|
|
| (не показаны 44 промежуточные версии 2 участников) |
| Строка 1: |
Строка 1: |
| − | ==Дистрибутив==
| + | Навигация : [[Заглавная_страница|Оглавление]] |
| − | | + | |
| − | | + | |
| − | | + | |
| − | '''Состав дистрибутива : '''
| + | |
| − | | + | |
| − | | + | |
| − | * '''!Changes.txt''' – Файл со списком изменений в ПО
| + | |
| − | | + | |
| − | * '''ClientInstaller.exe''' – Инсталлятор клиентской части , следует запускать на клиентских компьютерах , но только после установки связи с сервером
| + | |
| − | | + | |
| − | * '''ClientInstaller9x.exe''' – Инсталлятор клиентской части для Win9x
| + | |
| − | | + | |
| − | * '''OperatorInstaller.exe''' – Инсталлятор программы оператора – кассира
| + | |
| − | | + | |
| − | * '''ServerInstallerFull.exe''' – Инсталлятор сервера ( MySQL , Server , Boss и пр. файлы для работы сервера )
| + | |
| − | | + | |
| − | * '''WinInetControlInstaller.exe''' – Инсталлятор сервиса для подсчёта трафика и управления доступом в интернет под WinNT
| + | |
| − | | + | |
| − | * '''Barman.exe''' - Программа бармена (опционально)
| + | |
| − |
| + | |
| − | * '''McardReaderService.exe''' - Сервис WinNT для работы со считывателем магнитных карт (опционально)
| + | |
| − | | + | |
| − | * '''WinTIServiceInstaller.exe''' - Инсталлятор сервиса для подсчёта трафика и управления доступом в интернет через программу TrafficInspector под WinNT
| + | |
| − | | + | |
| − | | + | |
| − | ==Назначение файлов==
| + | |
| − | | + | |
| − | '''Каталоги : '''
| + | |
| − | | + | |
| − | * '''Doc''' - описание некоторых моментов в работе системе , все файлы имеют расширение *.pdf читать их можно с помощью программы Acrobat Raider
| + | |
| − | | + | |
| − | * '''Logs''' - В этом каталоге хранятся логи программы в виде : server-дата.log ( пример server-2007-03-23.log)
| + | |
| − | | + | |
| − | | + | |
| − | '''Файлы : '''
| + | |
| − | | + | |
| − | | + | |
| − | * '''!Changes.txt''' – текстовый файл, содержащий описание изменение от версии к версии ПО.
| + | |
| − | | + | |
| − | * '''asta.cer''' – SSL сертификация server.exe. Должен находиться в папке с server.exe
| + | |
| − | | + | |
| − | * '''asta.der''' – SSL сертификация server.exe. Должен находиться в папке с server.exe
| + | |
| − | | + | |
| − | * '''Server.exe''' – основная программа комплекса. Занимается пересчетом состояния компьютеров клуба. Выполнена в виде консольного приложения.
| + | |
| − | | + | |
| − | * '''ASVServerService.exe''' – тоже самое, только в виде сервиса NT.
| + | |
| − | | + | |
| − | * '''Boss.exe''' – программа системного администратора для настройки прейскурантов, создания, просмотра и конфигурирования Базы Данных и т.п.
| + | |
| − | | + | |
| − | * '''ClubsViewer.exe''' – программа для мониторинга неограниченного числа клубов. Может периодически показывать текущее состояние кассы клубов, средние показатели доходности, версии серверов и т.п.
| + | |
| − | | + | |
| − | * '''ClubsViewerView.ini''' - Файл настроек ClubsViewer.exe
| + | |
| − | | + | |
| − | * '''DataBaseCreator.exe''' - Консольная утилита для создания БД "asta"
| + | |
| − | | + | |
| − | * '''FwRulezMaker.exe''' – вспомогательная программа для создания множества правил для Firewall под FreeBSD (ipfw)
| + | |
| − | | + | |
| − | * '''McardReaderService.exe''' – вспомогательный сервис Windows NT для работы со считывателем магнитных карт
| + | |
| − | | + | |
| − | * '''Server.bat''' – файл, который запускает server.exe с зацикливанием (второстепенный файл)
| + | |
| − | | + | |
| − | * '''ServerViewer.exe''' – программа для удаленного доступа к консоли Server.exe, просмотра состояния клуба, базовой статистики по финансам, графиков приходов денег, загрузки клуба
| + | |
| − | | + | |
| − | * '''TrafficViewer.exe''' – программа визуализации расхода трафика клиентскими машинами, а также другими, которые есть в вашей сети и определены в ПО.
| + | |
| − | | + | |
| − | * '''License.rtf''' - Файл с лицензионной информацией
| + | |
| − | | + | |
| − | * '''Server.dat''' - Зашифрованный файл с помощью которого Server.exe получает информацию о соединении с БД MySQL
| + | |
| − | | + | |
| − | * '''ServerSetuper.exe''' - Утилита для создания зашифрованного файла для Server.exe
| + | |
| − | | + | |
| − | * '''Barman.exe''' - Программа бармена , служит для регистрации вызовов с клиентских машин
| + | |
| − | | + | |
| − | ==Настройка ПО==
| + | |
| − | | + | |
| − | ==Контроль за доступом в интернет==
| + | |
| − | | + | |
| − | '''Введение'''
| + | |
| − | | + | |
| − | Программное Обеспечение комплекса (далее просто ПО) дает возможность управления доступом в Интернет клиентских компьютеров, а также сторонних потребителей трафика, например, офисных компьютеров, машин внешних, относительно клуба, клиентов (офисы, квартиры и т.п.). По также дает возможность учитывать трафик.
| + | |
| − | | + | |
| − | Имеется возможность настройки ПО таким образом, что доступ к определенным сетям будет всегда и бесплатно (обычно игровые сервера провайдера, внутригородская сеть), к другим четко прописанным сетям, может тарифицироваться льготно. Весь остальной трафик (весь внешний входящий) при этом тарифицируется базово.
| + | |
| − | | + | |
| − | '''Принцип работы'''
| + | |
| − | | + | |
| − | Дистрибутив ПО системы управления находится в файле '''WinInetControlInstaller.exe'''
| + | |
| − | | + | |
| − |
| + | |
| − | | + | |
| − | Принцип работы заключается в том, что на машину, раздающую клиентам Интернет ставится дополнительный firewall (очень похожий на ipfw под FreeBSD по системе команд), которым управляет наш сервис WinIPFWService.exe
| + | |
| − | | + | |
| − |
| + | |
| − | | + | |
| − | Сервис при своем запуске подключается в БД MySQL с параметрами, которые он берет из файла '''WinIPFWService.ini''' :
| + | |
| − | | + | |
| − | | + | |
| − | - параметры подключения к серверу MySQL требуются права для записи и чтения таблицы ip_state
| + | |
| − | и только на чтение из таблицы firewall_profiles :
| + | |
| − | | + | |
| − | | + | |
| − | [DataBase] | + | |
| − | | + | |
| − | Server=127.0.0.1
| + | |
| − | | + | |
| − | Port=3306
| + | |
| − | | + | |
| − | Database=asta
| + | |
| − | | + | |
| − | Username=root
| + | |
| − | | + | |
| − | Password=
| + | |
| − | | + | |
| − |
| + | |
| − | | + | |
| − | Cистемные параметры :
| + | |
| − | | + | |
| − | [System] | + | |
| − | | + | |
| − | Как часто производить съем информации о трафике в мсек :
| + | |
| − | | + | |
| − | RecalcInterval=5000
| + | |
| − | | + | |
| − | | + | |
| − | Отображать ли в логах факты пересчета (полезно для отладки) :
| + | |
| − | | + | |
| − | ShowRecalcEvent=0
| + | |
| − | | + | |
| − | Выполнить ли при старте сервиса автозагрузку ненулевых правил в ipfw
| + | |
| − | | + | |
| − | Из таблицы ip_state :
| + | |
| − | | + | |
| − | ResetIpfwAtStartService=1
| + | |
| − | | + | |
| − | | + | |
| − | Здесь приведены значения по умолчанию ini-файла. Они подходят для варианта, когда '''MySQL''' и '''WinIPFWService''' находятся на одной машине-сервере.
| + | |
| − | | + | |
| − | | + | |
| − | Типовая конфигурация машины, управляющей доступом в Интернет выглядит приблизительно так:
| + | |
| − | | + | |
| − | | + | |
| − | [[Изображение:Set.jpg]]
| + | |
| − | | + | |
| − | | + | |
| − | На картинке показано, что на машине установлено два сетевых адаптера. На один из них приходит трафик (Internet). Второй же адаптер (Intranet) раздает его на клиентские машины через NAT.
| + | |
| − | | + | |
| − | Пусть у клиентских машин клуба
| + | |
| − | | + | |
| − | 192.168.0.1 – 192.168.0.10 (всего 10 машин)
| + | |
| − | | + | |
| − | | + | |
| − | Рекомендуем начинать нумерацию машин клуба с 1! По опыту работы это сильно сокращает путаницу в работе клуба при «разборе полетов»
| + | |
| − | | + | |
| − |
| + | |
| − | Вариантов настройки трансляции адресов (NAT) достаточно много. '''Из рекомендуемых:'''
| + | |
| − | | + | |
| − | * Внутренними средствами Windows 2000 Server (2003)
| + | |
| − | | + | |
| − | * Kerio WinRoute Firewall
| + | |
| − | | + | |
| − | * Microsoft ISA Server
| + | |
| − | | + | |
| − | | + | |
| − | Наш WinIPFWService.exe работает параллельно с перечисленными выше системами и дополнительной их настройки не требуется.
| + | |
| − | | + | |
| − | При своей работе сервис постоянно общается с БД, получая оттуда команды управления и отправляя данные о текущем трафике.
| + | |
| − | | + | |
| | | | |
| | ---- | | ---- |
| | | | |
| | | | |
| − | '''Установка''' | + | '''Общие рекомендации:''' |
| − |
| + | |
| − | * Запустите программу '''WinInetControlInstaller.exe'''
| + | |
| − | | + | |
| − | * Ознакомьтесь с Лицензионным Соглашением.
| + | |
| − | | + | |
| − | * Отвечайте положительно на все вопросы «мастера» установки.
| + | |
| − | | + | |
| − | * Программа-установщик распакует все файлы дистрибутива в указанную Вами папку.
| + | |
| − | | + | |
| − | Папка по умолчанию: ''''C:\astalaViSta\SuperViSor\WinInetController''''
| + | |
| − | | + | |
| − | * Также программа установит NT-сервис '''WinIPFWService.exe''' и пропишет ему параметр автозапуска при перезагрузке компьютера.
| + | |
| − | | + | |
| − | * После установки сервиса программа инсталлирует система '''wipfw''' с дефолтовым файлом конфигурации работы файрвола. Процесс работы можно увидеть в появившемся dos-окошке:
| + | |
| − | | + | |
| − | | + | |
| − | [[Изображение:set2.jpg]]
| + | |
| − | | + | |
| − | | + | |
| − | Обратите внимание, что выводится список интерфейсов.
| + | |
| − | | + | |
| − | Здесь в примере:
| + | |
| − | | + | |
| − | * '''lo0''' – это внутренний интерфейс (127.0.0.1)
| + | |
| − | | + | |
| − | * '''eth0''' – внешний интерфейс (он же у нас назван как Internet)
| + | |
| − | | + | |
| − | * '''eth1''' – внутренний интерфейс (он у нас назван как Intranet)
| + | |
| − | | + | |
| − | Эти знания пригодятся Вам для построения более «хитрых» правил нежели чем просто учет и включение-выключение трафика.
| + | |
| − | | + | |
| − | | + | |
| − | Список интерфейсов можно посмотреть по команде '''ipfw -L'''
| + | |
| − | | + | |
| − | | + | |
| − | ----
| + | |
| − | | + | |
| − | | + | |
| − | '''Настройка файла конфигурации wipfw для подсчета трафика'''
| + | |
| − | | + | |
| − | | + | |
| − | Инициализационные правила лежат в файле: '''ipfw.conf'''
| + | |
| − | | + | |
| − | Это простой текстовый файл, каждая строчка которого описывает определенное правило для файрвола.
| + | |
| − | | + | |
| − | По умолчанию в файле следующие команды:
| + | |
| − | | + | |
| − | | + | |
| − | -f flush
| + | |
| − | | + | |
| − | add 1 allow ip from any to any via lo0
| + | |
| − | | + | |
| − | add 2 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via eth1
| + | |
| − | | + | |
| − | add 101 count ip from any to 192.168.0.1
| + | |
| − | | + | |
| − | add 102 count ip from 192.168.0.1 to any
| + | |
| − | | + | |
| − | ...
| + | |
| − | | + | |
| − | add 1001 count ip from any to 192.168.0.10
| + | |
| − | | + | |
| − | add 1002 count ip from 192.168.0.10 to any
| + | |
| − | | + | |
| − | add 65535 allow ip from any to any
| + | |
| − |
| + | |
| − | | + | |
| − | Первая строчка «обнуляет» firewall, удаляя все правила.
| + | |
| − | | + | |
| − | Вторая – разрешает любой внутренний трафик.
| + | |
| − | | + | |
| − | Третья – разрешает любой трафик клиентских машин в пределах интерфейса eth1
| + | |
| − | | + | |
| − | Также она блокирует подсчет трафика в пределах сети '''192.168.0.0:255.255.255.0'''
| + | |
| − | | + | |
| − | Строчка : '''add 101 count ip from any to 192.168.0.1''' – подсчет входящего трафика для первой машины
| + | |
| − | | + | |
| − | Следующая строчка: подсчет исходящего трафика для первой машины.
| + | |
| − | | + | |
| − | И т.д. для 10ти машин.
| + | |
| − | | + | |
| − | Последняя строчка – разрешает любой трафик
| + | |
| − | | + | |
| − | Нумерация правил идет с 1 и до 65535
| + | |
| − | | + | |
| − | Может быть несколько правил на одном номере.
| + | |
| − |
| + | |
| − | | + | |
| − | Для настройки учета трафика вашей сети пропишите count-пары для всех компьютеров вашей сети по аналогии.
| + | |
| − | | + | |
| − | | + | |
| − | '''(!) Замечаниe: '''
| + | |
| − | | + | |
| − | | + | |
| − | Иногда, например при работе с Kerio Winroute Firewall, требуется вместо правила номер 2 прописать следующее:
| + | |
| − | | + | |
| − |
| + | |
| − | | + | |
| − | add 3 allow tcp from 192.168.0.0/24 to 192.168.0.100 44567 via eth0
| + | |
| − | | + | |
| − | add 4 allow udp from any to 192.168.0.100 44568 via eth0
| + | |
| − | | + | |
| − | add 5 allow tcp from 192.168.0.100 44567 to 192.168.0.0/24 via eth0
| + | |
| − | | + | |
| − | add 6 allow udp from 192.168.0.100 44568 to 192.168.0.0./24 via eth0
| + | |
| − | | + | |
| − | add 7 allow icmp from 192.168.0.0/24 to 192.168.0.0./24 via eth0
| + | |
| − | | + | |
| − |
| + | |
| − | | + | |
| − | Здесь в примере 192.168.0.100 – внутренний ip машины с NAT
| + | |
| − |
| + | |
| − | Седьмое правило разрешает диагностические пинги от сервера до клиентских машин
| + | |
| − | | + | |
| − | Аста-сервер использует в своей работе '''tcp-порт 44567''' и '''udp-порт 445678'''
| + | |
| − |
| + | |
| − | В примере выше правила 3 4 5 6 разрешают в любом случае трафик клиентских машин с аста-сервером.
| + | |
| − | | + | |
| − | | + | |
| − | '''(!!) Замечаниe: '''
| + | |
| − | | + | |
| − |
| + | |
| − | | + | |
| − | Если машина с файрволом выполняет функции файл-сервера клуба, то требуется вписать дополнительно правила, аналогичные правилам ниже:
| + | |
| − | | + | |
| − | | + | |
| − | ipfw add 10 allow tcp from 192.168.0.0/24 to 192.168.0.100 135-139,389,445 via eth0
| + | |
| − | | + | |
| − | ipfw add 10 allow tcp from 192.168.0.100 135-139,389,445 to 192.168.0.0/24 via eth0
| + | |
| − | | + | |
| − | ipfw add 10 allow udp from 192.168.0.0/24 to 192.168.0.100 135-139,389,445 via eth0
| + | |
| − | | + | |
| − | ipfw add 10 allow udp from 192.168.0.100 135-139,389,445 to 192.168.0.0/24 via eth0
| + | |
| − | | + | |
| − |
| + | |
| − | | + | |
| − | Здесь в примере 192.168.0.100 – внутренний ip файл-сервера (он же файрвол)
| + | |
| − | | + | |
| − | | + | |
| − | В любом случае, чтобы правила вступили в силу, нужно либо просто перегрузить компьютер, либо запустить init.cmd
| + | |
| − | | + | |
| − | | + | |
| − | Остановка сервиса '''WinIPFWService: StopService.cmd '''
| + | |
| − | | + | |
| − | Запуска сервиса '''WinIPFWService: StartService.cmd'''
| + | |
| − | | + | |
| − | Начать изучение команд ipfw можно :
| + | |
| − | | + | |
| − | [http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/firewalls.html www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/firewalls.html]
| + | |
| − | | + | |
| − | или
| + | |
| | | | |
| − | [http://www.astalavista.ru/files/ipfw_rus.txt http://www.astalavista.ru/files/ipfw_rus.txt]
| |
| | | | |
| | + | * Не используйте в качестве сервера нестабильное "глючное" железо. |
| | + | * Не рекомендуем ставить ПО на Raid-массивы (связано с особенностями mysql) |
| | + | * В качестве сервера рекомендуем использовать машину на процессоре не ниже Pentium 4 с поддрежкой Hyper Threading (Pentium D, Core2Duo, i5, i7) |
| | + | * В качестве сервера '''не рекомендуем''' использовать старые Intel Xeon |
| | + | * По опыту стабильнее работает всё, если интерфес у вичестера SATA |
| | + | * Памяти для работы сервера достаточно 512Mb |
| | + | * Свободного места на винчестере желательно иметь от 10ти гигабайт. |
| | + | * Перед уставновкой желательно дефрагментировать ваш HDD. Также выполняйте дефрагментируйте HDD с MySQL хотя бы раз в полгода |
| | | | |
| − | В любой момент можно в консоли написать команду '''ipfw show''' для просмотра текущих работающих правил и трафика в байтах, который по ним прошел
| + | Для настройки ПО вы должны следовать инструкциям описаным ниже : |
| | | | |
| | | | |
| − | Можно написать: '''ipfw show 101 102''' для просмотра трафика только первой машины, например.
| + | ''' Установка и настройка серверной части комплекса : ''' |
| | | | |
| | + | * [[Установка серверной составляющей комплекса]] |
| | + | * [[Ручная установка сервера БД MySQL]] |
| | + | * [[Создание БД в базе данных MYSQL]] |
| | + | * [[Настройка соеденения Server.exe с БД MySQL]] |
| | + | * [[Установка программы ASVServerService.exe]] |
| | + | * [[Программа руководителя BOSS.exe | Программа руководителя '''BOSS.exe''']] |
| | | | |
| − | Команда для удаления правила из списка: '''ipfw delete 101 102''' (удалятся 101 и 102 правила)
| |
| | | | |
| | + | ''' Кассирская и операторская часть: ''' |
| | | | |
| − | Команда для обнуления всех счетчиков: '''ipfw zero'''
| + | * [[Установка программы оператора - кассира : Operator.exe]] |
| | + | * [[Кассирская и операторская часть Operator.exe | Программа администратора (кассира) '''Operator.exe''']] |
| | | | |
| | | | |
| − | '''ipfw zero 101 102''' – обнулит счетчики только у правил 101 и 102 (полезно для наладки и тестирования) | + | ''' Установка и настройка клиентской составляющей : ''' |
| | | | |
| | + | * [[Установка клиентской составляющей]] |
| | + | * [[Клиентская часть программного комплекса]] |
| | | | |
| − | Число count-записей не обязательно должно совпадать с числом машин в клубе. Советуем прописать вообще все 254 ip вашей интранет-сети. Аналогично для них в БД в таблице ip_state прописать 254 строчки для всех ip внутренней сети.
| |
| | | | |
| | + | ''' Настройка установленного ПО ''' |
| | | | |
| − | Для скорости создания правил советуем воспользоваться программой комплекта FwRulezMaker.exe, которая позволяет быстро создавать текстовые наборы правил по метапеременным.
| + | * [[Настройка связи]] |
| | + | * [[Автоматическая установка IP]] |
| | + | * [[Настройка программы ServerViewer.exe]] |
| | + | * [[Считыватели магнитных карт и отпечатков пальцев]] |
| | + | * '''[[Контроль за доступом в интернет]]''' |
