Jump to content
Калькуляторы

Биллинг UTM и Микротик Не работают правила

Здравствуйте, уважаемые! Ужас! Это какое то наваждение.. Я в конфиге utm5.cfg в nfbuffer_host указал адрес микротика, чтобы слушал этот адрес по порту 9996, далее, в rfw5.cfg:

firewall_type=local

firewall_path=/usr/local/bin/mikrotik_rfw.sh

rfw_name=83.143.152.5

core_host=83.143.152.5 - адрес мтика

core_port=12758

В админку захожу ставлю юзеру интернет выключен, коннекчусь к микротику и все равно он подключает и дает инет!!! Это кашмар...

В админке создал тариф, связку сервисную, добавил пользователя, внес платеж. Правила firewall прописал, на отключение подключение пользователя. Подключаюсь к микротик с клиентской машины и ничего не происходит.. биллинг не считает, статистика не отсылается микротиком на сервер utm. Что делать?

Правила следующие:

/ip firewall filter add chain=forward action=accept dst-address-list=allow_ip

/ip firewall filter add chain=forward action=accept src-address-list=allow_ip

/ip firewall filter add chain=forward action=drop

Также создал запись на тест юзера: ip firewall address-list add address=83.143.152.11 list=allow_ip comment=122

Благодарю.

 

Share this post


Link to post
Share on other sites
Здравствуйте, уважаемые! Ужас! Это какое то наваждение.. Я в конфиге utm5.cfg в nfbuffer_host указал адрес микротика, чтобы слушал этот адрес по порту 9996,
А с микротика вы netflow отправляете на свой коллектор (на машину где utm)?

http://www.mikrotik.com/testdocs/ros/2.9/i...low_content.php

 

далее, в rfw5.cfg:

firewall_type=local

firewall_path=/usr/local/bin/mikrotik_rfw.sh

rfw_name=83.143.152.5

core_host=83.143.152.5 - адрес мтика

core_port=12758

По определению не будет работать, так как rfw - это спец протокол, разработанный в netup и на микротике нет такого.

Что можно сделать - заходить по ssh на микротик, для этого подредактировать /usr/local/bin/mikrotik_rfw.sh и давать оттуда команды на ssh.

Или (немного сложнее, но правильнее) по snmp команды отправлять.

Share this post


Link to post
Share on other sites
Здравствуйте, уважаемые! Ужас! Это какое то наваждение.. Я в конфиге utm5.cfg в nfbuffer_host указал адрес микротика, чтобы слушал этот адрес по порту 9996,
А с микротика вы netflow отправляете на свой коллектор (на машину где utm)?

http://www.mikrotik.com/testdocs/ros/2.9/i...low_content.php

 

далее, в rfw5.cfg:

firewall_type=local

firewall_path=/usr/local/bin/mikrotik_rfw.sh

rfw_name=83.143.152.5

core_host=83.143.152.5 - адрес мтика

core_port=12758

По определению не будет работать, так как rfw - это спец протокол, разработанный в netup и на микротике нет такого.

Что можно сделать - заходить по ssh на микротик, для этого подредактировать /usr/local/bin/mikrotik_rfw.sh и давать оттуда команды на ssh.

Или (немного сложнее, но правильнее) по snmp команды отправлять.

Вот! ДА, отправляю на свой коллектор 83.143.152.8 Создан файл mikrotik_rfw.sh захожу по ssh с биллинговой машины. А вот как выглядят скрипты по подключению отключению юзеров? И какие должны стоять правила фаерволла на микротике? Благодарю!!! Подскажите. Бьюсь над этой проблемой месяц.
Edited by ivcrash

Share this post


Link to post
Share on other sites

Покажите /usr/local/bin/mikrotik_rfw.sh

 

далее, в rfw5.cfg:

rfw_name=83.143.152.5

core_host=83.143.152.5 - адрес мтика

core_port=12758

Скрипт должен запускаться на машине с биллингом:

rfw_name=127.0.0.1
core_host=127.0.0.1
core_port=12758

 

 

А вообще-то гугл тут же выдал:

http://www.x-drivers.ru/articles/manuals/17/4.html

 

Share this post


Link to post
Share on other sites

:) а на форуме у нетапа почитать не судьба о связке mikrotik+utm?

вариантов на самом деле несколько: управление через ssh, через микротик-апи, ну и можно конечно попробовать снмп....

есть небольшая проблема- в версии >3 микротика несколько изменена система команд по отношению к 2.7-2.9, надо активно юзать команду "find", что несколько снижает быстродействие обработки команд

Share this post


Link to post
Share on other sites
Покажите /usr/local/bin/mikrotik_rfw.sh

 

далее, в rfw5.cfg:

rfw_name=83.143.152.5

core_host=83.143.152.5 - адрес мтика

core_port=12758

Скрипт должен запускаться на машине с биллингом:

rfw_name=127.0.0.1
core_host=127.0.0.1
core_port=12758

 

 

А вообще-то гугл тут же выдал:

http://www.x-drivers.ru/articles/manuals/17/4.html

Благодарю Вас! Вот mikrotik_rfw.sh:

 

debutm:/etc/init.d#mcedit /usr/local/bin/mikrotik_rfw.sh:

#!/bin/sh

ssh us@83.143.152.5 "$*"

А то что гугл выдает знаю, по этой статье и делаю, только вот кто делал, говорят там все очень абстрактно, а на форуме нет ап поддержки никакой, тем связки микротик + утм создавал только я... Спасибо.

 

Share this post


Link to post
Share on other sites

В правилах брэнда: Включение - ip firewall address-list add address=UIP list=allow_ip comment=UID

Выключение - ip firewall address-list remove [find comment=UID]

Список брэндов: ID - 2; Тип - Локальный; Наименование и IP - 127.0.0.1; Логин и пароль - init ; Комментарии - NAS Mikrotik

Edited by ivcrash

Share this post


Link to post
Share on other sites

Вот смотрите, что получилось: прописываю я на микротике ip firewall address-list add address=83.143.152.11 list=allow_ip comment=122 Прописалось. В биллинге, у ID 122 стоит Интернет выключен, подключаюсь с данным айпи с ноутбучной карточки ви фи к микротику, появляется в registration, и пинги ходят!!! ужас! Он спокойно пропускает! кажется копать нужно не в фаерволле? Или на закладке Firewall что то нужно указать? Спасибо. Помогите в данном вопросе, понимаю, что на такое отвечать не хочется.. (((

Share this post


Link to post
Share on other sites

в файрволле на микротике неплохо бы прописать правило, запрещающее хождение пакетов с хостов не находящихся в ACL allow_ip

Share this post


Link to post
Share on other sites

в файрволле на микротике неплохо бы прописать правило, запрещающее хождение пакетов с хостов не находящихся в ACL allow_ip

Благодарю, а как это правило примерно будет выглядеть? Сам синтаксис. Буду очень благодарен. Спасибо.

Share this post


Link to post
Share on other sites

/ip firewall filter add chain=input interface=LAN src-address-list=!allow_ip action=drop - это дропнет все пакеты с LAN интерфейса с адресом источника не попадающим в allow_ip

ессно надо создать и сам address-list с соответствующими адресами

(себя добавить не забудте!!)

Edited by Reanimator++

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this