Professional Documents
Culture Documents
FiQs14 0
FiQs14 0
0/64
Spis treści
1. Wstęp.................................................................................................................................................4
2. Szybki start wersji 14.0........................................................................................................................4
3. Instalacja systemu z obrazu dysku........................................................................................................5
3.1 Przed uruchomieniem płyty............................................................................................................5
3.2 Instalacja systemu - nagrywanie dysku...........................................................................................6
4. Pierwsze uruchomienie.........................................................................................................................7
5. Przydatne informacje dla początkujących...............................................................................................7
6. Gdy dysk jest większy niż 64 GB...........................................................................................................7
7. Uruchomienie i konfiguracja interfejsów sieciowych...............................................................................8
8. Panel administracyjny..........................................................................................................................9
8.1 Wybrane moduły panelu................................................................................................................9
8.1.1 Ustawienia Firewall i QoS.......................................................................................................9
8.1.2 Klienci, urządzenia i powiadomienia.......................................................................................10
8.1.3 Wspólna taryfa prędkości dla kilku klientów...........................................................................11
8.1.4 Backup - kopia konfiguracji...................................................................................................11
8.2 Pozostałe informacje i dodatkowe funkcje panelu..........................................................................11
9. Ograniczenia wersji startowej i konieczność rejestracji.........................................................................11
10. Konfiguracja ustawień INTRUX Firewall i QoS.....................................................................................13
10.1 Opis zmiennych w głównym pliku main.cfg..................................................................................13
10.1.1 Podstawowe ustawienia sieci..............................................................................................13
10.1.2 Podstawowe ustawienia QoS...............................................................................................14
10.1.3 Limitowanie i blokada ruchu P2P.........................................................................................16
10.1.4 Ustawienia zabezpieczeń.....................................................................................................16
10.1.5 Logowanie ruchu i statystyki sieci........................................................................................18
10.1.6 Ustawienia przekierowań....................................................................................................19
10.1.7 Autoryzacja RACL...............................................................................................................19
10.1.8 Zaawansowane ustawienia QoS..........................................................................................20
10.1.9 Zaawansowane ustawienia limitowania ruchu.......................................................................21
10.1.10 Pozostałe ustawienia........................................................................................................22
10.2 Konfiguracja interfejsów WAN (dla wersji 2xWAN i 4xWAN)..........................................................24
10.2.1 Podstawowe informacje i wstępna konfiguracja....................................................................24
10.2.2 Opis zmiennych pliku multiwan.cfg......................................................................................25
10.2.3 Opis zmiennych w plikach wan3.cfg i wan4.cfg (dla wersji 4xWAN).......................................27
10.3 Pozostałe pliki konfiguracyjne.....................................................................................................28
10.3.1 band.cfg............................................................................................................................28
10.3.2 client.cfg............................................................................................................................29
10.3.3 climit.cfg............................................................................................................................30
2
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
10.3.4 ipf.cfg................................................................................................................................30
10.3.5 iserv.cfg............................................................................................................................30
10.3.6 lan.cfg...............................................................................................................................31
10.3.7 mserv.cfg..........................................................................................................................31
10.3.8 noport.cfg..........................................................................................................................31
10.3.9 nostring.cfg.......................................................................................................................32
10.3.10 notime.cfg.......................................................................................................................32
10.3.11 oplaty.cfg.........................................................................................................................32
10.3.12 p2pt.cfg...........................................................................................................................32
10.3.13 portf.cfg..........................................................................................................................33
10.3.14 proxy.cfg.........................................................................................................................33
10.3.15 racl.cfg............................................................................................................................33
10.3.16 addcmd.cfg......................................................................................................................34
10.3.17 grupy.cfg.........................................................................................................................34
10.3.18 lan_list.cfg.......................................................................................................................34
10.3.19 snat.cfg...........................................................................................................................34
10.3.20 goodhosts.cfg..................................................................................................................35
10.3.21 precmd.cfg.......................................................................................................................35
11. Autoryzacja użytkowników przez formularz www................................................................................35
11.1 Włączenie autoryzacji RACL........................................................................................................35
11.2 Kontrola aktywności, zabezpieczenia i ograniczenia......................................................................35
11.3 Pozostałe informacje..................................................................................................................36
12. Backup konfiguracji..........................................................................................................................36
13. Zbieranie i archiwizacja logów ulogd..................................................................................................37
14. Własna strona www.........................................................................................................................37
15. Uruchomienie i konfiguracja PPPoE....................................................................................................38
16. Uruchomienie serwera proxy Squid....................................................................................................39
17. Kolejne interfejsy LAN, aliasy IP, interfejsy VLAN................................................................................40
18. Pozostałe usługi serwera..................................................................................................................41
19. Przydatne programy i polecenia.........................................................................................................42
20. Gdy wymieniasz kartę lub karty sieciowe...........................................................................................43
21. Współpraca z programem PYXIS.......................................................................................................44
22. Współpraca z programem „Intrux Monitor”........................................................................................44
23. Serwery OpenVPN oraz OpenVPN-ecc i współpraca z programem sToken Access Center.......................45
24. Kontrola treści, blokada niepożądanych stron www - Dansguardian.....................................................45
25. Na zakończenie................................................................................................................................47
3
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
1. Wstęp
Dziękujemy za wybór naszego rozwiązania podziału łącza. Mamy nadzieję, iż spełni ono Państwa
oczekiwania i dobrze sprawdzi się w środowisku sieci komputerowej, w której zostanie przez Państwa
wdrożone. Gorąco zachęcamy do uważnego zapoznania się z całą treścią niniejszej instrukcji przed
rozpoczęciem użytkowania systemu.
Choć wg. spisu treści dany temat może wydać się Państwu zbędny - prosimy o
przeczytanie mimo wszystko całości instrukcji. Niejednokrotnie konkretny temat zawiera też
cenną informację ogólną, która może okazać się przydatna podczas dostosowywania systemu
do własnych potrzeb lub często w późniejszej, bieżącej administracji.
Zdecydowanie zalecamy także dokładne zapoznanie się z opisem zmiennych konfiguracyjnych pliku
main.cfg (w panelu administracyjnym jest to moduł Ustawienia Firewall i QoS) oraz z opisem pozostałych
plików, aby wpływ zastosowanych przez Państwa ustawień i ich działanie były zrozumiałe. Tylko wtedy
można optymalnie dobrać właściwe parametry, w zależności od charakteru danej sieci, rodzaju
przeważającego ruchu oraz potrzeb i oczekiwań.
Dołożyliśmy wszelkich starań, aby niniejsza instrukcja była czytelna i zrozumiała, zakładając jednak,
iż czytelnik ma podstawową wiedzę na temat systemu Linux, posiada umiejętność edycji plików
konfiguracyjnych z poziomu konsoli systemu, potrafi sprawnie poruszać się po systemie plików, zna
podstawowe komendy, elementarnie zna również popularne programy obecne w systemie Linux, jak i
podstawy ich konfiguracji.
Niniejszy rozdział to skrócona instrukcja ''krok po kroku'' dla stałych klientów naszej firmy, dla
niecierpliwych i zapracowanych, czyli... administratorów sieci. Jeśli więc masz już pewne doświadczenie,
bądź korzystałeś w przeszłości z naszych produktów, a sposób instalacji, wstępnej konfiguracji, jak i
późniejszej administracji nie jest już dla Ciebie nowością - wykonaj kolejno, krok po kroku niżej opisane
czynności.
1. Uruchom serwer z płyty DVD czy też Flash USB. Postępuj zgodnie z wyświetlonymi informacjami na
ekranie i nagraj system na dysk twardy (wielkości min. 60GB). Zazwyczaj dysk zostaje wykryty
jako /dev/sda i taki też będzie jego adres po uruchomieniu gotowego systemu.
4. Podłącz serwer do sieci LAN, a na swoim komputerze klienckim ustaw IP z klasy adresowej, którą
ustawiłeś na interfejsie LAN serwera. Bramą i pierwszym serwerem DNS jest IP serwera. Uwaga!
4
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
Gdy będziesz logował się zdalnie na konsolę serwera poprzez SSH (np. przy użyciu programu PuTTY)
pamiętaj, iż serwer SSH w tej wersji działa domyślnie na nietypowym porcie 14014.
Oczywiście mogłeś już to zmienić podczas konfiguracji intrux-netset.
5. Jeśli Twój router posiada dostęp do internetu - zaloguj się na konsolę jako root i wydaj
polecenie: intrux-update (zostanie pobrana aktualizacja systemu, jeśli jest dostępna).
Uwaga! Jeśli podczas logowania do panelu pomylisz się 3-krotnie - dostęp z Twojego IP
zostanie trwale zablokowany. Aby usunąć blokadę dostępu do panelu - musisz
zalogować się na konsolę jako root i usunąć plik
/usr/intrux/www/admin/.log_{TU.TWOJ.ADRES.IP}.
7. Jeśli nie przewidujesz już zmian sprzętowych dotyczących interfejsów sieciowych lub
innych elementów sprzętu - wykonaj rejestrację routera (usługa ta dostępna jest pod
pierwszą ikonką w menu panelu administracyjnego - Rejestracja i aktualizacja), by uzyskać pełną
funkcjonalność zakupionego oprogramowania.
8. Przejrzyj kolejno dostępne opcje w menu konfiguracyjnym i ustaw parametry zgodnie z potrzebami.
Wpisz parametry konta e-mail, ftp itd. w ustawieniach panelu. Konto e-mail wymagane jest do
działania kilku istotnych funkcji serwera. Zapoznaj się z wyskakującym opisem pomocy dla
niektórych zmiennych w konfiguracji panelu.
Dodaj klientów sieci, zatwierdź zmiany i sprawdź log restartu. Klientów możesz także
zaimportować poprzez załadowanie pliku backupu ustawień z poprzedniej wersji (od 7.0
do 12.0 - zostanie wtedy przyjęty tylko plik client.cfg). Plik backupu ustawień z poprzedniej wersji
nie powinien być zabezpieczony hasłem! Pamiętaj również przy tym, aby wcześniej nie definiować
hasła archiwum w ustawieniach konta ftp w konfiguracji panelu - możesz to uczynić, gdy import i
export ustawień będzie dotyczył aktualnej wersji.
Pamiętaj, iż z wersji 7.0, 8.0, 9.0, 10.0, 11.0 lub 12.0 możesz stosunkowo bezpiecznie przenieść do
nowej wersji pliki *.cfg z katalogu /etc/intrux/ poza plikiem main.cfg i multiwan.cfg, których
nie wolno nadpisywać plikiem z innej wersji!
Zalecane jest ustawienie prawidłowej daty i czasu systemowego w BIOS, choć później system w
pierwszej dobie działania sam zadba o synchronizację czasu i prawidłowe jego ustawienie na podstawie
informacji z serwera czasu w Internecie (zgodnie ze stosownym wpisem zadań w cronie).
5
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
Standardowo dysk twardy ATA (interfejs starszego typu, obecnie już rzadko spotykany) wielkości
min. 64 GB powinien być podłączony jako master na kanale primary (PRIMARY IDE, IDE1 itp. - zworka na
dysku ustawiona jako master bądź single). Jest to najczęściej stosowane, zazwyczaj zalecane, prawidłowe
ustawienie - dysk dostępny będzie w systemie Linux jako hda. Natomiast napęd optyczny podłącz na
osobnej taśmie jako secondary master (najbardziej popularne, prawidłowe ustawienie - napęd widoczny w
systemie Linux jako hdc).
Nie są wymagane żadne wcześniejsze zabiegi dotyczące dysku twardego - nie trzeba go formatować,
nie ma też konieczności usuwania wcześniejszej zawartości bootsektora, albowiem podczas procesu
nagrywania wszystkie obecne na dysku informacje zostaną nadpisane nową zawartością.
Dyski SATA w zależności od kontrolera będą widoczne dla systemu jako /dev/sda lub /dev/hda. Jeśli
nagrywasz dysk SCSI/SAS - on także powinien być podłączony jako pierwsze urządzenie na kontrolerze (i
powinien być dostępny jako /dev/sda).
Zastosowana konfiguracja domyślnego kernela systemu instalatora z płyty DVD, jak i nagranego
systemu sprawia, iż standardowe dyski ATA (/dev/hda) mogą być adresowane i dostępne jako /dev/sda. To
znaczne ułatwienie.
Wykorzystaliśmy również opcje etykiet (LABEL) podczas odwołań do partycji zarówno w konfiguracji
bootmanagera (bootloadera) GRUB, jak i w pliku /etc/fstab. To również znacznie ułatwia uruchomienie
systemu w nietypowych konfiguracjach sprzętowych.
Inne konfiguracje połączeń dysków, choć nie są zalecane, także są możliwe - podczas nagrywania
można dokładnie określić stosowne adresacje urządzeń.
Niektóre kontrolery RAID serwerów narzucają własny system zaawansowanej adresacji dysku (np.
/dev/cciss/c0d0 lub inne...). W takich sytuacjach należy pamiętać, aby podczas pierwszego uruchomienia już
nagranego systemu - dla wybranego kernela zmodyfikować wartość wpisu root= (o ile w menu grub nie ma
do wyboru właściwej adresacji). Modyfikacji wpisu możesz dokonać poprzez wciśnięcie litery a na
domyślnym kernelu i poprawienie wartości zmiennej root=/dev/... Po uruchomieniu zapisz swój wybór na
trwałe poprzez edycje pliku /boot/grub/grub.conf.
Płyta z obrazem dysku jest płytą bootującą (bootowalną). Oznacza to, iż komputer powinien
wystartować (uruchomić się) z systemu operacyjnego umieszczonego na płycie, aby umożliwić wykonanie
procesu nagrywania. Zalecane jest, aby w komputerze na chwilę nagrywania dysku jedynie podłączonymi,
dostępnymi napędami był docelowy dysk twardy oraz źródłowy napęd optyczny z systemem.
Uruchom komputer umieszczając płytę DVD w napędzie. Gdy system live-linux uruchomi się, na
ekranie ujrzysz istotne informacje dotyczące wykrytego dysku oraz rozpoczęcia procesu nagrywania.
Zazwyczaj wystarczy po prostu wcisnąć dwukrotnie, czy też trzykrotnie Enter, by rozpocząć cały proces.
Jeśli Twój dysk nie zostanie wykryty - spróbuj zastosować inną konfigurację sprzętu (sprawdź
prawidłowość podłączenia dysku i napędu, konfigurację opcji typu sata mode w BIOSie, konfigurację
macierzy kontrolera raid...).
Obraz dysku na płycie dostarczony jest w formie skompresowanego pliku. Proces nagrywania trwa
zazwyczaj od kilku do kilkudziesięciu minut. Nagrywany dysk nie może być mniejszy niż 64 GB - nie należy
próbować nagrywać dysków o mniejszej pojemności! Podczas nagrywania system na bieżąco rozpakowuje
obraz dysku z pliku na płycie i nagrywa na dysk twardy tworząc kompletną strukturę wielkości ok. 64 GB.
Początkowo proces ten trwa szybko, jednak pod koniec nagrywania może przebiegać nieco wolniej.
Jeśli wystąpią jakiekolwiek błędy podczas uruchamiania systemu z płyty bądź podczas procesu
nagrywania - prawie zawsze będą wynikiem złej jakości czytnika DVD lub nieprawidłowo nagranej, czy też
złej jakości płyty DVD. Podczas nagrywania warto sprawdzić sumę kontrolną md5.
6
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
4. Pierwsze uruchomienie
Domyślny kernel (jądro), widoczny na wyświetlonej podczas startu listy wyboru (menu grub), w
większości przypadków prawidłowo obsłuży standardowy dysk twardy i pozostałe podzespoły serwera. Jeśli
więc system uruchomił się do końca - zazwyczaj nie będzie potrzeby jakichkolwiek zmian. Jeśli jednak tak się
nie stało i podczas pierwszego uruchomienia system zatrzymał się informując np. o braku partycji root - po
resecie komputera, podczas drugiej próby może być konieczna modyfikacja parametru root= w wierszu.
Modyfikacji wpisu możesz dokonać poprzez wciśnięcie litery a na wybranym z menu kernelu i poprawienie
wartości zmiennej root=/dev/... Po uruchomieniu zapisz swój wybór na trwałe poprzez edycję pliku
/boot/grub/grub.conf.
Zawsze po zapisaniu pliku grub.conf zmiany będą już obowiązywać (bootmanager grub, w
odróżnieniu od lilo, nie wymaga absolutnie żadnych dodatkowych zabiegów po zapisaniu swojego pliku
konfiguracyjnego).
Jeśli dysk jest większy niż obraz, z którego został nagrany (64 GB) - po nagraniu i uruchomieniu
gotowego systemu możesz zagospodarować całą pozostałą część twardego dysku tworząc jedną
nową lub więcej partycji, np. przy użyciu cfdisk. Jeśli więc jesteś zalogowany bezpośrednio jako root, wpisz:
cfdisk. Zjedź strzałką w dół na ''Free space'' (Wolne miejsce), utwórz jedną lub więcej nowych partycji
(zwykle wystarczy wybrać [ New ] (Nowa) i zatwierdzić). Następnie wybierz [ Write ] (Zapisz) i wpisz yes
(lub tak), aby nowa tablica partycji została zapisana. Wyjdź z programu i wykonaj reboot (zawsze
wymagany jest 1 pełny reboot routera po utworzeniu partycji na dysku systemowym, przed jej
sformatowaniem!).
Po restarcie należy sformatować nowa partycję (np. poleceniem: mkfs.ext4 /dev/sda8) i
zamontować w dowolnym miejscu systemu plików. W tym celu tworzymy np. nowy katalog poleceniem:
mkdir /mnt/sda8. Nim zamontujemy w nim nową partycję – edytujemy plik /etc/fstab. Domyślnie
znajduje się już tam zakomentowany (czyli poprzedzony znakiem #) wpis tego typu:
Wystarczy usunąć znak # z początku ostatniego wiersza w ww. pliku fstab. Pamiętaj jednak, by na końcu
tego wiersza wcisnąć Enter, czyli przejście do nowej linii w pliku. Po zapisaniu go i wyjściu z edycji można już
wydać polecenie: mount /dev/sda8. Poleceniem mount oraz df -h można sprawdzić, czy partycja
została zamontowana i jaką ma wielkość.
7
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
Najczęściej nową partycję wykorzystuje się na katalogu użytkownika admin (zalecane), gdyż tam
gromadzone są logi połączeń oraz kopie bezpieczeństwa. Należy więc najpierw przenieść katalog admin z
podkatalogu /home do katalogu /mnt/sda8 po czym podlinkować nowe miejsce. Obie te czynności można
wykonać wydając te 2 polecenia jako root z konsoli:
mv /home/admin /mnt/sda8
ln -s /mnt/sda8/admin /home/admin
Po pierwszym zalogowaniu się do konsoli jako root (hasło: intrux14) skonfiguruj interfejsy sieciowe
przy pomocy automatycznego kreatora intrux-netset.
Jeśli dokonałeś już ustawienia interfejsów przy pomocy kreatora intrux-netset, to dalszą
konfigurację można wykonywać już zdalnie - z poziomu przeglądarki www komputera klienckiego
administratora - od strony sieci LAN.
Uwaga dla początkujących: pamiętaj o ustawieniu na swoim komputerze klienckim adresu IP z klasy
ustawionej dla interfejsu LAN serwera (domyślnie 192.168.177.0/24). Tak więc by połączyć się z serwerem,
ustaw uprzednio na swoim komputerze dowolny adres IP z zakresu np. 192.168.177.2 do
192.168.177.254, podaj maskę 255.255.255.0, a jako bramę oraz serwer DNS podaj IP serwera
(domyślnie 192.168.177.14).
Przypominamy! Gdy będziesz logował się zdalnie na konsolę serwera poprzez SSH (np. przy użyciu
programu PuTTY) pamiętaj, iż serwer SSH w tej wersji działa domyślnie na nietypowym porcie
14014. Oczywiście możesz to zmienić.
Uwaga! Gdy zmieniasz kartę sieciową w serwerze a wszystkie ustawienia adresacji kart sieciowych
pozostają bez zmian - zaktualizuj tylko wpis w pliku powiązań dla udev (/etc/udev/rules.d/
69-net.rules) przy pomocy polecenia: intrux-udev (lecz wcześniej, przed wymianą karty, wydaj polecenie:
intrux-udev-del). Uwaga! Sposób prawidłowego postępowania w przypadku wymiany kart
sieciowych opisany jest dokładniej, ''krok po kroku'' w punkcie 20 niniejszej instrukcji.
Możliwa jest również zmiana kolejności wykrytych kart sieciowych poprzez edycję pliku
/etc/udev/rules.d/69-net.rules (zmienia się tylko nazwę interfejsu w ostatniej części wiersza wpisu danej
karty, np. z ''eth1'' na ''eth0'' i odwrotnie). Po zmianach tego typu oczywiście należy wykonać reboot.
Zmiany takie mogą skutkować także koniecznością ponownej rejestracji oprogramowania.
8
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
8. Panel administracyjny
Jeśli IP serwera na interfejsie LAN pozostało domyślne - zaloguj się do panelu wpisując w swojej
przeglądarce adres: http://192.168.177.14/intrux-admin/. Można także zalogować się przy użyciu
bezpiecznego, szyfrowanego połączenia https. Jeśli zmieniłeś IP i ewentualnie ścieżkę do panelu – wpisz
stosowny adres. Domyślny użytkownik, to admin, hasło intrux14. Ale zapewne zmieniłeś już te wartości
przy użyciu intrux-pass? Jeśli nie - zmień je koniecznie!
Loginy i hasła użytkowników panelu administracyjnego możesz zmienić także z poziomu samego
panelu. Przejdź do modułu: Konfiguracja kont i opcji panelu.
Uwaga! Jeśli kilka razy omyłkowo wpiszesz błędną wartość (login lub hasło) podczas
logowania do panelu administracyjnego - dostęp do niego z Twojego adresu IP zostanie trwale
zablokowany. W celu usunięcia blokady należy usunąć plik .log_TU.TWOJ.ADRES.IP z
katalogu /usr/intrux/www/admin/.
Pamiętaj, iż ze względów bezpieczeństwa nigdy nie należy zostawiać domyślnych haseł! Konsolowy
kreator intrux-pass ułatwia prawidłową zmianę haseł dla ważnych kont systemowych.
Dla zwiększenia bezpieczeństwa możesz nawet ograniczyć dostęp do panelu administracyjnego tylko
dla określonych adresów IP. Można to zrobić edytując plik .htaccess znajdujący się w katalogu
/usr/intrux/www/admin/. Przykładowe 4 końcowe wiersze, ''zakomentowane'' znakiem #, już się w nim
znajdują - wystarczy je tylko dostosować (zmienić IP komputera administratora) i usunąć znak # na
początku (czyli ''odkomentować'').
Użytkownik o mniejszych uprawnieniach do panelu może dokonywać zmian tylko w obrębie modułu
Klienci, urządzenia i powiadomienia. Może także podejrzeć statystyki sieci oraz raport dobowy logwatch. Nie
ma możliwości edycji istotnych ustawień systemu w innych modułach panelu administracyjnego.
Moduł Ustawienia Firewall i QoS obejmuje konfigurację wszystkich zmiennych znajdujących się w
głównym pliku konfiguracji ustawień - /etc/intrux/main.cfg. Większość istotnych informacji została już tam
wpisana podczas konfiguracji przy pomocy kreatora intrux-netset i często w początkowej fazie pracy serwera
nie będzie potrzeby dokonywania tam żadnych istotnych zmian.
Zaznaczenie (wybranie) danej opcji z poziomu panelu jest równoznaczne z podaniem wartości ''yes''
podczas ewentualnej, bezpośredniej edycji pliku konfiguracyjnego z poziomu konsoli. Pomoc dotycząca danej
zmiennej konfiguracyjnej dostępna jest w panelu w 3 kolumnie tabeli po prawej stronie (zalecamy także
zapoznanie się z wyskakującym opisem po najechaniu na znak [?]), a dokładniejszy opis wszystkich
zmiennych pliku main.cfg znajdziesz w kolejnym rozdziale instrukcji.
9
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
Na liście z poziomu panelu nie można dowolnie zmienić kolejności dodanych wierszy. Można to
oczywiście zrobić poprzez bezpośrednią edycję pliku /etc/intrux/client.cfg z poziomu konsoli.
Należy zawsze pamiętać, aby nie dokonywać w tym samym czasie zmian przy pomocy
obu narzędzi, czyli przed edycją z poziomu konsoli należy uprzednio wylogować się z panelu
administracyjnego, a po dokonaniu zmian w plikach z poziomu konsoli, należy je ręcznie
przeładować przy pomocy /etc/intrux/restart i dopiero w następnej kolejności ponownie
zalogować się do panelu administracyjnego.
Uwaga! Gdy konieczne jest podanie 2 adresów MAC dla 1 klienta (niekiedy wymagane w przypadku
AP w trybie client), należy rozdzielić je przecinkiem w polu wpisu MAC danego klienta. Pierwszy adres brany
jest po uwagę dla powiązań mac-ip, a drugi dodawany jest do wpisu dla dhcp danego klienta. Tak więc jako
pierwszy MAC podajemy IP, z którym klient porusza się w sieci (gdy AP maskuje jego adres MAC), natomiast
drugi adres to właściwy MAC jego karty sieciowej. Tryb AP-client nie jest zalecany ze względu na różny
sposób maskowania adresu MAC przez różne modele urządzeń. Wprowadza to niepotrzebny chaos w sieci.
Zdecydowanie zalecanym i najpopularniejszym rozwiązaniem jest tryb routera w urządzeniu klienckim.
Zatwierdzenie zmian dokonywanych przy pomocy panelu www skutkuje zapisaniem odpowiednich
wartości w stosownych plikach oraz automatycznym wykonaniem polecenia z konsoli:
/etc/intrux/rc.fiqs restart soft. Drugi parametr polecenia (soft) informuje oprogramowanie, aby nie
przekierowywać ponownie klientów posiadających już potwierdzone przekierowane (czy to wynikające z
wyświetlonej i potwierdzonej wiadomości, czy też z poprawnej autoryzacji przez formularz www).
Generowanie aktualnej listy może chwilę potrwać, jeśli użytkowników jest dużo.
Zmienna GEN_ARP powoduje dodanie powiązania IP klienta z jego adresem MAC już w tablicy arp
serwera. To elementarne zabezpieczenie przed podszywaniem (świadomą zmianą MAC) i warto je włączyć,
jeśli tylko warunki danej sieci na to pozwalają.
10
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
Wpis dla klienta, który ma należeć do już istniejącej kolejki (czyli współdzielenie jednej taryfy
prędkości przez kilka komputerów) należy poprzedzić znakiem minus bezpośrednio przed jego adresem
IP. Czyli dodając nowego klienta z poziomu panelu należy dopisać w polu, gdzie znajduje się IP tylko znak
minus przed tym adresem (bez żadnych dodatkowych spacji, np. -192.168.177.25). Takie IP jest
obsługiwane kolejką określoną wpisem znajdującym się bezpośrednio powyżej danego adresu IP (czyli
wartości prędkości wpisane dla IP poprzedzonego znakiem minus nie maja znaczenia i na liście klientów nie
będą wyświetlane).
Moduł Backup - kopia konfiguracji oprócz standardowej możliwości zapisania (exportu) ustawień do
pliku spakowanego archiwum i zapisu na dysk, umożliwia także wysyłanie tego pliku na zdalny serwer FTP.
Parametry zdalnego serwera (adres, login i hasło użytkownika) należy uprzednio zapisać we właściwych
polach modułu Konfiguracja kont i opcji panelu. Konto użytkownika ftp powinno służyć wyłącznie do celu
archiwizacji plików, gdyż zapisanych konfiguracji (plików) może być tylko 10.
Jeśli ustaliłeś hasło zabezpieczające dla archiwum - nie zapomnij go! Gdy nie znasz hasła - nie
odzyskasz danych z kopii bezpieczeństwa!
Warto regularnie wykonywać backup, zachowując ustawienia w wygodny dla siebie sposób, aby w
sytuacji awaryjnej mieć możliwość szybkiego przywrócenia najbardziej aktualnych ustawień. Import z pliku
przywraca wszystkie ważne ustawienia routera, po czym wykonywany jest restart interfejsów sieciowych, a
do panelu administracyjnego należy powtórnie się zalogować. Import umożliwia więc łatwe powielanie całej
konfiguracji podczas przywracania ustawień np. po wymianie dysku twardego lub gdy uruchamiany jest
kolejny router z podobną konfiguracją.
Dostęp do panelu od strony WAN (od strony Internetu) w domyślnej konfiguracji nie powinien być
możliwy. Od strony sieci lokalnej LAN domyślnie wszystkie usługi są dostępne. Dostęp do usług serwera
określa się poprzez odblokowanie portów w pliku iserv.cfg. Edycję tego pliku można wykonać z poziomu
panelu administracyjnego (moduł Edycja plików konfiguracyjnych) lub bezpośrednio z poziomu konsoli
(/etc/intrux/iserv.cfg). Więcej informacji znajdziesz w rozdziale ''Własna strona www''.
Zaawansowany administrator może umieścić w menu głównym panelu dodatkowe linki lub inne
informacje. Wystarczy edytować plik o nazwie my_menu.php w katalogu /usr/intrux/www/admin/. Zawartość
tego pliku jest automatycznie includowana na dole tabeli menu, pod ikonami modułów. Plik my_menu.php
może zawierać kod HTML i PHP.
11
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
Do chwili zarejestrowania routera istnieją m.in. takie ograniczenia wersji startowej, jak:
● brak możliwości wysyłania zgłoszeń serwisowych do naszej firmy poprzez panel pomocy,
● brak możliwości włączenia kolejek usługowych określanych zmiennymi QOS_FAST, QOS_PRIO oraz
QOS_WWW (bez względu na wpisane tam wartości - są one całkowicie ignorowane),
● brak możliwości zmiany algorytmu kolejkowania (działa jedynie htb), metody kolejkowania (bez
względu na wybór użytkownika - wszędzie obowiązuje tylko i wyłącznie jedna metoda sfq) oraz brak
możliwości wykorzystania funkcji tablic mieszających dla dużych sieci (tzw. hashtables).
● brak możliwości podziału kolejki klienta na 2 części,
● brak możliwości wykonania kolejkowania na interfejsie LAN lub na interfejsach fizycznych (wartości
w zmiennych LAN_QOS_DEV oraz DL_VDEV i UL_VDEV są ignorowane),
● pomijanie wpisów w pliku noport.cfg, co oznacza brak możliwości blokady ruchu na wybranych
portach,
● brak możliwości włączenia zaawansowanego limitowania z użyciem modułu hashlimit (zmienna
HASH_LIMIT_LAN_DEV oraz zmienne zależne są ignorowane),
● brak możliwości logowania ruchu internetowego (wpisy w LOGS_IP lub włączenie ULOG_ON
są ignorowane),
● brak możliwości automatycznego limitowania ruchu P2P przy użyciu ipset (wpis w zmiennej
P2P_IPSET_LIMIT jest ignorowany),
● brak możliwości włączenia autoryzacji przez formularz www (włączenie RACL i wpisy w pliku racl.cfg
są zupełnie ignorowane),
● pomijanie wpisów w pliku mserv.cfg, co jest równoznaczne z brakiem możliwości wysyłania
powiadomień do klientów,
● brak zabezpieczenia przed wysyłaniem spamu - nie działa limit nawiązywanych połączeń SMTP
(zmienna SMTP_LIMIT_S),
● brak możliwości włączenia specjalnego przyspieszenia kolejki użytkownika,
● brak możliwości włączenia funkcji Wizytówka sieci,
● brak generowania wpisów powiązania IP klientów z MAC w tablicy ARP,
● funkcja auto-backupu konfiguracji routera na serwer FTP nie działa,
● funkcja monitorowania urządzeń nie działa,
● wpisy w pliku addcmd.cfg są pomijane i nie zostaną wykonane,
● brak możliwości włączenia w opcji multiWAN markowania dla load-balancing z użyciem modułu
statistic nth, przez co load-balancing nie działa optymalnie i nie jest wystarczająco funkcjonalny,
● nie są również dostępne niektóre funkcje w panelu administracyjnym.
Poza ww. ograniczeniami, wszystkie pozostałe funkcje routera linuksowego wynikające z dystrybucji,
jak również zainstalowanych serwerów usług dodatkowych są w pełni dostępne.
Aby zarejestrować swoją kopię, należy po zalogowaniu do panelu administracyjnego z menu wybrać
pierwszą ikonę na górze, moduł: Rejestracja i aktualizacja. Router musi mieć dostęp do internetu.
Wypełnij formularz u dołu (wpisz uważnie swój adres e-mail) i wyślij. W nowym oknie
zostanie otwarta strona, która wyświetli stosowne informacje. Postępuj zgodnie z
wyświetlonymi instrukcjami.
12
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
iproute, iptables, ipset oraz kernel ze stosownymi patchami - w większości objęte są licencją GNU GPL lub
pokrewnymi. Wymagane źródła oprogramowania znajdują się na naszej stronie internetowej. Na ich
podstawie - jeśli jesteś zaawansowanym administratorem - możesz samodzielnie skonfigurować własny
kernel lub ''dokompilować'' dodatkowe moduły obsługi nowych urządzeń.
Duża część plików w katalogu /etc/intrux/.sc/ ma możliwość ingerencji w ich treść i dokonywania w
nich zmian. Tak więc zaawansowany administrator może samodzielnie, bez większych ograniczeń dokonać
przemyślanych modyfikacji, aby w większym stopniu zmieniać charakterystykę lub sposób działania
niektórych funkcji. Z reguły jednak nie zalecamy wykonywania samodzielnych zmian w plikach
umieszczonych w tym katalogu.
Większość zmiennych posiada swój krótki oraz rozwinięty opis bezpośrednio w panelu
administracyjnym. Aby go odczytać - najedź wskaźnikiem myszy na znak zapytania [?]. Informacje te oraz
informacje zawarte w niniejszej instrukcji opisują przeznaczenie i rolę danej zmiennej, jej funkcję oraz
format danych, w którym wpisuje się do nich wartości.
NAT_ON - włącza udostępnianie internetu. Jeśli nie masz przydzielonego stałego adresu IP od swojego
dostawcy internetowego, wybierz masq. Zmienna może przyjmować 5 wartości: yes, masq, off, no (puste)
lub file. Ustawienie off skutkuje dodawaniem reguł forwardu dla klientów, jednak bez wykonywania nat, co
bywa przydatne w sieci, gdzie wszyscy klienci mają własne publiczne IP. Standardowo stosuje się wpis yes
(wtedy wszyscy klienci będą ''snatowani'' na IP interfejsu WAN1 określone w zmiennej INTERNET_IP - czyli
wszyscy w Internecie będą występować z tym IP). Możliwe jest także ustawienie ''file'', co skutkuje
czytaniem przez system pliku snat.cfg i dodawaniem reguł nat wyłącznie na podstawie wpisów w nim
zawartych. Dzięki temu można różnych klientów, czy różne podsieci ''wypuścić'' (''snatować'') do Internetu z
różnymi adresami publicznymi (jeśli posiadamy więcej niż 1 użytkowy adres publiczny na WAN1). Uwaga - w
przypadku wyboru opcji ''file'' należy przeczytać opis pliku snat.cfg w instrukcji!
INTERNET_DEV - zmienna określa interfejs internetowy. To domyślne ''wyjście na świat'' naszego routera.
Zazwyczaj pozostaje bez zmian, czyli eth1 (WAN1).
INTERNET_IP - określa IP na interfejsie internetowym. Wymagane dla SNAT. Jeśli IP zmienne, to ww.
zmienna NAT_ON=''masq'', a INTERNET_IP może pozostać puste. Standardowo jest tutaj podstawowe IP
domyślnego interfejsu WAN1 i nie wymaga zmiany.
LAN_LIST - uproszczone określenie dostępu do serwera od strony interfejsu sieci lokalnej LAN. Zmienna nie
jest tak istotna, jeśli nw. LIMIT_LAN="yes", gdyż wtedy dostęp do serwera jest szczegółowo określony w
odrębnym pliku lan.cfg. Jeśli jednak nie jest, to przykład wpisu wygląda następująco: LAN_LIST="eth0-
192.168.177.0/24" (interfejs lokalny-adres i maska sieci lokalnej). Dwa elementy rozdzielone znakiem minus.
Sieć lokalna traktowana jest w tym wypadku jako bezpieczna - wszelkie usługi serwera dla klientów sieci
lokalnej są dostępne. Więcej wpisów (gdy posiadasz kilka interfejsów/aliasów LAN) rozdzielamy spacją.
Przykład wpisu: LAN_LIST=''eth0-192.168.10.0/24 eth3-192.168.20.0/24 ppp+-10.0.0.0/24''.
W zmiennej LAN_LIST można także wpisać słowo: file (lub lan_list.cfg). Należy wtedy wypisać sieci lokalne w
odrębnym pliku lan_list.cfg. Uwaga! Zmienna jest zawsze nadpisywana wartościami sieci przez kreator
intrux-netset. Jeśli kreatorem dodajemy aliasy - będziemy wtedy korzystać właśnie z pliku lan_list.cfg.
13
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
LIMIT_LAN - włącza dokładne określanie usług (portów) serwera dostępnych dla klientów w sieci lokalnej
LAN. Jeśli LIMIT_LAN=''yes'' oprogramowanie czyta plik lan.cfg, w którym należy szczegółowo określić porty,
protokoły i IP klientów, dla których dostępne będą dane usługi serwera. Zmienna może przyjmować 2
wartości: yes lub no (puste).
LAN_FORWARD - włącza forward (przekazywanie połączeń) pomiędzy sieciami lokalnymi, gdy posiadamy 2
lub więcej interfejsów/aliasów sieci LAN. Przykład wpisu może wyglądać następująco:
LAN_FORWARD=''192.168.1.0/24-192.168.2.0/24''. Adresy sieci rozdzielone znakiem minus. Więcej wpisów
(kolejne pary sieci) rozdzielamy spacją, np.:
LAN_FORWARD=''192.168.1.0/24-192.168.2.0/24 192.168.55.0/24-192.168.77.0/24''
CLAMP_MTU - wymagane dla niektórych typów łącz dostępowych (np. dawnej „neostrady”). Zaznaczenie
powoduje dodanie reguły automatycznie ustawiającej odpowiednią wartości MSS dla danego połączenia.
QOS_ON - włącza dzielenie pasma z wykorzystaniem algorytmu hfsc lub htb (zależnie od wartości
QOS_ALG). Zmienna może przyjmować 4 wartości: yes, iprtlm, hasht lub no (puste). Opcja hasht włącza
funkcjonalność hashtables (tzw. ''tablic mieszających''), które zwiększają wydajność w dużych sieciach
(włączanie tej opcji nie ma większego sensu, jeśli na liście klientów jest mniej niż 500 wpisów). Uwaga -
opcja ta wymaga stosowania adresacji sieciowych, które różnią się liczbą w 3 oktecie adresu. Jeśli ten
wymóg nie jest spełniony (system sprawdza to automatycznie), to funkcja nie zostanie włączona (system
kolejkowania działa jak na ustawieniu ''yes''). Opcja iprtlm wykorzystuje specjalny, bardzo szybki, prosty i
wydajny moduł iptables do kontroli prędkości użytkowników - warto stosować to właśnie rozwiązanie. Po
włączeniu iprtlm wpisy w kolejkach usługowych (np. QOS_PRIO) nie mają znaczenia, gdyż nie są
wykorzystywane.
DOWNLOAD - zmienna określa całkowitą, możliwą prędkość ściągania (download) interfejsu internetowego
WAN1 (w kbit). Przykład wpisu: DOWNLOAD=''20000''.
UPLOAD - określa całkowitą, możliwą prędkość wysyłania interfejsu internetowego (w kbit). Przykład wpisu:
UPLOAD=''5000''. Zarówno dla UPLOAD, jak i ww. DOWNLOAD zalecane jest podanie wartości
nieco niższych od określonych przez dostawcę internetowego.
QOS_ALG - wybór zastosowanego w regułach kolejkowania algorytmu. Generalnie algorytm HFSC oferuje
niższe opóźnienia (większą interaktywność). Niekiedy jednak znane i cenione HTB może okazać się lepsze.
Wszystko zależy od charakterystyki danej sieci. Zmienna może przyjmować tylko 2 wartości: hfsc lub htb.
QOS_FAST - określa pasmo (w kbit) wydzielone specjalnie dla ruchu, który wymaga niskich opóźnień (np.
voip, gry internetowe, ssh). Pierwsza liczba to gwarantowana prędkość ściągania (download rate), druga
określa prędkość wysyłania (upload rate). Trzeci parametr (0 lub 1) decyduje, czy pasmo szybkiej kolejki jest
współdzielone z pozostałym ruchem (0), czy też nie (1). Poszczególne elementy zmiennej rozdzielamy
średnikiem. Nie zaleca się używania tej kolejki dla ruchu typu www, poczta, ftp itp. Przykład wpisu:
QOS_FAST=''512;512;1''. Poszczególne protokoły i porty, z którymi połączenia będą skierowane do tej
kolejki, określa się w dalszych zmiennych w grupie ''Zaawansowane ustawienia QoS''. Kolejka jest opcjonalna
- aby jej nie tworzyć, pozostaw puste.
QOS_PRIO - określa pasmo (w kbit) dla ruchu priorytetowego. Do tej kolejki mogą być skierowane
połączenia pakietów potwierdzających ACK oraz zapytań DNS użytkowników sieci LAN - zgodnie z wybranymi
opcjami w grupie ''Zaawansowane ustawienia QoS''. Poszczególne elementy zmiennej
(download_rate;download_ceil;upload_rate;upload_ceil) rozdzielamy średnikiem (edytując plik main.cfg
bezpośrednio - w panelu wszystkie elementy dla ułatwienia rozbite są na poszczególne okna formularza). Dla
wartości ceil można użyć słowa auto. Przykład wpisu: QOS_PRIO=''256;auto;512;auto''. Kolejka QOS_PRIO
jest opcjonalna - nie musi, a niekiedy nie powinna być tworzona (wpis dla zmiennej powinien być wtedy
pusty).
14
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
QOS_WWW - określa pasmo (w kbit) dla początkowego ruchu www (z portów 80 i 443). Poszczególne
elementy zmiennej, to download_rate;download_ceil;upload_rate;upload_ceil. Wartości ceil można zastąpić
słowem auto. Przykład wpisu: QOS_WWW=''1024;auto;256;auto''. Kolejka opcjonalna - aby jej nie tworzyć,
pozostaw puste. To kolejka współdzielona przez wszystkich klientów - w większości sieci nie jest zalecane jej
używanie.
QOS_WWW_KB - zmienna ściśle związana z ww. QOS_WWW i określa wielkość w KB (kilobajty) ruchu
www, który będzie realizowany wyżej określoną kolejką QOS_WWW. Po osiągnięciu tej wartości transfer
będzie realizowany w dalszym ciągu już w kolejce danego użytkownika. Przykład wpisu:
QOS_WWW_KB=''200''.
QOS_METHOD - wybór metody kolejkowania w głównych kolejkach (prio, router, www). Zmienna
przyjmuje 5 wartości: sfq, sfb, hhf, pie lub fq_codel.
QOS_USER_MTD - wybór metody kolejkowania w kolejkach klientów. Zmienna przyjmuje 5 wartości: sfq,
sfb, hhf, pie lub fq_codel. W większości zastosowań najlepiej sprawdza się metoda esfq.
USER_CL - określa sposób podziału pasma klienta. Gdy zmienna USER_CL=''2'' pasmo (kolejka klienta) jest
dzielone na 2 kolejki, z których pierwsza ma wyższy priorytet i realizowane są nią połączenia tcp, udp na
portach wymienionych w nw. zmiennych PR1_TCPPORT i PR1_UDPPORT. Także ruch icmp (ping) klienta
może być w pierwszej ''podkolejce''. Może być także ustalona dysproporcja prędkości maksymalnej pomiędzy
''podkolejkami'' (zobacz opis zmiennej USER_CL_DLDSPRO w części ''Zaawansowane ustawienia QoS''). Jeśli
USER_CL=''1'' - klient ma standardowo 1 kolejkę. W sieciach powyżej 500 klientów konieczne jest
stosowanie tylko 1 kolejki. Zmienna przyjmuje 2 wartości: 1 lub 2.
PR1_TCPPORT - jeśli ww. zmienna USER_CL=''2'' - określa porty tcp, z którymi połączenia są realizowane
kolejką klienta o wyższym priorytecie. Poszczególne porty rozdzielamy spacją. Nie należy wpisywać zbyt
wielu portów. Zawartość PR1_TCPPORT nie ma znaczenia, gdy USER_CL=''1''. Przykład wpisu:
PR1_TCPPORT=''80 443 110 587''.
PR1_UDPPORT - jeśli ww. zmienna USER_CL=''2'' - określa porty udp, z którymi połączenia są realizowane
kolejką klienta o wyższym priorytecie. Poszczególne porty rozdzielamy spacją. Nie należy wpisywać zbyt
wielu portów. Zawartość PR1_UDPPORT nie ma znaczenia, gdy USER_CL=''1''. Przykład wpisu:
PR1_UDPPORT=''53 5060''.
PR1_ICMP - jeśli ww. zmienna USER_CL=''2'' - umożliwia włączenie realizacji ruchu icmp (ping) klienta w
jego pierwszej ''podkolejce'' (o wyższym priorytecie). Zmienna przyjmuje 2 wartości: yes lub no (puste).
PR1_P - wielkość procentowa określająca wartość rate dla ważniejszej kolejki klienta (gdy zmienna
USER_CL=''2''). Zalecane jest podanie wartości w przedziale 50-90 lub pozostawienie domyślnej wartości.
Przykład wpisu: PR1_P=''70''.
START_T_NOC - określ godzinę, w której cron ma wykonać przełączenie użytkowników sieci na prędkość
taryfy nocnej. Format wpisu: HH:MM (godzina i minuta rozdzielone dwukropkiem), np. ''23:30''.
STOP_T_NOC - określ godzinę powrotu do prędkości taryfy dziennej. Format wpisu: HH:MM (godzina i
minuta rozdzielone dwukropkiem), np. ''09:30''. Uwaga! Dla prawidłowego działania wartość
liczbowa godziny w zmiennej START powinny być większa niż wartość STOP.
15
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
P2P_NO_PORT - określa porty, na których próba ruchu rozpoznanych połączeń programów P2P będzie
blokowana. Poszczególne porty rozdzielamy spacją lub przecinkiem. Można stosować także zakres portów.
Przykład wpisu: P2P_NO_PORT=''0:1024 3128,8080''.
P2P_CS_LIMIT - podaj wartości (wyłącznie w formacie: 2 liczby rozdzielone średnikiem) określające limit
ilości jednoczesnych połączeń (wartość pierwsza) oraz ilość połączeń na sek. (wartość druga) dla
rozpoznanego ruchu P2P. Limit ten dotyczy i działa dla każdego klienta odrębnie. Przykład wpisu: ''40;4''.
P2P_DENY - określa hosty lub sieci, z których rozpoznane połączenia P2P będą cały czas blokowane.
Poszczególne IP rozdzielone spacją. Przykład: P2P_DENY=''192.168.1.0/24''.
P2P_NO_LIMIT_IP - określa hosty lub sieci, z których rozpoznane połączenia P2P nie będą podlegały
limitowaniu. Poszczególne IP rozdzielone spacją. Przykład: P2P_NO_LIMIT_IP=''192.168.1.2 192.168.1.3''.
BADHOSTS - definiuje hosty lub sieci, które są blokowane. Połączenia przychodzące z wymienionych IP
zostaną natychmiast odrzucone przez firewall. Kolejne adresy rozdzielamy spacją. Przykład:
BADHOSTS=''123.120.130.44 130.111.23.10''.
ADMIN_HOST_IP - definiuje hosty, które mają pełny dostęp do routera. Reguły firewalla dla dostępu z
tych IP są ładowane na samym początku podczas uruchamiania bądź restartu. Połączenia przychodzące z
wymienionych IP na każdym interfejsie zostaną natychmiast wpuszczone. Kolejne adresy rozdzielamy spacją.
Przykład: ADMIN_HOST_IP=''192.168.123.2''.
TCPSYN_LIMIT - określa wielkość limitu ilości przychodzących połączeń tcp syn na sekundę. Poszczególne
2 elementy: wartości limit oraz burst, rozdzielone średnikiem. Przykład wpisu: ''60;2''. Uwaga! Niskie
wartości w tej zmiennej przeszkadzają podczas zdalnej pracy z użyciem panelu
administracyjnego www (gdy łączysz się z routerem od strony WAN). Usuń wtedy wpis (ustaw
pustą zmienną TCPSYN_LIMIT) lub użyj dużo wyższej wartości limitu, np.: ''600;2''.
TCPSYN_DEV - określa interfejs lub interfejsy, na których działa ww. zabezpieczenie. Jeśli zmienna pusta, a
TCPSYN_LIMIT zostało określone - ograniczenie działa na interfejsie internetowym WAN. Przykład wpisu:
TCPSYN_DEV=''eth1 eth2''.
BADPORTS - włączenie filtracji ruchu netbios (w tym niektórych wirusów). Firewall blokuje ruch sieciowy z i
do Internetu na portach: 135(tcp), 137(tcp), 138(tcp), 139(tcp), 445(tcp), 137(udp), 138(udp), 139(udp).
Zmienna przyjmuje 2 wartości: yes lub no (puste).
NOSMB - włączenie filtracji ruchu prywatnych klas adresowych na interfejsie internetowym. Firewall blokuje
ruch z i do adresów IP z podstawowych, nieużywanych w Internecie prywatnych klas adresowych. Zmienna
przyjmuje 2 wartości: yes lub no (puste).
NO_SCAN - włączenie podstawowego zabezpieczenia przed skanowaniem portów. Dotyczy zarówno ruchu
wchodzącego (input), jak i przekazywanego (forward). Zmienna przyjmuje 2 wartości: yes lub no (puste).
MAC_CHECK - włączenie powiązania IP z adresem MAC karty sieciowej klienta. Możliwe są 3 ustawienia:
yes, internet lub no. Gdy wybrano ''internet'' - zabezpieczenie będzie obowiązywało tylko dla ruchu
internetowego klienta. Gdy ''yes'' - adres MAC klienta będzie weryfikowany także na wejściu od strony
16
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
interfejsu LAN. Reguły dodawane są do tablicy security iptables. W dużych sieciach nie jest zalecane
stosowanie tego zabezpieczenia. Uwaga - funkcjonalność „wizytówki sieci” nie działa prawidłowo,
gdy MAC_CHECK=''yes''.
MARTIAN_LOG - włączenie logowania ''dziwnych'' pakietów. Nie brakuje ich w sieci - włączenie może
spowodować pojawienie się niekiedy znacznej ilości wpisów w logach. Nie jest więc zalecane jej włączenie
bez uzasadnionej potrzeby. Zmienna przyjmuje 2 wartości: yes lub no (puste).
PING_OFF - wyłączenie odpowiedzi na ping przez router. Gdy ''yes'' - serwer nie będzie odpowiadał na ping
na żadnym z interfejsów. Zmienna przyjmuje 2 wartości: yes lub no (puste).
SSH_LIST - podaj interfejs oraz lokalny port, na którym działa SSH, np. SSH_LIST=''eth0-22 eth1-22''.
Elementy rozdzielone znakiem minus - więcej wpisów: spacją. Warto skonfigurować sam serwer SSH (w
pliku /etc/ssh/sshd_config), by pracował na dowolnym, innym porcie niż 22 (ze względów bezpieczeństwa
szczególnie jest to zalecane, gdy SSH ma być dostępne od strony Internetu!). W proponowanej przez nas
konfiguracji SSH działa na nietypowym porcie 14014 (oczywiście mogłeś to już zmienić kreatorem intrux-
netset). Wartość portu w tej zmiennej musi być spójna z wpisem w konfiguracji serwera SSH (kreator
wykonuje zmiany w obu plikach). Dostęp do innych portów (usług) serwera określa się w odrębnym pliku
iserv.cfg.
SSH_LIST_LIMIT_M - określa limit nawiązywanych nowych połączeń SSH na minutę z jednego adresu IP.
Przykład wpisu: SSH_LIST_LIMIT_M=''4''.
SMTP_LIMIT_S - określa limit połączeń SMTP (wysyłanie poczty, port 25 i 587) dla każdego klienta.
Wpisana wartość oznacza ilość sekund pomiędzy kolejnym połączeniem (np. 5 - pozwoli na wysłanie
kolejnego listu po upływie 5 sek. od poprzedniego połączenia SMTP danego klienta). Nadużycia (gdy klienci
np. rozsyłają świadomie bądź nieświadomie spam) będą logowane i doraźnie widoczne po wydaniu komendy
dmesg. Stosowne informacje [SMTP_FLOOD] możesz znaleźć także w dobowym raporcie logwatch oraz w
odrębnym raporcie w panelu administracyjnym (w menu: ''Raport – blokada wirusów, SPAM-u''). Warto
sprawdzać to regularnie.
SMTP_LIMIT_NO_IP - określa hosty lub sieci, których nie dotyczy limit połączeń SMTP (wysyłanie poczty,
port 25 i 587). Poszczególne IP rozdzielane spacją.
TTL - określenie zmiany TTL pakietu. Jeśli ''po drodze'' od naszego routera do klienta nie ma dodatkowego
routera, to ustawiając wartość TTL dla danego klienta w LAN na 1 - utrudniamy dalsze udostępnianie przez
niego Internetu. Elementy rozdzielone minusem, więcej wpisów: spacją. Przykłady wpisów:
TTL=''192.168.1.5-1'', TTL=''192.168.2.0/24-255 192.168.1.23-2''. Zmiana wartości TTL nie dotyczy
protokołu icmp.
TCPSYN_LOG - włączenie logowania informacji o dużej ilości przychodzących połączeń tcp syn. Zmienna
przyjmuje wartości: yes lub no (puste).
MAC_CHECK_LOG - logowanie informacji o braku zgodności MAC z IP, gdy włączono to powiązanie
zmienną MAC_CHECK. Zmienna przyjmuje 2 wartości: yes lub no (puste).
SMTP_LIMIT_LOG - logowanie informacji o próbach wysyłania spamu przez klientów. Zmienna przyjmuje
2 wartości: yes lub no (puste).
ICMP_PROTECT - ochrona przed niewłaściwymi próbami połączeń ICMP. Zmienna przyjmuje 2 wartości:
yes lub no (puste).
17
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
GOODHOSTS - określ hosty lub sieci, do których zawsze jest możliwe nawiązanie połączenia - ruch klientów
mimo jakichkolwiek nałożonych blokad (np. poprzez powiadomienia). Kolejne adresy rozdzielane spacją.
Można także wpisać słowo file lub goodhosts.cfg i określić wtedy listę docelowych adresów IP w odrębnym
pliku: goodhosts.cfg
IPV6_FRW_ON - włączenie forwardu dla ruchu IPv6. Zmienna przyjmuje 2 wartości: yes lub no (puste),
czyli domyślnie router nie zezwala na transfer tym protokołem.
LOGS_IP - określa hosty lub sieci, z których wszystkie nawiązywane z Internetem połączenia będą
logowane (standardowo wpisy trafiają do /var/log/logs_ip i są również widoczne po wydaniu komendy
dmesg). Plik z danymi jest automatycznie, raz na dobę archiwizowany (jeśli jego wielkość tego wymaga).
Archiwum przenoszone jest do katalogu domowego użytkownika admin (/home/admin/logs/). Kolejne IP
rozdzielamy spacją. Należy liczyć się z możliwością pojawienia się bardzo dużej ilości wpisów w logach.
Przykład wpisu: LOGS_IP=''192.168.1.4 192.168.1.55'' (gdy logujemy tylko połączenie wybranych klientów)
lub np. LOGS_IP=''192.168.1.0/24'' (gdy logujemy połączenie wszystkich klientów z danej sieci). Nie należy
stosować jednocześnie obu metod zbierania logów (LOGS_IP i ULOG_ON).
ULOG_ON - włączenie szczegółowego logowania przekazywanych połączeń przy wykorzystaniu celu ULOG i
oprogramowania ulogd. Dane zbierane są w pliku /var/log/ulogd/ulogd_syslogemu.log (lub ulogd_pcap.log)
oraz automatycznie, raz na dobę archiwizowane. Pliki archiwum przenoszone są do katalogu domowego
użytkownika admin (/home/admin/logs/). Zmienna przyjmuje 2 wartości: yes lub no (puste). Przypominamy!
Zaleca się wybranie tylko 1 metody zbierania logów: LOGS_IP lub ULOG_ON.
ULOG_FORMAT - określa format pliku, w którym zbierane będą dane. Metoda logemu - dane zapisywane w
postaci tekstowej, umożliwiającej ich bezpośrednie odczytanie, w pliku /var/log/ulogd/ulogd_syslogemu.log.
Metoda pcap - dane zapisywane w formacie pcap, wymagają użycia odrębnego programu do ich odczytania
(np. Wireshark). Plik z danymi ulogd_pcap.log zajmuje nieco mniej miejsca, niż standardowy
ulogd_syslogemu.log (mimo, iż zawiera więcej informacji). Zaawansowany administrator z pewnością doceni
format pcap i możliwość obróbki pliku logu, szczegółowego przeszukiwania i generowania raportów przy
pomocy Wireshark, jednak uwaga - logowanie ruchu w formacie pcap wymaga więcej zasobów i często
znacząco zwiększa obciążenie serwera! Zdecydowanie warto też włączyć pakowanie logów 4 razy na dobę.
ULOG_PACK - określa częstotliwość pakowania pliku logu ulogd na dobę. W dużych sieciach lub podczas
ataku DDoS od strony LAN, czy też ruchu generowanego np. przez zawirusowany rejestrator kamer, plik
przed archiwizacją może osiągnąć maksymalną wielkość dostępną na partycji /var i ulogd przestanie wtedy
dopisywać kolejne informacje do niego. Aby temu zapobiec (lub po prostu zbierać mniejsze, ''wygodniejsze''
w przeszukiwaniu pliki) - można archiwizować plik bieżących logów 2 lub 4 razy na dobę. Pliki są
archiwizowane do katalogu /home/admin/logs/ i dostępne po FTP (poprzez konto użytkownika: admin).
Należy regularnie je archiwizować na trwałych nośnikach, np. płytach DVD i przechowywać przez okres
wymagany przepisami prawa.
STATIPTA - określa adres sieci, dla których będą zbierane dane przy użyciu modułu statystyki ipt_account.
Przykład wpisu: STATIPTA=''192.168.1.0/24''. Gdy więcej podsieci, elementy rozdzielamy spacją. Liczniki
statystyk są zapisywane i odtwarzane podczas każdego restartu oprogramowania. Nie zaleca się stosowania
dla więcej niż 10 sieci. Ponadto ipt_account nie obsługuje sieci z maską poniżej /24 (sieci większych niż 255
IP), tak więc wszystkie wpisywane adresy sieci muszą być tu podane wg klucza: x.x.x.0/24.
Aby zresetować liczniki, uruchom rc.fiqs z parametrem reset (./rc.fiqs reset). Dokonując zmian w
zawartości tej zmiennej lub dodając nową sieć - należy pamiętać o wydaniu z konsoli
poleceń: /usr/intrux/bin/account_create oraz /etc/intrux/reset
18
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
PROXY_SERV - włącza przekierowania ruchu www dla klientów wymienionych w pliku proxy.cfg. Zmienna
ustala przekierowania na lokalny serwer PROXY (na tej samej maszynie: ''REDIRECT'' lub ''yes'' - obie
wartości skutkują tym samym) lub na inny serwer PROXY w sieci lokalnej (podaj wtedy jego IP). Przykłady
prawidłowych wpisów: PROXY_SERV=''yes'', PROXY_SERV=''REDIRECT'', PROXY_SERV=''192.168.1.200''.
Po włączeniu zmiennej należy jeszcze wpisać IP klientów (lub sieci), IP serwera proxy i port
serwera proxy w pliku proxy.cfg. Wcześniej oczywiście sam serwer squid powinien zostać
skonfigurowany i uruchomiony (więcej na ten temat znajduje się w odrębnym rozdziale niniejszej instrukcji).
RACL - włączenie autoryzacji www, czyli konieczności zalogowania się klientów przez formularz www przed
uzyskaniem dostępu do Internetu. Zmienna przyjmuje 2 wartości: yes lub no (puste).
RACL_MODE - określa sposób działania autoryzacji. Gdy wybrano ''return'', autoryzacja dotyczy tylko
klientów, dla których wybrano tę metodę autoryzacji (wymienionych w pliku racl.cfg). Gdy wybierzemy
''deny'' - obowiązuje wszystkich (każdy z klientów musi więc mieć wybraną metodę autoryzacji RACL,
ustalone logi i hasło - posiadać stosowny wpis w pliku racl.cfg). Wartość ''return'' umożliwia więc autoryzację
tylko części klientów.
RACL_LOGIN_ADDR - określa adres, na który zostaną przekierowani przy pomocy DNAT autoryzowani
klienci. Na porcie 399 routera nasłuchuje strona przekierowująca na formularz obsługiwany szyfrowanym
połączeniem SSL, zaś na 401 - bez SSL.
RACL_CHK_METOD - określa metodę sprawdzania aktywności klienta (czy jego komputer jest nadal
włączony). Dostępne metody, to arpscan (1), arping (2) oraz ping (3).
19
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
RACL_CHK_TIME - określa interwał czasowy (w minutach) sprawdzania aktywności klienta. Gdy podamy
''0'' - klient nie będzie sprawdzany. Aktualnie obowiązujące uprawnienia resetowane są, gdy z
poziomu konsoli wykonujemy restart ustawień bez parametru soft.
FAST_ICMP - włączenie umożliwia obsługę protokołu icmp (ping) w kolejce fast. Zmienna przyjmuje 2
wartości: yes lub no (puste).
FAST_VOIP_SIP_RTP - włączenie umożliwia obsługę protokołu sip rtp (voip) w kolejce fast. Zmienna
przyjmuje 2 wartości: yes lub no (puste).
FAST_PORTS_TCP - zmienna określa porty tcp, z których ruch obsługiwany będzie kolejką fast.
Poszczególne, pojedyncze porty rozdzielane wyłącznie spacją! Obsługa bezpośrednio w tc (bez markowania).
Przykład wpisu: FAST_PORTS_TCP=''22 53''.
FAST_PORTS_UDP - określa porty udp, z których ruch obsługiwany będzie kolejką fast. Poszczególne,
pojedyncze porty rozdzielane wyłącznie spacją! Obsługa bezpośrednio w tc (bez markowania). Przykład
wpisu: FAST_PORTS_TCP=''53''.
FAST_PORTS_TCP_M - zmienna określa porty tcp markowane do kolejki fast. Tutaj można stosować
zakres portów oraz rozdzielanie przecinkiem i spacją. Przykład wpisu: FAST_PORTS_TCP_M=''20:22,53''.
FAST_PORTS_UDP_M - określa porty udp markowane do kolejki fast. Tutaj można stosować zakres
portów oraz rozdzielanie przecinkiem i spacją. Przykład wpisu: FAST_PORTS_UDP_M=''53,20000''.
FAST_IP - określa adresy IP, z którymi połączenia obsługiwane będą w kolejce fast. Adresy IP hostów w
Internecie rozdzielane spacją. Przykład wpisu: FAST_IP=''123.45.67.89''.
PRIO_DL_DNS - włączenie obsługi połączeń informacji DNS w kolejce prio. Zmienna przyjmuje 2 wartości:
yes lub no (puste).
PRIO_DL_ICMP - włączenie obsługi protokołu icmp (ping) w kolejce prio. Zmienna przyjmuje 2 wartości:
yes lub no (puste).
PRIO_UL_DNS - włączenie obsługi zapytań DNS w kolejce prio. Zmienna przyjmuje 2 wartości: yes lub no
(puste).
PRIO_UL_ACK - włączenie obsługi pakietów potwierdzeń ACK w kolejce prio. Zmienna przyjmuje 2
wartości: yes lub no (puste).
PRIO_UL_ICMP - włączenie obsługi protokołu icmp (ping) w kolejce prio. Zmienna przyjmuje 2 wartości:
yes lub no (puste).
HTB_QUANTUM - określ parametr htb quantum. Opcja - wpis nie jest wymagany. Przykład:
HTB_QUANTUM=''quantum 1500''.
HTB_R2Q - określ parametr htb r2q. Opcja - wpis nie jest wymagany. Przykład: HTB_R2Q=''r2q 10''.
RATE_P - procent dla określenia rate całości łącza. Zalecana wartość w zakresie 90-100, np. 95. Przykład:
RATE_P=''95''.
20
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
USER_SPEC_SPEED - włączenie specjalnego przyspieszenia dla kolejki użytkownika. Działa wyłącznie dla
algorytmu HFSC. Stosuj z rozwagą. Zmienna przyjmuje 2 wartości: yes lub no (puste). Gdy włączona - podaj
odpowiednie wartości w nw. zmienne określające prędkość i czas - zarówno dla download, jak i upload.
DL_USER_SPEC_SPEED - wartość prędkości download (ściąganie) klienta (w kbit lub %) oraz czas jej
obowiązywania w sekundach rozdzielone średnikiem. Podana prędkość (jeśli w kbit) powinna być większa od
standardowo dostępnej dla klientów sieci. Jeśli zaś w procentach (gdy włączono ww. USER_SPEC_PROC) -
będzie to zawsze wartość pow. 100. Przykład wpisu: ''125;5'' (klient przez pierwsze 5 sek. osiągnie prędkość
dla nowego połączenia o wartości równej 125% swojej standardowej prędkości download).
Można także ustawić wartość ''auto''. Wtedy klient może uzyskać przez pierwsze 3 sekundy prędkość
wielkości 80% wartości DOWNLOAD łącza WAN.
UL_USER_SPEC_SPEED - wartość prędkości upload (wysyłanie) klienta (w kbit lub %) oraz czas jej
obowiązywania w sekundach rozdzielone średnikiem. Podana prędkość (jeśli w kbit) powinna być większa od
standardowo dostępnej dla klientów sieci. Jeśli zaś w procentach (gdy włączono ww. USER_SPEC_PROC) -
będzie to zawsze wartość pow. 100. Przykład wpisu: ''120;1'' (klient przez pierwszą sekundę osiągnie
prędkość dla nowego połączenia o wartości równej 120% swojej standardowej prędkości upload).
Można także ustawić wartość ''auto''. Wtedy klient może uzyskać przez pierwsze 2 sekundy prędkość
wielkości 60% wartości UPLOAD łącza WAN. Używaj z rozwagą!
FQC_PARAM - umożliwia dopisanie dodatkowych parametrów, gdy wybrano metodę kolejkowania fq_codel.
Opcja dla zaawansowanych.
PIE_PARAM - umożliwia dopisanie dodatkowych parametrów dla kolejek pie. Opcja dla zaawansowanych.
HHF_PARAM - umożliwia dopisanie dodatkowych parametrów dla kolejek hhf. Opcja dla zaawansowanych.
SFB_PARAM - umożliwia dopisanie dodatkowych parametrów dla kolejek sfb. Opcja dla zaawansowanych.
ICMP_INPUT_LIMIT - określa limit przychodzących połączeń icmp (limit;burst). Format wpisu: wyłącznie
2 elementy rozdzielone średnikiem, np. ''10;2''.
P2P_UDP_S_LIMIT - określa limit rozpoznanych połączeń udp P2P - dotyczy każdego klienta odrębnie, np.
''20''.
21
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
LENGTH_REJECT - pakiety o określonej długości zakresu length zostaną odrzucone, np. ''2000:20000''.
Przykładowy wpis bywa przydatny w blokowaniu nadużyć np. niektórych programów P2P.
P2P_IPSET_LIMIT - zmienna określa limit ilości połączeń tcp na portach powyżej 1024. Po przekroczeniu
limitu połączenia są automatycznie blokowane przez 1 min. przy wykorzystaniu oprogramowania ipset.
Dotyczy każdego klienta odrębnie i jest bardzo skutecznym zabezpieczeniem przed dużą ilością połączeń.
Określ interfejs LAN, którego dotyczy limit oraz liczbę możliwych połączeń. Format wpisu: wyłącznie 2
elementy (interfejs-limit) rozdzielone znakiem minus, np. ''eth0-200''. Aktualny stan zawsze można
wyświetlić na konsoli, wydając polecenie: ipset -L p2p
HASH_LIMIT_UPLOAD - określa wartość dopuszczalnej ilości wysyłanych (upload) pakietów na sek. Limit
dotyczy każdego klienta odrębnie. Przykład wpisu: ''100''.
HASH_LIMIT_NOPORT_TCP - określa porty tcp, z którymi połączenia nie będą limitowane. Można
stosować zakres portów oraz rozdzielanie przecinkiem i/lub spacją. Przykład: ''80,443''.
HASH_LIMIT_NOPORT_UDP - określa porty udp, z którymi połączenia nie będą limitowane. Można
stosować zakres portów oraz rozdzielanie przecinkiem i/lub spacją. Przykład wpisu: ''53''.
HASH_LIMIT_BURST - określa wartość parametru burst limitowania hashlimit (domyślna wartość, gdy
puste, to 2).
FRW_MODE - określa tryb obsługi reguł forwardu klientów sieci. Zalecane użycie: ''ipset''. Funkcjonalność
ipset nie jest używana, gdy określono DST_LIMIT. Listę przypisanych IP w tablicy ipset o nazwie fwout
można wyświetlić poleceniem: ipset -L fwout
SNAT_MODE - określa tryb obsługi reguł nat dla klientów sieci. Zalecane użycie: ''ipset''. Tryb ipset nie
będzie używany, jeśli NAT_ON=''file'' (określono reguły nat w pliku snat.cfg). Listę przypisanych IP w tablicy
ipset o nazwie nat można wyświetlić poleceniem: ipset -L nat
LOCAL_PORTF_DEV - określa interfejs LAN, na którym również lokalnie obowiązują przekierowania portów
z pliku port.cfg.
LAN_QOS_DEV - określa interfejs LAN, który będzie skierowany do kolejkowania z użyciem IMQ.
Rozwiązanie alternatywne, gdyż standardowo to WAN jest kierowany do IMQ. Przydatne m.in. w sytuacji,
gdy działa lokalny serwer proxy. Przykład wpisu: ''eth0 ppp+''.
22
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
LOCAL_SERV_IP - podaj IP lokalne serwera, gdy do IMQ kierowany jest interfejs LAN (ww. zmienna
LAN_QOS_DEV) lub gdy kolejki wykonane są na interfejsach fizycznych bez użycia IMQ. Przykład wpisu:
''192.168.1.1''.
LAN_PORT_NO_QOS - określ porty, które nie podlegają kolejkowaniu w obrębie sieci LAN, gdy do IMQ
kierowany jest interfejs LAN (zmienna LAN_QOS_DEV). Elementy (porty lub zakresy portów) rozdzielane
wyłącznie przecinkiem (tylko 1. pełny wpis bez spacji!). Przykład wpisu: ''137:139,445,80,443,3128''.
DL_VDEV - określ interfejs kolejkowania download. Standardowo jest to imq0. Jeśli fizyczny, to LAN, czyli z
reguły eth0. Zazwyczaj nie wymaga zmian i pozostaje puste.
UL_VDEV - określ interfejs kolejkowania upload. Standardowo jest to imq1. Jeśli fizyczny, to WAN, czyli
najczęściej eth1. Zazwyczaj nie wymaga zmian i pozostaje puste.
USER_UL_CLSFY - włączenie classify dla upload, gdy kolejkowanie wykonano w ww. zmiennych na
interfejsach fizycznych.
BKP_FILES - włączenie skutkuje wykonywaniem kopii bezpieczeństwa wszystkich plików .cfg podczas
każdego restartu oprogramowania. Zmienna przyjmuje 2 wartości: yes lub no (puste).
Kopie zachowywane są w katalogu /etc/intrux/.bk/{DATA}. Pozwala to na łatwe przywrócenie
przez administratora niemal każdego stanu wcześniejszej konfiguracji. Należy pamiętać o tej
możliwości w przypadku trudności ze znalezieniem ostatnio popełnionego błędu.
GEN_HOSTS - gdy włączone, oprogramowanie generuje podczas każdego restartu plik /etc/hosts na
podstawie informacji nagłówkowych z pliku /etc/intrux/def/hosts oraz adresu IP i nazwy klienta z pliku
client.cfg. Zmienna przyjmuje 2 wartości: yes lub no (puste). Niekiedy w zaawansowanych konfiguracjach
serwerów takie automatyczne generowanie pliku może przeszkadzać.
GEN_ARP - podczas restartu dodaje aktualne wpisy powiązań IP z MAC klienta w tablicy arp. Elementarne
zabezpieczenie przed podszywaniem (świadomą zmianą MAC). Zmienna przyjmuje 2 wartości: yes lub no
(puste).
GEN_RADIUS - generuje automatycznie podczas restartu plik /etc/raddb/users (baza klientów serwera
freeradius) na podstawie informacji nagłówkowych z pliku /etc/intrux/def/radius_users_head oraz klientów z
pliku client.cfg w wybraną autoryzacją ''radius''. Automatycznie wykonuje polecenie restartu serwera
RADIUS: service radiusd restart gdy zachodzi taka potrzeba (zaszły zmiany w pliku users). Uwaga -
klientów samego serwera (tzw. ''NAS'', czyli urządzenia, które będą łączyć się z serwerem freeradius)
dopisuje się w pliku /etc/raddb/clients.conf
Plik /etc/raddb/users generowany jest poprzez skrypt /etc/intrux/.sc/c2rad i w nim można dokonać zmian
dot. szczegółowego formatu danych i zakresu zmiennych, które się w nim znajdą (rożne urządzenia wysyłają
dane weryfikacyjne klientów z użyciem różnych zmiennych i często zachodzi potrzeba dokładnego
''dostrojenia'' formatu wymiany danych).
23
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
WIZYTOWKA - włącz wyświetlanie wizytówki sieci dla przypadkowych klientów. Taki klient otrzyma adres z
zakresu 10.176.177.65-77 i zostanie przekierowany na stronę z treścią informacji, działającą na porcie 799
routera. Używaj z rozwagą! Opcja powinna być uprzednio aktywowana podczas konfiguracji
interfejsów sieciowych z użyciem kreatora intrux-netset. Funkcja wizytówki sieci nie działa
prawidłowo, gdy MAC_CHECK=''yes''. Zmienna przyjmuje 2 wartości: yes lub no (puste).
AUTO_INFO_DATE - włącz, by serwer automatycznie tworzył powiadomienia na określoną ilość dni przed
datą dnia końca dostępu do internetu danego klienta. Konfiguracja parametrów (ile dni przed, nr szablonu
wiadomości) znajduje się w pliku /usr/intrux/etc/auto_info_date.cfg
PPPOE_MAC_CHECK - włącz weryfikację adresu MAC klienta podczas połączenia z serwerem PPPoE. Błędy
weryfikacji są logowane do pliku /var/log/pppoe-mac.log
IP_HIST - włącza funkcję „ostatni raz widziany” - informację na karcie klienta podczas edycji w panelu.
Uwaga - funkcjonalność ta zwiększa istotnie obciążenie serwera i nie jest zalecane jej używanie w sieciach
powyżej 200 klientów.
Oprogramowanie INTRUX Firewall & QoS w wersjach 2xWAN i 4xWAN umożliwia dystrybucje ruchu
pomiędzy łącza WAN zarówno w trybie wskazania konkretnych portów usług do obsługi danym interfejsem
WAN (jest to tzw. ''podział na usługi''), jak i w trybie wskazania klientów sieci, którzy są obsługiwani w
całości przez dane łącze WAN (tzw. ''podział na klientów''). Obie metody mogą być stosowane równocześnie.
Można także określić, iż ruch do określonych hostów w sieci Internet będzie realizowany tylko konkretnym
interfejsem WAN. Dodatkowo istnieje możliwość włączenia load-balancing (czyli próby równego obciążenia
łącz) i stosowanie wszystkich tych metod równocześnie. Wszystko to daje ogromnie możliwości konfiguracji.
Obserwacja statystyk obciążenia interfejsów WAN (każdy interfejs ma własny wykres w lstat) może być
pomocna w doborze wymaganych parametrów podczas pracy sieci - zależnie od potrzeb i wymagań.
Monitorowanie obciążenia interfejsów WAN jest szczególnie istotne, gdy posiadamy łącza o różnych
parametrach prędkości.
Load-balancing umożliwia podniesienie odporności na awarię łącza, a w razie jej wystąpienia - klienci
sieci nie stracą całkowicie możliwości korzystania z zasobów Internetu, a jedynie częściowo. Przypisanie
klienta do konkretnego łącza WAN ma najwyższy priorytet w podziale multiWAN. Dzięki temu można łączyć
metody podziału ''na usługi'' i ''na klientów'', jednak awaria łącza przypisanego dla danego klienta nie
pozwoli mu na korzystanie z zasobów sieci Internet bez interwencji administratora. Wszystkie metody
podziału mają swoje zalety i wady. Rolą administratora jest dokonywanie właściwego wyboru ustawień w
reakcji na aktualny stan sieci WAN i LAN.
24
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
Istotniejsze zmiany w obrębie zaawansowanego podziału pomiędzy łączami WAN (włączenie, bądź
wyłączenie danego interfejsu WAN) powinny zostać potwierdzone pełnym restartem interfejsów sieciowych
lub samego serwera (wydaj polecenie reboot z konsoli).
Należy pamiętać, iż interfejsy WAN muszą posiadać stałe IP z różnych klas adresowych -
łącza WAN nie mogą ''spotykać'' się na tej samej bramie!
Przy standardowej konfiguracji kolejkowania (WAN do IMQ) każdy klient posiada odrębne kolejki na
łączach WAN (z opcją zwiększenia procentowo jej wartości dla konkretnych interfejsów w stosunku do
standardowych wartości prędkości). Tak więc ruch klienta danym łączem może osiągać inne prędkości
maksymalne, niż określone standardowo. Opis zmiennych odpowiedzialnych za konfiguracje tych i innych
parametrów znajduje się w kolejnym rozdziale instrukcji. Oczywiście można także zrobić kolejkowanie po
stronie LAN, gdzie niezależnie od ilości łącz WAN klient ma standardowo jedną własną kolejkę prędkości.
Decyzja o wyborze danej metody jest jeszcze uwarunkowana innymi opcjami, które nie są bezpośrednio
związane z istnieniem kilku łącz WAN. Wspomnimy o tym jeszcze w dalszej części instrukcji.
Dla łącza WAN2, WAN3 i WAN4 tworzone są jedynie: kolejka routera oraz kolejki użytkowników
(analogicznie jak na łączu domyślnym WAN1, jednak - jak wspomniano wyżej - z możliwością
zwielokrotnienia wartości ceil). Nie istnieją tam opcjonalne, odrębne kolejki usługowe typu fast, prio, www
(jak to może mieć miejsce na łączu WAN1). Ponadto stosując ''podział na usługi'' z reguły nie zaleca się
używania kolejek usługowych na łączu WAN1 (czyli najlepiej pozostawić puste wartości w zmiennych
QOS_FAST, QOS_PRIO i oczywiście QOS_WWW). Zaawansowany administrator może jednak zdecydować
inaczej.
Należy pamiętać, iż stosując udostępnianie IP (wpisy w pliku ipf.cfg) należy także w client.cfg
włączyć danego klienta do obsługi w całości przez łącze WAN, z którego publiczne IP klient otrzymuje.
Podczas edycji klienta na liście wybieramy dla niego stosowne łącze WAN oraz możemy śmiało włączyć opcję
PUB, skoro klient będzie miał przypisane własne IP w pliku ipf.cfg.
W plikach ipf.cfg, iserv.cfg oraz portf.cfg można dokładnie określić, którego łącza dotyczy dany wpis
(np. podając wartość 2 lub WAN2 w stosownej kolumnie).
MULTIWAN - włączenie i sposób działania podziału multiWAN. Ustawienie ''yes'' umożliwia podział
tradycyjny, gdzie łącze WAN1 jest łączem domyślnym (obsługuje zawsze zapytania DNS i jest niezbędne do
działania sieci), a na pozostałe łącza kieruje się usługi i/lub klientów. Ustawienie ''LB'' dodaje kolejną
funkcjonalność: load-balancing (równe obciążenie łącz poprzez losowe kierowanie kolejnych połączeń na
kolejny interfejs WAN). W tym przypadku łącze WAN1 nie jest niezbędne do działania sieci. Load-balancing
umożliwia więc podniesienie odporności na awarię łącza, a w razie jej wystąpienia - klienci sieci nie stracą
całkowicie możliwości korzystania z zasobów Internetu, a jedynie częściowo. Możliwe wartości zmiennej, to
yes, LB lub no (puste).
WAN1_NET - określa adres sieci pierwszego łącza, domyślnego (określonego już częściowo w main.cfg
zmienną INTERNET_DEV oraz INTERNET_IP). Należy podać adres sieci wraz z prawidłową maską (prefix) w
krótkiej formie, np. ''81.123.45.67/29''. Kreator intrux-netset ustawił tam już wcześniej właściwą wartość.
Jeśli jednak musisz dokonać zmian i nie wiesz, jaki powinien być prefix, użyj komendy:
ipcalc TU.ADRES.IP.WAN TU.PELNA.MASKA -p
np.: ipcalc 83.12.34.56 255.255.255.248 -p
LB_NTH_MARK - włącz markowanie dla load-balancing z wykorzystaniem modułu iptables statistic nth. To
zaawansowane rozwiązanie pozwala na dokładne i równomierne obciążenie łącz WAN. Zmienna przyjmuje 2
wartości: yes lub no (puste).
25
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
LB_NTH_MARK_DEV - interfejs lub interfejsy LAN, na których następuje oznaczenie nowego połączenia
dla potrzeb równomiernego rozłożenia ruchu w load-balancing z wykorzystaniem modułu iptables statistic
nth. Przykład wpisu: ''eth0 ppp+''.
LB_NTH_IPSET_SEC - przypisanie ''na trwałe'' do danego łącza WAN przez określoną ilość sekund.
Funkcja elementu load-balancing - umożliwia przypisanie klienta do kolejnego łącza WAN na trwałe, jeśli
przez określoną ilość sekund wciąż dany klient korzysta z internetu. Przykładowa wartość: ''180'' (czyli 3
minuty). Ipset utworzy tablice o nazwach: wan1_ip, wan2_ip, wan3_ip oraz wan4_ip, w których będą
umieszczane IP klientów na określoną ilość sekund. Klient realizujący kolejne połączenie w czasie, gdy jest
już przypisany do jakiegoś interfejsu - spowoduje odliczanie dla siebie czasu od nowa (wciąż będzie
obsługiwany tym samym interfejsem WAN). Jeśli jednak przez określoną ilość sekund nie nawiązał żadnego
nowego połączenia - przy kolejnym może zostać przypisany już do innego interfejsu (zgodnie z algorytmem
równego obciążenia łącz zastosowanym w oprogramowaniu FiQs). Bieżącą zawartość tablic można
wyświetlać poleceniem: ipset -L, np. ipset -L wan2_ip pokaże listę IP, które aktualnie są przypisane do
interfejsu WAN2 (czyli ich ruch internetowy realizowany jest łączem WAN2).
WAN1_TO_HOST - określ IP lub hosty w sieci Internet, do których połączenia będą realizowane w całości
przez interfejs WAN1. Kilka wpisów rozdziel spacją. Podając domenową nazwę hosta licz się z wydłużeniem
czasu restartu ustawień z powodu potrzeby odpytania przez iptables serwera DNS i wstawienia do reguł
właściwych adresów IP. Przykład wpisu: ''onet.pl wp.pl''.
LB_WAN1_WEIGHT - waga (ważność, stopień wykorzystania) łącza dla load-balancing, gdy nie jest
używane statistic nth (LB_NTH_MARK jest wyłączone). Zazwyczaj nie wymaga zmian. Przykład wpisu: ''1''.
WAN1_WAN2_MONIT - gdy włączono LB dla MULTIWAN i WAN2_ON - sprawdza co 2 minuty łącza WAN i
w razie awarii automatycznie przypisuje wszystkich klientów do łącza działającego. Gdy łącze zacznie działać
poprawnie, wykonuje automatycznie restart do ustawień standardowych. Zdarzenia zapisywane są w pliku
/etc/intrux/.wan_log.
W pliku /usr/intrux/etc/wan1_wan2_monit.cfg określa się 3 hosty, do których jest wykonywany ping testowy
poprzez łącza WAN1 i WAN2. Standardowo znajdują się tam: wp.pl, onet.pl oraz gts.pl.
Częstotliwość sprawdzania (domyślnie co 2 minuty) można zmienić edytując zadanie crona w pliku
/etc/cron.d/intrux-wan-monit.
WAN2_ON - włączenie i sposób obsługi łącza WAN2. Możliwe wartości zmiennej, to yes, LB lub no (puste).
WAN2_NET - określa adres sieci drugiego łącza. Należy podać adres sieci wraz z prawidłową maską (prefix)
w krótkiej formie, np. ''83.100.200.44/30''. Kreator intrux-netset ustawił tam już wcześniej właściwą wartość.
Jeśli jednak musisz dokonać zmian i nie wiesz, jaki powinien być prefix, użyj komendy:
ipcalc TU.ADRES.IP.WAN TU.PELNA.MASKA -p
np.: ipcalc 83.12.34.56 255.255.255.248 -p
WAN2_UPLOAD - określa całkowitą prędkość wysyłania (upload) drugiego interfejsu w kbit. Przykład
wpisu: ''500''.
WAN2_TCP_PORT - określa porty (usługi) protokołu tcp, z którymi połączenia klientów będą realizowane 2
łączem. Poszczególne wartości rozdzielamy spacją. Można stosować zakres portów. Przykład: ''80 443''.
26
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
WAN2_UDP_PORT - określa porty (usługi) protokołu udp, z którymi połączenia klientów będą realizowane
2 łączem. Poszczególne wartości rozdzielamy spacją.
WAN2_TO_HOST - określ adresy IP lub hosty w sieci Internet, do których połączenia będą realizowane w
całości przez interfejs WAN2. Kilka wpisów rozdziel spacją. Podając domenową nazwę hosta licz się z
wydłużeniem czasu restartu ustawień z powodu potrzeby odpytania przez iptables serwera DNS i wstawienia
do reguł właściwych adresów IP. Przykład wpisu: ''allegro.pl''.
LB_WAN2_WEIGHT - waga (ważność, stopień wykorzystania) łącza dla load-balancing, gdy nie jest
używane statistic nth (LB_NTH_MARK jest wyłączone). Zazwyczaj nie wymaga zmian. Przykład wpisu: ''1''.
DL2_VDEV - określa interfejs kolejkowania download WAN2. Domyślnie imq2. Zazwyczaj nie wymaga
zmian i pozostaje puste. Jeśli fizyczny - podaj interfejs LAN (standardowo eth0).
UL2_VDEV - określa interfejs kolejkowania upload WAN2. Domyślnie imq3. Zazwyczaj nie wymaga zmian i
pozostaje puste. Jeśli fizyczny - podaj rzeczywisty interfejs WAN2 (standardowo eth2).
WAN3_ON - włączenie i sposób obsługi łącza WAN3. Możliwe wartości zmiennej, to yes, LB lub no (puste).
WAN3_NET - określa adres sieci trzeciego łącza. Należy podać adres sieci wraz z prawidłową maską
(prefix) w krótkiej formie. Kreator intrux-netset zapewne ustawił tam już wcześniej właściwą wartość.
WAN3_TCP_PORT - określa porty (usługi) protokołu tcp, z którymi połączenia klientów będą realizowane 3
łączem. Poszczególne wartości rozdzielamy spacją. Można stosować zakres portów. Nie wolno podawać
takich samych portów w analogicznej zmiennej dotyczącej innego interfejsu WAN.
WAN3_UDP_PORT - określa porty (usługi) protokołu udp, z którymi połączenia klientów będą realizowane
3 łączem. Poszczególne wartości rozdzielamy spacją. Nie wolno podawać takich samych portów w
analogicznej zmiennej dotyczącej innego interfejsu WAN.
WAN3_ICMP - włączenie obsługi protokołu icmp łączem WAN3. Tylko dla jednego z łącz WAN można
ustawić jako włączone.
27
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
WAN3_TO_HOST - określ IP lub hosty w sieci Internet, do których połączenia będą realizowane w całości
przez interfejs WAN3. Kilka wpisów rozdziel spacją.
LB_WAN3_WEIGHT - waga (ważność, stopień wykorzystania) łącza dla load-balancing, gdy nie jest
używane statistic nth (LB_NTH_MARK jest wyłączone w pliku multiwan.cfg). Przykład wpisu: ''1''.
DL3_VDEV - określa interfejs kolejkowania download WAN3. Domyślnie imq4. Zazwyczaj nie wymaga
zmian i pozostaje puste. Jeśli fizyczny - podaj interfejs LAN (standardowo eth0).
UL3_VDEV - określa interfejs kolejkowania upload WAN3. Domyślnie imq5. Zazwyczaj nie wymaga zmian i
pozostaje puste. Jeśli fizyczny - podaj rzeczywisty interfejs WAN3 (standardowo eth3).
DL4_VDEV - określa interfejs kolejkowania download WAN4. Domyślnie imq6. Zazwyczaj nie wymaga
zmian i pozostaje puste. Jeśli fizyczny - podaj interfejs LAN (standardowo eth0).
UL4_VDEV - określa interfejs kolejkowania upload WAN4. Domyślnie imq7. Zazwyczaj nie wymaga zmian i
pozostaje puste. Jeśli fizyczny - podaj rzeczywisty interfejs WAN4 (standardowo eth4).
10.3.1 band.cfg
Plik definicji 20 opcjonalnych taryf prędkości (od T0 do T19). W konfiguracji prędkości klientów (plik
client.cfg lub moduł Klienci, urządzenia i powiadomienia) można odwoływać się do zdefiniowanych tu
prędkości używając nazw taryf.
Plik edytowany jest automatycznie poprzez moduł panelu Grupy, limity i taryfy prędkości .
Nie zaleca się więc jego edycji bezpośrednio z poziomu konsoli.
Taryfy można zdefiniować bardzo szczegółowo, podając wszystkie 4 elementy określające kolejkę:
download_rate;download_ceil;upload_rate;upload_ceil lub tylko 2 elementy: download_ceil;upload_ceil (rate
zostanie obliczone automatycznie). Poszczególne, 4 lub 2 elementy zmiennych rozdzielamy wyłącznie
średnikiem. Ponadto dla prędkości gwarantowanej (rate) oraz maksymalnej (ceil) można stosować słowo
auto. Nie można zmieniać nazw proponowanych zmiennych - obowiązują tu tylko podane T0,
T1, T2, T3... do T19.
Wartości dla prędkości gwarantowanej (rate) należy określać z rozwagą - podając przemyślane
28
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
parametry, aby suma prędkości rate nie przekroczyła wartości całości łącza! Nie jest wymagane używanie
tego pliku (wszak w client.cfg można podawać prędkości bezpośrednio). Przykład zawartości ww. pliku:
T0=''auto;auto''
T1=''auto;auto;auto;auto''
T2=''auto;256;auto;32''
T3=''auto;512;auto;64''
T4=''128;1024;32;128''
T5=''1;256;1;64''
T6="auto;auto;auto;auto"
10.3.2 client.cfg
Plik client.cfg wraz z main.cfg to najważniejsze pliki konfiguracyjne systemu. Określa konfigurację
udostępniania Internetu i przydzielania pasma dla klientów (w kbit). Zawiera także loginy i hasła klientów dla
potrzeb autoryzacji PPPoE lub RACL.
Stosując wpisy określające oferowaną prędkość danego klienta o wartości auto zamiast konkretnych
liczb, prędkość ta jest automatycznie określana na maksymalną możliwą do osiągnięcia w danej chwili
(jednak ta dynamika realizowana jest wyłącznie przez sam algorytm - bez żadnego dodatkowego
''wspomagania''). Optymalną wartością dla maksymalnej ilości jednoczesnych połączeń (tcp syn) danego
klienta wydaje się być 200. Może mieć także wartość 0 (ograniczenie wtedy nie obowiązuje!). Limity ustawia
się w formie taryf od C0 do C9 zdefiniowanych w climit.cfg (lub z panelu w module Grupy, limity i taryfy
prędkości).
Jeśli używanie adresów MAC i podawanie interfejsu klienta nie jest konieczne - należy zastosować
wartość 0. Jeśli dla klienta jest wykonywany NAT (standard), w kolumnie PUB także powinno być 0. Gdy
dany klient ma być w całości ''obsługiwany'' tylko łączem WAN2 - w kolumnie WAN2 należy wpisać wartość 2
lub WAN2 - w przeciwnym wypadku: 0. Analogicznie dla pozostałych interfejsów WAN (np. 3 lub WAN3).
Przypisanie klienta do konkretnego łącza WAN ma najwyższy priorytet w podziale multiWAN. Dzięki temu
można łączyć metody podziału ''na usługi'' i ''na klientów''.
Jeśli jedna wspólna kolejka klienta o określonej prędkości ma być współdzielona przez
kilka adresów IP (kilka komputerów), należy poniżej standardowego wiersza wpisu dodać
kolejny wiersz zawierający bezpośrednio przed IP znak - (minus).
29
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
192.168.1.4. Oznacza to przydzielenie wspólnej prędkości (zgodnie z ww. przykładem: 512/128) dla 3
różnych IP. Tak więc wpisy wartości prędkości w 2 i 3 kolumnie w wierszach z IP ze znakiem minus - nie
mają żadnego znaczenia. Jednak informacje typu adres MAC, nazwa hosta itp. - oczywiście brane są pod
uwagę.
10.3.3 climit.cfg
Plik konfiguracji limitu ilości połączeń klienta (connlimit tcp syn oraz hashlimit). Z poziomu panelu
www plik ten jest automatycznie edytowany za pomocą modułu Grupy, limityi taryfy prędkości. Najczęściej
stosowanym ustawieniem limitu dla klienta (gdy jest to np. 1 stanowisko komputerowe), jest 200 na 20.
Przykład zawartości pliku:
C0=''0;0''
C1=''100;10''
C2=''200;20''
C3=''500;0''
10.3.4 ipf.cfg
Konfiguracja przekierowania IP. Jeśli posiadasz kilka adresów publicznych, możesz udostępnić jeden
z nich klientowi w sieci LAN. Należy utworzyć alias na interfejsie internetowym przy wykorzystaniu danego,
udostępnianego IP (automatycznie przy pomocy zmiennej IPF_ALIAS_ON=''yes'' w main.cfg). Klient w sieci
LAN nadal używa adresu prywatnego, jednak na zewnątrz będzie widoczny pod udostępnionym adresem
publicznym. Ograniczenia prędkości i pozostałe parametry określone w client.cfg obowiązują bez zmian.
Poszczególne elementy rozdzielamy spacją (pojedynczą, wielokrotną) lub tabulatorem. Ustawienie wartości
max ilości połączeń na 0 oznacza brak ograniczenia.
Format wpisu:
ZEWN_IP LOKALNY_IP_LAN PROTOKOL CONNLIMIT (WAN2) (LAN) (SNAT)
Przykład:
120.34.45.156 192.168.1.30 all 0 WAN1 eth0 192.168.1.1
120.34.45.157 192.168.1.31 all 0
120.34.45.158 192.168.1.32 gre 200
arp 83.34.45.158 all 100
Wpis z użyciem słowa arp na początku tworzy przekierowanie przy użyciu proxy_arp (umożliwia to
ustawienie publicznego IP bezpośrednio na komputerze klienta, bądź innym urządzeniu docelowym w sieci
LAN). Uwaga - proxy_arp to zdecydowanie rozwiązanie „hybrydowe”, którego należy unikać w
poważnych zastosowaniach sieciowych!
Należy pamiętać, iż gdy stosujemy tego typu przekierowanie (proxy_arp), to po stronie klienta
konfigurujemy adresacje jego karty sieciowej ''ręcznie'' ustawiając mu publiczny adres IP użyty w 2 kolumnie
ww. pliku ipf.cfg (oczywiście ten sam adres musi być też dodany jako klient w client.cfg, czyli na liście
klientów serwera). Maskę na karcie klienta ustawiamy zgodną z maską interfejsu WAN (dane otrzymane od
dostawcy), a bramą dla klienta jest główne IP interfejsu WAN serwera (czyli zwykle to podane w zmiennej
INTERNET_IP main.cfg. Nie adres bramy serwera, czyli modemu!). DNS zaś ustawiamy zgodne z
otrzymanymi od dostawcy. W razie problemów wyłącz zmienne MAC_CHECK i GEN_ARP, nie podawaj adresu
MAC klienta na liście i po reboot sprawdź ponownie jego połączenie z internetem.
10.3.5 iserv.cfg
Konfiguracja usług serwera dostępnych na zewnątrz (od strony Internetu). Poszczególne elementy
rozdzielamy spacją (pojedynczą, wielokrotną) lub tabulatorem. Można protokół, port i IP zastępować słowem
30
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
all (udostępniając wszystkie protokoły, wszystkie porty i/lub dla wszystkich IP). Można stosować zakres
portów oraz porty rozdzielone przecinkiem. Uwaga! Jeśli konkretny port (nie all), to protokół nie
może być all! Konkretny port zawsze musi mieć określony konkretny protokół (tcp i/lub udp). Gdy wpis
dotyczy łącza WAN2, należy w ostatniej, opcjonalnej kolumnie wpisać wartość 2 lub WAN2.
Format wpisu:
PROTOKOL PORT IP_KLIENTA_WAN (WAN2)
Przykład:
tcp 80,443 all
tcp 20:22 all 2
all all 82.34.56.78
10.3.6 lan.cfg
Konfiguracja usług serwera dostępnych dla klientów w sieci lokalnej. Plik czytany jest przez
oprogramowanie, gdy zmienna LIMIT_LAN=''yes'' w pliku main.cfg. Poszczególne elementy rozdzielamy
spacją (pojedynczą, wielokrotną) lub tabulatorem. Można stosować słowo all dla protokołu i portu. Można
stosować zakresy portów oraz porty rozdzielone przecinkiem. Uwaga! Jeśli konkretny port (nie all), to
protokół nie może być all.
Format wpisu:
PROTOKOL PORT IP_KLIENTA/SIECI_LAN SERWER/SIEC_IP INTERFEJS
Przykład:
all all 192.168.1.0/24 192.168.1.0/24 eth0
udp 67,68 0.0.0.0 255.255.255.255 eth0
tcp 80 192.168.1.0/24 192.168.1.1 eth0
udp 137:138 192.168.1.0/24 192.168.1.0/24 eth0
10.3.7 mserv.cfg
10.3.8 noport.cfg
Konfiguracja blokowania portów. Żądania klientów w sieci LAN do i z danego portu lub portów
(można stosować zakresy portów lub listę rozdzielaną przecinkiem) dla połączeń internetowych będą
natychmiast blokowane. Poszczególne elementy rozdzielamy spacją (pojedynczą, wielokrotną) lub
tabulatorem. Opcjonalna czwarta kolumna wiersza wpisu może przyjmować wartość raw. Wpis taki
powoduje określenie decyzji NOTRACK oraz odrzucenie połączeń z/do określonych portów już w tablicy raw.
Jest to skuteczne zabezpieczenie przed wirusami działającymi na konkretnych portach, a wpis taki nie
powoduje obciążenia serwera w przypadku wystąpienia licznych połączeń zawirusowanych komputerów.
Można także umieścić reguły blokad w tablicy security iptables (wpis sec).
31
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
Format wpisu:
PROTOKOL IP_KLIENTA_LAN PORT (raw/sec)
Przykład:
tcp 192.168.1.2 21,22,25
tcp 192.168.1.5 80 sec
udp 192.168.1.0/24 137:139,445 raw
tcp 0/0 23 raw
10.3.9 nostring.cfg
Plik konfiguracji blokowania połączeń, gdy wystąpi podany ciąg znaków. Dwa elementy rozdzielane
spacją (adres ip klienta oraz wyrażenie). Dla wiersza wpisu można użyć w 2 kolumnie wyłącznie jednego
pełnego ciągu znaków bez spacji. Opcja dla zaawansowanych. Nie działa przy jednoczesnym używaniu
proxy.
Format wpisu:
IP_KLIENTA_LAN WYRAŻENIE
Przykład:
192.168.1.5 mstring
10.3.10 notime.cfg
Plik konfiguracji blokowania połączeń klientów o określonej porze dnia oraz w wybranych dniach
tygodnia. Elementy rozdzielamy spacją lub tabulatorem.
Format wpisu:
IP_KLIENTA_LAN GODZ:START GODZ:STOP DNI,TYGODNIA
Przykład:
192.168.1.2 14:00 22:00 Mon,Tue,Wed,Thu,Fri,Sat,Sun
192.168.1.0/24 8:00 23:55 all
10.3.11 oplaty.cfg
10.3.12 p2pt.cfg
Konfiguracja blokowania rozpoznanego ruchu P2P w określonych porach czasu. Plik jest czytany
przez oprogramowanie, gdy zmienna P2P_DENY_TIME=''yes'' w main.cfg. Poszczególne elementy
rozdzielamy spacją (pojedynczą, wielokrotną) lub tabulatorem. Określenie all oznacza wszystkie dni
tygodnia. Gdy nadejdzie czas obowiązywania danego ograniczenia - połączenia nawiązane wcześniej nie
zostają zerwane, jednak nowe - rozpoznane połączenia P2P - nie będą mogły być nawiązane.
Format wpisu:
IP_KLIENTA_LAN GODZ:START GODZ:STOP DNI,TYGODNIA
Przykład:
192.168.1.20 14:00 23:55 Mon,Tue,Wed,Thu,Fri
192.168.1.20 7:00 23:55 Sat,Sun
192.168.1.0/24 9:35 18:20 all
32
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
10.3.13 portf.cfg
Nie można udostępniać tego samego portu dla różnych klientów w sieci! Gdy wpis dotyczy
łącza WAN2, należy w 6 kolumnie wpisać wartość 2 lub WAN2. Analogicznie dla pozostałych łącz WAN.
Chcąc przekierować zakres portów, należy w 2 kolumnie rozdzielić zakres tradycyjnie dwukropkiem,
a w 4 kolumnie ten sam zakres powinien zostać rozdzielony znakiem minus (patrz przykład poniżej).
Format wpisu:
PROTOKOL ZEW_PORT LOKALNY_IP PORT IP_KLIENTA_WAN (WAN2) (LAN_DEV:IP)
Przykład:
tcp 6080 192.168.1.60 80 all WAN1 eth0:192.168.1.1
tcp 6081 192.168.1.61 80 all
udp 4443 192.168.1.43 4443 81.12.34.56
udp 5000:5100 192.168.1.51 5000-5100 all
10.3.14 proxy.cfg
Plik konfiguracji przekierowania klientów na serwer proxy. Plik czytany jest przez oprogramowanie,
gdy określona została zmienna PROXY_SERV pliku main.cfg w grupie "Ustawienia przekierowań". 3 elementy
(IP klienta, IP serwera proxy oraz jego port) rozdzielane spacją.
Format wpisu:
IP IP_SERWERA PORT
Przykład:
192.168.1.0/24 192.168.1.1 3128
10.3.15 racl.cfg
33
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
10.3.16 addcmd.cfg
Plik może zawierać konkretne polecenia, komendy konsoli Linuksa, które zostaną wykonane
bezpośrednio po restarcie ustawień Firewall & QoS. Umożliwia np. dodawanie własnych reguł iptables, tras
routingu, czy też wykonywanie własnych, dodatkowych skryptów, czy restartu innych usług bezpośrednio po
restarcie ustawień FiQs. Opcja dla zaawansowanych.
10.3.17 grupy.cfg
Plik edytowany jest z poziomu panelu administracyjnego poprzez moduł Grupy, limity i
taryfy prędkości. Nie zalecamy edycji z poziomu konsoli. Zawiera listę zdefiniowanych grup. Z poziomu
panelu można utworzyć dowolną ilość grup o dowolnych nazwach - wg potrzeb. Może to być własny podział
wg dowolnego kryterium (np. klienci wifi i ''po kablu'', klienci 5GHz, klienci z danej ulicy, podsieci, podłączeni
do danego AP, firmy i osoby pryw., zalegający w opłatach itd itp...). Sam zdecyduj, jaki podział i jakie grupy
będą dla Ciebie przydatne. Danego klienta można przypisać z poziomu panelu do maksymalnie 5 grup
jednocześnie.
10.3.18 lan_list.cfg
Plik jest czytany, gdy w zmiennej LAN_LIST main.cfg wpisano: file lub lan_list.cfg (uwaga - zmienna
LAN_LIST jest nadpisywana przez intrux-netset). Zawiera listę sieci lokalnych LAN działających i mających
dostęp do routera. Format wpisu: interfejs-adres/sieci (np. eth0-192.168.1.0/24). Elementy rozdzielone
minusem. Każda sieć musi być wpisana w kolejnym wierszu pliku. Rozwiązanie zalecane, gdy posiadasz
większą ilość adresów, interfejsów sieci LAN (gdy dopisane do zmiennej LAN_LIST stają się nieczytelne ze
względu na jej długą zawartość). Kreator intrux-netset, gdy dodajemy alias na karcie LAN, domyślnie stosuje
ta formę określania dostępu sieci LAN (czyli właśnie poprzez plik lan_list.cfg, do którego dopisywane są
adresacje LAN).
Format wpisu (jak w samej zmiennej LAN_LIST main.cfg, tylko każda sieć w nowym wierszu):
INTERFEJS_LAN-SIEC
Przykład:
eth0-192.168.1.0/24
ppp+-10.10.10.0/24
10.3.19 snat.cfg
Plik snat.cfg jest czytany, gdy zmienną NAT_ON w main.cfg ustawiono na: file. Określa reguły SNAT
dla sieci lub klientów - standardowy NAT dla zapewnienia dostępu klasy prywatnej do Internetu.
Decydujesz, z jakim adresem interfejsu WAN klient będzie funkcjonował w Internecie. 3 elementy
rozdzielamy spacją - adres klienta lub sieci lokalnej, interfejs WAN oraz adres IP interfejsu WAN. Przykłady:
"192.168.1.25 eth1 83.12.34.56" lub "192.168.1.0/24 eth1 8.12.34.57". Każdy wpis w kolejnym wierszu
pliku. Rozwiązanie zalecane w celu optymalizacji i zmniejszenia ilości reguł w większych sieciach. Umożliwia
również szybkie, dowolne ustawienie z jakim adresem IP wychodzi dana podsieć, czy też klient. Pamiętaj,
iż dany adres IP interfejsu WAN (podawany w ostatniej kolumnie pliku snat.cfg) musi być na
nim uruchomiony! Sprawdź to poleceniem: ip a. W razie potrzeby edytuj więc uprzednio
/etc/sysconfig/network-scripts/alias-eth1 (lub alias-eth2 dla interfejsu WAN2), by uruchomić na danym
interfejsie WAN kolejne IP. W plikach alias-ethX dopisujemy kolejne ip wraz z prefiksem w nowym wierszu,
np.:
81.23.45.67/28
81.23.45.68/28
Po dokonaniu zmian - pamiętaj o restarcie interfejsów sieciowych i ustawień FiQs! Wykonaj:
/etc/intrux/restart-net
Format wpisu w snat.cfg:
34
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
10.3.20 goodhosts.cfg
Plik goodhosts.cfg jest czytany, gdy w zmiennej GOODHOSTS w main.cfg wpisano słowo: file lub goodhosts.cfg.
W pliku tym można określić adresy hostów lub sieci, do których dostęp będzie możliwy zawsze (mimo ustawionych
blokad i przekierowań na powiadomienia dla klientów sieci). Każdy wpis (adres IP hosta lub sieci, bądź domena) w
kolejnym wierszu pliku. Uwaga - stosowanie nazw domenowych może znacznie wydłużyć przeładowanie ustawień
(iptables musi zamienić nazwę na adres IP przed dodaniem reguły).
10.3.21 precmd.cfg
Plik może zawierać konkretne polecenia, komendy konsoli Linuksa, które zostaną wykonane bezpośrednio przed
restartem ustawień Firewall & QoS. Umożliwia m.in. dodawanie własnych reguł iptables, czy też wykonywanie restartu
innych usług bezpośrednio przed restartem ustawień FiQs. Opcja dla zaawansowanych.
Jak już zapewne wiesz, by włączyć autoryzację użytkowników poprzez przeglądarkę www, należy
włączyć zmienną RACL (grupa ''Autoryzacja RACL'' w pliku main.cfg). Zmienna dostępna jest z poziomu
panelu www w module Ustawienia Firewall i QoS.
Gdy zmienną RACL_MODE ustawiono na ''return'', autoryzacja www dotyczy tylko klientów, dla
których wybrano taką metodę autoryzacji. Można wtedy stosować wymóg autoryzacji tylko dla części
klientów. Gdy jednak wartość tej zmiennej ustawiona jest na ''deny'' - autoryzacja obowiązuje bez wyjątku
wszystkich klientów w sieci LAN i bezwzględnie każdy z klientów w client.cfg musi mieć wybraną tę metodę
autoryzacji (oraz wpisany login i hasło).
W zmiennej RACL_LOGIN_ADDR określa się adres, na który zostaną przekierowani przy pomocy
DNAT autoryzowani klienci. Domyślnie jest to adres lokalnego serwera z VirtualHostem na porcie 399, gdzie
z kolei znajduje się strona zawierająca wpis redirect (czyli przekierowująca) na VirtualHost działający w
trybie szyfrowanym (SSL), na porcie 400 (strona z właściwym formularzem logowania). Zazwyczaj nie są
wymagane żadne zmiany domyślnego wpisu w tej zmiennej. Jeśli jednak nie chcesz korzystać z SSL (lub gdy
niektórzy użytkownicy sieci nie potrafią zaakceptować prywatnego certyfikatu m.in. przez irytujące
ostrzeżenia nadgorliwych przeglądarek www), możesz wybrać port 401.
Po stronie klienta i jego przeglądarki www nie są wymagane żadne dodatkowe zabiegi (poza
ewentualnym zaakceptowaniem prywatnego certyfikatu SSL przed wypełnieniem pól formularza logowania).
Rolą administratora jest jedynie przydzielenie i przekazanie klientowi informacji o jego loginie i haśle - nie
trzeba nic więcej konfigurować (jak ma to miejsce w przypadku połączeń PPPoE).
35
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
/usr/intrux/bin/intrux-racl-chk uruchamianego (bądź nie) cyklicznie z cron-a co zadaną ilość minut (zgodnie z
wpisem w zmiennej RACL_CHK_TIME).
Podczas dokonywania zmian w ustawieniach konfiguracji, bądź w edycji klientów z poziomu panelu
administracyjnego www - wszystkie przyznane aktualnie uprawnienia dostępu dla autoryzowanych klientów
nie będą po każdorazowym restarcie oprogramowania wymagać ponownego potwierdzania (czyli
konieczności ponownego logowania klienta), gdyż restart jest wykonywany z jednoczesnym włączeniem
funkcji uprzedniego sprawdzenia i zachowania już przyznanych uprawnień (./rc.fiqs restart soft).
Pamiętaj, iż wykonując restart ustawień z poziomu konsoli bez użycia dodatkowego parametru soft -
uprawnienia są resetowane (klient będzie musiał ponownie się zalogować).
Uwaga! Po kilkukrotnej próbie logowania z użyciem błędnego loginu lub hasła - dostęp do strony
logowania dla IP danego klienta podejmującego nieudaną próbę zostanie trwale zablokowany. Stosując więc
tą metodę autoryzacji należy często i regularnie zaglądać do katalogu /usr/intrux/www/vhosts/racl oraz
racl_ssl i przeglądać każdy znaleziony plik o nazwie .log_{TU.ADRES.IP.KLIENTA}. Zawiera on cenne
informacje. Jeśli dany klient rzeczywiście kilka razy omyłkowo wpisał błędną wartość podczas logowania - w
celu usunięcia blokady należy usunąć stosowny plik .log_{TU.ADRES.IP.KLIENTA}.
Login i hasło klienta może składać się wyłącznie z małych i dużych liter (bez polskich ''ogonków''),
cyfr oraz znaków _ (podkreślenia), - (minusa), . (kropki) oraz @ (''małpy''). Tylko takich znaków można
używać podczas ustalania loginu i hasła dla klienta oraz w oknach formularza podczas logowania. Długość
loginu nie może składać się z więcej niż 30 znaków. Takie samo ograniczenie dotyczy długości hasła.
Wygląd strony logowania zaawansowany administrator może zmienić i dostosować, edytując zgodnie
z zasadami języka HTML, PHP, CSS. Właściwy plik index.php dostępny jest w ww. katalogu
/usr/intrux/www/vhosts/racl i racl_ssl. Jak nietrudno się domyślić, katalog racl to strona logowania bez SSL,
działająca na porcie 401, a katalog racl_ssl zawiera stronę dostępną na porcie 400 (https).
Jeśli autoryzacja RACL nie jest włączona, a do pliku racl.cfg dodawane są nowe aktywne wpisy, to
po restarcie oprogramowania może pojawić się w logu panelu informacja o braku pliku stanu dla danego
klienta - należy ją oczywiście zignorować, gdyż nie ma wpływu na działanie systemu.
36
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
Aby połączyć się z serwerem przy pomocy ftp w celu przeniesienia plików na swój komputer, należy
użyć loginu: admin oraz standardowego hasła: intrux14 (lub ustawionego samodzielnie przy pomocy
intrux-pass). Stosunkowo łatwo można również zarządzać zawartością katalogu domowego użytkownika
admin przez przeglądarkę www, wpisując np. adres ftp://admin:intrux14@192.168.177.14
Logi te pakowane są raz na dobę (lub częściej, jeśli tak wybrano) do katalogu /home/admin/logs/ i
za pośrednictwem połączenia FTP można przenosić je na swój lokalny komputer celem np. archiwizacji na
płycie DVD.
Znamy już sposób połączenia poprzez ftp z poprzedniego rozdziału. Dla przypomnienia - aby
połączyć się z serwerem przy pomocy ftp, należy użyć loginu: admin oraz standardowego hasła: intrux14
(lub innego, jeśli zostało zmienione przy pomocy intrux-pass). Łatwo można również zarządzać zawartością
katalogu domowego użytkownika admin przez przeglądarkę www, wpisując adres
ftp://admin:intrux14@192.168.177.14
Tak więc gdy chcemy, aby serwer www był dostępny od strony Internetu, należy dodać wpis do ww.
pliku o treści: tcp 80 all. Jeśli www ma być dostępne także poprzez szyfrowane połączenie SSL (wpisujemy
37
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
w przeglądarce adres zaczynający się od https://), stosowny wpis może wyglądać tak: tcp 80,443 all. Jak
zapewne się domyślasz, możesz zezwolić tylko i wyłącznie na połączenia szyfrowane, czyli: tcp 443 all.
Taki rodzaj dostępu jest zalecany, gdy planujesz administrować serwerem zdalnie, gdy łączysz się z nim i
używasz panelu administracyjnego właśnie od strony Internetu. Wpisujesz wtedy w przeglądarce adres
https://TU.IP.SERWERA.WAN/intrux-admin/). Zwróć uwagę na literkę s (https) w adresie. Zaakceptuj w
przeglądarce (lub dodaj do wyjątków) prywatny certyfikat SSL Twojego serwera.
Jeśli natomiast usługa FTP ma być dostępna od strony Internetu, stosowny wiersz wpisu do iserv.cfg
powinien wyglądać tak: tcp 20:21 all. Gdy dany port (usługa) ma być dostępny tylko z określonych
adresów IP, w 3 kolumnie ww. pliku nie stosujemy słowa all, a podajemy konkretne IP komputera, z którego
będziemy łączyć się z serwerem. Więcej informacji znajduje się w opisie pliku iserv.cfg w niniejszej instrukcji.
Użytkowników korzystających z tego rodzaju połączenia oprogramowanie INTRUX Firewall & QoS
dodaje automatycznie do pliku /etc/ppp/chap-secrets zgodnie z formatem wpisu:
Aby klienci mogli korzystać także z dowolnych usług serwera, w pliku main.cfg (moduł Ustawienia
Firewall i QoS w panelu www) dla zmiennej LAN_LIST powinien istnieć także (lub wyłącznie) wpis
zawierający interfejs ppp+ (np. ppp+-10.10.10.0/24). Oczywiście możesz także przy pomocy wpisów w pliku
lan.cfg (jeśli wcześniej ustawisz LIMIT_LAN=''yes'') ustawić bardzo szczegółowo dostęp na tym interfejsie
tylko do konkretnych usług i z konkretnych adresów IP.
Jeśli chciałbyś zwiększyć bezpieczeństwo, to dla klientów PPPoE warto stosować adresy IP, które nie
należą do klasy adresowej działającej w protokole TCP/IP na interfejsie LAN. Mogą to być zupełnie różne
adresy. Jeśli jeszcze dodatkowo w client.cfg (lub w panelu www w okienku ''Interfejs'') podamy dla takiego
klienta jako interfejs ppp+, spowoduje to działanie dostępu do Internetu tylko i wyłącznie po poprawnym
zalogowaniu przez PPPoE.
Uwaga! Proponowana konfiguracja serwera PPPoE w systemie INTRUX Firewall & QoS
wymaga użycia podczas logowania wyłącznie bezpiecznego protokołu MS-CHAP v2 przez
klienta. W większości zastosowań jest to właściwy wybór zapewniający profesjonalną, bezpieczną
autoryzację.
Jednak starsze routery sprzętowe mogą wymagać CHAP. Edytuj wtedy ww. pliki w katalogu
/etc/ppp/ zakomentowując lub usuwając stosowne wiersze typu refuse-* w pliku pppoe-server-options oraz
wiersze -chap, -mschap (lub zamieniając je na +chap, +mschap) w pliku options. Po dokonaniu zmian,
wydaj polecenie: service pppoe-server restart
Pamiętaj, iż używając PPPoE w sieciach WLAN, musisz zadbać o dobrą jakość sygnału radiowego do
klienta! Ponadto zalecane jest, aby na komputerze łączącym się przy pomocy PPPoE, został wyłączony
protokół TCP/IP na karcie sieciowej.
38
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
Jeśli nie korzystasz z PPPoE i usługa serwera PPPoE jest zbędna w Twojej sieci - wyłącz ją
poleceniem: chkconfig pppoe-server off oraz service pppoe-server stop.
Domyślnym interfejsem serwera PPPoE na routerze jest LAN (eth0). Jeśli wymagana jest zmiana,
należy edytować bezpośrednio plik startowy demona: /etc/init.d/pppoe-server i odpowiednio zmienić lub
powielić wiersz w sekcji start(): daemon /sbin/$prog -I eth0 …
Przed włączeniem proxy przy pomocy poleceń: service squid start oraz chkconfig squid on
należy edytować plik /etc/squid/squid.conf oraz opcjonalne pliki powiązane w /etc/squid/. Ważne jest
dostosowanie konfiguracji serwera Squid do własnych potrzeb poprzez edycję parametrów ww. pliku. Ale
domyślne wartości również mogą być wystarczające i odpowiednie. Edycja jest jednak niezbędne, gdy
dodano więcej niż 1 adres (alias) po stronie LAN. Kreator intrux-netset już ustawił stosowne wartości
adresacji pierwszej sieci lokalnej w ''includowanych'' do squid.conf plikach squid.intrux.acl oraz IP serwerów
DNS w squid.intrux.dns.
Jeśli serwer Squid zostanie włączony, to aby przekierować wszystkich, bądź wybranych klientów sieci
LAN na serwer proxy, należy bezpośrednio w pliku main.cfg (lub łatwiej poprzez panel www w module
''Ustawienia Firewall i QoS'') włączyć zmienną PROXY_SERV (powinna zawierać wartość ''yes'' lub
''REDIRECT'') oraz wypisać klientów (bądź całą sieć LAN) w pliku proxy.cfg. Standardowo serwer proxy działa
na porcie 3128.
Domyślna konfiguracja QoS przy włączonym proxy może okazać się nieodpowiednia, gdyż ruch proxy
będzie obsługiwany wspólną kolejką usługową QOS_ROUTER. Takie rozwiązanie na ogół nie jest
odpowiednie dla większości sieci!
Pamiętaj! Wszystkie dostępne możliwości konfiguracji kolejkowania (WAN do IMQ, LAN do IMQ czy
też kolejki bezpośrednio na interfejsach fizycznych bez użycia IMQ) mają swoje zalety i wady. Użycie PPPoE
oraz Squid dodatkowo to komplikuje - stosowanie kilku usług i rozwiązań jednocześnie może wykluczać
użycie danego sposobu kolejkowania. Ważne jest poprawne ustawienie wszystkich parametrów w zależności
od charakteru danej sieci, ilości klientów i rodzaju ruchu sieciowego, który występuje najczęściej. Niestety -
zastosowanie proxy komplikuje działanie wielu różnych funkcjonalności systemu.
Należy także pamiętać, iż pełne zalety serwera proxy można docenić dopiero po zastosowaniu
bardzo wydajnego sprzętu. Istotne jest, aby cache squid było na odrębnym, szybkim dysku twardym, a
serwer posiadał dużą ilość pamięci RAM.
39
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
Aby na interfejsie LAN (np. standardowym eth0), na tej samej karcie sieciowej uruchomić kolejne
adresy IP (wykonać tzw. alias), należy edytować plik /etc/sysconfig/network-scripts/alias-eth0 dopisując
adres wraz z prefixem, np.: 192.168.33.1/24 (każdy kolejny wpis w nowym wierszu pliku).
Po dokonaniu zmian należy wydać polecenia: service network restart oraz service named
restart lub ponownie uruchomić serwer (polecenie reboot).
Należy także pamiętać o dodaniu każdej sieci w zmiennej LAN_LIST pliku main.cfg (zmienna
dostępna z panelu w module Ustawienia Firewall i QoS - ''Podstawowe ustawienia sieci''). Przykład wpisu:
LAN_LIST=''eth0-192.168.1.0/24 eth3-192.168.2.0/24 eth0-10.10.10.0/24'' lub gdy LAN_LIST zawiera słowo
file czy też lan_list.cfg - dodanie kolejnych wierszy sieci do pliku lan_list.cfg.
Gdyby dla kolejnej sieci miała także działać usługa dhcpd - należy przebudować odpowiednio plik
/etc/intrux/def/dhcpd.conf lub któryś z powiązanych, ''includowanych'' *.sub i *.dns.
Kreator intrux-netset pytając o kolejne aliasy dokonuje zmian w kilku odpowiednich plikach
ustawiając także sieci dla DHCP w ww. plikach konfiguracyjnych. Warto więc korzystać z tego narzędzia, by
mieć pewność poprawnej konfiguracji tych podstawowych parametrów dla nowej adresacji.
Jeśli serwer DHCP ma działać także na innym interfejsie poza eth0 - zmień odpowiednio
wpis w pliku /etc/sysconfig/dhcpd (standardowo zmienna DHCPDARGS="eth0"). Dopisz nowy
interfejs, np. DHCPDARGS="eth0 eth3". Następnie wykonaj: service dhcpd restart.
Jeśli jest taka potrzeba, to aliasy IP można także uruchamiać na interfejsach WAN. Dla
przekierowanych IP w pliku ipf.cfg aliasy dodawane są automatycznie. Można jednak zdecydować inaczej i
wyłączyć automat poprzez ustawienie w main.cfg zmiennej IPF_ALIAS_ON=''no'' zamiast ''yes''.
W przypadku chęci uruchomienia interfejsu VLAN należy utworzyć plik na bazie pliku
/etc/sysconfig/interfaces/ifcfg-eth0 lecz o nazwie np. ifcfg-eth0.20 (w tym samym katalogu) z odpowiednią
zawartością (czyli zmienna DEVICE="eth0.20") i oczywiście z ustalonym adresem w zmiennej IPADDR. Czyli
jako root z konsoli wykonujemy polecenia:
cd /etc/sysconfig/interfaces
cp ifcfg-eth0 ifcfg-eth0.20
mcedit ifcfg-eth0.20
Edycja zmiennych DEVICE i IPADDR, dopisanie nowego wiersza u dołu o treści:
VLAN=yes
zapisanie zmian, wyjście z edytora, a następnie restart:
service network restart (lub lepiej: /etc/intrux/restart-net)
Po czym już poleceniem ifconfig lub ip a możemy zobaczyć podniesiony interfejs vlan eth0.20
Należy także pamiętać, by do zmiennej LAN_LIST w /etc/intrux/main.cfg (lub do pliku lan_list.cfg – zależnie,
co jest używane) dodać tą nową sieć.
40
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
Usługi instalowane standardowo z pakietów dystrybucji można ''włączyć do autostartu'' przy pomocy
chkconfig, np. chkconfig mysqld on. Aby włączyć daną usługę, która obecnie nie jest uruchomiona, należy
użyć polecenia service, np. service squid start, a restart danej usługi wykonujemy z oczywistym
parametrem restart, np. service smb restart.
Po włączeniu serwera MySQL (service mysqld start oraz chkconfig mysqld on) można
zarządzać bazą danych poprzez panel phpMyAdmin dostępny pod adresem
http://192.168.177.14/myadmin/ (login: root, hasło: intrux14). Tradycyjnie już - gdy IP serwera
zostało zmienione - ww. adres będzie odpowiednio różny w części przed /myadmin/.
Uwaga! Znany Ci już dobrze kreator zmiany haseł (intrux-pass) nie pyta i nie zmienia
hasła dla mysql. Należy to zrobić z poziomu ww. panelu phpMyAdmin.
By uruchomić Zabbix, należy wydać polecenia: service zabbix-server start oraz chkconfig
zabbix-server on. Panel administracyjny Zabbix dostępny jest pod adresem
http://TU.IP.TWOJEGO.SERWERA/zabbix/ (login: admin, hasło: intrux14). Po zalogowaniu możesz
utworzyć odpowiednie grafiki zgodnie z potrzebami. Więcej informacji na temat konfiguracji tego obszernego
i skomplikowanego narzędzia jakim jest Zabbixa znajdziesz na pewno w zasobach internetu i w oficjalnej
dokumentacji serwisu.
Dodatkowe statystyki sieci Bandwidthd również tak się uruchamia: service bandwidthd start. Plik
konfiguracyjny tej usługi, gdzie określa się m.in. adresacje monitorowanych podsieci to
/etc/bandwidthd.conf. Po zmianach należy wydać polecenie restartu usługi: service bandwidthd restart
Statystyki dostępne będą pod adresem: http://TU.IP.TWOJEGO.SERWERA/bandwidthd/
41
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
podczas pierwszego uruchomienia panelu stosowny kreator pozwoli ustawić wymagane parametry
logowania. Gdyby kontroler miał być dostępny od strony WAN, pamiętaj o dopisaniu w iserv.cfg stosownego
wiersza dla portu tcp 8443.
Panel PHPVirtualBox do zarządzania maszynami wirtualnymi VirtualBox przez stronę www wymaga
uprzednio uruchomienia 2 usług z poziomu konsoli: service vboxdrv start, service vboxweb-service start,
chkconfig vboxdrv on, chkconfig vboxweb-service on. Dane do zalogowania w panelu: admin, hasło: admin.
Dokumentacja znajduje się na www.virtualbox.org/manual/
Oczywiście nasz zestaw oprogramowania INTRUX Firewall & QoS służy do określonych celów i
uruchamianie innych, dodatkowych usług na routerze powinno być świadome i uzasadnione.
Jest to też kwestia wyłącznie samodzielnych działań administratora - nie oferujemy wsparcia dla
konfiguracji innych usług poza oferowanymi przez nas funkcjami oprogramowania FiQs (Firewall & QoS) i
usługami serwera ściśle powiązanymi, czy bezpośrednio zależnymi.
Do doraźnej obserwacji natężenia ruchu sieciowego polecamy znane konsolowe narzędzia: iftop
oraz iptraf. Iftop można uruchomić na konkretnym interfejsie (domyślnie działa na eth0) i z dodatkowymi
parametrami, np. iftop -PNn -i eth1 (aby dowiedzieć się więcej, wydaj polecenie iftop -h). Najczęściej
stosowanym będzie: iftop -i eth0 (a po uruchomieniu można wcisnąć po sobie literki s oraz t, by lista stała
się czytelniejsza).
Bieżące obciążenie serwera można wyświetlić przy użyciu programu htop, a ogólne obciążenie
interfejsów można podejrzeć przy pomocy nload (klawiszem strzałki w prawo przełączymy kolejną stronę
interfejsów), nload -m wyświetli ruch wszystkich interfejsów na jednej stronie.
Aktualne wykorzystanie interfejsów sieciowych można obserwować także przy użyciu: bwm-ng
Wydając komendę dmesg możemy zapoznać się z ostatnimi wpisami zanotowanymi przez syslog.
Aby przewinąć ekran w górę, należy wcisnąć klawisz Shift i trzymając wciśnięty, naciskać klawisz PgUp. Te
same wpisy możemy także odczytać w tradycyjny sposób - znajdują się w plikach w katalogu /var/log/.
Przy pomocy conntrack -L wyświetlimy zawartość tablicy conntrack (czyli aktualnie śledzone i
utrzymywane przez router/serwer połączenia). Statystyki conntrack wyświetlisz poleceniem: conntrack -S
lub -C. Uwaga! Poleceniem conntrack -F usuniemy wszystkie istniejące sesje z tablicy, zrywając tym
samym wszystkie aktualne połączenia klientom! Nie zalecamy nieuzasadnionego użycia tej metody!
42
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
Program arp-scan szybko wyświetli aktualnie aktywne IP na danym interfejsie, uruchom np.:
arp-scan -I eth0 -l
Otwarte porty serwera (działające usługi) można wyświetlić przy pomocy netstat -ant (dla
protokołu TCP) oraz netstat -anu (dla UDP). Lub wszystko, np.: natstat -antup
Możesz zajrzeć również do katalogu /usr/intrux/misc/ - znajdziesz tam kilka, być może Tobie
przydatnych skryptów.
Uwaga! Zmiana kart sieciowych zazwyczaj spowoduje konieczność ponownej rejestracji routera.
Prawidłowy sposób postępowania w przypadku wymiany karty lub kart sieciowych:
4. Uruchom ponownie router. Uwaga! Karty sieciowe mogą zostać wykryte i ustawione przez
udev w innej kolejności, niż poprzednio! Następnie zaloguj się jako root i wydaj polecenie:
/etc/intrux/rc.fiqs start lub /etc/intrux/start
5. Pamiętaj! Aby zaakceptować nowe karty i zatwierdzić ich układ (by podczas kolejnego uruchomienia
nie zostały ustawione w innej kolejności) - wydaj polecenie: /usr/intrux/sbin/intrux-udevinfo-net lub jeszcze
prościej, tylko: intrux-udev
Teraz możliwa jest także opcjonalna zmiana kolejności wykrytych kart sieciowych poprzez edycję
pliku /etc/udev/rules.d/69-net.rules. Wszak możesz chcieć, mimo iż system wykrył karty w innej kolejności,
przypisać określoną kartę do LAN, a inną do WAN - Ty decydujesz! Pamiętaj, iż w ww. pliku podczas edycji
zmienia się tylko nazwę interfejsu w ostatniej części wiersza wpisu danej karty, np. z ''eth1'' na ''eth0'' i
odwrotnie. Udev wykrywa MAC karty i do niego przypisuje nazwę interfejsu.
Po zmianach tego typu oczywiście należy wykonać reboot. Zmiany takie skutkują także
koniecznością ponownej rejestracji oprogramowania.
Jeśli system przywrócił wersję startową i należy ponownie zarejestrować router - uruchom go raz
jeszcze (wykonaj reboot). Jeśli wszystko jest w porządku po kolejnym uruchomieniu - zarejestruj router
ponownie poprzez panel administracyjny - kliknij ikonkę Rejestracja i aktualizacja . Dodaj stosowny
komentarz w formularzu rejestracji - opisz krótko powód kolejnej rejestracji, by ułatwić nam
poprawną weryfikację takiego zgłoszenia.
43
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
Aby nasz router z oprogramowaniem FiQs przyjmował i reagował na dane wysyłane z programu
PYXIS - należy jednorazowo jako root z konsoli systemu wydać polecenie pyxis. Uruchomimy wtedy
specjalnego demona oraz ustalimy hasło dla użytkownika pyxis. Domyślnie po instalacji demon już
działa, a domyślne hasło dla użytkownika FTP pyxis, to: intrux14 (mogłeś już oczywiście zmienić przy
pomocy kreatora zmiany wszystkich haseł: intrux-pass).
Następnie stosowne dane wpisujemy w zakładce konfiguracji programu PYXIS (menu Opcje-
>Konfiguracja->zakładka INTRUX). Więcej informacji znajdziesz w dokumentacji programu. Dane z
programu wysyłane są przy użyciu protokołu FTP (na routerze z FiQs serwer ProFTPD jest już domyślnie
uruchomiony i działa).
Od strony LAN nie powinno być żadnych problemów z połączeniem. Od strony WAN, czyli gdy chcesz
łączyć się i wysyłać dane z programu PYXIS zdalnie od strony Internetu pamiętaj, być port 21 był
odblokowany w pliku iserv.cfg (wpis: tcp 20:21 all) a zmienna TCPSYN_LIMIT w main.cfg miała wysoką
wartość limitu, bądź najlepiej była pusta.
Program PYXIS od wersji 4 korzysta z baz danych SQL. Serwer MySQL w systemie FiQs w wersji 14
posiada już właściwie założoną bazę danych dla programu i można z niej oczywiście skorzystać, jeśli nie nie
chcemy korzystać z bazy uruchomionej na lokalnym komputerze z programem. Nazwa bazy danych to
PYXIS4SQL, użytkownik również: PYXIS4SQL, a hasło domyślne: intrux14
Jak wspomniano już wcześniej - samo uruchomienie serwera baz danych MySQL wymaga wydania
jako root z konsoli poleceń: service mysqld start oraz chkconfig mysqld on. Uwaga - dostęp do bazy
danych od strony WAN wymaga udostępnienia portu tcp 3306 w pliku iserv.cfg (używaj z rozwagą - najlepiej
ogranicz dostęp tylko z konkretnego adresu IP).
Oczywiście jeśli łączymy się z serwerem od strony WAN - należy tradycyjnie udostępnić port 80 lub
443 (gdy wybrano https, czyli SSL w konfiguracji Intrux Monitor) w pliku iserv.cfg.
44
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
Następny krok to pobranie aktualnej blacklisty dansguardian (ta czynność może potrwać dłuższą chwilę).
W tym celu wydaj polecenie: service dansguardian stop
Następnie: /etc/dansguardian/update-blacklists.sh
45
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
A gdy program skończy pobierać bazę, możesz już uruchomić dansguardian: service dansguardian start
Każda treść www może być filtrowana pod z użyciem wielu kryteriów. Szczegóły wykluczeń i blokad
znajdują się w plikach konfiguracyjnych w katalogu /etc/dansguardian/lists/.
Zgodnie z ww. wpisami klient z IP z końcówką .12 jest przekierowany na filtr treści. Nie ma
ustalonego indywidualnego hasła. Klient .13 ma własne hasło, zaś klient .14 jest przekierowany tylko na
proxy (bez filtrowania treści).
Jeśli zaś chodzi o hasło globalne, to ustalone zostało ono w zmiennej $haslo w pliku
/home/httpd/html/.dg/dg.php. Edytuj zawartość zmiennej (domyślnie wpisano tam: DGtajnehaslo100),
by zmienić w razie potrzeby (zgodnie z zasadami języka PHP). W pliku dg.php występuje jeszcze poniżej
zmienna $haslo_dg, której nie należy zmieniać (to hasło do komunikacji pomiędzy skryptem php, a
dansguardianem).
Uwaga! Jeśli adres IP interfejsu LAN serwera (brama klientów) ustawiono na różny od domyślnego
192.168.1.1, aby prawidłowo działała funkcja hasła odblokowującego w formularzu, należy odpowiednio
zmienić wpis w pliku /etc/dansguardian/@template.html, w wierszu nr 67 jest:
<form action=''http://192.168.1.1/.dg/... - zmień tutaj tylko IP na właściwe!
Uwaga - dasnguardian może często nadgorliwie blokować dostęp do stron, w których znalazł
dostateczną ilość słów zakazanych, gdy jednak tak naprawdę dana strona nie powinna być blokowana.
Sytuacja często może dotyczyć naszych rodzimych, ''popularnych'' portali informacyjnych.
Aby trwale odblokować dany adres www (by dostęp do danej domeny zawsze był możliwy bez
przeszkód), należy go dopisać do pliku /etc/dansguardian/lists/exceptionsitelist (domyślnie na dole
pliku znajduje się już adres: windowsupdate.microsoft.com. Jeśli np. strona onet.pl jest blokowana, dopisz
na dole ww. pliku kolejny wiersz o treści: onet.pl (bez http:// na początku!).
W sytuacji odwrotnej (czyli w sytuacji, gdy chcemy zawsze blokować daną stronę www) należy
dopisać jej adres w pliku /etc/dansguardian/lists/bannedsitelist. Zasady jak w wyżej opisanym pliku
exceptionsitelist.
46
Copyright © 2019 by INTRUX - All Rights Reserved
INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
nagłówków mime identyfikujących typ danego pliku (tutaj znów występuje np. archiwum zip, czyli
dansguardian może np. zablokować zapis plików zip nawet gdyby miały zmienione rozszerzenie!).
Dansguardian ma naprawdę duże możliwości konfiguracji i z pewnością warto również przyjrzeć się
zawartości, opisom i przykładom w pozostałych plikach w katalogu /etc/dansguardian/lists/.
W rozdziale na temat proxy (pkt 15) napisano, iż pełne zalety serwera proxy można docenić dopiero
po zastosowaniu bardzo wydajnego sprzętu. Tutaj używane są 2 ''zasobożerne'' programy (czyli każda treść
www ''przechodzi'' przez squid+dansguardian), więc wymaga to zarówno dobrego, wydajnego sprzętu,
właściwej konfiguracji, jak i stosownej wiedzy i doświadczenia administratora. Nie należy oczekiwać wysokiej
wydajności, jeśli kontrola treści miałaby dotyczyć wielu klientów i wielu jednoczesnych połączeń.
25. Na zakończenie
Najłatwiej jest wtedy skorzystać z modułu Pomoc techniczna i serwis e-mail w panelu
administracyjnym. Wysyłane tą drogą informacje dają nam najlepszy obraz aktualnych ustawień, są
traktowane z wysokim priorytetem i zazwyczaj stosunkowo szybko możemy pomóc w rozwiązaniu
ewentualnych problemów. Przed wysłaniem pytania - sprawdź proszę jednak najpierw, czy odpowiedzi na
nie nie ma w tej instrukcji.
Grzegorz Lewandowski
47
Copyright © 2019 by INTRUX - All Rights Reserved