billing:preferences:security:whitelist

Управление "Белыми списками"


"Белый список" - WhiteList , это эквивалентные понятия в рамках работы MikBill


Функция управляет Firewall iptables на linux или address list на Mikrotik.
Чтобы обеспечить контроль доступа "валидных клиентов" к этим ресурсам.

Фактически данная функция формирует список тех, кому нужно дать доступ на Каждом из перечисленных ресурсов.

Пример:

имеем подсети

локалка 10.48.0.0/16
PPP тунели 172.16.0.0/16
Внешний блок 195.2.205.0/24
Внутренние ресурсы 10.48.100.0/24
Настройте взаимодействие между серверами по ssh что бы билинг мог зайти без пароля и выполнить необходимые команды


В данный справочник заносим данные для подключения к серверу.
Уточнение пароль - это пароль который бал здан на сервере который вы задаете командой passwd ну или в микротик через winbox.
Параметр disable - означает отключить этот сервер от управления модулем whitelist


Добавляете IP адреса, сети либо имя домена (без http:// или https://) в справочник.
Галочка действия ACCEPT/DROP определяет что делать с данным адресом:

  • Не отметить галочку - DROP
  • Отметить галочку - Accept

Далее:

на Mikrotik у вас появится address list с именами:
  • white_list_users - IP адреса абонентов
  • white_list_accept - разрешенные адреса
  • white_list_drop - запрещенные адреса

в IPTABLES создаем
в цепочку INPUT таблицы filter добавляем
:white_list - [0:0]


цепочку и правила для заворачивания туда трафика соответственно.

[0:0] -A INPUT -s 10.48.0.0/16 -j white_list
[0:0] -A INPUT -s 172.16.0.0/16 -j white_list
[0:0] -A INPUT -s 195.2.205.0/24 -j white_list


Этим правила сделаю доступ всем клиентам которые "валидные", а дальше уже укажите те кому нужно давать всегда доступ например серверам для клиентов ну и естественно запрет.

[0:0] -A INPUT -s 10.48.100.0/24 -j ACCEPT
[0:0] -A INPUT -s 10.48.0.0/16 -j DROP
[0:0] -A INPUT -s 172.16.0.0/16 -j DROP
[0:0] -A INPUT -s 195.2.205.0/24 -j DROP


Простой пример сохраненных правил:

# Generated by iptables-save v1.3.8 on Sat May 17 15:36:51 2008
*raw
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Sat May 17 15:36:51 2008
# Generated by iptables-save v1.3.8 on Sat May 17 15:36:51 2008
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Sat May 17 15:36:51 2008
# Generated by iptables-save v1.3.8 on Sat May 17 15:36:51 2008

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:white_list - [0:0]
[0:0] -A INPUT -s 10.48.0.0/16 -j white_list
[0:0] -A INPUT -s 172.16.0.0/16 -j white_list
[0:0] -A INPUT -s 195.2.205.0/24 -j white_list
[0:0] -A INPUT -s 10.48.100.0/24 -j ACCEPT
[0:0] -A INPUT -s 10.48.0.0/16 -j DROP
[0:0] -A INPUT -s 172.16.0.0/16 -j DROP
[0:0] -A INPUT -s 195.2.205.0/24 -j DROP
COMMIT

Как пользоваться address list и firewall на Mikrotik/linux выходит за рамки данного материала. В итоге у Вас имеется список всех кому можно разрешить какую либо услугу на каждом из серверов.

  • billing/preferences/security/whitelist.txt
  • Последнее изменение: 15 мес. назад
  • alexd