie jest konieczne - należy zastosować wartość 0. Jeśli dla klienta jest wykonywany NAT (standard), w kolumnie PUB także powinno być 0. Gdy dany klient ma być w całości ''obsługiwany'' tylko łączem WAN2 - w kolumnie WAN2 należy wpisać wartość 2 lub WAN2 - w przeciwnym wypadku: 0. Analogicznie dla pozostałych interfejsów WAN (np. 3 lub WAN3). Przypisanie klienta do konkretnego łącza WAN ma najwyższy priorytet w podziale multiWAN. Dzięki temu można łączyć metody podziału ''na usługi'' i ''na klientów''.

Jeśli jedna wspólna kolejka klienta o określonej prędkości ma być współdzielona przez kilka adresów IP (kilka komputerów), należy poniżej standardowego wiersza wpisu dodać kolejny wiersz zawierający bezpośrednio przed IP znak - (minus).I tak np. wpisy:192.168.1.4 512/128 auto 100 0 0 0 0 HOST_4-192.168.1.3 auto auto 100 0 0 0 0 HOST_5-192.168.1.49 auto auto 100 0 0 0 0 HOST_6spowodują, iż komputery 192.168.1.3 oraz 192.168.1.49 będą limitowane we wspólnej kolejce klienta 192.168.1.4. Oznacza to przydzielenie wspólnej prędkości (zgodnie z ww. przykładem: 512/128) dla 3 różnych IP. Tak więc wpisy prędkości w wierszach dla IP ze znakiem minus nie mają znaczenia. Jednak informacje typu adres MAC, nazwa hosta itp. - oczywiście brane są pod uwagę.

9.3.3 dlimit.cfg

Plik konfiguracji limitu ilości ściągania danych. Gdy w grupie ''Logowanie ruchu i statystyki sieci'' pliku main.cfg dla zmiennej DL_LIMIT_UNIT wybrano jednostkę miary dla pobranych danych - wpisz tutaj IP klientów oraz ilość MB lub GB możliwych do pobrania (2 elementy rozdzielone spacją). Współpracuje z bazą account i zliczanie ilości pobranych danych działa tylko dla pierwszej sieci ze zmiennej STATIPTA main.cfg.Przykład wpisu:192.168.1.3 100



9.3.4 ipf.cfg

Konfiguracja przekierowania IP. Jeśli posiadasz kilka adresów publicznych, możesz udostępnić jeden z nich klientowi w sieci LAN. Należy utworzyć alias na interfejsie internetowym przy wykorzystaniu danego, udostępnianego IP (automatycznie przy pomocy zmiennej IPF_ALIAS_ON=''yes'' w main.cfg). Klient w sieci LAN nadal używa adresu prywatnego, jednak na zewnątrz będzie widoczny pod udostępnionym adresem publicznym. Ograniczenia prędkości i pozostałe parametry określone w client.cfg obowiązują bez zmian. Poszczególne elementy rozdzielamy spacją (pojedynczą, wielokrotną) lub tabulatorem. Ustawienie wartości max ilości połączeń na 0 oznacza brak ograniczenia.Format wpisu:ZEWN_IP LOKALNY_IP_LAN PROTOKOL CONNLIMIT (WAN2) (LAN) (SNAT)Przykład:120.34.45.156 192.168.1.30 all 0 WAN1 eth0 192.168.1.1120.34.45.157 192.168.1.31 all 0120.34.45.158 192.168.1.32 gre 200arp 83.34.45.158 all 100

Wpis z użyciem słowa arp na początku tworzy przekierowanie przy użyciu proxy_arp (umożliwia to ustawienie publicznego IP bezpośrednio na komputerze klienta, bądź innym urządzeniu docelowym w sieci LAN). Jest to skuteczny sposób na dostanie się do urządzenia od strony Internetu.

9.3.5 iserv.cfg

Konfiguracja usług serwera dostępnych na zewnątrz (od strony Internetu). Poszczególne elementy rozdzielamy spacją (pojedynczą, wielokrotną) lub tabulatorem. Można protokół, port i IP zastępować słowem all (udostępniając wszystkie protokoły, wszystkie porty i/lub dla wszystkich IP). Można stosować zakres portów oraz porty rozdzielone przecinkiem. Uwaga! Jeśli konkretny port (nie all), to protokół nie może być all. Gdy wpis dotyczy łącza WAN2, należy w ostatniej, opcjonalnej kolumnie wpisać wartość 2 lub WAN2.Format wpisu:PROTOKOL PORT IP_KLIENTA_WAN (WAN2)Przykład:tcp 80,443 alltcp 20:22 all 2all all 82.34.56.78

9.3.6 lan.cfg

Konfiguracja usług serwera dostępnych dla klientów w sieci lokalnej. Plik czytany jest przez oprogramowanie, gdy zmienna LIMIT_LAN=''yes'' w pliku main.cfg. Poszczególne elementy rozdzielamy spacją (pojedynczą, wielokrotną) lub tabulatorem. Można stosować słowo all dla protokołu i portu. Można stosować zakresy portów oraz porty rozdzielone przecinkiem. Uwaga! Jeśli konkretny port (nie all), to protokół nie może być all.Format wpisu:PROTOKOL PORT IP_KLIENTA/SIECI_LAN SERWER/SIEC_IP INTERFEJSPrzykład:all all 192.168.1.0/24 192.168.1.0/24 eth0udp 67,68 0.0.0.0 255.255.255.255 eth0tcp 80 192.168.1.0/24 192.168.1.1 eth0udp 137:138 192.168.1.0/24 192.168.1.0/24 eth0



9.3.7 mserv.cfg

Zawartość pliku generowana jest automatycznie - z reguły nie należy edytować go z poziomu konsoli! Konfiguracja przekierowania portu 80. Żądania tego portu (www) przez klientów w sieci LAN mogą być przekierowywane na lokalny port serwera (np. w celu wyświetlenia informacji od administratora sieci). Poszczególne elementy rozdzielamy spacją. Jeśli w 3. kolumnie zastosujemy słowo all, to klient traci dostęp do Internetu, a jego przeglądarka www jest cały czas przekierowywana na komunikat. Komunikat potwierdzany po przeczytaniu wysyła się podając słowo on w 3. kolumnie.Format wpisu:IP_KLIENTA_LAN IP_SERWERA:PORT LIMITPrzykład:192.168.1.2 192.168.1.1:300 on192.168.1.103 192.168.1.1:301 all

9.3.8 noport.cfg

Konfiguracja blokowania portów. Żądania klientów w sieci LAN do i z danego portu lub portów (można stosować zakresy portów lub listę rozdzielaną przecinkiem) dla połączeń internetowych będą natychmiast blokowane. Poszczególne elementy rozdzielamy spacją (pojedynczą, wielokrotną) lub tabulatorem. Opcjonalna czwarta kolumna wiersza wpisu może przyjmować wartość raw. Wpis taki powoduje określenie decyzji NOTRACK oraz odrzucenie połączeń z/do określonych portów już w tablicy raw. Jest to skuteczne zabezpieczenie przed wirusami działającymi na konkretnych portach, a wpis taki nie powoduje obciążenia serwera w przypadku wystąpienia licznych połączeń zawirusowanych komputerów. Można także umieścić reguły blokad w tablicy security iptables (wpis sec).Format wpisu:PROTOKOL IP_KLIENTA_LAN PORT (raw/sec)Przykład:tcp 192.168.1.2 21,22,25tcp 192.168.1.5 80 secudp 192.168.1.0/24 137:139,445 raw

9.3.9 nostring.cfg

Plik konfiguracji blokowania połączeń, gdy wystąpi podany ciąg znaków. Dwa elementy rozdzielane spacją (adres ip klienta oraz wyrażenie). Dla wiersza wpisu można użyć w 2 kolumnie wyłącznie jednego pełnego ciągu znaków bez spacji. Opcja dla zaawansowanych. Nie działa przy jednoczesnym używaniu proxy.Format wpisu:IP_KLIENTA_LAN WYRAŻENIEPrzykład:192.168.1.5 mstring

9.3.10 notime.cfg

Plik konfiguracji blokowania połączeń klientów o określonej porze dnia oraz w wybranych dniach tygodnia. Elementy rozdzielamy spacją lub tabulatorem.Format wpisu:IP_KLIENTA_LAN GODZ:START GODZ:STOP DNI,TYGODNIAPrzykład:192.168.1.2 14:00 22:00 Mon,Tue,Wed,Thu,Fri,Sat,Sun192.168.1.0/24 8:00 23:55 all



9.3.11 oplaty.cfg

Zawartość pliku generowana jest automatycznie - z reguły nie należy edytować go z poziomu konsoli! Plik zawiera bazę opłaconych m-cy przez klienta. Edytowany jest z poziomu panelu administracyjnego.

9.3.12 p2pt.cfg

Konfiguracja blokowania rozpoznanego ruchu P2P w określonych porach czasu. Plik jest czytany przez oprogramowanie, gdy zmienna P2P_DENY_TIME=''yes'' w main.cfg. Poszczególne elementy rozdzielamy spacją (pojedynczą, wielokrotną) lub tabulatorem. Określenie all oznacza wszystkie dni tygodnia. Gdy nadejdzie czas obowiązywania danego ograniczenia - połączenia nawiązane wcześniej nie zostają zerwane, jednak nowe - rozpoznane połączenia P2P - nie będą mogły być nawiązane.Format wpisu:IP_KLIENTA_LAN GODZ:START GODZ:STOP DNI,TYGODNIAPrzykład:192.168.1.20 14:00 23:55 Mon,Tue,Wed,Thu,Fri192.168.1.20 7:00 23:55 Sat,Sun192.168.1.0/24 9:35 18:20 all

9.3.13 portf.cfg

Konfiguracja przekierowania portów. Poszczególne elementy rozdzielamy spacją. (pojedynczą, wielokrotną) lub tabulatorem. Zazwyczaj dany port powinien być dostępny z dowolnego adresu, więc w piątej kolumnie stosuje się słowo all. Kolumny 6 i 7 są opcjonalne.

Kolumna 7 służy do wpisania interfejsu lokalnego i lokalnego IP serwera (2 elementy rozdzielone dwukropkiem, np. eth0:192.168.1.1). Wpis taki może być wymagany, by dostać się do urządzenia, które standardowo nie pozwala na dostęp z IP spoza swojej klasy adresowej.

Nie można udostępniać tego samego portu dla różnych klientów w sieci. Gdy wpis dotyczy łącza WAN2, należy w 6 kolumnie wpisać wartość 2 lub WAN2. Analogicznie dla pozostałych łącz WAN.

Chcąc przekierować zakres portów, należy w 2 kolumnie rozdzielić zakres tradycyjnie dwukropkiem, a w 4 kolumnie ten sam zakres powinien zostać rozdzielony znakiem minus (patrz przykład poniżej).Format wpisu:PROTOKOL ZEW_PORT LOKALNY_IP PORT IP_KLIENTA_WAN (WAN2) (LAN_DEV:IP)Przykład:tcp 6080 192.168.1.60 80 all WAN1 eth0:192.168.1.1tcp 6081 192.168.1.61 80 alludp 4443 192.168.1.43 4443 81.12.34.56udp 5000:5100 192.168.1.51 5000-5100 all

9.3.14 proxy.cfg

Plik konfiguracji przekierowania klientów na serwer proxy. Plik czytany jest przez oprogramowanie, gdy określona została zmienna PROXY_SERV pliku main.cfg w grupie "Ustawienia przekierowań". 3 elementy (IP klienta, IP serwera proxy oraz jego port) rozdzielane spacją.Format wpisu:IP IP_SERWERA PORTPrzykład:192.168.1.0/24 192.168.1.1 3128



9.3.15 racl.cfg

Zawartość pliku generowana jest automatycznie - z reguły nie należy edytować go z poziomu konsoli! Plik konfiguracji przekierowania na lokalną stronę autoryzacji przez formularz www. Plik czytany jest przez oprogramowanie, gdy RACL=''yes'' w grupie ''Autoryzacja RACL'' pliku main.cfg. Wiersz wpisu składa się z 5 elementów rozdzielonych spacją. Login i hasło nie mogą być dłuższe niż 30 znaków. Nie mogą zawierać polskich liter z ''ogonkami''. Oprócz dużych i małych liter oraz cyfr, w loginie i haśle dopuszczalne jest jeszcze użycie znaku podkreślenia, minusa, kropki oraz @.Format wpisu:IP_KLIENTA_LAN LOGIN HASLO STATUS INTERFEJSPrzykład:192.168.1.2 login123 haslo123 on eth0192.168.1.3 jan.kowalski trudne-haslo on eth0

9.3.16 addcmd.cfg

Plik może zawierać konkretne polecenia, komendy konsoli Linuksa, które zostaną wykonane bezpośrednio po restarcie ustawień Firewall & QoS. Umożliwia m.in. dodawanie własnych reguł iptables, czy też wykonywanie restartu innych usług bezpośrednio po restarcie ustawień FiQs. Opcja dla zaawansowanych.

9.3.17 grupy.cfg

Plik edytowany jest z poziomu panelu administracyjnego poprzez moduł Grupy klientów i taryfy prędkości. Nie zalecamy edycji z poziomu konsoli. Zawiera listę zdefiniowanych grup. Z poziomu panelu można utworzyć dowolną ilość grup o dowolnych nazwach - wg potrzeb. Może to być własny podział wg dowolnego kryterium (np. klienci wifi i ''po kablu'', klienci 5GHz, klienci z danej ulicy, podsieci, podłączeni do danego AP, firmy i osoby pryw., zalegający w opłatach itd itp...). Sam zdecyduj, jaki podział i jakie grupy będą dla Ciebie przydatne. Danego klienta można przypisać z poziomu panelu do maksymalnie 5 grup jednocześnie.

9.3.18 lan_list.cfg

Plik jest czytany, gdy w zmiennej LAN_LIST main.cfg wpisano: file lub lan_list.cfg (uwaga - zmienna LAN_LIST jest nadpisywana przez intrux-netset). Zawiera listę sieci lokalnych LAN działających i mających dostęp do routera. Format wpisu: interfejs-adres/sieci (np. eth0-192.168.1.0/24). Elementy rozdzielone minusem. Każda sieć musi być wpisana w kolejnym wierszu pliku. Rozwiązanie zalecane, gdy posiadasz większą ilość adresów, interfejsów sieci LAN (gdy dopisane do zmiennej LAN_LIST stają się nieczytelne ze względu na jej długą zawartość).Format wpisu (jak w samej zmiennej LAN_LIST):INTERFEJS_LAN-SIECPrzykład:eth0-192.168.1.0/24ppp+-10.10.10.0/24

9.3.19 snat.cfg

Plik snat.cfg jest czytany, gdy zmienną NAT_ON w main.cfg ustawiono na: file. Określa reguły SNAT dla sieci lub klientów - standardowy NAT dla zapewnienia dostępu klasy prywatnej do Internetu.



Decydujesz, z jakim adresem interfejsu WAN klient będzie funkcjonował w Internecie. 3 elementy rozdzielamy spacją - adres klienta lub sieci lokalnej, interfejs WAN oraz adres IP interfejsu WAN. Przykłady: "192.168.1.25 eth1 83.12.34.56" lub "192.168.1.0/24 eth1 8.12.34.57". Każdy wpis w kolejnym wierszu pliku. Rozwiązanie zalecane w celu optymalizacji i zmniejszenia ilości reguł w większych sieciach. Umożliwia również szybkie, dowolne ustawienie z jakim adresem IP wychodzi dana podsieć, czy też klient. Pamiętaj, iż dany adres IP interfejsu WAN (podawany w ostatniej kolumnie pliku snat.cfg) musi być na nim uruchomiony! Sprawdź to poleceniem: ip a. W razie potrzeby edytuj więc uprzednio /etc/sysconfig/interfaces/ifcfg-eth1 (lub ifcfg-eth2 dla interfejsu WAN2), by uruchomić na danym interfejsie WAN kolejne IP. Po dokonaniu zmian - pamiętaj o restarcie interfejsów sieciowych i ustawień FiQs!Format wpisu:IP_KLIENTA/SIECI_LAN INTERFEJS_WAN ADRES_IP_WANPrzykład:192.168.1.2 eth1 81.23.45.67192.168.2.0/25 eth1 81.23.45.68192.168.2.128/25 eth1 81.23.45.69

10. Autoryzacja użytkowników przez formularz www

10.1 Włączenie autoryzacji RACL

Jak już zapewne wiesz, by włączyć autoryzację użytkowników poprzez przeglądarkę www, należy włączyć zmienną RACL (grupa ''Autoryzacja RACL'' w pliku main.cfg). Zmienna dostępna jest z poziomu panelu www w module Ustawienia Firewall & QoS.

Gdy zmienną RACL_MODE ustawiono na ''return'', autoryzacja www dotyczy tylko klientów, dla których wybrano taką metodę autoryzacji. Można wtedy stosować wymóg autoryzacji tylko dla części klientów. Gdy jednak wartość tej zmiennej ustawiona jest na ''deny'' - autoryzacja obowiązuje bez wyjątku wszystkich klientów w sieci LAN i bezwzględnie każdy z klientów w client.cfg musi mieć wybraną tę metodę autoryzacji (oraz wpisany login i hasło).

W zmiennej RACL_LOGIN_ADDR określa się adres, na który zostaną przekierowani przy pomocy DNAT autoryzowani klienci. Domyślnie jest to adres lokalnego serwera z VirtualHostem na porcie 399, gdzie z kolei znajduje się strona zawierająca wpis redirect (czyli przekierowująca) na VirtualHost działający w trybie szyfrowanym (SSL), na porcie 400 (strona z właściwym formularzem logowania). Zazwyczaj nie są wymagane żadne zmiany domyślnego wpisu w tej zmiennej. Jeśli jednak nie chcesz korzystać z SSL (lub gdy niektórzy użytkownicy sieci nie potrafią zaakceptować prywatnego certyfikatu m.in. przez irytujące ostrzeżenia nadgorliwych przeglądarek www), możesz wybrać port 401.

Po stronie klienta i jego przeglądarki www nie są wymagane żadne dodatkowe zabiegi (poza ewentualnym zaakceptowaniem prywatnego certyfikatu SSL przed wypełnieniem pól formularza logowania). Rolą administratora jest jedynie przydzielenie i przekazanie klientowi informacji o jego loginie i haśle - nie trzeba nic więcej konfigurować (jak ma to miejsce w przypadku połączeń PPPoE).

Aby wygenerować na nowo własny certyfikat dla połączeń SSL, można użyć polecenia /usr/intrux/bin/intrux-gen-cert.

10.2 Kontrola aktywności, zabezpieczenia i ograniczenia

Informacje o prawidłowym logowaniu są zapisywane w pliku .log_ok w katalogu /usr/intrux/www/vhosts/racl/. Aktywność klientów sprawdzana jest przy pomocy skryptu /usr/intrux/bin/intrux-racl-chk uruchamianego (bądź nie) cyklicznie z cron-a co zadaną ilość minut (zgodnie z wpisem w zmiennej RACL_CHK_TIME).



Podczas dokonywania zmian w ustawieniach konfiguracji, bądź w edycji klientów z poziomu panelu administracyjnego www - wszystkie przyznane aktualnie uprawnienia dostępu dla autoryzowanych klientów nie będą po każdorazowym restarcie oprogramowania wymagać ponownego potwierdzania (czyli konieczności ponownego logowania klienta), gdyż restart jest wykonywany z jednoczesnym włączeniem funkcji uprzedniego sprawdzenia i zachowania już przyznanych uprawnień (./rc.fiqs restart soft).

Pamiętaj, iż wykonując restart ustawień z poziomu konsoli bez użycia dodatkowego parametru soft - uprawnienia są resetowane (klient będzie musiał ponownie się zalogować).

Uwaga! Po kilkukrotnej próbie logowania z użyciem błędnego loginu lub hasła - dostęp do strony logowania dla IP danego klienta podejmującego nieudaną próbę zostanie trwale zablokowany. Stosując więc tą metodę autoryzacji należy często i regularnie zaglądać do katalogu /usr/intrux/www/vhosts/racl oraz racl_ssl i przeglądać każdy znaleziony plik o nazwie .log_{TU.ADRES.IP.KLIENTA}. Zawiera on cenne informacje. Jeśli dany klient rzeczywiście kilka razy omyłkowo wpisał błędną wartość podczas logowania - w celu usunięcia blokady należy usunąć stosowny plik .log_{TU.ADRES.IP.KLIENTA}.

Login i hasło klienta może składać się wyłącznie z małych i dużych liter (bez polskich ''ogonków''), cyfr oraz znaków _ (podkreślenia), - (minusa), . (kropki) oraz @ (''małpy''). Tylko takich znaków można używać podczas ustalania loginu i hasła dla klienta oraz w oknach formularza podczas logowania. Długość loginu nie może składać się z więcej niż 30 znaków. Takie samo ograniczenie dotyczy długości hasła.

10.3 Pozostałe informacje

Na stronie wyświetlonej po poprawnym zalogowaniu można łatwo zamieścić dodatkową informację dla wszystkich autoryzowanych użytkowników, bądź tylko dla konkretnego IP. Nie trzeba w tym celu bezpośrednio ingerować w plik index.php. W katalogu /usr/intrux/www/vhosts/racl i racl_ssl znajduje się plik o nazwie info.txt.tmp z przykładową zawartością informacji. Wystarczy zmienić jego nazwę na info.txt, a jego treść zostanie automatycznie dodana do standardowej informacji, którą klient widzi po poprawnym zalogowaniu. Jeśli plik ten skopiujesz w tym samym katalogu zmieniając jego nazwę na składającą się z IP danego klienta (np. plik będzie się nazywał: 192.168.1.2), to klient o tym IP zobaczy jego zawartość po zalogowaniu. W ten sposób można przekazać informację tylko konkretnemu użytkownikowi sieci. Kopiowanie ze zmianą nazwy pliku docelowego najłatwiej jest wykonać przy pomocy mc (klawisz F5).

Wygląd strony logowania zaawansowany administrator może zmienić i dostosować, edytując zgodnie z zasadami języka HTML, PHP, CSS. Właściwy plik index.php dostępny jest w ww. katalogu /usr/intrux/www/vhosts/racl i racl_ssl. Jak nietrudno się domyślić, katalog racl to strona logowania bez SSL, działająca na porcie 401, a katalog racl_ssl zawiera stronę dostępną na porcie 400 (https).

Jeśli autoryzacja RACL nie jest włączona, a do pliku racl.cfg dodawane są nowe aktywne wpisy, to po restarcie oprogramowania może pojawić się w logu panelu informacja o braku pliku stanu dla danego klienta - należy ją oczywiście zignorować, gdyż nie ma wpływu na działanie systemu.

11. Backup konfiguracji

Serwer standardowo raz na tydzień (w nocy z niedzieli na poniedziałek) wykonuje backup najważniejszych katalogów, umieszczając pliki archiwum w katalogu /home/users/admin/backup/{DATA}. Dane z poprzedniego tygodnia są po wykonaniu bieżącej kopii automatycznie usuwane, więc nie trzeba się obawiać, że po jakimś czasie z tego powodu zabraknie miejsca.

Aby połączyć się z serwerem przy pomocy ftp w celu przeniesienia plików na swój komputer, należy użyć loginu: admin oraz standardowego hasła: intrux80. (lub ustawionego samodzielnie przy pomocy intrux-pass). Stosunkowo łatwo można również zarządzać zawartością katalogu domowego użytkownika admin przez przeglądarkę www, wpisując np. adres ftp://admin:[email protected]



12. Zbieranie i archiwizacja logów ulogd

Jeśli zmienna ULOG_ON=''yes'' w main.cfg (lub włączono ją z poziomu panelu www w module Ustawienia Firewall i QoS), to w pliku /var/log/ulogd.logemu (lub ulogd.pcap - zależnie od wybranego formatu danych w zmiennej ULOG_FORMAT) zbierane są informacje o wszystkich połączeniach klientów realizowanych za pośrednictwem routera.

Logi te pakowane są raz na dobę do katalogu /var/log/archive/ oraz przenoszone do katalogu domowego użytkownika admin (/home/users/admin/logs/), a za pośrednictwem FTP można przenosić je na swój lokalny komputer celem np. archiwizacji na płycie CD lub DVD.

Znamy już sposób połączenia poprzez ftp z poprzedniego rozdziału. Dla przypomnienia - aby połączyć się z serwerem przy pomocy ftp, należy użyć loginu: admin oraz standardowego hasła: intrux80 (lub innego, jeśli zostało zmienione przy pomocy intrux-pass). Stosunkowo łatwo można również zarządzać zawartością katalogu domowego użytkownika admin przez przeglądarkę www, wpisując adres ftp://admin:[email protected]

Zdecydowanie zalecamy regularną archiwizację (przenoszenie i nagrywanie na trwały nośnik) zawartości katalogu /home/users/admin/logs/.

Pamiętaj! Pliki archiwalne mogą okazać się przydatne w najmniej oczekiwanym momencie, a gdy jesteś ISP - zbieranie tych informacji jest Twoim obowiązkiem. Kopiuj więc regularnie i archiwizuj spakowane pliki - logi.

13. Własna strona www

Pliki własnej strony www należy umieścić w katalogu /home/services/httpd/html/. Aby to uczynić, można w znany już nam sposób przenieść stosowne pliki do katalogu użytkownika admin przy pomocy opisanego w poprzednim rozdziale połączenia FTP. Skopiowane pliki z naszego dysku znajdą się w katalogu /home/users/admin/. Musimy je przenieść do katalogu serwera www, więc kolejną czynnością będzie zalogowanie się bezpośrednio do konsoli serwera lub poprzez SSH (np. przy użyciu programu putty). Następnie uruchamiamy mc , przechodzimy w jednym oknie do katalogu /home/services/httpd/html/, w drugim oknie do /home/users/admin/ i przenosimy (klawisz F6) stosowne pliki (czy też katalogi) do wspomnianego już, głównego katalogu serwera www.

Przypominamy, iż serwer w domyślnej konfiguracji nie umożliwia nawiązania połączenia do swoich usług, jeśli nawiązujemy połączenie od strony Internetu (od strony sieci lokalnej LAN domyślnie wszystkie usługi są dostępne). Wyjątkiem jest SSH działające na nietypowym porcie 7878. Dostęp do pozostałych usług określa się poprzez odblokowanie portów w pliku iserv.cfg. Edycję tego pliku można wykonać z poziomu panelu administracyjnego (moduł Edycja plików konfiguracyjnych) lub bezpośrednio z poziomu konsoli (/etc/intrux/iserv.cfg).

Tak więc gdy chcemy, aby serwer www był dostępny od strony Internetu, należy dodać wpis do ww. pliku o treści: tcp 80 all. Jeśli www ma być dostępne także poprzez szyfrowane połączenie SSL (wpisujemy w przeglądarce adres zaczynający się od https://), stosowny wpis może wyglądać tak: tcp 80,443 all. Jak zapewne się domyślasz, możesz zezwolić tylko i wyłącznie na połączenia szyfrowane, czyli: tcp 443 all. Taki rodzaj dostępu jest zalecany, gdy planujesz administrować serwerem zdalnie, gdy łączysz się z nim i używasz panelu administracyjnego właśnie od strony Internetu. Wpisujesz wtedy w przeglądarce adres https://TU.IP.SERWERA.WAN/intrux-admin/). Zwróć uwagę na literkę s (https) w adresie. Zaakceptuj w przeglądarce (lub dodaj do wyjątków) prywatny certyfikat SSL Twojego serwera.

Przypominamy, iż aby wygenerować na nowo własny certyfikat dla połączeń SSL, można użyć polecenia /usr/intrux/bin/intrux-gen-cert.



Jeśli natomiast usługa FTP ma być dostępna od strony Internetu, stosowny wiersz wpisu do iserv.cfg powinien wyglądać tak: tcp 20:21 all. Gdy dany port (usługa) ma być dostępny tylko z określonych adresów IP, w 3 kolumnie ww. pliku nie stosujemy słowa all, a podajemy konkretne IP komputera, z którego będziemy łączyć się z serwerem. Więcej informacji znajduje się w opisie pliku iserv.cfg w niniejszej instrukcji.

14. Uruchomienie i konfiguracja PPPoE

Serwer PPPoE nie jest standardowo uruchomiony. O jego uruchomienie pyta kreator intrux-netset. Możesz go włączyć także poleceniami: service pppoe-server start oraz chkconfig pppoe-server on. Jeśli serwer wymaga zmiany konfiguracji, należy jej dokonać edytując plik /etc/sysconfig/pppoe-server.

Użytkowników korzystających z tego rodzaju połączenia oprogramowanie INTRUX Firewall & QoS dodaje automatycznie do pliku /etc/ppp/chap-secrets zgodnie z formatem wpisu:

nazwa_klienta * hasło_klienta adres_ip_klienta

Pliku chap-secrets nie należy więc edytować z poziomu konsoli.

Aby klienci mogli korzystać także z dowolnych usług serwera, w pliku main.cfg (moduł Ustawienia Firewall i QoS w panelu www) dla zmiennej LAN_LIST powinien istnieć także (lub wyłącznie) wpis zawierający interfejs ppp+ (np. ppp+-10.10.10.0/24). Oczywiście możesz także przy pomocy wpisów w pliku lan.cfg (jeśli wcześniej ustawisz LIMIT_LAN=''yes'') ustawić bardzo szczegółowo dostęp na tym interfejsie tylko do konkretnych usług i z konkretnych adresów IP.

Jeśli chciałbyś zwiększyć bezpieczeństwo, to dla klientów PPPoE warto stosować adresy IP, które nie należą do klasy adresowej działającej w protokole TCP/IP na interfejsie LAN. Mogą to być zupełnie różne adresy. Jeśli jeszcze dodatkowo w client.cfg (lub w panelu www w okienku ''Interfejs'') podamy dla takiego klienta jako interfejs ppp+, spowoduje to działanie dostępu do Internetu tylko i wyłącznie po poprawnym zalogowaniu przez PPPoE.

Ustawienia zaawansowanych parametrów konfiguracji pppoe-server i pppd wykonuje się w plikach /etc/ppp/pppoe-server-options i /etc/ppp/options. Zazwyczaj domyślne wpisy są odpowiednie. Sprawdź jednak adresy IP serwerów DNS i w razie potrzeby - zmień na właściwe.

Uwaga! Proponowana konfiguracja serwera PPPoE w systemie INTRUX Firewall & QoS wymaga użycia podczas logowania wyłącznie bezpiecznego protokołu MS-CHAP v2 przez klienta. W większości zastosowań jest to właściwy wybór zapewniający profesjonalną, bezpieczną autoryzację. Jednak starsze routery sprzętowe mogą wymagać CHAP.

Pamiętaj, iż używając PPPoE w sieciach WLAN, musisz zadbać o dobrą jakość sygnału radiowego u klienta.

Po stronie klienta połączenie PPPoE zestawia się podobnie, jak ma to miejsce np. w usłudze ''neostrada''. W systemie Windows XP można to wykonać przy pomocy ''kreatora nowego połączenia sieciowego''. Rodzaj wybranego połączenia, to tzw. ''połączenie szerokopasmowe, wymagające nazwy użytkownika i hasła''. Konfiguracja jest bardzo łatwa. Poniżej przedstawiamy kolejne kroki:

1. W otwartym oknie Panelu Sterowania wybieramy ikonę ''Połączenia Sieciowe''.2. W kolejnym oknie (''Połączenia Sieciowe''), klikamy 2 razy na ikonie ''Kreator nowego połączenia'' lub

z menu po lewej stronie (''Zadania sieciowe'') wybieramy ''Utwórz nowe połączenie''.3. Otwarte zostanie kolejne okno - ''Kreator nowego połączenia'', gdzie klikamy przycisk ''Dalej''.4. Zapytani o typ połączenia sieciowego wybieramy opcję ''Połącz z Internetem'' i klikamy przycisk

''Dalej''.5. W kolejnym kroku wybieramy pozycję ''Konfiguruj moje połączenie ręcznie''.



6. Następnie zaznaczamy ''Połącz używając połączenia szerokopasmowego, wymagającego nazwy użytkownika i hasła''.

7. Pole ''Nazwa połączenia'' możemy pozostawić puste.8. W kolejnym oknie podajemy nazwę użytkownika oraz dwukrotnie - hasło.

Ponadto zalecane jest, aby na komputerze łączącym się przy pomocy PPPoE, został wyłączony protokół TCP/IP na karcie sieciowej.

Jeśli nie korzystasz z PPPoE i usługa serwera PPPoE jest zbędna w Twojej sieci - wyłącz ją poleceniem: chkconfig pppoe-server off oraz service pppoe-server stop.

15. Uruchomienie serwera proxy Squid

Serwer proxy Squid w standardowej konfiguracji nie jest włączony. Jego przydatność powinna być przemyślaną, indywidualną decyzją administratora danej sieci. Pamiętaj, iż stosowanie proxy ma swoje zalety oraz wady. My po prostu nie zalecamy korzystania z proxy - Ty oczywiście możesz mieć inne zdanie.

Przed włączeniem proxy przy pomocy poleceń: service squid start oraz chkconfig squid on należy edytować plik /etc/squid/squid.conf. Ważne jest dostosowanie konfiguracji serwera Squid do własnych potrzeb poprzez edycję parametrów ww. pliku. Jest to niezbędne, gdy zmieniono adres IP serwera i sieci interfejsu LAN. Odszukaj w ww. pliku wiersze, które zawierają wpisy dot. sieci 192.168.1.0/24 oraz adres serwera 192.168.1.1 i zmień je na właściwe.

Zmiana pozostałych parametrów to już kwestia indywidualnych potrzeb i preferencji administratora sieci. Więcej na temat parametrów konfiguracyjnych znajduje się w obszernej dokumentacji Squid. Po ewentualnej zmianie katalogu dla cache squid, należy wykonać polecenie: service squid init.

Jeśli serwer Squid zostanie włączony, to aby przekierować wszystkich, bądź wybranych klientów sieci LAN na serwer proxy, należy bezpośrednio w pliku main.cfg (lub łatwiej poprzez panel www w module ''Ustawienia podstawowe'') włączyć zmienną PROXY_SERV (powinna zawierać wartość ''yes'' lub ''REDIRECT'') oraz wypisać klientów (bądź całą sieć LAN) w pliku proxy.cfg. Standardowo serwer proxy działa na porcie 3128.

Domyślna konfiguracja QoS przy włączonym proxy może okazać się nieodpowiednia, gdyż ruch proxy będzie obsługiwany wspólną kolejką usługową QOS_ROUTER. Takie rozwiązanie na ogół nie jest odpowiednie dla większości sieci.

Gdy korzystamy z proxy - zalecane jest wykonanie niestandardowego kolejkowania na interfejsie LAN (zmienna LAN_QOS_DEV w grupie ''Pozostałe ustawienia'' powinna zawierać wpis ''eth0''). Kierujemy wtedy do IMQ interfejs LAN (standardowo, gdy brak jest wpisu w zmiennej LAN_QOS_DEV - jest to WAN). Squid oraz oprogramowanie INTRUX Firewall & QoS zostały tak przygotowane, by przy takiej konfiguracji elementy pochodzące bezpośrednio z cache Squid (HIT) nie podlegały ograniczeniom kolejki klienta (czyli dotrą do klienta z dużo wyższą prędkością), natomiast pozostały ruch będzie tradycyjnie ograniczany określoną kolejką każdego klienta.

Pamiętaj! Wszystkie dostępne możliwości konfiguracji kolejkowania (WAN do IMQ, LAN do IMQ czy też kolejki bezpośrednio na interfejsach fizycznych bez użycia IMQ) mają swoje zalety i wady. Użycie PPPoE oraz Squid dodatkowo to komplikuje - stosowanie kilku usług i rozwiązań jednocześnie może wykluczać użycie danego sposobu kolejkowania. Ważne jest poprawne ustawienie wszystkich parametrów w zależności od charakteru danej sieci, ilości klientów i rodzaju ruchu sieciowego, który występuje najczęściej. Niestety - zastosowanie proxy komplikuje działanie wielu różnych funkcjonalności systemu.

Należy także pamiętać, iż pełne zalety serwera proxy można docenić dopiero po zastosowaniu



bardzo wydajnego sprzętu. Istotne jest, aby cache squid było na odrębnym, szybkim dysku twardym, a serwer posiadał dużą ilość pamięci RAM.

16. Kolejne interfejsy LAN lub aliasy IP

Aby uruchomić kolejny interfejs LAN, należy edytować odpowiedni dla niego plik w katalogu /etc/sysconfig/interfaces/ (np. ifcfg-eth3). Aby interfejs był włączony, należy ustawić zmienną ONBOOT=yes. Zmienną IPADDR należy ustawić zgodnie z wymaganiami, np. IPADDR=192.168.2.1/24. Jeśli wcześniej umieściłeś nową kartę sieciową w routerze - pamiętaj o zasadach opisanych w punkcie 20 niniejszej instrukcji (uruchom /usr/intrux/sbin/intrux-udevinfo-net).

Aby na interfejsie LAN (np. standardowym eth0) uruchomić kolejne adresy IP (wykonać tzw. alias), należy edytować plik /etc/sysconfig/interfaces/ifcfg-eth0 (znajdują się w nim już nieaktywne przykłady kolejnych wpisów). Należy tylko usunąć znak # przed kolejnym IPADDR1, czy też IPADDR2 lub kolejnymi i ustawić wymaganą dla nich wartość IP z maską, np.: IPADDR3=10.10.10.1/24.

Po dokonaniu zmian należy wydać polecenia: service network restart oraz service named restart lub ponownie uruchomić serwer (polecenie reboot).

Należy także pamiętać o dodaniu każdej sieci w zmiennej LAN_LIST pliku main.cfg (zmienna dostępna z panelu w module Ustawienia Firewall & QoS - ''Podstawowe ustawienia sieci''). Przykład wpisu: LAN_LIST=''eth0-192.168.1.0/24 eth3-192.168.2.0/24 eth0-10.10.10.0/24''

Gdyby dla kolejnej sieci miała także działać usługa dhcpd - należy przebudować odpowiednio plik /etc/def/dhcpd.conf. Plik zawiera już przykładowy wpis kolejnej sieci - wystarczy dostosować i usunąć znaki # dla odpowiednich wierszy. Jeśli serwer DHCP ma działać także na innym interfejsie poza eth0 - zmień odpowiednio wpis w pliku /etc/sysconfig/dhcpd (standardowo zmienna DHCPD_INTERFACES="eth0"). Dopisz nowy interfejs, np. DHCPD_INTERFACES="eth0 eth3". Następnie wykonaj: service dhcpd restart.

Jeśli jest taka potrzeba, to aliasy IP można także uruchamiać na interfejsach WAN. Dla przekierowanych IP w pliku ipf.cfg aliasy dodawane są automatycznie. Można jednak zdecydować inaczej i wyłączyć automat poprzez ustawienie w main.cfg zmiennej IPF_ALIAS_ON=''no'' zamiast ''yes''.

17. Pozostałe usługi serwera

Serwer w standardowej konfiguracji posiada kilka usług, które choć obecne, nie są włączone. Przydatność konkretnych usług lub konieczność ich używania powinna być przemyślaną, indywidualną decyzją - zależnie od aktualnych potrzeb lub preferencji administratora sieci. Obowiązują tu zasady, jak w każdym systemie linuksowym - prawie każdą wymaganą usługę można samodzielnie doinstalować, czy skompilować, skonfigurować i uruchomić.

Usługi instalowane standardowo z pakietów dystrybucji można ''włączyć do autostartu'' przy pomocy chkconfig, np. chkconfig mysql on. Aby włączyć daną usługę, która obecnie nie jest uruchomiona, należy użyć polecenia service, np. service smokeping start, a restart danej usługi wykonujemy z oczywistym parametrem restart, np. service smb restart.

Po włączeniu serwera MySQL (service mysql start oraz chkconfig mysql on) można zarządzać bazą danych poprzez panel phpMyAdmin dostępny pod adresem http://192.168.1.1/myadmin/ (login: mysql, hasło: intrux80). Tradycyjnie już - gdy IP serwera zostało zmienione - ww. adres będzie odpowiednio różny w części przed /myadmin/.



Dostęp do poczty można uzyskać poprzez stronę http://192.168.1.1/mail/. Wcześniej jednak należy uruchomić serwer poczty pop3 i imap - dovecot (service dovecot start oraz chkconfig dovecot on). Serwer MTA (domyślnie jest to Postfix) uruchamiamy poleceniem: service postfix start oraz chkconfig postfix on. Dostępu do poczty poprzez stronę www ze względów bezpieczeństwa nie ma administrator root - tylko na konta użytkowników można się zalogować (np. admin). Oczywiście można skonfigurować przekazywanie poczty z konta root na konto admin poprzez edycję przykładowego wpisu w /etc/mail/aliases (ostatni wiersz, np.: root: admin). Następnie należy wydać polecenie: newaliases. Od tej chwili poczta kierowana do administratora (konto domyślne) będzie dostępna na koncie użytkownika admin. Więcej informacji znajdziesz w obszernej dokumentacji serwera Postfix.

Opisane wyżej czynności uruchomią obsługę poczty (zarówno serwer SMTP, jak i POP3/IMAP), jednak absolutnie nie należy używać takich podstawowych konfiguracji produkcyjnie. Aktualnie każdy serwer poczty wymaga uruchomienia połączeń szyfrowanych, autoryzacji smtp, zabezpieczeń antyspamowych, antywirusowych itp. itd. Pamiętaj również, iż maile wysyłane z routera, który nie posiada własnej, zarejestrowanej nazwy domenowej będą odrzucane przez serwery pocztowe. Nie dotyczy to wysyłania maili z poziomu panelu administracyjnego, gdyż te wysyłane są przy użyciu konta pocztowego na zewnętrznym serwerze (zgodnie z konfiguracją w module Konfiguracja kont i opcji panelu), a nie lokalnego MTA - Postfix.

Można samodzielnie instalować i uruchamiać dodatkowe, potrzebne usługi serwera. Dostępne jest pełne repozytorium ponad 9 tys. paczek oprogramowania w formacie rpm. W dystrybucji PLD do pobierania i instalacji pakietów z sieci służy program poldek. Więcej informacji znajdziesz w dokumentacji dystrybucji PLD.

Oczywiście nasz zestaw oprogramowania INTRUX Firewall & QoS służy do określonych celów i uruchamianie innych usług na routerze powinno być świadome i uzasadnione. Jest to też kwestia wyłącznie samodzielnych działań administratora - z reguły nie oferujemy wsparcia dla konfiguracji innych usług poza oferowanymi przez nas funkcjami oprogramowania FiQs i usługami serwera powiązanymi, czy zależnymi.

18. Przydatne programy i polecenia

Przydatnym programem w niektórych sytuacjach jest arpwatch. Umożliwia on zbieranie informacji o hostach pojawiających się w sieci. Informuje także o niewłaściwych zmianach adresów mac. Aby go włączyć, należy wydać polecenie service arpwatch start. Nie jest zalecane, aby arpwatch był uruchomiony cały czas. Zebrane przez program informacje o pojawiających się w sieci urządzeniach oraz ewentualne ostrzeżenia o nieprawidłowościach będą zbierane w pliku /var/log/deamon. Jeśli arpwatch ma nasłuchiwać także na innych interfejsach LAN, to należy zmodyfikować wpis w pliku /etc/sysconfig/arpwatch. Domyślnie zmienna INTERFACES=eth0. Należy zmienić jej zawartość zgodnie z potrzebami, na np. INTERFACES=''eth0 eth3''. Następnie wydajemy polecenie: service arpwatch restart.

Do doraźnej obserwacji natężenia ruchu sieciowego polecamy znane konsolowe narzędzia: iftop oraz iptraf. Iftop można uruchomić na konkretnym interfejsie (domyślnie działa na eth0) i z dodatkowymi parametrami, np. iftop -PNn -i eth1 (aby dowiedzieć się więcej, wydaj polecenie iftop -h). Najczęściej stosowanym będzie: iftop -i eth0 (a po uruchomieniu można wcisnąć po sobie literki s oraz t, by lista stała się czytelniejsza).

Bieżące obciążenie serwera można wyświetlić przy użyciu programu htop, a ogólne obciążenie interfejsów można podejrzeć przy pomocy nload (klawiszem strzałki w prawo przełączymy kolejną stronę interfejsów), nload -m wyświetli ruch wszystkich interfejsów na jednej stronie.Aktualne wykorzystanie interfejsów sieciowych można obserwować także przy użyciu: bwm-ng -i netstat (wpisz bwm-ng --help, by poznać również inne opcje programu). Program pktstat wyświetli szczegółową listę aktualnych połączeń. Zaawansowanego administratora zainteresuje pewnie również doskonały sniffer ettercap, uruchom: ettercap -u -C



Wydając komendę dmesg możemy zapoznać się z ostatnimi wpisami zanotowanymi przez syslog. Aby przewinąć ekran w górę, należy wcisnąć klawisz Shift i trzymając wciśnięty, naciskać klawisz PgUp. Te same wpisy możemy także odczytać w tradycyjny sposób - znajdują się w plikach w katalogu /var/log/.

Przy pomocy conntrack -L wyświetlimy zawartość tablicy conntrack (czyli aktualnie śledzone i utrzymywane przez router/serwer połączenia). Statystyki conntrack wyświetlisz poleceniem: conntrack -S. Uwaga! Poleceniem conntrack -F usuniemy wszystkie istniejące sesje z tablicy, zrywając tym samym wszystkie aktualne połączenia klientom! Nie zalecamy nieuzasadnionego użycia tak drastycznej metody.

Aby zobaczyć zawartość tablic ipset - wydaj polecenie: ipset -L

Program arpscan szybko wyświetli aktualnie aktywne IP na danym interfejsie. Otwarte porty serwera (działające usługi) można wyświetlić przy pomocy netstat -ant (dla protokołu TCP) oraz netstat -anu (dla UDP).

Poleceniem df -h sprawdzimy zajętość partycji dysku twardego, a free -m pokaże wielkość używanej i zajętej pamięci RAM oraz partycji swap.

By dodać kolejnego, własnego użytkownika systemu (założyć kolejne konto w systemie) - obowiązują zasady, jak w każdym systemie Linuksowym. Poleceniem: useradd -m {TU.NAZWA.USERA} dodamy nowe konto o podanej nazwie tworząc jednocześnie katalog domowy użytkownika w katalogu /home/users/, a poleceniem: passwd {TU.NAZWA.USERA} - ustalimy dla niego hasło dostępu. Po utworzeniu takiego konta - od razu można się na nie zalogować lokalnie, poprzez SSH, jak i z użyciem klienta FTP.

Możesz zajrzeć również do katalogu /usr/intrux/misc/ - znajdziesz tam kilka, być może Tobie przydatnych skryptów.

19. Samodzielna kompilacja kernela

Oferowane w systemie, gotowe wersje jądra zostały przygotowane w sposób dość standardowy, spotykany w wielu popularnych dystrybucjach i są w bardzo wysokim stopniu uniwersalne. Są przy tym więc obszerne. Jednak zaawansowany administrator ma również możliwość przygotowania własnej wersji jądra. Dzięki załączonym na płycie DVD w katalogu /src źródłom oprogramowania, można przygotować kernel będący poprawnym środowiskiem pracy dla oprogramowania INTRUX Firewall & QoS. Jednak z całą pewnością nie jest to zadanie dla początkujących użytkowników.

Oprogramowanie FiQs zostało przygotowane wyłącznie do pracy w środowisku PLD Titanium i ewentualna zmiana dystrybucji, migracja na inne środowisko, to już indywidualna decyzja zaawansowanego administratora sieci. Oczywiście prawie wszystko jest wykonalne i możliwe do zrobienia, jednak związane z tym ewentualne komplikacje pozostają do samodzielnego rozwiązania przez administratora lub programistę. Nie oferujemy żadnego wsparcia technicznego dla takich migracji.

20. Gdy wymieniasz kartę lub karty sieciowe

Uwaga! Zmiana kart sieciowych zazwyczaj spowoduje konieczność ponownej rejestracji routera. Prawidłowy sposób postępowania w przypadku wymiany karty lub kart sieciowych:

1. Usuń plik /etc/udev/rules.d/80-dev-net.rules. Możesz to zrobić po zalogowaniu na konsolę jako root, wydając polecenie: rm /etc/udev/rules.d/80-dev-net.rules



2. Wyłącz router przyciskiem na obudowie lub poleceniem: halt

3. Wymień kartę lub karty sieciowe.

4. Uruchom ponownie router. Uwaga! Karty sieciowe mogą zostać wykryte i ustawione przez udev w innej kolejności, niż poprzednio. Jeśli po ponownym uruchomieniu oprogramowanie wyświetli informację, iż wystąpił błąd weryfikacji oprogramowania i nie może ono zostać uruchomione - zaloguj się jako root i wydaj polecenie: /etc/intrux/rc.fiqs start lub /etc/intrux/start

5. Pamiętaj! Aby zaakceptować nowe karty i zatwierdzić ich układ (by podczas kolejnego uruchomienia nie zostały ustawione w innej kolejności) - wydaj polecenie: /usr/intrux/sbin/intrux-udevinfo-net

6. Jeśli system przywrócił wersję startową i należy ponownie zarejestrować router - uruchom go raz jeszcze (wykonaj reboot). Jeśli wszystko jest w porządku po kolejnym uruchomieniu - zarejestruj router ponownie poprzez panel administracyjny - kliknij ikonkę Rejestracja i aktualizacja. Dodaj stosowny komentarz w formularzu rejestracji - opisz krótko powód kolejnej rejestracji, by ułatwić nam poprawną weryfikację takiego zgłoszenia.

21. Współpraca z programem PYXIS

Aktualna wersja programu PYXIS (baza danych dla ISP) dostępna jest do pobrania ze strony www autora - http://pyxisisp.pl. Tam też znajdziesz instrukcje oraz dane kontaktowe, jeśli po zakupie programu będziesz chciał skorzystać z pomocy technicznej.

Aby nasz router z oprogramowaniem FiQs przyjmował i reagował na dane wysyłane z programu PYXIS - należy jednorazowo jako root z konsoli systemu wydać polecenie pyxis. Uruchomimy wtedy specjalnego demona oraz ustalimy hasło dla użytkownika pyxis.

Następnie stosowne dane wpisujemy w zakładce konfiguracji programu PYXIS (menu Opcje->Konfiguracja->zakładka INTRUX). Więcej informacji znajdziesz w dokumentacji programu. Dane z programu wysyłane są przy użyciu protokołu FTP (na routerze z FiQs serwer ProFTPD jest już domyślnie uruchomiony i działa, w trybie inetd).

22. BMonitor - zdalne monitorowanie interfejsów

Na płycie DVD w katalogu /bmonitor znajdziesz Windowsowy program BMonitor.exe (wersja portable - nie wymaga instalacji). Program umożliwia bieżące monitorowanie wykorzystania interfejsów sieciowych routera komunikując się przy pomocy protokołu SNMP. Podczas konfiguracji intrux-netset zapytał o uruchomienie demona snmpd. Jeśli chcesz korzystać z ww. programu - demon snmpd na routerze FiQs powinien być uruchomiony. Możesz to zrobić wydając polecenia: service snmpd start oraz chkconfig snmpd on.

Najpierw jednak edytuj plik /etc/snmp/snmpd.conf - zmodyfikuj wpis w wierszu rocommunity ustalając hasło oraz IP, z którego będziesz łączył się z usługą, np. wpis o treści:rocommunity intrux80 192.168.1.2umożliwia odczytanie informacji przez program BMonitor uruchomiony na komputerze 192.168.1.2 i gdy w konfiguracji programu dla pola ''Community string'' wpiszemy wartość: intrux80 (to nasze hasło dostępowe). Aby wyświetlić menu programy - kliknij prawym przyciskiem myszy na uruchomionym okienku BMonitor.

Pamiętaj! SNMP wymaga otwartego portu udp 161. Jeśli więc chcesz monitorować obciążenie interfejsów zdalnie od strony WAN (czyli łącząc się z routerem od strony Internetu) - określ w konfiguracji



/etc/snmp/snmpd.conf najpierw swoje IP, z którego będziesz się łączył oraz dodaj do pliku /etc/intrux/iserv.cfg (lub z poziomu panelu wybierz moduł Edycja plików konfiguracyjnych i w nim otwórz okno pliku iserv.cfg) wiersz o treści: udp 161 TU.TWOJE.IP lub udp 161 all (czyli umożliw połączenia do portu 161 routera w protokole udp). Nie zapomnij zaakceptować zmian w ustawieniach FiQs i zrestartować demona snmpd (polecenie: service snmpd restart).

23. Na zakończenie

Konfiguracja parametrów kolejkowania zaproponowana domyślnie po świeżej instalacji wcale nie musi być i często nie jest odpowiednia dla Twojej sieci. Jeśli nie wiesz, jak na podstawie własnego doświadczenia oraz informacji zawartych w opisach pomocy panelu administracyjnego i niniejszej instrukcji optymalnie dobrać wartości dla zmiennych w pliku main.cfg lub masz inne wątpliwości dotyczące konfiguracji oprogramowania INTRUX Firewall & QoS - opisz proszę swój problem możliwie dokładnie i wyślij e-mail na nasz adres. Często najlepszym rozwiązaniem jest od razu załączenie informacji o danych dostępowych do serwera (adres IP serwera oraz hasło root-a, bądź użytkownika: service).

Najłatwiej jest wtedy skorzystać z modułu Pomoc techniczna i serwis e-mail w panelu administracyjnym. Wysyłane tą drogą informacje dają nam najlepszy obraz aktualnych ustawień, są traktowane z wysokim priorytetem i zazwyczaj stosunkowo szybko możemy pomóc w rozwiązaniu ewentualnych problemów. Przed wysłaniem pytania - sprawdź proszę jednak najpierw, czy odpowiedzi na nie - nie ma w tej instrukcji.

Duże możliwości konfiguracyjne oprogramowania FiQs pozwalają na lepsze dostosowanie i dopasowanie do wymogów konkretnej sieci, jednak ilość opcji może na początku nieco dezorientować administratora. Większość odpowiedzi znajduje się jednak w tej instrukcji - warto więc mieć ją w pobliżu podczas codziennej pracy z serwerem. Znajdziesz ją również w formacie PDF, w katalogu /doc na płycie DVD.

Zachęcam do rejestracji i aktywnego udziału na naszym firmowym forum użytkowników oprogramowania FiQs. Zaglądaj regularnie na stronę http://forum.intrux.pl

Życzę dużo satysfakcji w pracy z Linuksem i zadowolenia z efektów działania zestawu oprogramowania INTRUX Firewall & QoS! W razie pytań, bądź problemów dotyczących FiQs - możesz zawsze śmiało pisać na nasz adres: [email protected] - odpiszę tak szybko, jak tylko będę mógł.

Grzegorz Lewandowski


Documents

INSTRUKCJA INSTALACJI I KONFIGURACJItdk.trzcianka.com.pl/userfiles/file/FiQs80.pdf · Szybki start, czyli 8 kroków dla niecierpliwych.....4 3. Instalacja systemu z obrazu dysku