FreeBSD 9.x

Матеріал з NoDeny
Перейти до навігації Перейти до пошуку

Устанавливаем операционную систему

Загружаем с офсайта образ FreeBSD под архитектуру amd64 или i386 в зависимости от типа процессора вашего сервера. Версию желательно выбирать stable. На данный момент актуальны версии 9 и 10.

При установке можно выбирать типичные параметры. Стоить лишь обратить внимание на такие вещи:

  • Если вы собираетесь разбить систему на несколько логических разделов, то большую часть отдайте разделу var, поскольку там будет сохраняться база данных биллинга
  • Создайте пользователя в группе wheel (группа с номером 0) - иначе вы не сможете зайти на сервер по ssh под root (либо придется править конфиг sshd)

После первой перезагрузки логинимся по ssh под нашим логином и становимся root-ом:

su

Настраиваем rc.conf

ee /etc/rc.conf

Редактируем rc.conf

hostname="nodeny.com.ua"
defaultrouter="1.2.3.1"
ifconfig_fxp0="inet 10.0.0.1 netmask 255.255.255.0"
ifconfig_fxp1="inet 1.2.3.4 netmask 255.255.255.0"
ifconfig_lo0_alias0="inet 1.1.1.1 netmask 255.255.255.255"
fsck_y_enable="YES"
background_fsck="NO"
sshd_enable="YES"
firewall_enable="YES"
gateway_enable="YES"
named_enable="YES"
  • background_fsck="NO" отключает проверку дисков в бекграунде и делает при старте, fsck_y_enable="YES" говорит "yes" на все вопросы при проверке.
  • 1.1.1.1 - виртуальный ip, который автор настраивает на всех своих серверах на интерфейсе lo0. Этот ip клиенты указывают в своих настройках в качестве dns сервера, сервера авторизации и т.д.
  • Интерфейс fxp1 подключен к шлюзу вышестоящего провайдера с ip 1.2.3.1.
  • К интерфейсу fxp0 подключаются абоненты.

Выполним все нижестоящие команды сразу. Коротко: полностью открыли (на момент настройки) фаервол ipfw, в автозагрузку поставили фаервол pf (от него нам нужен только nat), установили dns от гугла: 8.8.8.8.

echo '/sbin/ipfw add 100 allow ip from any to any' > /etc/rc.firewall
echo pf_load=\"YES\" >> /boot/loader.conf
echo pf_enable=\"YES\" >> /etc/rc.conf
echo ipfw_load=\"YES\" >> /boot/loader.conf
echo ipdivert_load=\"YES\" >> /boot/loader.conf
echo dummynet_load=\"YES\" >> /boot/loader.conf
echo 'nameserver 8.8.8.8' > /etc/resolv.conf

Обновляем систему

freebsd-update fetch
freebsd-update install

Обновляем дерево портов

portsnap fetch
portsnap extract


Усстанавливаем пакетный менеджер PKGNG

/usr/sbin/pkg
pkg2ng
echo 'WITH_PKGNG="yes"' /etc/make.conf
echo 'daily_backup_pkgdb_enable="NO"' >> /etc/periodic.conf
cp /usr/local/etc/pkg.conf.sample /usr/local/etc/pkg.conf
pkg update -f

Устанавливаем необходимые программы

При установке perl обязательно не забываем проверить, что выбрана опция 'THREADS - Build threaded perl'.

cd /usr/ports/lang/perl5.18/
make install clean

Ставим bash, svn и mc.

pkg install bash subversion mc-light


Назначаем bash дефолтным для учетной записи root:

pw usermod root -s /usr/local/bin/bash

Скажем системе, что не собираемся юзать графический интерфейс - пусть компилит программы без его поддержки:

echo 'WITHOUT_X11=yes' >> /etc/make.conf
echo 'WITHOUT_GUI=yes' >> /etc/make.conf

Загружаем NoDeny+

cd /usr/local
svn co svn://nodeny-plus.com.ua/release nodeny


Настройка

Настраиваем nat

cp /usr/local/nodeny/etc/pf.conf /etc/
ee /etc/pf.conf

В первой строке указываем интерфейс, который смотрит на вышестоящего провайдера.

pfctl -N -f /etc/pf.conf

Пробуем с клиентского компьютера получить доступ в интернет через наш сервер. Пингуем с него 8.8.8.8. Если не пингуется:

tcpdump -ifxp1 -p -n icmp

Если пакеты, идущие на 8.8.8.8 идут от ip клиента, значит nat у нас не работает. Смотрим pf.conf все ли мы верно там указали.

На клиентском компьютере в качестве DNS устанавливаем опять же ip 8.8.8.8. Проверяем ping ya.ru

Настраиваем локальный DNS

echo named_enable=YES >> /etc/rc.conf
ee /etc/namedb/named.conf

Редактируем named.conf

    listen-on { 127.0.0.1; 1.1.1.1; };
/etc/rc.d/named forcerestart

На клиентском компьютере в качестве DNS устанавливаем 1.1.1.1. Настраиваем сбор статистики трафика

pkg_add -r ipcad echo ipcad_enable=YES >> /etc/rc.conf cp /usr/local/nodeny/etc/ipcad.conf /usr/local/etc/ ipcad -d ipfw add 10 divert 1 ip from any to any not via lo0 rsh 0 show ip acco Фаервол с блокировкой неавторизованных клиентов

Команды bash cp /usr/local/nodeny/etc/rc.firewall /etc/ ee /etc/rc.firewall Редактируем rc.firewall, меняем внешний интерфейс ifOut='fxp1' Команда bash reboot После перезагрузки проверяем, что все модули подгрузились.

С клиентского компьюетра пингуем ya.ru. Адрес Яндекса получаем, но ping не идет Если ip Яндекса не получен: не работает локальный DNS либо неправильно настроен фаервол либо у клиента в качестве DNS указан не 1.1.1.1.

Если ping идет - фаервол не загружен

Выполняем ipfw table 100 add 0.0.0.0/0 Пинг должен пойти. В противном случае

ps ax | grep ipcad ipfw show Выполняем rsh 0 show ip acco Получаем таблицу, по которой видна информация по трафику между клиентом и Яндексом. Устанавливаем MySQL-сервер

pkg_add -r mysql55-server Создаем конфиг cp /usr/local/share/mysql/my-huge.cnf /etc/my.cnf ee /etc/my.cnf Редактируем my.cnf, секция [mysqld] skip-character-set-client-handshake skip-name-resolve Стартуем mysql-сервер /usr/local/etc/rc.d/mysql-server forcestart Устанавливаем пароль root в mysql mysqladmin -u root password 'hardpass' Автозапуск при старте системы echo mysql_enable=YES >> /etc/rc.conf Создаем структуру БД NoDeny+ mysql -u root --password='hardpass' Команды mysql create database nodeny; use nodeny; source /usr/local/nodeny/bill.sql; Устанавливаем Web-сервер

pkg_add -r apache22 Автозапуск echo apache22_enable=YES >> /etc/rc.conf echo /sbin/kldload accf_http >> /etc/rc.local Стартуем apachectl start Открываем в браузере http://10.0.0.1/ Если не получаем приветствующего сообщения «It works!» - смотрим логи tail /var/log/httpd-error.log Устанавливаем модули perl:

cd /usr/ports/databases/p5-DBD-mysql && make install clean cd /usr/ports/security/p5-Crypt-Rijndael && make install clean cd /usr/ports/converters/p5-JSON && make install clean cd /usr/ports/converters/p5-JSON-XS && make install clean Завершаем установку NoDeny+

По умолчанию во FreeBSD путь к cgi-bin и корню www: /usr/local/www/apache22/. Следующие команды удалят cgi-bin и data (www корень), после чего создадут символические линки на папки cgi-bin и htdocs внутри /usr/local/nodeny/ rm -fR /usr/local/www/apache22/cgi-bin rm -fR /usr/local/www/apache22/data ln -s /usr/local/nodeny/cgi-bin/ /usr/local/www/apache22/cgi-bin ln -s /usr/local/nodeny/htdocs/ /usr/local/www/apache22/data Подключим модули (-x), установим владельца и права на файлы (-w), создадим стартовый конфиг (-m), создадим суперадмина (-p): cd /usr/local/nodeny perl install.pl -x perl install.pl -w=www perl install.pl -m perl install.pl -p admin=12345 Входим в админку под логином admin и паролем 12345

http://10.0.0.1/cgi-bin/stat.pl Если в левом верхнем углу появится эмблема NoDeny+, то заходим в настройки и устанавливаем в «да» параметр «установите "да" если путь к изображениям корректен» Переходим по ссылке с логином текущего администратора в верхнем меню, в нашем случае «admin». Далее по ссылке «Администраторы» и меняем пароль своей учетке, а также выдаем все привилегии. Изменяем следующие настройки Тарификация → Денежная еденица Объекты. Внесите несколько основных улиц вашей сети. Доп.поля. Удалите поля, которые не потребуются для данных ваших клиентов и добавьте нужные. Например, если вам необходимо поле «Город», то вам необходимо создать запись: Имя поля: Город Имя поля в бд: _adr_city Тип поля: выпадающий список Регулярное выражение: city После этого, вам необходимо зайти в настройках в раздел «Объекты» и внести несколько городов, установив параметр «Тип» в значение «city». Создаем клиентскую учетную запись, после чего устанавливаем в значение «Всегда онлайн» параметр «Авторизация» - это позволит клиенту получить доступ в интернет без авторизации вначале тестирования. Также добавляем ip и услугу «1 Мбит». Запуск ядра NoDeny+

Ядро NoDeny+ работает в фоне и выполняет следующие функции: обработка авторизаций, сбор статистики трафика, управление услугами и т.д. Конфиги находятся в файлах /usr/local/nodeny/kernel/*.cfg. Обязательный параметр run - указывает будет ли плагин запущен при старте ядра или нет. Если run установлен в 0, то плагин можно запустить только указав его в параметрах командной строки при запуске ядра.

Получим список всех плагинов perl nokernel.pl -L Напротив названия модуля 1 означает, что модуль будет запускаться автоматически при старте ядра.

Запускаем ядро со стандартным набором модулей perl nokernel.pl Если на консоль не вывело никаких ошибок - ядро успешно запустило все модули.

Запускаем скрипт управления фаерволом perl noserver.pl -v Если на консоль не вывело никаких ошибок - ставим в автозагрузку:

echo '/usr/bin/perl /usr/local/nodeny/nokernel.pl -d &' >> /etc/rc.local echo '/usr/bin/perl /usr/local/nodeny/noserver.pl -d &' >> /etc/rc.local Запускаем скрипты в фоне perl /usr/local/nodeny/nokernel.pl -d & perl /usr/local/nodeny/noserver.pl -d &

Настройка авторизации клиентов

На этом этапе необходимо определиться с технологией подключения и авторизации абонентов. Наиболее распространо:

ipoe + dhcp: удобен для абонентов - не нужно ничего настраивать на компьютере. Однако низкая безопасноть т.к. злоумышленник может подделать свой mac-адрес и пользоваться интернетом за чужой счет ipoe + dhcp + option82: удобен для абонентов - не нужно ничего настраивать на компьютере. Хорошая безопасность. Однако требует установку управляемых свичей и их настройку. pppoe: относительно сложен для клиентов. Безопасность лучше чем при dhcp. Небольшое уменьшение пропускной способности внутри сети из-за пересылки дополнительных данных в pppoe протоколе.