====== Управление "Белыми списками" ======
С версии 3.13.04 связь с Mikrotik переведена на API
\\ "Белый список" - WhiteList , это эквивалентные понятия в рамках работы MikBill
\\ Функция управляет Firewall iptables на linux или address list на Mikrotik.
\\ Чтобы обеспечить контроль доступа "валидных клиентов" к этим ресурсам.
Фактически данная функция формирует список тех, кому нужно дать доступ на Каждом из перечисленных ресурсов.
Пример:
имеем подсети
локалка 10.48.0.0/16
PPP тунели 172.16.0.0/16
Внешний блок 195.2.205.0/24
Внутренние ресурсы 10.48.100.0/24
===== Настройка =====
* [[#tab-mikrotik|Mikrotik]]
* [[#tab-linux|Linux]]
Работа с Mikrotik осуществляется через RouterOS API, по этому необходимо включить API в IP => Services
Настройте [[billing:configuration:cross_server_uathorization|взаимодействие между серверами по ssh]] что бы билинг мог зайти без пароля и выполнить необходимые команды
==== Серверы ====
\\ В данный справочник заносим данные для подключения к серверу.
\\ Уточнение пароль - это пароль который бал здан на сервере который вы задаете командой passwd ну или в микротик через winbox.
\\ Параметр disable - означает отключить этот сервер от управления модулем whitelist
Так же данный сервер должен быть в справочнике NAS (Настройки => Сервера NAS)
==== Подсети ====
\\ Добавляете IP адреса, сети либо имя домена (без http:// или https://) в справочник.
\\ Галочка **действия ACCEPT/DROP** определяет что делать с данным адресом:
* Не отметить галочку - DROP
* Отметить галочку - Accept
Далее:
* [[#tab-mikrotik2|Mikrotik]]
* [[#tab-linux2|Linux]]
на Mikrotik у вас появится address list с именами:
* white_list_users - IP адреса абонентов
* white_list_accept - разрешенные адреса
* white_list_drop - запрещенные адреса
\\ в IPTABLES создаем
\\ в цепочку INPUT таблицы filter добавляем
:white_list - [0:0]
\\ цепочку и правила для заворачивания туда трафика соответственно.
[0:0] -A INPUT -s 10.48.0.0/16 -j white_list
[0:0] -A INPUT -s 172.16.0.0/16 -j white_list
[0:0] -A INPUT -s 195.2.205.0/24 -j white_list
\\ Этим правила сделаю доступ всем клиентам которые "валидные", а дальше уже укажите те кому нужно давать всегда доступ например серверам для клиентов ну и естественно запрет.
[0:0] -A INPUT -s 10.48.100.0/24 -j ACCEPT
[0:0] -A INPUT -s 10.48.0.0/16 -j DROP
[0:0] -A INPUT -s 172.16.0.0/16 -j DROP
[0:0] -A INPUT -s 195.2.205.0/24 -j DROP
\\ Простой пример сохраненных правил:
# Generated by iptables-save v1.3.8 on Sat May 17 15:36:51 2008
*raw
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Sat May 17 15:36:51 2008
# Generated by iptables-save v1.3.8 on Sat May 17 15:36:51 2008
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Sat May 17 15:36:51 2008
# Generated by iptables-save v1.3.8 on Sat May 17 15:36:51 2008
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:white_list - [0:0]
[0:0] -A INPUT -s 10.48.0.0/16 -j white_list
[0:0] -A INPUT -s 172.16.0.0/16 -j white_list
[0:0] -A INPUT -s 195.2.205.0/24 -j white_list
[0:0] -A INPUT -s 10.48.100.0/24 -j ACCEPT
[0:0] -A INPUT -s 10.48.0.0/16 -j DROP
[0:0] -A INPUT -s 172.16.0.0/16 -j DROP
[0:0] -A INPUT -s 195.2.205.0/24 -j DROP
COMMIT
Как пользоваться address list и firewall на Mikrotik/linux выходит за рамки данного материала.
В итоге у Вас имеется список всех кому можно разрешить какую либо услугу на каждом из серверов.