Образ FreeBSD 7.0 и NoDeny49 для vmware + Документация + Nodeny 49

Кластер NoDeny - центр всех вычислений и информации, управляет сателлитами и получает от них данные. В качестве сателлита выступает сервер (или комплекс) обслуживающий определенную группу клиентов либо ресурсов.
Сателлит может выполнять одну или все следующие функции:
- авторизацию клиентов;
- управление доступом клиента к ресурсам (локальным, интернет, к ресурсам других клиентов);
- сбор статистики потребления ресурсов.
Для примера приведем вариант построения сети:

На схеме видим 2 сателлита: обслуживающего клиентов района 1 и клиентов района 2. Между сателлитами и шлюзом в интернет установлены сервера с контентом. Благодаря такой схеме получаем контролируемый доступ клиентов и в интернет и к локальным ресурсам сети. Более того, если серментировать сеть vlan-ами, то появляется дополнительная возможность управлять трафиком и между абонентами сети, т.е. разрешать/блокировать, шейпить и считать этот трафик.
В расширенном виде, схема NoDeny выглядит таким образом:

Здесь видим, что основной координирующий узел всей системы - это база данных. Взаимодействие узлов системы в большинстве случаев идет не напрямую, а через БД. Поэтому БД - это наиболее требовательная часть и по надежности и по производительности. Подробнее об этом читайте в разделе проектирования системы.
Вы могли заметить, что NoDeny предусматривает распределение своих компонент по нескольким серверам для увеличения производительности и надежности.
В простейшем же случае все компоненты устанавливаются на один сервер:

Вынос компонеты в отдельный сервер диктуется как географическими размерами сети так и размерами абонентской базы. Логичнее производить управление доступом и авторизацию географически как можно ближе к клиенту, т.е. в каждом районе организовать свой сателлит обслуживания.
Для примера, в сети с несколькими тысячами абонентов, расположенных в одном районе можно взять за основу следующее разделение:
Сервер 1: веб-администрирование, клиентская статистика, агент авторизации, агент доступа.
Сервер 2: основная база данных, база авторизации.
Сервер 3: дополнительная база.
Сервер 4: шлюз, ядро NoDeny, коллектор, резервный агент авторизации.
Либо же объединить Сервер 2 и Сервер 3 в один.
База данных разделена на три составляющие:
1) основная база данных хранит ключевую информацию: список абонентов, платежи, архивы, таблицы топологии, оборудования и др;
2) дополнительная база содержит расширенную статистику трафика, возможно с детализацией до ip, порта и протокола;
3) база авторизации содержит таблицу-очередь авторизаций.
Назначение модулей
Центром системы является база данных, все остальные модули взаимодействуют между собой через нее. За основу принята СУБД Mysql.
Агенты авторизации предназначены для идентификации клиентов, для гарантии, что в сети с текущими параметрами (например ip-адрес) присутствует легальный абонент. Клиенты авторизации периодически записывают в очередь авторизаций информацию о том, кто и как авторизовался.
L2-авторизация - это один из методов авторизации, разработанный конкретно под систему NoDeny. Предусматривает авторизацию с помощью специальной программы-авторизатора. Преимуществом этой авторизации является: минимальные требования к служебному трафику, поддержка ненадежных каналов (с большим процентом потерь, радиолинки и т.д), надежное шифрование, удобное отображение данных для клиента.
Ядро NoDeny периодически опрашивает коллекторы, снимающие показания о потреблении услуг клиентом (например, трафике), обновляет данные клиента в базе данных, на основании полученных данных из очереди авторизации и других условий (например, баланса клиента) разрешает/запрещает клиенту интернет/доступ к услугам и т.д.
Веб-статистика клиентов предназнаена для получения более расширенной информации о состоянии счета клиента, его трафике, истории и т.д. В данный момент веб-авторизация интегрирована в веб-статистику.
Веб-администрирование предназначено для администраторов различных уровней и позволяет управлять данными клиентов и системой в целом.

* Авторизация абонентов.
Поскольку использование биллинга предусматривает денежные расчеты, возникает необходимость защитить себя и своих абонентов от попыток воспользоваться услугами «за чужой счет».
Необходимо отметить, что на данный момент не все сети спроектированы таким образом, чтобы на аппаратном уровне во всех ее узлах иметь возможность контролировать/запрещать изменение клиентов своих сетевых данных (например, ip-адреса). В таких условиях необходимо разрешать прохождение трафика через узловые точки только после авторизации клиента.
Однократной авторизации не достаточно т.к. после авторизации абонента и его «выхода из сети» не должна существовать возможность продолжить «чужаку» этим воспользоваться и потреблять интернет/ресурсы сети от чужого имени. Также необходимо иметь защиту от перехвата сеансов авторизации сниферами, что возможно в сетях построенных как на хабах так и на свичах (arp-спуффинг). Исходя из этих условий была реализована так называемая L2-авторизация: специально разработанная автором программа-авторизатор, которая обеспечивает шифрованную авторизацию, а также в наглядном виде отображает процесс авторизации и предоставляет кое-какую статистику.
Возможно использование в качестве авторизации иных методов, например VPN, PPPoE, авторизацию через браузер.
Имеется возможность блокировать доступ для конкретного клиента автоматически по таким критериям
o превышение лимита трафика;
o превышение лимита задолженности;
o по времени суток - на любой пакет можно наложить ограничение, при котором доступ будет разрешаться только в определенный период времени.
При постоянном подключении к интернет (имеются ввиду домашние сети) более актуально оценивать услуги именно объемом потребленной клиентом информации. Такая задача является основной для данного биллинга - упор сделан на многообразие оценок и тарификации трафика.
Как известно, не всегда трафик равноценен для разных адресов в интернете, к примеру, провайдер может иметь свои сервера, доступ к которым дешевле и быстрее, или ресурсы других провайдеров города (страны) доступнее/дешевле/быстрее чем к западным. Для таких случаев есть смысл разделять трафик по категориям и оценивать по разным тарифам.
На данный момент имеется возможность делить трафик на 4 оплачиваемых категории (направления) на один тарифный план. В разных тарифных планах могут использоваться отличные категории, со своим списком адресов (портов).
Возможно «устроить слежку» за конкретным клиентом либо группой клиентов - в базу данных будут записаны трафик и все ip адреса (с портами и протоколами) с которыми обменивался клиент.
Возможно включение режима посуточной абонплаты по таким критериям: снимать абонплату только в дни когда разрешен доступ/если авторизовался/если есть трафик.
* Счет клиента
Все начисления/снятия/штрафы/премии денежных средств фиксируются в базе данных. Каждый платеж можно прокомментировать, например: «снято со счета 25гр за установку сетевой карты», «бонус 50гр за приведенного клиента» и т.д. Все платежи/снятия прозрачны и все спорные вопросы можно решить за любой период времени т.к. видны даты и авторы всех поступлений и расходов. Клиенту возможно доходчиво объяснить «при подключении вы заплатили ХХХгрн, в декабре за YYY мегабайт пакета «стартовый» было снято ZZZгрн, затем вы пополнили счет на ААА грн и т.д.»
Платежи могут приниматься несколькими администраторами, при этом ведется учет наличности у кого сколько «на руках». Есть функция передачи наличных от админа к админу или руководству.
Временные платежи позволяют временно разрешить абоненту доступ в интернет/ресурсам сети. Например, клиент имеет отрицательный баланс в 200 рублей, звонит и сообщает, что имеет возможность заплатить только через неделю. В таком случае удобно не убирать границу отключения (или ее понижать) - так можно просто забыть вернуть в исходное состояние, а осуществить временный платеж в 200 рублей сроком 7 дней. Через 7 дней платеж гарантированно удалится автоматически и клиент будет заблокирован если не сдержал свое обещание.
* Тарификация
Для оценки возможностей тарификации, приведем несколько выдуманных ситуаций которые может решить NoDeny:
1й пример: клиент оплачивает пакет «Демо» - ему разрешается получить из интернета не более 50Мб, при достижении этой отметки пользователю блокируется доступ в интернет.
2й пример: клиент оплачивает пакет «Стартовый» в котором предоплачено 1000 Мб интернет-трафика, 5000 Мб городского трафика и 2000 Мб российского трафика. Стоимость пакета 10$. При превышении любой составляющей трафика, снимается дополнительная сумма за каждый мегабайт, у каждого направления своя сумма превышения. При этом клиенту разрешается работать в долг на 5$.
3й пример: клиенту необходимо разрешить доступ к определенному списку ip-адресов бесплатно, учитывая каждый мегабайт, при этом снимать по 1$ за каждый мегабайт вне этих адресов.
4й пример: клиенту предоставляется доступ в интернет и дополнительно оплачивается почтовый трафик по более дешевому тарифу.
5й пример: клиенту предоставляется анлимитный доступ в интернет за XX руб на симметричной скорости YY кбит.
6й пример: клиенту предоставляется анлимитный доступ к ресурсам UA-IX, пакетный доступ к мировым ресурсам и бесплатный доступ к игровым ресурсам провайдера при условии активации услуги 'games' стоимостью ZZ руб/месяц.
7й пример: Клиенту предоставляется доступ в интернет на скорости XX кбит на вход и YY кбит на исход, при этом каждые сутки снимается абонплата если он скачал хотя бы 1 байт в эти сутки.
Такие задачи (как и многие другие) вполне под силу NoDeny.
Благодаря тому, что непосредственное снятие денег со счета за потребленные услуги происходит в конце месяца, становится возможным беспроблемное переключение пользователя на другие пакеты в середине месяца либо изменение тарификации - в любом случае пересчет наличных произойдет «по новым правилам» корректно.

1) Берется тачка с двумя сетевыми, одна смотри в инет, другая в
тестовую сеть,
где находятся клиенты
2) Разархивируем NoDeny.Export.rar
3) Заходим в папку NoDeny.Export
4) Запускаем NoDeny 49 Exp1.vmx - открывается в wmware
5) На этом этапе необходимо в настройках vmware указать что юзается
две сетевые карты
6) Стартуем образ
7) Логинимся под root. Пароль: 33
8) Редактируем сетевые параметры:
bash# ee /etc/rc.conf
редактируем ip сетевых em0 и em1:
em0 - смотрит в инет
em1 - сеть клиентов
Там же указываем правильный gateway.
bash# ee /etc/resolv.conf
указываем ДНС-ы
9) Ребутим:
bash# reboot
10) Открываем http://ip_servera/
И скачиваем авторизатор, на той же странице есть ссылка на вход в
админку
Логин: nodeny
Пароль: 33
11) Добавляем в биллинг клиентов, раздаем авторизаторы и пароли.

Доступы в виртуальную машину
nodeny = 33
root = 33
Доступы в базу данных
root = hardpass
bill_www = hardpass2
bill_kernel = hardpass4

1. Цепляешь физический диск на который будешь скидывать к компу.
2. Добавляешь данный диск в вирталку.
3. Установите из портов clonehdd. для этого зайдите под рутом:
whereis clonehdd
Если выдаст что-то типа:
clonehdd: /usr/local/sbin/clonehdd /usr/local/man/man8/clonehdd.8.gz /usr/ports/sysutils/clonehdd
то работаем дальше. Если выдаст только
/usr/ports/sysutils/clonehdd
Тогда
# /usr/ports/sysutils/clonehdd
# make install clean
После этого определиться на каком жестком диске работаете сейчас.
Например, можно посмотреть У меня к примеру ad0 и ad2
Далее посмотрим какие разделы смонтированы: Отсюда я вижу что у меня основной винт это ad0.
Таким образом делаю вывод, что второй винт у меня ad2, но там ещё ничего нет.
Далее запускаем clonehdd: src - исходный винт
dst - целевой винт
swap - размер новой своп-партитиции в метрах
Ну в общем и получается у меня:
/usr/local/sbin/clonehdd -src=ad0 -dst=ad2 -swap=2048
Далее внимательно читай и смотри что тебе пишут.