Установка ПО — различия между версиями
Vis (обсуждение | вклад) (→Дистрибутив) |
(→Контроль за доступом в интернет) |
||
| Строка 1: | Строка 1: | ||
==Дистрибутив== | ==Дистрибутив== | ||
| + | |||
| + | |||
'''Состав дистрибутива : ''' | '''Состав дистрибутива : ''' | ||
| + | |||
* '''!Changes.txt''' – Файл со списком изменений в ПО | * '''!Changes.txt''' – Файл со списком изменений в ПО | ||
| Строка 13: | Строка 16: | ||
* '''ServerInstallerFull.exe''' – Инсталлятор сервера ( MySQL , Server , Boss и пр. файлы для работы сервера ) | * '''ServerInstallerFull.exe''' – Инсталлятор сервера ( MySQL , Server , Boss и пр. файлы для работы сервера ) | ||
| − | * '''WinInetControlInstaller.exe''' – Инсталлятор сервиса для подсчёта трафика и управления доступом в интернет под WinNT | + | * '''WinInetControlInstaller.exe''' – Инсталлятор сервиса для подсчёта трафика и управления доступом в интернет под WinNT |
| − | * '''Barman.exe''' - Программа бармена (опционально) | + | * '''Barman.exe''' - Программа бармена (опционально) |
| − | + | ||
| − | * '''McardReaderService.exe''' - Сервис WinNT для работы со считывателем магнитных карт (опционально) | + | * '''McardReaderService.exe''' - Сервис WinNT для работы со считывателем магнитных карт (опционально) |
* '''WinTIServiceInstaller.exe''' - Инсталлятор сервиса для подсчёта трафика и управления доступом в интернет через программу TrafficInspector под WinNT | * '''WinTIServiceInstaller.exe''' - Инсталлятор сервиса для подсчёта трафика и управления доступом в интернет через программу TrafficInspector под WinNT | ||
| − | |||
| − | |||
==Назначение файлов== | ==Назначение файлов== | ||
| Строка 165: | Строка 166: | ||
При своей работе сервис постоянно общается с БД, получая оттуда команды управления и отправляя данные о текущем трафике. | При своей работе сервис постоянно общается с БД, получая оттуда команды управления и отправляя данные о текущем трафике. | ||
| + | |||
| + | ---- | ||
| Строка 198: | Строка 201: | ||
Эти знания пригодятся Вам для построения более «хитрых» правил нежели чем просто учет и включение-выключение трафика. | Эти знания пригодятся Вам для построения более «хитрых» правил нежели чем просто учет и включение-выключение трафика. | ||
| + | |||
Список интерфейсов можно посмотреть по команде '''ipfw -L''' | Список интерфейсов можно посмотреть по команде '''ipfw -L''' | ||
| + | |||
| + | |||
| + | ---- | ||
| + | |||
| + | |||
| + | '''Настройка файла конфигурации wipfw для подсчета трафика''' | ||
| + | |||
| + | |||
| + | Инициализационные правила лежат в файле: '''ipfw.conf''' | ||
| + | |||
| + | Это простой текстовый файл, каждая строчка которого описывает определенное правило для файрвола. | ||
| + | |||
| + | По умолчанию в файле следующие команды: | ||
| + | |||
| + | |||
| + | -f flush | ||
| + | |||
| + | add 1 allow ip from any to any via lo0 | ||
| + | |||
| + | add 2 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via eth1 | ||
| + | |||
| + | add 101 count ip from any to 192.168.0.1 | ||
| + | |||
| + | add 102 count ip from 192.168.0.1 to any | ||
| + | |||
| + | ... | ||
| + | |||
| + | add 1001 count ip from any to 192.168.0.10 | ||
| + | |||
| + | add 1002 count ip from 192.168.0.10 to any | ||
| + | |||
| + | add 65535 allow ip from any to any | ||
| + | |||
| + | |||
| + | Первая строчка «обнуляет» firewall, удаляя все правила. | ||
| + | |||
| + | Вторая – разрешает любой внутренний трафик. | ||
| + | |||
| + | Третья – разрешает любой трафик клиентских машин в пределах интерфейса eth1 | ||
| + | |||
| + | Также она блокирует подсчет трафика в пределах сети '''192.168.0.0:255.255.255.0''' | ||
| + | |||
| + | Строчка : '''add 101 count ip from any to 192.168.0.1''' – подсчет входящего трафика для первой машины | ||
| + | |||
| + | Следующая строчка: подсчет исходящего трафика для первой машины. | ||
| + | |||
| + | И т.д. для 10ти машин. | ||
| + | |||
| + | Последняя строчка – разрешает любой трафик | ||
| + | |||
| + | Нумерация правил идет с 1 и до 65535 | ||
| + | |||
| + | Может быть несколько правил на одном номере. | ||
| + | |||
| + | |||
| + | Для настройки учета трафика вашей сети пропишите count-пары для всех компьютеров вашей сети по аналогии. | ||
| + | |||
| + | |||
| + | '''(!) Замечаниe: ''' | ||
| + | |||
| + | |||
| + | Иногда, например при работе с Kerio Winroute Firewall, требуется вместо правила номер 2 прописать следующее: | ||
| + | |||
| + | |||
| + | |||
| + | add 3 allow tcp from 192.168.0.0/24 to 192.168.0.100 44567 via eth0 | ||
| + | |||
| + | add 4 allow udp from any to 192.168.0.100 44568 via eth0 | ||
| + | |||
| + | add 5 allow tcp from 192.168.0.100 44567 to 192.168.0.0/24 via eth0 | ||
| + | |||
| + | add 6 allow udp from 192.168.0.100 44568 to 192.168.0.0./24 via eth0 | ||
| + | |||
| + | add 7 allow icmp from 192.168.0.0/24 to 192.168.0.0./24 via eth0 | ||
| + | |||
| + | |||
| + | |||
| + | Здесь в примере 192.168.0.100 – внутренний ip машины с NAT | ||
| + | |||
| + | Седьмое правило разрешает диагностические пинги от сервера до клиентских машин | ||
| + | |||
| + | Аста-сервер использует в своей работе '''tcp-порт 44567''' и '''udp-порт 445678''' | ||
| + | |||
| + | В примере выше правила 3 4 5 6 разрешают в любом случае трафик клиентских машин с аста-сервером. | ||
| + | |||
| + | |||
| + | '''(!!) Замечаниe: ''' | ||
| + | |||
| + | |||
| + | |||
| + | Если машина с файрволом выполняет функции файл-сервера клуба, то требуется вписать дополнительно правила, аналогичные правилам ниже: | ||
| + | |||
| + | |||
| + | ipfw add 10 allow tcp from 192.168.0.0/24 to 192.168.0.100 135-139,389,445 via eth0 | ||
| + | |||
| + | ipfw add 10 allow tcp from 192.168.0.100 135-139,389,445 to 192.168.0.0/24 via eth0 | ||
| + | |||
| + | ipfw add 10 allow udp from 192.168.0.0/24 to 192.168.0.100 135-139,389,445 via eth0 | ||
| + | |||
| + | ipfw add 10 allow udp from 192.168.0.100 135-139,389,445 to 192.168.0.0/24 via eth0 | ||
| + | |||
| + | |||
| + | |||
| + | Здесь в примере 192.168.0.100 – внутренний ip файл-сервера (он же файрвол) | ||
| + | |||
| + | |||
| + | В любом случае, чтобы правила вступили в силу, нужно либо просто перегрузить компьютер, либо запустить init.cmd | ||
| + | |||
| + | |||
| + | Остановка сервиса '''WinIPFWService: StopService.cmd ''' | ||
| + | |||
| + | Запуска сервиса '''WinIPFWService: StartService.cmd''' | ||
| + | |||
| + | Начать изучение команд ipfw можно : | ||
| + | |||
| + | [http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/firewalls.html www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/firewalls.html] | ||
| + | |||
| + | или | ||
| + | |||
| + | [http://www.astalavista.ru/files/ipfw_rus.txt http://www.astalavista.ru/files/ipfw_rus.txt] | ||
| + | |||
| + | |||
| + | В любой момент можно в консоли написать команду '''ipfw show''' для просмотра текущих работающих правил и трафика в байтах, который по ним прошел | ||
| + | |||
| + | |||
| + | Можно написать: '''ipfw show 101 102''' для просмотра трафика только первой машины, например. | ||
| + | |||
| + | |||
| + | Команда для удаления правила из списка: '''ipfw delete 101 102''' (удалятся 101 и 102 правила) | ||
| + | |||
| + | |||
| + | Команда для обнуления всех счетчиков: '''ipfw zero''' | ||
| + | |||
| + | |||
| + | '''ipfw zero 101 102''' – обнулит счетчики только у правил 101 и 102 (полезно для наладки и тестирования) | ||
| + | |||
| + | |||
| + | Число count-записей не обязательно должно совпадать с числом машин в клубе. Советуем прописать вообще все 254 ip вашей интранет-сети. Аналогично для них в БД в таблице ip_state прописать 254 строчки для всех ip внутренней сети. | ||
| + | |||
| + | |||
| + | Для скорости создания правил советуем воспользоваться программой комплекта FwRulezMaker.exe, которая позволяет быстро создавать текстовые наборы правил по метапеременным. | ||
Версия 21:39, 18 апреля 2006
Дистрибутив
Состав дистрибутива :
- !Changes.txt – Файл со списком изменений в ПО
- ClientInstaller.exe – Инсталлятор клиентской части , следует запускать на клиентских компьютерах , но только после установки связи с сервером
- ClientInstaller9x.exe – Инсталлятор клиентской части для Win9x
- OperatorInstaller.exe – Инсталлятор программы оператора – кассира
- ServerInstallerFull.exe – Инсталлятор сервера ( MySQL , Server , Boss и пр. файлы для работы сервера )
- WinInetControlInstaller.exe – Инсталлятор сервиса для подсчёта трафика и управления доступом в интернет под WinNT
- Barman.exe - Программа бармена (опционально)
- McardReaderService.exe - Сервис WinNT для работы со считывателем магнитных карт (опционально)
- WinTIServiceInstaller.exe - Инсталлятор сервиса для подсчёта трафика и управления доступом в интернет через программу TrafficInspector под WinNT
Назначение файлов
Каталоги :
- Doc - описание некоторых моментов в работе системе , все файлы имеют расширение *.pdf читать их можно с помощью программы Acrobat Raider
- Logs - В этом каталоге хранятся логи программы в виде : server-дата.log ( пример server-2007-03-23.log)
Файлы :
- !Changes.txt – текстовый файл, содержащий описание изменение от версии к версии ПО.
- asta.cer – SSL сертификация server.exe. Должен находиться в папке с server.exe
- asta.der – SSL сертификация server.exe. Должен находиться в папке с server.exe
- Server.exe – основная программа комплекса. Занимается пересчетом состояния компьютеров клуба. Выполнена в виде консольного приложения.
- ASVServerService.exe – тоже самое, только в виде сервиса NT.
- Boss.exe – программа системного администратора для настройки прейскурантов, создания, просмотра и конфигурирования Базы Данных и т.п.
- ClubsViewer.exe – программа для мониторинга неограниченного числа клубов. Может периодически показывать текущее состояние кассы клубов, средние показатели доходности, версии серверов и т.п.
- ClubsViewerView.ini - Файл настроек ClubsViewer.exe
- DataBaseCreator.exe - Консольная утилита для создания БД "asta"
- FwRulezMaker.exe – вспомогательная программа для создания множества правил для Firewall под FreeBSD (ipfw)
- McardReaderService.exe – вспомогательный сервис Windows NT для работы со считывателем магнитных карт
- Server.bat – файл, который запускает server.exe с зацикливанием (второстепенный файл)
- ServerViewer.exe – программа для удаленного доступа к консоли Server.exe, просмотра состояния клуба, базовой статистики по финансам, графиков приходов денег, загрузки клуба
- TrafficViewer.exe – программа визуализации расхода трафика клиентскими машинами, а также другими, которые есть в вашей сети и определены в ПО.
- License.rtf - Файл с лицензионной информацией
- Server.dat - Зашифрованный файл с помощью которого Server.exe получает информацию о соединении с БД MySQL
- ServerSetuper.exe - Утилита для создания зашифрованного файла для Server.exe
- Barman.exe - Программа бармена , служит для регистрации вызовов с клиентских машин
Настройка ПО
Контроль за доступом в интернет
Введение
Программное Обеспечение комплекса (далее просто ПО) дает возможность управления доступом в Интернет клиентских компьютеров, а также сторонних потребителей трафика, например, офисных компьютеров, машин внешних, относительно клуба, клиентов (офисы, квартиры и т.п.). По также дает возможность учитывать трафик.
Имеется возможность настройки ПО таким образом, что доступ к определенным сетям будет всегда и бесплатно (обычно игровые сервера провайдера, внутригородская сеть), к другим четко прописанным сетям, может тарифицироваться льготно. Весь остальной трафик (весь внешний входящий) при этом тарифицируется базово.
Принцип работы
Дистрибутив ПО системы управления находится в файле WinInetControlInstaller.exe
Принцип работы заключается в том, что на машину, раздающую клиентам Интернет ставится дополнительный firewall (очень похожий на ipfw под FreeBSD по системе команд), которым управляет наш сервис WinIPFWService.exe
Сервис при своем запуске подключается в БД MySQL с параметрами, которые он берет из файла WinIPFWService.ini :
- параметры подключения к серверу MySQL требуются права для записи и чтения таблицы ip_state и только на чтение из таблицы firewall_profiles :
[DataBase]
Server=127.0.0.1
Port=3306
Database=asta
Username=root
Password=
Cистемные параметры :
[System]
Как часто производить съем информации о трафике в мсек :
RecalcInterval=5000
Отображать ли в логах факты пересчета (полезно для отладки) :
ShowRecalcEvent=0
Выполнить ли при старте сервиса автозагрузку ненулевых правил в ipfw
Из таблицы ip_state :
ResetIpfwAtStartService=1
Здесь приведены значения по умолчанию ini-файла. Они подходят для варианта, когда MySQL и WinIPFWService находятся на одной машине-сервере.
Типовая конфигурация машины, управляющей доступом в Интернет выглядит приблизительно так:
На картинке показано, что на машине установлено два сетевых адаптера. На один из них приходит трафик (Internet). Второй же адаптер (Intranet) раздает его на клиентские машины через NAT.
Пусть у клиентских машин клуба
192.168.0.1 – 192.168.0.10 (всего 10 машин)
Рекомендуем начинать нумерацию машин клуба с 1! По опыту работы это сильно сокращает путаницу в работе клуба при «разборе полетов»
Вариантов настройки трансляции адресов (NAT) достаточно много. Из рекомендуемых:
- Внутренними средствами Windows 2000 Server (2003)
- Kerio WinRoute Firewall
- Microsoft ISA Server
Наш WinIPFWService.exe работает параллельно с перечисленными выше системами и дополнительной их настройки не требуется.
При своей работе сервис постоянно общается с БД, получая оттуда команды управления и отправляя данные о текущем трафике.
Установка
- Запустите программу WinInetControlInstaller.exe
- Ознакомьтесь с Лицензионным Соглашением.
- Отвечайте положительно на все вопросы «мастера» установки.
- Программа-установщик распакует все файлы дистрибутива в указанную Вами папку.
Папка по умолчанию: 'C:\astalaViSta\SuperViSor\WinInetController'
- Также программа установит NT-сервис WinIPFWService.exe и пропишет ему параметр автозапуска при перезагрузке компьютера.
- После установки сервиса программа инсталлирует система wipfw с дефолтовым файлом конфигурации работы файрвола. Процесс работы можно увидеть в появившемся dos-окошке:
Обратите внимание, что выводится список интерфейсов.
Здесь в примере:
- lo0 – это внутренний интерфейс (127.0.0.1)
- eth0 – внешний интерфейс (он же у нас назван как Internet)
- eth1 – внутренний интерфейс (он у нас назван как Intranet)
Эти знания пригодятся Вам для построения более «хитрых» правил нежели чем просто учет и включение-выключение трафика.
Список интерфейсов можно посмотреть по команде ipfw -L
Настройка файла конфигурации wipfw для подсчета трафика
Инициализационные правила лежат в файле: ipfw.conf
Это простой текстовый файл, каждая строчка которого описывает определенное правило для файрвола.
По умолчанию в файле следующие команды:
-f flush
add 1 allow ip from any to any via lo0
add 2 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via eth1
add 101 count ip from any to 192.168.0.1
add 102 count ip from 192.168.0.1 to any
...
add 1001 count ip from any to 192.168.0.10
add 1002 count ip from 192.168.0.10 to any
add 65535 allow ip from any to any
Первая строчка «обнуляет» firewall, удаляя все правила.
Вторая – разрешает любой внутренний трафик.
Третья – разрешает любой трафик клиентских машин в пределах интерфейса eth1
Также она блокирует подсчет трафика в пределах сети 192.168.0.0:255.255.255.0
Строчка : add 101 count ip from any to 192.168.0.1 – подсчет входящего трафика для первой машины
Следующая строчка: подсчет исходящего трафика для первой машины.
И т.д. для 10ти машин.
Последняя строчка – разрешает любой трафик
Нумерация правил идет с 1 и до 65535
Может быть несколько правил на одном номере.
Для настройки учета трафика вашей сети пропишите count-пары для всех компьютеров вашей сети по аналогии.
(!) Замечаниe:
Иногда, например при работе с Kerio Winroute Firewall, требуется вместо правила номер 2 прописать следующее:
add 3 allow tcp from 192.168.0.0/24 to 192.168.0.100 44567 via eth0
add 4 allow udp from any to 192.168.0.100 44568 via eth0
add 5 allow tcp from 192.168.0.100 44567 to 192.168.0.0/24 via eth0
add 6 allow udp from 192.168.0.100 44568 to 192.168.0.0./24 via eth0
add 7 allow icmp from 192.168.0.0/24 to 192.168.0.0./24 via eth0
Здесь в примере 192.168.0.100 – внутренний ip машины с NAT
Седьмое правило разрешает диагностические пинги от сервера до клиентских машин
Аста-сервер использует в своей работе tcp-порт 44567 и udp-порт 445678
В примере выше правила 3 4 5 6 разрешают в любом случае трафик клиентских машин с аста-сервером.
(!!) Замечаниe:
Если машина с файрволом выполняет функции файл-сервера клуба, то требуется вписать дополнительно правила, аналогичные правилам ниже:
ipfw add 10 allow tcp from 192.168.0.0/24 to 192.168.0.100 135-139,389,445 via eth0
ipfw add 10 allow tcp from 192.168.0.100 135-139,389,445 to 192.168.0.0/24 via eth0
ipfw add 10 allow udp from 192.168.0.0/24 to 192.168.0.100 135-139,389,445 via eth0
ipfw add 10 allow udp from 192.168.0.100 135-139,389,445 to 192.168.0.0/24 via eth0
Здесь в примере 192.168.0.100 – внутренний ip файл-сервера (он же файрвол)
В любом случае, чтобы правила вступили в силу, нужно либо просто перегрузить компьютер, либо запустить init.cmd
Остановка сервиса WinIPFWService: StopService.cmd
Запуска сервиса WinIPFWService: StartService.cmd
Начать изучение команд ipfw можно :
www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/firewalls.html
или
http://www.astalavista.ru/files/ipfw_rus.txt
В любой момент можно в консоли написать команду ipfw show для просмотра текущих работающих правил и трафика в байтах, который по ним прошел
Можно написать: ipfw show 101 102 для просмотра трафика только первой машины, например.
Команда для удаления правила из списка: ipfw delete 101 102 (удалятся 101 и 102 правила)
Команда для обнуления всех счетчиков: ipfw zero
ipfw zero 101 102 – обнулит счетчики только у правил 101 и 102 (полезно для наладки и тестирования)
Число count-записей не обязательно должно совпадать с числом машин в клубе. Советуем прописать вообще все 254 ip вашей интранет-сети. Аналогично для них в БД в таблице ip_state прописать 254 строчки для всех ip внутренней сети.
Для скорости создания правил советуем воспользоваться программой комплекта FwRulezMaker.exe, которая позволяет быстро создавать текстовые наборы правил по метапеременным.
