[ivcrash]

Здравствуйте, уважаемые! Ужас! Это какое то наваждение.. Я в конфиге utm5.cfg в nfbuffer_host указал адрес микротика, чтобы слушал этот адрес по порту 9996, далее, в rfw5.cfg:

firewall_type=local

firewall_path=/usr/local/bin/mikrotik_rfw.sh

rfw_name=83.143.152.5

core_host=83.143.152.5 - адрес мтика

core_port=12758

В админку захожу ставлю юзеру интернет выключен, коннекчусь к микротику и все равно он подключает и дает инет!!! Это кашмар...

В админке создал тариф, связку сервисную, добавил пользователя, внес платеж. Правила firewall прописал, на отключение подключение пользователя. Подключаюсь к микротик с клиентской машины и ничего не происходит.. биллинг не считает, статистика не отсылается микротиком на сервер utm. Что делать?

Правила следующие:

/ip firewall filter add chain=forward action=accept dst-address-list=allow_ip

/ip firewall filter add chain=forward action=accept src-address-list=allow_ip

/ip firewall filter add chain=forward action=drop

Также создал запись на тест юзера: ip firewall address-list add address=83.143.152.11 list=allow_ip comment=122

Благодарю.

 

[alexmern]

Здравствуйте, уважаемые! Ужас! Это какое то наваждение.. Я в конфиге utm5.cfg в nfbuffer_host указал адрес микротика, чтобы слушал этот адрес по порту 9996,

А с микротика вы netflow отправляете на свой коллектор (на машину где utm)?

http://www.mikrotik.com/testdocs/ros/2.9/i...low_content.php

 

далее, в rfw5.cfg:

firewall_type=local

firewall_path=/usr/local/bin/mikrotik_rfw.sh

rfw_name=83.143.152.5

core_host=83.143.152.5 - адрес мтика

core_port=12758

По определению не будет работать, так как rfw - это спец протокол, разработанный в netup и на микротике нет такого.

Что можно сделать - заходить по ssh на микротик, для этого подредактировать /usr/local/bin/mikrotik_rfw.sh и давать оттуда команды на ssh.

Или (немного сложнее, но правильнее) по snmp команды отправлять.

[ivcrash]

Здравствуйте, уважаемые! Ужас! Это какое то наваждение.. Я в конфиге utm5.cfg в nfbuffer_host указал адрес микротика, чтобы слушал этот адрес по порту 9996,

А с микротика вы netflow отправляете на свой коллектор (на машину где utm)?

http://www.mikrotik.com/testdocs/ros/2.9/i...low_content.php

 

далее, в rfw5.cfg:

firewall_type=local

firewall_path=/usr/local/bin/mikrotik_rfw.sh

rfw_name=83.143.152.5

core_host=83.143.152.5 - адрес мтика

core_port=12758

По определению не будет работать, так как rfw - это спец протокол, разработанный в netup и на микротике нет такого.

Что можно сделать - заходить по ssh на микротик, для этого подредактировать /usr/local/bin/mikrotik_rfw.sh и давать оттуда команды на ssh.

Или (немного сложнее, но правильнее) по snmp команды отправлять.

Вот! ДА, отправляю на свой коллектор 83.143.152.8 Создан файл mikrotik_rfw.sh захожу по ssh с биллинговой машины. А вот как выглядят скрипты по подключению отключению юзеров? И какие должны стоять правила фаерволла на микротике? Благодарю!!! Подскажите. Бьюсь над этой проблемой месяц.

Изменено 29 мая, 2009 пользователем ivcrash

[alexmern]

Покажите /usr/local/bin/mikrotik_rfw.sh

 

далее, в rfw5.cfg:

rfw_name=83.143.152.5

core_host=83.143.152.5 - адрес мтика

core_port=12758

Скрипт должен запускаться на машине с биллингом:

rfw_name=127.0.0.1
core_host=127.0.0.1
core_port=12758

 

 

А вообще-то гугл тут же выдал:

http://www.x-drivers.ru/articles/manuals/17/4.html

 

[Andrey]

:) а на форуме у нетапа почитать не судьба о связке mikrotik+utm?

вариантов на самом деле несколько: управление через ssh, через микротик-апи, ну и можно конечно попробовать снмп....

есть небольшая проблема- в версии >3 микротика несколько изменена система команд по отношению к 2.7-2.9, надо активно юзать команду "find", что несколько снижает быстродействие обработки команд

[ivcrash]

Покажите /usr/local/bin/mikrotik_rfw.sh

 

далее, в rfw5.cfg:

rfw_name=83.143.152.5

core_host=83.143.152.5 - адрес мтика

core_port=12758

Скрипт должен запускаться на машине с биллингом:

rfw_name=127.0.0.1
core_host=127.0.0.1
core_port=12758

 

 

А вообще-то гугл тут же выдал:

http://www.x-drivers.ru/articles/manuals/17/4.html

Благодарю Вас! Вот mikrotik_rfw.sh:

 

debutm:/etc/init.d#mcedit /usr/local/bin/mikrotik_rfw.sh:

#!/bin/sh

ssh us@83.143.152.5 "$*"

А то что гугл выдает знаю, по этой статье и делаю, только вот кто делал, говорят там все очень абстрактно, а на форуме нет ап поддержки никакой, тем связки микротик + утм создавал только я... Спасибо.

 

[ivcrash]

В правилах брэнда: Включение - ip firewall address-list add address=UIP list=allow_ip comment=UID

Выключение - ip firewall address-list remove [find comment=UID]

Список брэндов: ID - 2; Тип - Локальный; Наименование и IP - 127.0.0.1; Логин и пароль - init ; Комментарии - NAS Mikrotik

Изменено 4 июня, 2009 пользователем ivcrash

[ivcrash]

Вот смотрите, что получилось: прописываю я на микротике ip firewall address-list add address=83.143.152.11 list=allow_ip comment=122 Прописалось. В биллинге, у ID 122 стоит Интернет выключен, подключаюсь с данным айпи с ноутбучной карточки ви фи к микротику, появляется в registration, и пинги ходят!!! ужас! Он спокойно пропускает! кажется копать нужно не в фаерволле? Или на закладке Firewall что то нужно указать? Спасибо. Помогите в данном вопросе, понимаю, что на такое отвечать не хочется.. (((

[Andrey]

в файрволле на микротике неплохо бы прописать правило, запрещающее хождение пакетов с хостов не находящихся в ACL allow_ip

[ivcrash]

в файрволле на микротике неплохо бы прописать правило, запрещающее хождение пакетов с хостов не находящихся в ACL allow_ip

Благодарю, а как это правило примерно будет выглядеть? Сам синтаксис. Буду очень благодарен. Спасибо.

[Reanimator++]

/ip firewall filter add chain=input interface=LAN src-address-list=!allow_ip action=drop - это дропнет все пакеты с LAN интерфейса с адресом источника не попадающим в allow_ip

ессно надо создать и сам address-list с соответствующими адресами

(себя добавить не забудте!!)

Изменено 9 июня, 2009 пользователем Reanimator++