NeTAMS на PC-маршрутизаторе

В большинстве случаев схема подключения PC-роутера к сети следующая: в компьютере имеются две сетевые карты, одна из них ведет в локальную сеть офиса или домашней сети, другая к провайдеру Интернет. Между сетевыми интерфейсами настроена маршрутизация и (возможно) трансляция адресов. Необходимо учитывать трафик пользователей, и при необходимости блокировать некоторым из них доступ во внешнюю сеть.

Оставим процедуру установки и настройки операционной системы, MySQL, Apache, маршрутизацию, трансляцию адресов и прочее на совести администратора. Будем считать, что все (кроме учета трафика) уже работает. Программа NeTAMS скачана, скомпилирована, исполняемые файлы переписаны куда надо, но конфигурационного файла еще нет.

Допустим, что внутренний адрес интерфейса eth1 сервера 192.168.0.1, сетевая маска 255.255.255.0. Компьютеры внутренней сети могут иметь адреса с 192.168.0.2 по 192.168.0.254, в то время как реально пока установлены только три компьютера с адресами .10, .11 и .12.

Необходимо считать общий трафик, трафик только до российских сетей, и весь HTTP-трафик.
Конфигурационный файл /etc/netams.cfg выглядит следующим образом:

debug none
user name admin real-name Vasya_Pupkin 
	password aaa email root permit all
schedule time daily action "send report 
	to admin on LAN on NETWORK+"

service server 0
login local
listen 20001
max-conn 6

service processor 0
lookup-delay 20
flow-lifetime 120
policy name ip target proto ip
policy name www target proto tcp ports 80 
policy name rus target file /etc/ru-networks.txt
restrict all drop local pass
unit group name NETWORK acct-policy ip tcp !rus
unit net name LAN ip 192.168.0.0 mask 255.255.255.0 
	no-local-pass acct-policy ip tcp !rus
unit host name server ip 192.168.0.1 parent NETWORK 
	acct-policy ip tcp !rus
unit user name petya ip 192.168.0.10 parent NETWORK password abc 
	acct-policy ip tcp !rus
unit user name fedya ip 192.168.0.11 parent NETWORK password def 
	acct-policy ip tcp !rus
unit user name masha ip 192.168.0.12 parent NETWORK password ghi 
	acct-policy ip tcp !rus
storage 1 all

service storage 1
type mysql

service data-source 1
type libpcap
source eth1
rule 11 "ip"

service alerter 0
report oid 06100 name rep1 type traffic period day detail simple
smtp-server 127.0.0.1

service html 0
path /var/www/traffic
language en
run 5min
htaccess yes
client-pages all

Полезно разобрать весь конфигурационный файл по строчкам.

1	debug none
2	user name admin real-name Vasya_Pupkin password 
	aaa email root permit all
3	schedule time daily action "send report to admin on LAN on NETWORK+"

Этими командами настраивается сервис main, причем явно писать "service main" не нужно. Вначале отключается вывод всей отладочной информации - это нужно для уменьшения размера лог-файла. Далее, заводится пользователь системы NeTAMS, имеющий в ней административные права (permit all). Указанный пароль "aaa" потом будет храниться в зашифрованном виде. На адрес "root" будут отсылаться уведомления о трафике. Третьей строкой планируется отсылка ежедневных уведомлений о трафике пользователю admin на адрес root@, по юнитам LAN и NETWORK (вместе со всеми входящими в группу юнитами).

Пустая строка за номером 4 отделяет настройки разных сервисов (в данном случае main и server)

5	service server 0
6	login local
7	listen 20001
8	max-conn 6

Этими командами настраивается сервис server, который обеспечивает подключение администратора и скриптов к работающему экземпляру NeTAMS по протоколу telnet. Входящие соединения принимаются только на локальный адрес 127.0.0.1, порт 20001, и возможно не более шести одновременных соединений. Согласно предыдущим строкам, подключиться сможет только один пользователь с логином "admin" и паролем "aaa" - других просто нет.

9

Пустая строка, отделяет команды сервисов server и processor друг от друга.

10	service processor 0
11	lookup-delay 20
12	flow-lifetime 120
13	policy name ip target proto ip
14	policy name www target proto tcp ports 80 
15	policy name rus target file /etc/ru-networks.txt
16	restrict all drop local pass

Настраивается главный сервис - processor. В строках 10 и 11 задаются параметры, как часто будет проверяться списки юнитов и откладываться записи в базу данных. Для большинства задач указанные значения параметров оптимальны. Три следующие строки задают политики, по которым будет идти учет трафика. Политика "ip" задает весь IP-трафик, "www" - только тот, который идет по порту TCP 80, "rus" - тот, который получается при совпадении адресов с таблицей русских сетей, содержащейся в файле префиксов /etc/ru-networks.txt. Изначально этот файл идет в дистрибутиве NeTAMS, в каталоге addon/. Последняя, 16-ая строка определяет, как поступать с пакетами, которые прошли через учет по списку юнитов и совпали (или не совпали) с каким-либо юнитом. Указанная конфигурация пропускает пакеты, которые принадлежат имеющимся в конфигурационном файле юнитам, и не пропускает остальные. Полезно использовать именно указанное сочетание, т.к. это поможет не пускать в сеть "незаконные" компьютеры.

17	unit group name NETWORK acct-policy ip tcp !rus
18	unit net name LAN ip 192.168.0.0 mask 255.255.255.0 
	no-local-pass acct-policy ip tcp !rus
19	unit host name server ip 192.168.0.1 parent NETWORK 
	acct-policy ip tcp !rus
20	unit user name petya ip 192.168.0.10 parent NETWORK 
	password abc acct-policy ip tcp !rus
21	unit user name fedya ip 192.168.0.11 parent NETWORK 
	password def acct-policy ip tcp !rus
22	unit user name masha ip 192.168.0.12 parent NETWORK 
	password ghi acct-policy ip tcp !rus

Здесь определяются юниты, или учётные объекты. В начале создается группа, которая будет родительской по отношению к включенным в нее юнитам. Затем следует юнит, обозначающий всю подсеть. Далее, идут юниты, представляющие отдельные компьютеры. Для каждого юнита указан одинаковый набор политик учета, обратите внимание на флаг inverse, в виде знака "!", для политики "rus". Для юнита LAN указан также параметр no-local-pass, который заставляет считать не-локальными все пакеты, принадлежащие сети, и не описанные для других юнитов - этим мы отсекаем "неизвестные подключения". Для последних трех юнитов указан также пароль, который может быть использован для доступа к индивидуальной статистике в виде HTML-страниц.

23	storage 1 all

Указывает сервису processor на необходимость сохранять статистику в хранилище, описанном сервисом storage за номером 1. При этом запись будет идти в обе таблицы одновременно - raw и summary.

25	service storage 1
26	type mysql

Определяет хранилище для статистики. Тип хранилища - MySQL, для доступа к базе будут использованы стандартные настройки: имя пользователя root, пустой пароль, работающий на той же машине SQL-сервер (подключение через unix socket). Имя базы данных - netams.

27	service data-source 1
28	type libpcap
29	source eth1
30	rule 11 "ip"

Определяет, каким образом данные о трафике будут попадать в NeTAMS. Для этого будет использован интерфейс eth1 (ОС Линукс), и будет захвачен весь IP-трафик, проходящий через него (механизм libpcap, на базе которого сделан, например, tcpdump). Номер правила, "11", в данном случае смысла не несет.

32	service alerter 0
33	report oid 06100 name rep1 type traffic period day detail simple
34	smtp-server 127.0.0.1

Для того чтобы пользователи и администратор могли получать уведомления о статистике по электронной почте, настраивается сервис alerter и указывается тип отчета, и адрес smtp-сервера (в данном случае это локальный компьютер, где выполняется NeTAMS). Проследите, чтобы на указанной машине был запущен и настроен на прием ваш sendmail/postfix/exim/etc. В настоящий момент тип отчета задать нельзя, и вместо этого придется писать всю 33ю строчку целиком.

36	service html 0
37	path /var/www/traffic
38	language en
39	run 5min
40	htaccess yes
41	client-pages all

Сервис html позволяет автоматически генерировать HTML-страницы с отчетами. Процесс netams будет автоматически создавать эти страницы раз в 5 минут и складывать их в каталог /var/www/traffic. При этом язык страниц – английский (другого пока нет). Будет создаваться как администраторская часть дерева страниц, так и клиентская. Доступ к статистике будет защищен паролем (на администраторскую – admin:aaa, клиентам – их логины-пароли). Если настроить апач так:

ServerName www.company.ru
<Directory /var/www/traffic>
	Options FollowSymLinks ExecCGI Indexes
	AllowOverride All
</Directory>
Alias /stat/ /var/www/traffic/

то администратор получит доступ по ссылке http://www.company.ru/stat/ , а Федя по ссылке http://www.company.ru/stat/clients/fedya/ (спросится федин логин-пароль)