FiQs14 0

INTRUX Firewall & QoS v 14.
0/64
INSTRUKCJA INSTALACJI I KONFIGURACJI

INTRUX Firewall & QoS v 14.0 - INSTRUKCJA INSTALACJI I KONFIGURACJI
Spis treści
1. Wstęp.................................................................................................................................................4
2. Szybki start wersji 14.0........................................................................................................................4
3. Instalacja systemu z obrazu dysku........................................................................................................5
3.1 Przed uruchomieniem płyty............................................................................................................5
3.2 Instalacja systemu - nagrywanie dysku...........................................................................................6
4. Pierwsze uruchomienie.........................................................................................................................7
5. Przydatne informacje dla początkujących...............................................................................................7
6. Gdy dysk jest większy niż 64 GB...........................................................................................................7
7. Uruchomienie i konfiguracja interfejsów sieciowych...............................................................................8
8. Panel administracyjny..........................................................................................................................9
8.1 Wybrane moduły panelu................................................................................................................9
8.1.1 Ustawienia Firewall i QoS.......................................................................................................9
8.1.2 Klienci, urządzenia i powiadomienia.......................................................................................10
8.1.3 Wspólna taryfa prędkości dla kilku klientów...........................................................................11
8.1.4 Backup - kopia konfiguracji...................................................................................................11
8.2 Pozostałe informacje i dodatkowe funkcje panelu..........................................................................11
9. Ograniczenia wersji startowej i konieczność rejestracji.........................................................................11
10. Konfiguracja ustawień INTRUX Firewall i QoS.....................................................................................13
10.1 Opis zmiennych w głównym pliku main.cfg..................................................................................13
10.1.1 Podstawowe ustawienia sieci..............................................................................................13
10.1.2 Podstawowe ustawienia QoS...............................................................................................14
10.1.3 Limitowanie i blokada ruchu P2P.........................................................................................16
10.1.4 Ustawienia zabezpieczeń.....................................................................................................16
10.1.5 Logowanie ruchu i statystyki sieci........................................................................................18
10.1.6 Ustawienia przekierowań....................................................................................................19
10.1.7 Autoryzacja RACL...............................................................................................................19
10.1.8 Zaawansowane ustawienia QoS..........................................................................................20
10.1.9 Zaawansowane ustawienia limitowania ruchu.......................................................................21
10.1.10 Pozostałe ustawienia........................................................................................................22
10.2 Konfiguracja interfejsów WAN (dla wersji 2xWAN i 4xWAN)..........................................................24
10.2.1 Podstawowe informacje i wstępna konfiguracja....................................................................24
10.2.2 Opis zmiennych pliku multiwan.cfg......................................................................................25
10.2.3 Opis zmiennych w plikach wan3.cfg i wan4.cfg (dla wersji 4xWAN).......................................27
10.3 Pozostałe pliki konfiguracyjne.....................................................................................................28
10.3.1 band.cfg............................................................................................................................28
10.3.2 client.cfg............................................................................................................................29
10.3.3 climit.cfg............................................................................................................................30
2
Copyright © 2019 by INTRUX - All Rights Reserved
10.3.4 ipf.cfg................................................................................................................................30
10.3.5 iserv.cfg............................................................................................................................30
10.3.6 lan.cfg...............................................................................................................................31
10.3.7 mserv.cfg..........................................................................................................................31
10.3.8 noport.cfg..........................................................................................................................31
10.3.9 nostring.cfg.......................................................................................................................32
10.3.10 notime.cfg.......................................................................................................................32
10.3.11 oplaty.cfg.........................................................................................................................32
10.3.12 p2pt.cfg...........................................................................................................................32
10.3.13 portf.cfg..........................................................................................................................33
10.3.14 proxy.cfg.........................................................................................................................33
10.3.15 racl.cfg............................................................................................................................33
10.3.16 addcmd.cfg......................................................................................................................34
10.3.17 grupy.cfg.........................................................................................................................34
10.3.18 lan_list.cfg.......................................................................................................................34
10.3.19 snat.cfg...........................................................................................................................34
10.3.20 goodhosts.cfg..................................................................................................................35
10.3.21 precmd.cfg.......................................................................................................................35
11. Autoryzacja użytkowników przez formularz www................................................................................35
11.1 Włączenie autoryzacji RACL........................................................................................................35
11.2 Kontrola aktywności, zabezpieczenia i ograniczenia......................................................................35
11.3 Pozostałe informacje..................................................................................................................36
12. Backup konfiguracji..........................................................................................................................36
13. Zbieranie i archiwizacja logów ulogd..................................................................................................37
14. Własna strona www.........................................................................................................................37
15. Uruchomienie i konfiguracja PPPoE....................................................................................................38
16. Uruchomienie serwera proxy Squid....................................................................................................39
17. Kolejne interfejsy LAN, aliasy IP, interfejsy VLAN................................................................................40
18. Pozostałe usługi serwera..................................................................................................................41
19. Przydatne programy i polecenia.........................................................................................................42
20. Gdy wymieniasz kartę lub karty sieciowe...........................................................................................43
21. Współpraca z programem PYXIS.......................................................................................................44
22. Współpraca z programem „Intrux Monitor”........................................................................................44
23. Serwery OpenVPN oraz OpenVPN-ecc i współpraca z programem sToken Access Center.......................45
24. Kontrola treści, blokada niepożądanych stron www - Dansguardian.....................................................45
25. Na zakończenie................................................................................................................................47
3
1. Wstęp
Dziękujemy za wybór naszego rozwiązania podziału łącza. Mamy nadzieję, iż spełni ono Państwa
oczekiwania i dobrze sprawdzi się w środowisku sieci komputerowej, w której zostanie przez Państwa
wdrożone. Gorąco zachęcamy do uważnego zapoznania się z całą treścią niniejszej instrukcji przed
rozpoczęciem użytkowania systemu.
Choć wg. spisu treści dany temat może wydać się Państwu zbędny - prosimy o
przeczytanie mimo wszystko całości instrukcji. Niejednokrotnie konkretny temat zawiera też
cenną informację ogólną, która może okazać się przydatna podczas dostosowywania systemu
do własnych potrzeb lub często w późniejszej, bieżącej administracji.
Zdecydowanie zalecamy także dokładne zapoznanie się z opisem zmiennych konfiguracyjnych pliku
main.cfg (w panelu administracyjnym jest to moduł Ustawienia Firewall i QoS) oraz z opisem pozostałych
plików, aby wpływ zastosowanych przez Państwa ustawień i ich działanie były zrozumiałe. Tylko wtedy
można optymalnie dobrać właściwe parametry, w zależności od charakteru danej sieci, rodzaju
przeważającego ruchu oraz potrzeb i oczekiwań.
Dołożyliśmy wszelkich starań, aby niniejsza instrukcja była czytelna i zrozumiała, zakładając jednak,
iż czytelnik ma podstawową wiedzę na temat systemu Linux, posiada umiejętność edycji plików
konfiguracyjnych z poziomu konsoli systemu, potrafi sprawnie poruszać się po systemie plików, zna
podstawowe komendy, elementarnie zna również popularne programy obecne w systemie Linux, jak i
podstawy ich konfiguracji.
2. Szybki start wersji 14.0
Niniejszy rozdział to skrócona instrukcja ''krok po kroku'' dla stałych klientów naszej firmy, dla
niecierpliwych i zapracowanych, czyli... administratorów sieci. Jeśli więc masz już pewne doświadczenie,
bądź korzystałeś w przeszłości z naszych produktów, a sposób instalacji, wstępnej konfiguracji, jak i
późniejszej administracji nie jest już dla Ciebie nowością - wykonaj kolejno, krok po kroku niżej opisane
czynności.
1. Uruchom serwer z płyty DVD czy też Flash USB. Postępuj zgodnie z wyświetlonymi informacjami na
ekranie i nagraj system na dysk twardy (wielkości min. 60GB). Zazwyczaj dysk zostaje wykryty
jako /dev/sda i taki też będzie jego adres po uruchomieniu gotowego systemu.
2. Po uruchomieniu świeżo zainstalowanego systemu z dysku - wpisz prawidłowo nr nośnika (tylko

DUŻE LITERY i cyfry). Następnie zaloguj się do konsoli jako root (hasło: intrux14). Jeśli
pomyliłeś się wpisując nr nośnika - wydaj polecenie: intrux-wersja i wpisz go ponownie
prawidłowo. Skonfiguruj interfejsy sieciowe przy pomocy automatycznego kreatora intrux-netset.
Postępuj dokładnie wg. wyświetlonych informacji. W razie pomyłki - uruchom kreatora ponownie,
wpisując: intrux-netset. Należy go przejść zawsze w całości, bez przerywania. Możesz
także od razu zmienić wszystkie domyślne hasła intrux14 na własne. Również w późniejszym czasie
wydając polecenie: intrux-pass
3. Po konfiguracji zalecane jest wykonanie: reboot. Po restarcie i kolejnym zalogowaniu uruchom

intrux-pass (jeśli jeszcze nie zmieniłeś haseł). Ze względów bezpieczeństwa nie zaleca się
użytkować systemu z hasłami domyślnymi! Zalecana jest również zmiana adresu panelu
administracyjnego!
4. Podłącz serwer do sieci LAN, a na swoim komputerze klienckim ustaw IP z klasy adresowej, którą
ustawiłeś na interfejsie LAN serwera. Bramą i pierwszym serwerem DNS jest IP serwera. Uwaga!
4
Gdy będziesz logował się zdalnie na konsolę serwera poprzez SSH (np. przy użyciu programu PuTTY)
pamiętaj, iż serwer SSH w tej wersji działa domyślnie na nietypowym porcie 14014.
Oczywiście mogłeś już to zmienić podczas konfiguracji intrux-netset.
5. Jeśli Twój router posiada dostęp do internetu - zaloguj się na konsolę jako root i wydaj
polecenie: intrux-update (zostanie pobrana aktualizacja systemu, jeśli jest dostępna).
6. Zaloguj się do panelu administracyjnego przez przeglądarkę www z komputera klienckiego.

W tym celu wpisz adres: http://TU.IP.LOKALNE.SERWERA/intrux-admin/ - lub też odpowiednio
zmieniony uprzednio, np. http://192.168.177.14/Moj-Panel-2018/. Pamiętaj o ukośniku na końcu
adresu! Użyj loginu i hasła administratora ustawionego przez Ciebie wcześniej przy pomocy intrux-
pass.
Uwaga! Jeśli podczas logowania do panelu pomylisz się 3-krotnie - dostęp z Twojego IP
zostanie trwale zablokowany. Aby usunąć blokadę dostępu do panelu - musisz
zalogować się na konsolę jako root i usunąć plik
/usr/intrux/www/admin/.log_{TU.TWOJ.ADRES.IP}.
7. Jeśli nie przewidujesz już zmian sprzętowych dotyczących interfejsów sieciowych lub
innych elementów sprzętu - wykonaj rejestrację routera (usługa ta dostępna jest pod
pierwszą ikonką w menu panelu administracyjnego - Rejestracja i aktualizacja), by uzyskać pełną
funkcjonalność zakupionego oprogramowania.
8. Przejrzyj kolejno dostępne opcje w menu konfiguracyjnym i ustaw parametry zgodnie z potrzebami.
Wpisz parametry konta e-mail, ftp itd. w ustawieniach panelu. Konto e-mail wymagane jest do
działania kilku istotnych funkcji serwera. Zapoznaj się z wyskakującym opisem pomocy dla
niektórych zmiennych w konfiguracji panelu.
Dodaj klientów sieci, zatwierdź zmiany i sprawdź log restartu. Klientów możesz także
zaimportować poprzez załadowanie pliku backupu ustawień z poprzedniej wersji (od 7.0
do 12.0 - zostanie wtedy przyjęty tylko plik client.cfg). Plik backupu ustawień z poprzedniej wersji
nie powinien być zabezpieczony hasłem! Pamiętaj również przy tym, aby wcześniej nie definiować
hasła archiwum w ustawieniach konta ftp w konfiguracji panelu - możesz to uczynić, gdy import i
export ustawień będzie dotyczył aktualnej wersji.
Na koniec wykonaj backup (export) ustawień zapisując konfiguracje na swój dysk.
Pamiętaj, iż z wersji 7.0, 8.0, 9.0, 10.0, 11.0 lub 12.0 możesz stosunkowo bezpiecznie przenieść do
nowej wersji pliki *.cfg z katalogu /etc/intrux/ poza plikiem main.cfg i multiwan.cfg, których
nie wolno nadpisywać plikiem z innej wersji!
3. Instalacja systemu z obrazu dysku
3.1 Przed uruchomieniem płyty
W konfiguracji BIOS-u komputera przeznaczonego na serwer/router, napęd optyczny (czytnik bądź

nagrywarka płyt DVD) powinien być ustawiony jako pierwsze urządzenie, z którego komputer ma startować
(boot device). Często też można doraźnie wywołać tzw. ''boot menu'' odpowiednim klawiszem F (np. F11, F8
- zależnie od producenta - zgodnie z informacją wyświetlaną przez BIOS na ekranie podczas startu
komputera). System oczywiście można także zainstalować z nośnika Flash USB, jeśli dany serwer to
umożliwia.
Zalecane jest ustawienie prawidłowej daty i czasu systemowego w BIOS, choć później system w
pierwszej dobie działania sam zadba o synchronizację czasu i prawidłowe jego ustawienie na podstawie
informacji z serwera czasu w Internecie (zgodnie ze stosownym wpisem zadań w cronie).
5
Standardowo dysk twardy ATA (interfejs starszego typu, obecnie już rzadko spotykany) wielkości
min. 64 GB powinien być podłączony jako master na kanale primary (PRIMARY IDE, IDE1 itp. - zworka na
dysku ustawiona jako master bądź single). Jest to najczęściej stosowane, zazwyczaj zalecane, prawidłowe
ustawienie - dysk dostępny będzie w systemie Linux jako hda. Natomiast napęd optyczny podłącz na
osobnej taśmie jako secondary master (najbardziej popularne, prawidłowe ustawienie - napęd widoczny w
systemie Linux jako hdc).
Nie są wymagane żadne wcześniejsze zabiegi dotyczące dysku twardego - nie trzeba go formatować,
nie ma też konieczności usuwania wcześniejszej zawartości bootsektora, albowiem podczas procesu
nagrywania wszystkie obecne na dysku informacje zostaną nadpisane nową zawartością.
Dyski SATA w zależności od kontrolera będą widoczne dla systemu jako /dev/sda lub /dev/hda. Jeśli
nagrywasz dysk SCSI/SAS - on także powinien być podłączony jako pierwsze urządzenie na kontrolerze (i
powinien być dostępny jako /dev/sda).
Zastosowana konfiguracja domyślnego kernela systemu instalatora z płyty DVD, jak i nagranego
systemu sprawia, iż standardowe dyski ATA (/dev/hda) mogą być adresowane i dostępne jako /dev/sda. To
znaczne ułatwienie.
Wykorzystaliśmy również opcje etykiet (LABEL) podczas odwołań do partycji zarówno w konfiguracji
bootmanagera (bootloadera) GRUB, jak i w pliku /etc/fstab. To również znacznie ułatwia uruchomienie
systemu w nietypowych konfiguracjach sprzętowych.
Inne konfiguracje połączeń dysków, choć nie są zalecane, także są możliwe - podczas nagrywania
można dokładnie określić stosowne adresacje urządzeń.
Niektóre kontrolery RAID serwerów narzucają własny system zaawansowanej adresacji dysku (np.
/dev/cciss/c0d0 lub inne...). W takich sytuacjach należy pamiętać, aby podczas pierwszego uruchomienia już
nagranego systemu - dla wybranego kernela zmodyfikować wartość wpisu root= (o ile w menu grub nie ma
do wyboru właściwej adresacji). Modyfikacji wpisu możesz dokonać poprzez wciśnięcie litery a na
domyślnym kernelu i poprawienie wartości zmiennej root=/dev/... Po uruchomieniu zapisz swój wybór na
trwałe poprzez edycje pliku /boot/grub/grub.conf.
3.2 Instalacja systemu - nagrywanie dysku
Płyta z obrazem dysku jest płytą bootującą (bootowalną). Oznacza to, iż komputer powinien
wystartować (uruchomić się) z systemu operacyjnego umieszczonego na płycie, aby umożliwić wykonanie
procesu nagrywania. Zalecane jest, aby w komputerze na chwilę nagrywania dysku jedynie podłączonymi,
dostępnymi napędami był docelowy dysk twardy oraz źródłowy napęd optyczny z systemem.
Uruchom komputer umieszczając płytę DVD w napędzie. Gdy system live-linux uruchomi się, na
ekranie ujrzysz istotne informacje dotyczące wykrytego dysku oraz rozpoczęcia procesu nagrywania.
Zazwyczaj wystarczy po prostu wcisnąć dwukrotnie, czy też trzykrotnie Enter, by rozpocząć cały proces.
Jeśli Twój dysk nie zostanie wykryty - spróbuj zastosować inną konfigurację sprzętu (sprawdź
prawidłowość podłączenia dysku i napędu, konfigurację opcji typu sata mode w BIOSie, konfigurację
macierzy kontrolera raid...).
Obraz dysku na płycie dostarczony jest w formie skompresowanego pliku. Proces nagrywania trwa
zazwyczaj od kilku do kilkudziesięciu minut. Nagrywany dysk nie może być mniejszy niż 64 GB - nie należy
próbować nagrywać dysków o mniejszej pojemności! Podczas nagrywania system na bieżąco rozpakowuje
obraz dysku z pliku na płycie i nagrywa na dysk twardy tworząc kompletną strukturę wielkości ok. 64 GB.
Początkowo proces ten trwa szybko, jednak pod koniec nagrywania może przebiegać nieco wolniej.
Jeśli wystąpią jakiekolwiek błędy podczas uruchamiania systemu z płyty bądź podczas procesu
nagrywania - prawie zawsze będą wynikiem złej jakości czytnika DVD lub nieprawidłowo nagranej, czy też
złej jakości płyty DVD. Podczas nagrywania warto sprawdzić sumę kontrolną md5.
Po ukończeniu procesu nagrywania zastosuj się do informacji wyświetlonej na ekranie i zrestartuj

komputer (nie zapomnij o usunięciu płyty z napędu przed kolejnym uruchomieniem).
6
4. Pierwsze uruchomienie
Domyślny kernel (jądro), widoczny na wyświetlonej podczas startu listy wyboru (menu grub), w
większości przypadków prawidłowo obsłuży standardowy dysk twardy i pozostałe podzespoły serwera. Jeśli
więc system uruchomił się do końca - zazwyczaj nie będzie potrzeby jakichkolwiek zmian. Jeśli jednak tak się
nie stało i podczas pierwszego uruchomienia system zatrzymał się informując np. o braku partycji root - po
resecie komputera, podczas drugiej próby może być konieczna modyfikacja parametru root= w wierszu.
Modyfikacji wpisu możesz dokonać poprzez wciśnięcie litery a na wybranym z menu kernelu i poprawienie
wartości zmiennej root=/dev/... Po uruchomieniu zapisz swój wybór na trwałe poprzez edycję pliku
/boot/grub/grub.conf.
Zawsze po zapisaniu pliku grub.conf zmiany będą już obowiązywać (bootmanager grub, w
odróżnieniu od lilo, nie wymaga absolutnie żadnych dodatkowych zabiegów po zapisaniu swojego pliku
konfiguracyjnego).
5. Przydatne informacje dla początkujących

Do szybkiego, sprawnego poruszania się po systemie plików oraz do edycji plików konfiguracyjnych
najwygodniej jest użyć menadżera plików Mydnight Commander (mc). Po zalogowaniu na konsoli wpisz: mc
i wciśnij Enter. Aby edytować dany plik, należy po jego wybraniu wcisnąć klawisz F4, a po zakończeniu
edycji: F2 (aby zapisać wprowadzone zmiany). Wyjście: F10.
Wszystkie wpisy w plikach konfiguracyjnych poprzedzone znakiem # nie są brane po

uwagę podczas ich czytania przez oprogramowanie. Dzięki temu można w plikach
konfiguracyjnych umieszczać komentarze i opisy. Pamiętaj o tym! W plikach .cfg systemu
Firewall & QoS w ten właśnie sposób poprzedzonych jest wiele wierszy wpisów. Niektóre z nich
to pomocny komentarz, a kolejne to konkretne przykłady właściwych wpisów, które łatwo
można uaktywnić usuwając tylko początkowy znak #, po czym dostosować do własnych
potrzeb i zapisać.
6. Gdy dysk jest większy niż 64 GB
Jeśli dysk jest większy niż obraz, z którego został nagrany (64 GB) - po nagraniu i uruchomieniu
gotowego systemu możesz zagospodarować całą pozostałą część twardego dysku tworząc jedną
nową lub więcej partycji, np. przy użyciu cfdisk. Jeśli więc jesteś zalogowany bezpośrednio jako root, wpisz:
cfdisk. Zjedź strzałką w dół na ''Free space'' (Wolne miejsce), utwórz jedną lub więcej nowych partycji
(zwykle wystarczy wybrać [ New ] (Nowa) i zatwierdzić). Następnie wybierz [ Write ] (Zapisz) i wpisz yes
(lub tak), aby nowa tablica partycji została zapisana. Wyjdź z programu i wykonaj reboot (zawsze
wymagany jest 1 pełny reboot routera po utworzeniu partycji na dysku systemowym, przed jej
sformatowaniem!).
Po restarcie należy sformatować nowa partycję (np. poleceniem: mkfs.ext4 /dev/sda8) i
zamontować w dowolnym miejscu systemu plików. W tym celu tworzymy np. nowy katalog poleceniem:
mkdir /mnt/sda8. Nim zamontujemy w nim nową partycję – edytujemy plik /etc/fstab. Domyślnie
znajduje się już tam zakomentowany (czyli poprzedzony znakiem #) wpis tego typu:
/dev/sda8 /mnt/sda8 ext4 defaults 1 2
Wystarczy usunąć znak # z początku ostatniego wiersza w ww. pliku fstab. Pamiętaj jednak, by na końcu
tego wiersza wcisnąć Enter, czyli przejście do nowej linii w pliku. Po zapisaniu go i wyjściu z edycji można już
wydać polecenie: mount /dev/sda8. Poleceniem mount oraz df -h można sprawdzić, czy partycja
została zamontowana i jaką ma wielkość.
7
Najczęściej nową partycję wykorzystuje się na katalogu użytkownika admin (zalecane), gdyż tam
gromadzone są logi połączeń oraz kopie bezpieczeństwa. Należy więc najpierw przenieść katalog admin z
podkatalogu /home do katalogu /mnt/sda8 po czym podlinkować nowe miejsce. Obie te czynności można
wykonać wydając te 2 polecenia jako root z konsoli:
mv /home/admin /mnt/sda8
ln -s /mnt/sda8/admin /home/admin
7. Uruchomienie i konfiguracja interfejsów sieciowych

Gdy Twój komputer (serwer/router) uruchomi się po raz pierwszy z nagranego dysku -
oprogramowanie dynamicznej obsługi sprzętu (udev) powinno prawidłowo wykryć wszystkie karty sieciowe
zainstalowane w Twoim serwerze i załadować dla nich odpowiednie moduły sterowników.
Zalecamy używanie standardowych kart na chipsetach Intel. W razie problemów z obsługą danej
karty, pomocne okazać się może konsolowe polecenie lspci (lub dokładniejsza odmiana: lspci -v). Zwykle na
dole wyświetlą się nazwy wykrytych kart sieciowych - wpisy o treści: Ethernet controller:... itd. Polecenie
lspci -v pokaże dokładne informacje o urządzeniach - niekiedy pomocne do zdiagnozowania przyczyny
ewentualnych problemów podczas pracy serwera (np. używanie tego samego przerwania, IRQ, przez kilka
podzespołów serwera może być przyczyną nieprawidłowego ich działania lub braku wymaganej wydajności -
dotyczy to głównie sprzętu starszego typu).
Pamiętaj, iż popularne i tanie karty na chipsecie Realtek nie są zalecane do zastosowań
serwerowych.
Po pierwszym zalogowaniu się do konsoli jako root (hasło: intrux14) skonfiguruj interfejsy sieciowe
przy pomocy automatycznego kreatora intrux-netset.
Na początku zatwierdź powiązanie nazw interfejsów z adresami MAC wykrytych kart

sieciowych (wykonywane automatycznie po uruchomieniu kreatora). Jest to ważna czynność,
która zapobiegnie zmianie kolejności kart podczas automatycznego ich wykrywania przez udev
po ponownym uruchomieniu serwera. Funkcja ta dostępna jest również odrębnie w poleceniu:
intrux-udev. Postępuj dokładnie wg. wyświetlonych informacji. W razie pomyłki - uruchom kreatora
ponownie, wpisując: intrux-netset.
Jeśli dokonałeś już ustawienia interfejsów przy pomocy kreatora intrux-netset, to dalszą
konfigurację można wykonywać już zdalnie - z poziomu przeglądarki www komputera klienckiego
administratora - od strony sieci LAN.
Uwaga dla początkujących: pamiętaj o ustawieniu na swoim komputerze klienckim adresu IP z klasy
ustawionej dla interfejsu LAN serwera (domyślnie 192.168.177.0/24). Tak więc by połączyć się z serwerem,
ustaw uprzednio na swoim komputerze dowolny adres IP z zakresu np. 192.168.177.2 do
192.168.177.254, podaj maskę 255.255.255.0, a jako bramę oraz serwer DNS podaj IP serwera
(domyślnie 192.168.177.14).
Przypominamy! Gdy będziesz logował się zdalnie na konsolę serwera poprzez SSH (np. przy użyciu
programu PuTTY) pamiętaj, iż serwer SSH w tej wersji działa domyślnie na nietypowym porcie
14014. Oczywiście możesz to zmienić.
Uwaga! Gdy zmieniasz kartę sieciową w serwerze a wszystkie ustawienia adresacji kart sieciowych
pozostają bez zmian - zaktualizuj tylko wpis w pliku powiązań dla udev (/etc/udev/rules.d/
69-net.rules) przy pomocy polecenia: intrux-udev (lecz wcześniej, przed wymianą karty, wydaj polecenie:
intrux-udev-del). Uwaga! Sposób prawidłowego postępowania w przypadku wymiany kart
sieciowych opisany jest dokładniej, ''krok po kroku'' w punkcie 20 niniejszej instrukcji.
Możliwa jest również zmiana kolejności wykrytych kart sieciowych poprzez edycję pliku
/etc/udev/rules.d/69-net.rules (zmienia się tylko nazwę interfejsu w ostatniej części wiersza wpisu danej
karty, np. z ''eth1'' na ''eth0'' i odwrotnie). Po zmianach tego typu oczywiście należy wykonać reboot.
Zmiany takie mogą skutkować także koniecznością ponownej rejestracji oprogramowania.
8
8. Panel administracyjny
Jeśli IP serwera na interfejsie LAN pozostało domyślne - zaloguj się do panelu wpisując w swojej
przeglądarce adres: http://192.168.177.14/intrux-admin/. Można także zalogować się przy użyciu
bezpiecznego, szyfrowanego połączenia https. Jeśli zmieniłeś IP i ewentualnie ścieżkę do panelu – wpisz
stosowny adres. Domyślny użytkownik, to admin, hasło intrux14. Ale zapewne zmieniłeś już te wartości
przy użyciu intrux-pass? Jeśli nie - zmień je koniecznie!
Loginy i hasła użytkowników panelu administracyjnego możesz zmienić także z poziomu samego
panelu. Przejdź do modułu: Konfiguracja kont i opcji panelu.
Uwaga! Jeśli kilka razy omyłkowo wpiszesz błędną wartość (login lub hasło) podczas
logowania do panelu administracyjnego - dostęp do niego z Twojego adresu IP zostanie trwale
zablokowany. W celu usunięcia blokady należy usunąć plik .log_TU.TWOJ.ADRES.IP z
katalogu /usr/intrux/www/admin/.
Pamiętaj, iż ze względów bezpieczeństwa nigdy nie należy zostawiać domyślnych haseł! Konsolowy
kreator intrux-pass ułatwia prawidłową zmianę haseł dla ważnych kont systemowych.
Dla zwiększenia bezpieczeństwa możesz nawet ograniczyć dostęp do panelu administracyjnego tylko
dla określonych adresów IP. Można to zrobić edytując plik .htaccess znajdujący się w katalogu
/usr/intrux/www/admin/. Przykładowe 4 końcowe wiersze, ''zakomentowane'' znakiem #, już się w nim
znajdują - wystarczy je tylko dostosować (zmienić IP komputera administratora) i usunąć znak # na
początku (czyli ''odkomentować'').
Użytkownik o mniejszych uprawnieniach do panelu może dokonywać zmian tylko w obrębie modułu
Klienci, urządzenia i powiadomienia. Może także podejrzeć statystyki sieci oraz raport dobowy logwatch. Nie
ma możliwości edycji istotnych ustawień systemu w innych modułach panelu administracyjnego.
Może być tylko 2 użytkowników panelu (administrator i użytkownik z ograniczeniami) o różnych

loginach. Konta te nie mają związku z kontami typowymi, linuksowymi, ''konsolowymi'', ftp. Tak więc
login „admin” w panelu to nie to samo, co konto „admin” w systemie konsoli linux!
8.1 Wybrane moduły panelu
8.1.1 Ustawienia Firewall i QoS
Moduł Ustawienia Firewall i QoS obejmuje konfigurację wszystkich zmiennych znajdujących się w
głównym pliku konfiguracji ustawień - /etc/intrux/main.cfg. Większość istotnych informacji została już tam
wpisana podczas konfiguracji przy pomocy kreatora intrux-netset i często w początkowej fazie pracy serwera
nie będzie potrzeby dokonywania tam żadnych istotnych zmian.
Zaznaczenie (wybranie) danej opcji z poziomu panelu jest równoznaczne z podaniem wartości ''yes''
podczas ewentualnej, bezpośredniej edycji pliku konfiguracyjnego z poziomu konsoli. Pomoc dotycząca danej
zmiennej konfiguracyjnej dostępna jest w panelu w 3 kolumnie tabeli po prawej stronie (zalecamy także
zapoznanie się z wyskakującym opisem po najechaniu na znak [?]), a dokładniejszy opis wszystkich
zmiennych pliku main.cfg znajdziesz w kolejnym rozdziale instrukcji.
9
8.1.2 Klienci, urządzenia i powiadomienia
Moduł Klienci, urządzenia i powiadomienia obejmuje konfigurację pliku /etc/intrux/client.cfg oraz - w

zależności od potrzeby - automatycznie ingeruje w plik mserv.cfg określający przekierowania na stronę
informacyjną powiadomień dla klientów, jak również w plik oplaty.cfg, w którym zachowywane są informacje
o zapłaconych przez klienta miesiącach roku. Obsługa tego najczęściej użytkowanego modułu jest intuicyjna
i nie wymaga szczegółowych objaśnień. Po najechaniu na daną ikonę wyświetli się jej objaśnienie. Aby
dodać nowego klienta należy użyć zielonej ikonki ''PLUS''. Wszelkie zmiany należy zatwierdzić zieloną ikoną
''V'' (tzw. ''ptaszek'') w prawym dolnym rogu lub na górze listy (pojawia się ona dopiero, gdy zmiany
wymagają zatwierdzenia).
Na liście z poziomu panelu nie można dowolnie zmienić kolejności dodanych wierszy. Można to
oczywiście zrobić poprzez bezpośrednią edycję pliku /etc/intrux/client.cfg z poziomu konsoli.
Należy zawsze pamiętać, aby nie dokonywać w tym samym czasie zmian przy pomocy
obu narzędzi, czyli przed edycją z poziomu konsoli należy uprzednio wylogować się z panelu
administracyjnego, a po dokonaniu zmian w plikach z poziomu konsoli, należy je ręcznie
przeładować przy pomocy /etc/intrux/restart i dopiero w następnej kolejności ponownie
zalogować się do panelu administracyjnego.
Uwaga! Gdy konieczne jest podanie 2 adresów MAC dla 1 klienta (niekiedy wymagane w przypadku
AP w trybie client), należy rozdzielić je przecinkiem w polu wpisu MAC danego klienta. Pierwszy adres brany
jest po uwagę dla powiązań mac-ip, a drugi dodawany jest do wpisu dla dhcp danego klienta. Tak więc jako
pierwszy MAC podajemy IP, z którym klient porusza się w sieci (gdy AP maskuje jego adres MAC), natomiast
drugi adres to właściwy MAC jego karty sieciowej. Tryb AP-client nie jest zalecany ze względu na różny
sposób maskowania adresu MAC przez różne modele urządzeń. Wprowadza to niepotrzebny chaos w sieci.
Zdecydowanie zalecanym i najpopularniejszym rozwiązaniem jest tryb routera w urządzeniu klienckim.
Zatwierdzenie zmian dokonywanych przy pomocy panelu www skutkuje zapisaniem odpowiednich
wartości w stosownych plikach oraz automatycznym wykonaniem polecenia z konsoli:
/etc/intrux/rc.fiqs restart soft. Drugi parametr polecenia (soft) informuje oprogramowanie, aby nie
przekierowywać ponownie klientów posiadających już potwierdzone przekierowane (czy to wynikające z
wyświetlonej i potwierdzonej wiadomości, czy też z poprawnej autoryzacji przez formularz www).
Generowanie aktualnej listy może chwilę potrwać, jeśli użytkowników jest dużo.
Warto wyrobić sobie nawyk, iż po zalogowaniu do panelu i wyświetleniu listy

użytkowników, w pierwszej kolejności usuwamy potwierdzone przez klientów wiadomości, a
następnie dokonujemy kolejnych czynności (jeśli są wymagane). Należy zawsze pamiętać o
zaakceptowaniu na koniec wszystkich zmian.
Standardowo włączone zmienne GEN_HOSTS oraz GEN_DHCPD w grupie ''Pozostałe ustawienia''

wcześniej opisanego modułu Ustawienia Firewall i QoS powodują każdorazowe, automatyczne generowanie
plików /etc/hosts, /etc/dhcp/dhcpd.conf na podstawie bieżącej listy klientów oraz plików (tzw.
nagłówków) umieszczonych w katalogu /etc/intrux/def/. Rozważ, czy ta funkcjonalność jest przydatna w
Twojej sieci (zazwyczaj w standardowej konfiguracji - tak). Jeśli nie, zawsze można je wyłączyć i
samodzielnie ingerować wg. potrzeb i wymagań w zawartość ww. plików - zgodnie z zasadami wszystkich
systemów linuksowych.
Zmienna GEN_ARP powoduje dodanie powiązania IP klienta z jego adresem MAC już w tablicy arp
serwera. To elementarne zabezpieczenie przed podszywaniem (świadomą zmianą MAC) i warto je włączyć,
jeśli tylko warunki danej sieci na to pozwalają.
Na podstawie ustawionych opcji danych klientów generowane są wpisy w /etc/ppp/chap-secrets (plik

bazy klientów dla PPPoE) oraz w /etc/intrux/racl.cfg (autoryzacja przez formularz www). Nie jest więc
zalecana ręczna edycja tych plików. To samo dotyczy pliku /etc/intrux/mserv.cfg.
10
8.1.3 Wspólna taryfa prędkości dla kilku klientów
Wpis dla klienta, który ma należeć do już istniejącej kolejki (czyli współdzielenie jednej taryfy
prędkości przez kilka komputerów) należy poprzedzić znakiem minus bezpośrednio przed jego adresem
IP. Czyli dodając nowego klienta z poziomu panelu należy dopisać w polu, gdzie znajduje się IP tylko znak
minus przed tym adresem (bez żadnych dodatkowych spacji, np. -192.168.177.25). Takie IP jest
obsługiwane kolejką określoną wpisem znajdującym się bezpośrednio powyżej danego adresu IP (czyli
wartości prędkości wpisane dla IP poprzedzonego znakiem minus nie maja znaczenia i na liście klientów nie
będą wyświetlane).
8.1.4 Backup - kopia konfiguracji
Moduł Backup - kopia konfiguracji oprócz standardowej możliwości zapisania (exportu) ustawień do
pliku spakowanego archiwum i zapisu na dysk, umożliwia także wysyłanie tego pliku na zdalny serwer FTP.
Parametry zdalnego serwera (adres, login i hasło użytkownika) należy uprzednio zapisać we właściwych
polach modułu Konfiguracja kont i opcji panelu. Konto użytkownika ftp powinno służyć wyłącznie do celu
archiwizacji plików, gdyż zapisanych konfiguracji (plików) może być tylko 10.
Jeśli ustaliłeś hasło zabezpieczające dla archiwum - nie zapomnij go! Gdy nie znasz hasła - nie
odzyskasz danych z kopii bezpieczeństwa!
Warto regularnie wykonywać backup, zachowując ustawienia w wygodny dla siebie sposób, aby w
sytuacji awaryjnej mieć możliwość szybkiego przywrócenia najbardziej aktualnych ustawień. Import z pliku
przywraca wszystkie ważne ustawienia routera, po czym wykonywany jest restart interfejsów sieciowych, a
do panelu administracyjnego należy powtórnie się zalogować. Import umożliwia więc łatwe powielanie całej
konfiguracji podczas przywracania ustawień np. po wymianie dysku twardego lub gdy uruchamiany jest
kolejny router z podobną konfiguracją.
8.2 Pozostałe informacje i dodatkowe funkcje panelu
Dostęp do panelu od strony WAN (od strony Internetu) w domyślnej konfiguracji nie powinien być
możliwy. Od strony sieci lokalnej LAN domyślnie wszystkie usługi są dostępne. Dostęp do usług serwera
określa się poprzez odblokowanie portów w pliku iserv.cfg. Edycję tego pliku można wykonać z poziomu
panelu administracyjnego (moduł Edycja plików konfiguracyjnych) lub bezpośrednio z poziomu konsoli
(/etc/intrux/iserv.cfg). Więcej informacji znajdziesz w rozdziale ''Własna strona www''.
Zaawansowany administrator może umieścić w menu głównym panelu dodatkowe linki lub inne
informacje. Wystarczy edytować plik o nazwie my_menu.php w katalogu /usr/intrux/www/admin/. Zawartość
tego pliku jest automatycznie includowana na dole tabeli menu, pod ikonami modułów. Plik my_menu.php
może zawierać kod HTML i PHP.
9. Ograniczenia wersji startowej i konieczność rejestracji
Podstawowa funkcjonalność wersji startowej, czyli udostępnianie internetu, podział łącza i

ograniczanie prędkości działają w standardowym trybie i oczywiście mogą działać na serwerze produkcyjnym
przez dłuższy czas. Jednak wersja ta ma bardzo istotne ograniczenia funkcjonalne i aby korzystać w pełni ze
wszystkich możliwości oprogramowania INTRUX Firewall & QoS - należy dokonać rejestracji danej kopii
instalacji. Rejestrację zalecamy wykonać w ciągu 30 dni od chwili zakupu i otrzymania nośnika.
11
Do chwili zarejestrowania routera istnieją m.in. takie ograniczenia wersji startowej, jak:
● brak możliwości wysyłania zgłoszeń serwisowych do naszej firmy poprzez panel pomocy,
● brak możliwości włączenia kolejek usługowych określanych zmiennymi QOS_FAST, QOS_PRIO oraz
QOS_WWW (bez względu na wpisane tam wartości - są one całkowicie ignorowane),
● brak możliwości zmiany algorytmu kolejkowania (działa jedynie htb), metody kolejkowania (bez
względu na wybór użytkownika - wszędzie obowiązuje tylko i wyłącznie jedna metoda sfq) oraz brak
możliwości wykorzystania funkcji tablic mieszających dla dużych sieci (tzw. hashtables).
● brak możliwości podziału kolejki klienta na 2 części,
● brak możliwości wykonania kolejkowania na interfejsie LAN lub na interfejsach fizycznych (wartości
w zmiennych LAN_QOS_DEV oraz DL_VDEV i UL_VDEV są ignorowane),
● pomijanie wpisów w pliku noport.cfg, co oznacza brak możliwości blokady ruchu na wybranych
portach,
● brak możliwości włączenia zaawansowanego limitowania z użyciem modułu hashlimit (zmienna
HASH_LIMIT_LAN_DEV oraz zmienne zależne są ignorowane),
● brak możliwości logowania ruchu internetowego (wpisy w LOGS_IP lub włączenie ULOG_ON
są ignorowane),
● brak możliwości automatycznego limitowania ruchu P2P przy użyciu ipset (wpis w zmiennej
P2P_IPSET_LIMIT jest ignorowany),
● brak możliwości włączenia autoryzacji przez formularz www (włączenie RACL i wpisy w pliku racl.cfg
są zupełnie ignorowane),
● pomijanie wpisów w pliku mserv.cfg, co jest równoznaczne z brakiem możliwości wysyłania
powiadomień do klientów,
● brak zabezpieczenia przed wysyłaniem spamu - nie działa limit nawiązywanych połączeń SMTP
(zmienna SMTP_LIMIT_S),
● brak możliwości włączenia specjalnego przyspieszenia kolejki użytkownika,
● brak możliwości włączenia funkcji Wizytówka sieci,
● brak generowania wpisów powiązania IP klientów z MAC w tablicy ARP,
● funkcja auto-backupu konfiguracji routera na serwer FTP nie działa,
● funkcja monitorowania urządzeń nie działa,
● wpisy w pliku addcmd.cfg są pomijane i nie zostaną wykonane,
● brak możliwości włączenia w opcji multiWAN markowania dla load-balancing z użyciem modułu
statistic nth, przez co load-balancing nie działa optymalnie i nie jest wystarczająco funkcjonalny,
● nie są również dostępne niektóre funkcje w panelu administracyjnym.
Poza ww. ograniczeniami, wszystkie pozostałe funkcje routera linuksowego wynikające z dystrybucji,
jak również zainstalowanych serwerów usług dodatkowych są w pełni dostępne.
Aby zarejestrować swoją kopię, należy po zalogowaniu do panelu administracyjnego z menu wybrać
pierwszą ikonę na górze, moduł: Rejestracja i aktualizacja. Router musi mieć dostęp do internetu.
Wypełnij formularz u dołu (wpisz uważnie swój adres e-mail) i wyślij. W nowym oknie
zostanie otwarta strona, która wyświetli stosowne informacje. Postępuj zgodnie z
wyświetlonymi instrukcjami.
Licencjonowaniu i ochronie podlega oprogramowanie INTRUX obecne w katalogu /etc/intrux/ oraz

większość plików w katalogu /usr/intrux/. Pozostałe pliki oprogramowania, dostarczane z dystrybucją
CentOS, jak również dodatkowo zainstalowane i prekonfigurowane serwery usług, specjalnie przygotowane
12
iproute, iptables, ipset oraz kernel ze stosownymi patchami - w większości objęte są licencją GNU GPL lub
pokrewnymi. Wymagane źródła oprogramowania znajdują się na naszej stronie internetowej. Na ich
podstawie - jeśli jesteś zaawansowanym administratorem - możesz samodzielnie skonfigurować własny
kernel lub ''dokompilować'' dodatkowe moduły obsługi nowych urządzeń.
Duża część plików w katalogu /etc/intrux/.sc/ ma możliwość ingerencji w ich treść i dokonywania w
nich zmian. Tak więc zaawansowany administrator może samodzielnie, bez większych ograniczeń dokonać
przemyślanych modyfikacji, aby w większym stopniu zmieniać charakterystykę lub sposób działania
niektórych funkcji. Z reguły jednak nie zalecamy wykonywania samodzielnych zmian w plikach
umieszczonych w tym katalogu.
10. Konfiguracja ustawień INTRUX Firewall i QoS
Większość zmiennych posiada swój krótki oraz rozwinięty opis bezpośrednio w panelu
administracyjnym. Aby go odczytać - najedź wskaźnikiem myszy na znak zapytania [?]. Informacje te oraz
informacje zawarte w niniejszej instrukcji opisują przeznaczenie i rolę danej zmiennej, jej funkcję oraz
format danych, w którym wpisuje się do nich wartości.
10.1 Opis zmiennych w głównym pliku main.cfg
10.1.1 Podstawowe ustawienia sieci
NAT_ON - włącza udostępnianie internetu. Jeśli nie masz przydzielonego stałego adresu IP od swojego
dostawcy internetowego, wybierz masq. Zmienna może przyjmować 5 wartości: yes, masq, off, no (puste)
lub file. Ustawienie off skutkuje dodawaniem reguł forwardu dla klientów, jednak bez wykonywania nat, co
bywa przydatne w sieci, gdzie wszyscy klienci mają własne publiczne IP. Standardowo stosuje się wpis yes
(wtedy wszyscy klienci będą ''snatowani'' na IP interfejsu WAN1 określone w zmiennej INTERNET_IP - czyli
wszyscy w Internecie będą występować z tym IP). Możliwe jest także ustawienie ''file'', co skutkuje
czytaniem przez system pliku snat.cfg i dodawaniem reguł nat wyłącznie na podstawie wpisów w nim
zawartych. Dzięki temu można różnych klientów, czy różne podsieci ''wypuścić'' (''snatować'') do Internetu z
różnymi adresami publicznymi (jeśli posiadamy więcej niż 1 użytkowy adres publiczny na WAN1). Uwaga - w
przypadku wyboru opcji ''file'' należy przeczytać opis pliku snat.cfg w instrukcji!
INTERNET_DEV - zmienna określa interfejs internetowy. To domyślne ''wyjście na świat'' naszego routera.
Zazwyczaj pozostaje bez zmian, czyli eth1 (WAN1).
INTERNET_IP - określa IP na interfejsie internetowym. Wymagane dla SNAT. Jeśli IP zmienne, to ww.
zmienna NAT_ON=''masq'', a INTERNET_IP może pozostać puste. Standardowo jest tutaj podstawowe IP
domyślnego interfejsu WAN1 i nie wymaga zmiany.
LAN_LIST - uproszczone określenie dostępu do serwera od strony interfejsu sieci lokalnej LAN. Zmienna nie
jest tak istotna, jeśli nw. LIMIT_LAN="yes", gdyż wtedy dostęp do serwera jest szczegółowo określony w
odrębnym pliku lan.cfg. Jeśli jednak nie jest, to przykład wpisu wygląda następująco: LAN_LIST="eth0-
192.168.177.0/24" (interfejs lokalny-adres i maska sieci lokalnej). Dwa elementy rozdzielone znakiem minus.
Sieć lokalna traktowana jest w tym wypadku jako bezpieczna - wszelkie usługi serwera dla klientów sieci
lokalnej są dostępne. Więcej wpisów (gdy posiadasz kilka interfejsów/aliasów LAN) rozdzielamy spacją.
Przykład wpisu: LAN_LIST=''eth0-192.168.10.0/24 eth3-192.168.20.0/24 ppp+-10.0.0.0/24''.
W zmiennej LAN_LIST można także wpisać słowo: file (lub lan_list.cfg). Należy wtedy wypisać sieci lokalne w
odrębnym pliku lan_list.cfg. Uwaga! Zmienna jest zawsze nadpisywana wartościami sieci przez kreator
intrux-netset. Jeśli kreatorem dodajemy aliasy - będziemy wtedy korzystać właśnie z pliku lan_list.cfg.
13
LIMIT_LAN - włącza dokładne określanie usług (portów) serwera dostępnych dla klientów w sieci lokalnej
LAN. Jeśli LIMIT_LAN=''yes'' oprogramowanie czyta plik lan.cfg, w którym należy szczegółowo określić porty,
protokoły i IP klientów, dla których dostępne będą dane usługi serwera. Zmienna może przyjmować 2
wartości: yes lub no (puste).
LAN_FORWARD - włącza forward (przekazywanie połączeń) pomiędzy sieciami lokalnymi, gdy posiadamy 2
lub więcej interfejsów/aliasów sieci LAN. Przykład wpisu może wyglądać następująco:
LAN_FORWARD=''192.168.1.0/24-192.168.2.0/24''. Adresy sieci rozdzielone znakiem minus. Więcej wpisów
(kolejne pary sieci) rozdzielamy spacją, np.:
LAN_FORWARD=''192.168.1.0/24-192.168.2.0/24 192.168.55.0/24-192.168.77.0/24''
CLAMP_MTU - wymagane dla niektórych typów łącz dostępowych (np. dawnej „neostrady”). Zaznaczenie
powoduje dodanie reguły automatycznie ustawiającej odpowiednią wartości MSS dla danego połączenia.
10.1.2 Podstawowe ustawienia QoS
QOS_ON - włącza dzielenie pasma z wykorzystaniem algorytmu hfsc lub htb (zależnie od wartości
QOS_ALG). Zmienna może przyjmować 4 wartości: yes, iprtlm, hasht lub no (puste). Opcja hasht włącza
funkcjonalność hashtables (tzw. ''tablic mieszających''), które zwiększają wydajność w dużych sieciach
(włączanie tej opcji nie ma większego sensu, jeśli na liście klientów jest mniej niż 500 wpisów). Uwaga -
opcja ta wymaga stosowania adresacji sieciowych, które różnią się liczbą w 3 oktecie adresu. Jeśli ten
wymóg nie jest spełniony (system sprawdza to automatycznie), to funkcja nie zostanie włączona (system
kolejkowania działa jak na ustawieniu ''yes''). Opcja iprtlm wykorzystuje specjalny, bardzo szybki, prosty i
wydajny moduł iptables do kontroli prędkości użytkowników - warto stosować to właśnie rozwiązanie. Po
włączeniu iprtlm wpisy w kolejkach usługowych (np. QOS_PRIO) nie mają znaczenia, gdyż nie są
wykorzystywane.
DOWNLOAD - zmienna określa całkowitą, możliwą prędkość ściągania (download) interfejsu internetowego
WAN1 (w kbit). Przykład wpisu: DOWNLOAD=''20000''.
UPLOAD - określa całkowitą, możliwą prędkość wysyłania interfejsu internetowego (w kbit). Przykład wpisu:
UPLOAD=''5000''. Zarówno dla UPLOAD, jak i ww. DOWNLOAD zalecane jest podanie wartości
nieco niższych od określonych przez dostawcę internetowego.
QOS_ALG - wybór zastosowanego w regułach kolejkowania algorytmu. Generalnie algorytm HFSC oferuje
niższe opóźnienia (większą interaktywność). Niekiedy jednak znane i cenione HTB może okazać się lepsze.
Wszystko zależy od charakterystyki danej sieci. Zmienna może przyjmować tylko 2 wartości: hfsc lub htb.
QOS_FAST - określa pasmo (w kbit) wydzielone specjalnie dla ruchu, który wymaga niskich opóźnień (np.
voip, gry internetowe, ssh). Pierwsza liczba to gwarantowana prędkość ściągania (download rate), druga
określa prędkość wysyłania (upload rate). Trzeci parametr (0 lub 1) decyduje, czy pasmo szybkiej kolejki jest
współdzielone z pozostałym ruchem (0), czy też nie (1). Poszczególne elementy zmiennej rozdzielamy
średnikiem. Nie zaleca się używania tej kolejki dla ruchu typu www, poczta, ftp itp. Przykład wpisu:
QOS_FAST=''512;512;1''. Poszczególne protokoły i porty, z którymi połączenia będą skierowane do tej
kolejki, określa się w dalszych zmiennych w grupie ''Zaawansowane ustawienia QoS''. Kolejka jest opcjonalna
- aby jej nie tworzyć, pozostaw puste.
QOS_PRIO - określa pasmo (w kbit) dla ruchu priorytetowego. Do tej kolejki mogą być skierowane
połączenia pakietów potwierdzających ACK oraz zapytań DNS użytkowników sieci LAN - zgodnie z wybranymi
opcjami w grupie ''Zaawansowane ustawienia QoS''. Poszczególne elementy zmiennej
(download_rate;download_ceil;upload_rate;upload_ceil) rozdzielamy średnikiem (edytując plik main.cfg
bezpośrednio - w panelu wszystkie elementy dla ułatwienia rozbite są na poszczególne okna formularza). Dla
wartości ceil można użyć słowa auto. Przykład wpisu: QOS_PRIO=''256;auto;512;auto''. Kolejka QOS_PRIO
jest opcjonalna - nie musi, a niekiedy nie powinna być tworzona (wpis dla zmiennej powinien być wtedy
pusty).
14
QOS_ROUTER - określa pasmo (w kbit) dla połączeń routera. Elementy

download_rate;download_ceil;upload_rate;upload_ceil rozdzielamy średnikiem. Wartości ceil można zastąpić
słowem auto. Kolejka ma zastosowanie, gdy w standardowej konfiguracji do interfejsów wirtualnych IMQ
kierowany jest ruch WAN. Przykład wpisu: QOS_ROUTER=''512;auto;512;auto''.
Kolejka ta również jak inne wyżej i niżej wymienione nie ma zastosowania gdy zmienna QOS_ON=iprtlm.
QOS_WWW - określa pasmo (w kbit) dla początkowego ruchu www (z portów 80 i 443). Poszczególne
elementy zmiennej, to download_rate;download_ceil;upload_rate;upload_ceil. Wartości ceil można zastąpić
słowem auto. Przykład wpisu: QOS_WWW=''1024;auto;256;auto''. Kolejka opcjonalna - aby jej nie tworzyć,
pozostaw puste. To kolejka współdzielona przez wszystkich klientów - w większości sieci nie jest zalecane jej
używanie.
QOS_WWW_KB - zmienna ściśle związana z ww. QOS_WWW i określa wielkość w KB (kilobajty) ruchu
www, który będzie realizowany wyżej określoną kolejką QOS_WWW. Po osiągnięciu tej wartości transfer
będzie realizowany w dalszym ciągu już w kolejce danego użytkownika. Przykład wpisu:
QOS_WWW_KB=''200''.
QOS_FAST_MTD - wybór metody kolejkowania w kolejce fast (określonej w zmiennej QOS_FAST).

Zmienna ta może przyjmować 6 wartości: sfq, sfb, hhf, pie, fq_codel oraz pfifo.
QOS_METHOD - wybór metody kolejkowania w głównych kolejkach (prio, router, www). Zmienna
przyjmuje 5 wartości: sfq, sfb, hhf, pie lub fq_codel.
QOS_USER_MTD - wybór metody kolejkowania w kolejkach klientów. Zmienna przyjmuje 5 wartości: sfq,
sfb, hhf, pie lub fq_codel. W większości zastosowań najlepiej sprawdza się metoda esfq.
USER_CL - określa sposób podziału pasma klienta. Gdy zmienna USER_CL=''2'' pasmo (kolejka klienta) jest
dzielone na 2 kolejki, z których pierwsza ma wyższy priorytet i realizowane są nią połączenia tcp, udp na
portach wymienionych w nw. zmiennych PR1_TCPPORT i PR1_UDPPORT. Także ruch icmp (ping) klienta
może być w pierwszej ''podkolejce''. Może być także ustalona dysproporcja prędkości maksymalnej pomiędzy
''podkolejkami'' (zobacz opis zmiennej USER_CL_DLDSPRO w części ''Zaawansowane ustawienia QoS''). Jeśli
USER_CL=''1'' - klient ma standardowo 1 kolejkę. W sieciach powyżej 500 klientów konieczne jest
stosowanie tylko 1 kolejki. Zmienna przyjmuje 2 wartości: 1 lub 2.
PR1_TCPPORT - jeśli ww. zmienna USER_CL=''2'' - określa porty tcp, z którymi połączenia są realizowane
kolejką klienta o wyższym priorytecie. Poszczególne porty rozdzielamy spacją. Nie należy wpisywać zbyt
wielu portów. Zawartość PR1_TCPPORT nie ma znaczenia, gdy USER_CL=''1''. Przykład wpisu:
PR1_TCPPORT=''80 443 110 587''.
PR1_UDPPORT - jeśli ww. zmienna USER_CL=''2'' - określa porty udp, z którymi połączenia są realizowane
kolejką klienta o wyższym priorytecie. Poszczególne porty rozdzielamy spacją. Nie należy wpisywać zbyt
wielu portów. Zawartość PR1_UDPPORT nie ma znaczenia, gdy USER_CL=''1''. Przykład wpisu:
PR1_UDPPORT=''53 5060''.
PR1_ICMP - jeśli ww. zmienna USER_CL=''2'' - umożliwia włączenie realizacji ruchu icmp (ping) klienta w
jego pierwszej ''podkolejce'' (o wyższym priorytecie). Zmienna przyjmuje 2 wartości: yes lub no (puste).
PR1_P - wielkość procentowa określająca wartość rate dla ważniejszej kolejki klienta (gdy zmienna
USER_CL=''2''). Zalecane jest podanie wartości w przedziale 50-90 lub pozostawienie domyślnej wartości.
Przykład wpisu: PR1_P=''70''.
START_T_NOC - określ godzinę, w której cron ma wykonać przełączenie użytkowników sieci na prędkość
taryfy nocnej. Format wpisu: HH:MM (godzina i minuta rozdzielone dwukropkiem), np. ''23:30''.
STOP_T_NOC - określ godzinę powrotu do prędkości taryfy dziennej. Format wpisu: HH:MM (godzina i
minuta rozdzielone dwukropkiem), np. ''09:30''. Uwaga! Dla prawidłowego działania wartość
liczbowa godziny w zmiennej START powinny być większa niż wartość STOP.
15
10.1.3 Limitowanie i blokada ruchu P2P
P2P_NO_PORT - określa porty, na których próba ruchu rozpoznanych połączeń programów P2P będzie
blokowana. Poszczególne porty rozdzielamy spacją lub przecinkiem. Można stosować także zakres portów.
Przykład wpisu: P2P_NO_PORT=''0:1024 3128,8080''.
P2P_CS_LIMIT - podaj wartości (wyłącznie w formacie: 2 liczby rozdzielone średnikiem) określające limit
ilości jednoczesnych połączeń (wartość pierwsza) oraz ilość połączeń na sek. (wartość druga) dla
rozpoznanego ruchu P2P. Limit ten dotyczy i działa dla każdego klienta odrębnie. Przykład wpisu: ''40;4''.
P2P_DENY - określa hosty lub sieci, z których rozpoznane połączenia P2P będą cały czas blokowane.
Poszczególne IP rozdzielone spacją. Przykład: P2P_DENY=''192.168.1.0/24''.
P2P_NO_LIMIT_IP - określa hosty lub sieci, z których rozpoznane połączenia P2P nie będą podlegały
limitowaniu. Poszczególne IP rozdzielone spacją. Przykład: P2P_NO_LIMIT_IP=''192.168.1.2 192.168.1.3''.
P2P_DENY_TIME - włącza blokowania rozpoznanych połączeń programów P2P w określonym czasie. Po

włączeniu zmiennej należy określić szczegóły blokady w pliku p2pt.cfg. Zmienna przyjmuje 2 wartości: yes
lub no (puste).
10.1.4 Ustawienia zabezpieczeń
BADHOSTS - definiuje hosty lub sieci, które są blokowane. Połączenia przychodzące z wymienionych IP
zostaną natychmiast odrzucone przez firewall. Kolejne adresy rozdzielamy spacją. Przykład:
BADHOSTS=''123.120.130.44 130.111.23.10''.
ADMIN_HOST_IP - definiuje hosty, które mają pełny dostęp do routera. Reguły firewalla dla dostępu z
tych IP są ładowane na samym początku podczas uruchamiania bądź restartu. Połączenia przychodzące z
wymienionych IP na każdym interfejsie zostaną natychmiast wpuszczone. Kolejne adresy rozdzielamy spacją.
Przykład: ADMIN_HOST_IP=''192.168.123.2''.
TCPSYN_LIMIT - określa wielkość limitu ilości przychodzących połączeń tcp syn na sekundę. Poszczególne
2 elementy: wartości limit oraz burst, rozdzielone średnikiem. Przykład wpisu: ''60;2''. Uwaga! Niskie
wartości w tej zmiennej przeszkadzają podczas zdalnej pracy z użyciem panelu
administracyjnego www (gdy łączysz się z routerem od strony WAN). Usuń wtedy wpis (ustaw
pustą zmienną TCPSYN_LIMIT) lub użyj dużo wyższej wartości limitu, np.: ''600;2''.
TCPSYN_DEV - określa interfejs lub interfejsy, na których działa ww. zabezpieczenie. Jeśli zmienna pusta, a
TCPSYN_LIMIT zostało określone - ograniczenie działa na interfejsie internetowym WAN. Przykład wpisu:
TCPSYN_DEV=''eth1 eth2''.
BADPORTS - włączenie filtracji ruchu netbios (w tym niektórych wirusów). Firewall blokuje ruch sieciowy z i
do Internetu na portach: 135(tcp), 137(tcp), 138(tcp), 139(tcp), 445(tcp), 137(udp), 138(udp), 139(udp).
Zmienna przyjmuje 2 wartości: yes lub no (puste).
NOSMB - włączenie filtracji ruchu prywatnych klas adresowych na interfejsie internetowym. Firewall blokuje
ruch z i do adresów IP z podstawowych, nieużywanych w Internecie prywatnych klas adresowych. Zmienna
przyjmuje 2 wartości: yes lub no (puste).
NO_SCAN - włączenie podstawowego zabezpieczenia przed skanowaniem portów. Dotyczy zarówno ruchu
wchodzącego (input), jak i przekazywanego (forward). Zmienna przyjmuje 2 wartości: yes lub no (puste).
MAC_CHECK - włączenie powiązania IP z adresem MAC karty sieciowej klienta. Możliwe są 3 ustawienia:
yes, internet lub no. Gdy wybrano ''internet'' - zabezpieczenie będzie obowiązywało tylko dla ruchu
internetowego klienta. Gdy ''yes'' - adres MAC klienta będzie weryfikowany także na wejściu od strony
16
interfejsu LAN. Reguły dodawane są do tablicy security iptables. W dużych sieciach nie jest zalecane
stosowanie tego zabezpieczenia. Uwaga - funkcjonalność „wizytówki sieci” nie działa prawidłowo,
gdy MAC_CHECK=''yes''.
MAC_ALL_DEV - interfejs lokalny, na którym odbywa się bezwzględne sprawdzanie powiązania IP z

adresem MAC karty sieciowej klienta. Gdy istnieje kilka interfejsów lokalnych - wpisy rozdzielamy spacją.
Przykład wpisu: MAC_CHECK_ALL_DEV=''eth0''. Gdy zmienna nie jest pusta - każdy klient w client.cfg
bezwzględnie musi posiadać wpisany adres MAC. Uwaga - gdy konieczne jest podanie 2 adresów MAC dla 1
klienta, należy rozdzielić je przecinkiem w kolumnie wpisu MAC pliku client.cfg.
MARTIAN_LOG - włączenie logowania ''dziwnych'' pakietów. Nie brakuje ich w sieci - włączenie może
spowodować pojawienie się niekiedy znacznej ilości wpisów w logach. Nie jest więc zalecane jej włączenie
bez uzasadnionej potrzeby. Zmienna przyjmuje 2 wartości: yes lub no (puste).
PING_OFF - wyłączenie odpowiedzi na ping przez router. Gdy ''yes'' - serwer nie będzie odpowiadał na ping
na żadnym z interfejsów. Zmienna przyjmuje 2 wartości: yes lub no (puste).
SSH_LIST - podaj interfejs oraz lokalny port, na którym działa SSH, np. SSH_LIST=''eth0-22 eth1-22''.
Elementy rozdzielone znakiem minus - więcej wpisów: spacją. Warto skonfigurować sam serwer SSH (w
pliku /etc/ssh/sshd_config), by pracował na dowolnym, innym porcie niż 22 (ze względów bezpieczeństwa
szczególnie jest to zalecane, gdy SSH ma być dostępne od strony Internetu!). W proponowanej przez nas
konfiguracji SSH działa na nietypowym porcie 14014 (oczywiście mogłeś to już zmienić kreatorem intrux-
netset). Wartość portu w tej zmiennej musi być spójna z wpisem w konfiguracji serwera SSH (kreator
wykonuje zmiany w obu plikach). Dostęp do innych portów (usług) serwera określa się w odrębnym pliku
iserv.cfg.
SSH_LIST_LIMIT_M - określa limit nawiązywanych nowych połączeń SSH na minutę z jednego adresu IP.
Przykład wpisu: SSH_LIST_LIMIT_M=''4''.
SMTP_LIMIT_S - określa limit połączeń SMTP (wysyłanie poczty, port 25 i 587) dla każdego klienta.
Wpisana wartość oznacza ilość sekund pomiędzy kolejnym połączeniem (np. 5 - pozwoli na wysłanie
kolejnego listu po upływie 5 sek. od poprzedniego połączenia SMTP danego klienta). Nadużycia (gdy klienci
np. rozsyłają świadomie bądź nieświadomie spam) będą logowane i doraźnie widoczne po wydaniu komendy
dmesg. Stosowne informacje [SMTP_FLOOD] możesz znaleźć także w dobowym raporcie logwatch oraz w
odrębnym raporcie w panelu administracyjnym (w menu: ''Raport – blokada wirusów, SPAM-u''). Warto
sprawdzać to regularnie.
SMTP_LIMIT_NO_IP - określa hosty lub sieci, których nie dotyczy limit połączeń SMTP (wysyłanie poczty,
port 25 i 587). Poszczególne IP rozdzielane spacją.
TTL - określenie zmiany TTL pakietu. Jeśli ''po drodze'' od naszego routera do klienta nie ma dodatkowego
routera, to ustawiając wartość TTL dla danego klienta w LAN na 1 - utrudniamy dalsze udostępnianie przez
niego Internetu. Elementy rozdzielone minusem, więcej wpisów: spacją. Przykłady wpisów:
TTL=''192.168.1.5-1'', TTL=''192.168.2.0/24-255 192.168.1.23-2''. Zmiana wartości TTL nie dotyczy
protokołu icmp.
TCPSYN_LOG - włączenie logowania informacji o dużej ilości przychodzących połączeń tcp syn. Zmienna
przyjmuje wartości: yes lub no (puste).
MAC_CHECK_LOG - logowanie informacji o braku zgodności MAC z IP, gdy włączono to powiązanie
zmienną MAC_CHECK. Zmienna przyjmuje 2 wartości: yes lub no (puste).
SMTP_LIMIT_LOG - logowanie informacji o próbach wysyłania spamu przez klientów. Zmienna przyjmuje
2 wartości: yes lub no (puste).
ICMP_PROTECT - ochrona przed niewłaściwymi próbami połączeń ICMP. Zmienna przyjmuje 2 wartości:
yes lub no (puste).
17
GOODHOSTS - określ hosty lub sieci, do których zawsze jest możliwe nawiązanie połączenia - ruch klientów
mimo jakichkolwiek nałożonych blokad (np. poprzez powiadomienia). Kolejne adresy rozdzielane spacją.
Można także wpisać słowo file lub goodhosts.cfg i określić wtedy listę docelowych adresów IP w odrębnym
pliku: goodhosts.cfg
PUB_FRW_ACPT - włączenie forwardu (wyłączenie ochrony firewalla) do klienta z publicznym adresem IP

(z włączoną opcją PUB). Zmienna przyjmuje 2 wartości: yes lub no (puste).
IPV6_FRW_ON - włączenie forwardu dla ruchu IPv6. Zmienna przyjmuje 2 wartości: yes lub no (puste),
czyli domyślnie router nie zezwala na transfer tym protokołem.
10.1.5 Logowanie ruchu i statystyki sieci
LOGS_IP - określa hosty lub sieci, z których wszystkie nawiązywane z Internetem połączenia będą
logowane (standardowo wpisy trafiają do /var/log/logs_ip i są również widoczne po wydaniu komendy
dmesg). Plik z danymi jest automatycznie, raz na dobę archiwizowany (jeśli jego wielkość tego wymaga).
Archiwum przenoszone jest do katalogu domowego użytkownika admin (/home/admin/logs/). Kolejne IP
rozdzielamy spacją. Należy liczyć się z możliwością pojawienia się bardzo dużej ilości wpisów w logach.
Przykład wpisu: LOGS_IP=''192.168.1.4 192.168.1.55'' (gdy logujemy tylko połączenie wybranych klientów)
lub np. LOGS_IP=''192.168.1.0/24'' (gdy logujemy połączenie wszystkich klientów z danej sieci). Nie należy
stosować jednocześnie obu metod zbierania logów (LOGS_IP i ULOG_ON).
ULOG_ON - włączenie szczegółowego logowania przekazywanych połączeń przy wykorzystaniu celu ULOG i
oprogramowania ulogd. Dane zbierane są w pliku /var/log/ulogd/ulogd_syslogemu.log (lub ulogd_pcap.log)
oraz automatycznie, raz na dobę archiwizowane. Pliki archiwum przenoszone są do katalogu domowego
użytkownika admin (/home/admin/logs/). Zmienna przyjmuje 2 wartości: yes lub no (puste). Przypominamy!
Zaleca się wybranie tylko 1 metody zbierania logów: LOGS_IP lub ULOG_ON.
ULOG_FORMAT - określa format pliku, w którym zbierane będą dane. Metoda logemu - dane zapisywane w
postaci tekstowej, umożliwiającej ich bezpośrednie odczytanie, w pliku /var/log/ulogd/ulogd_syslogemu.log.
Metoda pcap - dane zapisywane w formacie pcap, wymagają użycia odrębnego programu do ich odczytania
(np. Wireshark). Plik z danymi ulogd_pcap.log zajmuje nieco mniej miejsca, niż standardowy
ulogd_syslogemu.log (mimo, iż zawiera więcej informacji). Zaawansowany administrator z pewnością doceni
format pcap i możliwość obróbki pliku logu, szczegółowego przeszukiwania i generowania raportów przy
pomocy Wireshark, jednak uwaga - logowanie ruchu w formacie pcap wymaga więcej zasobów i często
znacząco zwiększa obciążenie serwera! Zdecydowanie warto też włączyć pakowanie logów 4 razy na dobę.
ULOG_PACK - określa częstotliwość pakowania pliku logu ulogd na dobę. W dużych sieciach lub podczas
ataku DDoS od strony LAN, czy też ruchu generowanego np. przez zawirusowany rejestrator kamer, plik
przed archiwizacją może osiągnąć maksymalną wielkość dostępną na partycji /var i ulogd przestanie wtedy
dopisywać kolejne informacje do niego. Aby temu zapobiec (lub po prostu zbierać mniejsze, ''wygodniejsze''
w przeszukiwaniu pliki) - można archiwizować plik bieżących logów 2 lub 4 razy na dobę. Pliki są
archiwizowane do katalogu /home/admin/logs/ i dostępne po FTP (poprzez konto użytkownika: admin).
Należy regularnie je archiwizować na trwałych nośnikach, np. płytach DVD i przechowywać przez okres
wymagany przepisami prawa.
STATIPTA - określa adres sieci, dla których będą zbierane dane przy użyciu modułu statystyki ipt_account.
Przykład wpisu: STATIPTA=''192.168.1.0/24''. Gdy więcej podsieci, elementy rozdzielamy spacją. Liczniki
statystyk są zapisywane i odtwarzane podczas każdego restartu oprogramowania. Nie zaleca się stosowania
dla więcej niż 10 sieci. Ponadto ipt_account nie obsługuje sieci z maską poniżej /24 (sieci większych niż 255
IP), tak więc wszystkie wpisywane adresy sieci muszą być tu podane wg klucza: x.x.x.0/24.
Aby zresetować liczniki, uruchom rc.fiqs z parametrem reset (./rc.fiqs reset). Dokonując zmian w
zawartości tej zmiennej lub dodając nową sieć - należy pamiętać o wydaniu z konsoli
poleceń: /usr/intrux/bin/account_create oraz /etc/intrux/reset
18
COUNT_LSTAT - umożliwia automatyczne zbudowanie i ewentualna aktualizacja plików obiektów oraz

stron, podstron www w statystykach Lstat na podstawie danych z client.cfg (lista klientów). Statystyki
dotyczą ilości ruchu sieciowego per IP (klient). Plik konfiguracyjny programu lstat_create (lstat_create.conf)
znajduje się w katalogu /usr/intrux/etc/. Program może wygenerować 50 wykresów. Zmienna po_ile określa
liczbę klientów (ip), którzy znajdą się wspólnie na 1 wykresie. Jeśli więc zostawimy domyślną wartość "10",
to program utworzy statystyki, gdy w client.cfg nie będzie więcej niż 500 użytkowników. Jeśli mamy ich
więcej - należy odpowiednio zwiększyć wartość zmiennej po _ile. Jeśli zaś klientów jest mniej - można śmiało
zmniejszyć tą liczbę, by wykresy stały się czytelniejsze (ustawiając np. po_ile="5"). Będziemy jednak mieli
wtedy większą ilość samych wykresów.
COUNT_LSTAT_UPDATE - umożliwia automatyczną aktualizację wykresów (gdy zaszły zmiany w

client.cfg, czyli na liście klientów). Wykonuje polecenie /usr/intrux/bin/lstat_create update wyłącznie,
gdy rc.fiqs ma parametr start lub reset (czyli np. podczas startu serwera).
10.1.6 Ustawienia przekierowań
PROXY_SERV - włącza przekierowania ruchu www dla klientów wymienionych w pliku proxy.cfg. Zmienna
ustala przekierowania na lokalny serwer PROXY (na tej samej maszynie: ''REDIRECT'' lub ''yes'' - obie
wartości skutkują tym samym) lub na inny serwer PROXY w sieci lokalnej (podaj wtedy jego IP). Przykłady
prawidłowych wpisów: PROXY_SERV=''yes'', PROXY_SERV=''REDIRECT'', PROXY_SERV=''192.168.1.200''.
Po włączeniu zmiennej należy jeszcze wpisać IP klientów (lub sieci), IP serwera proxy i port
serwera proxy w pliku proxy.cfg. Wcześniej oczywiście sam serwer squid powinien zostać
skonfigurowany i uruchomiony (więcej na ten temat znajduje się w odrębnym rozdziale niniejszej instrukcji).
IPF_ALIAS_ON - włączenie automatycznego tworzenia aliasów na interfejsie internetowym dla

udostępnianych przy pomocy DNAT adresów IP w pliku ipf.cfg. Zmienna przyjmuje 2 wartości: yes lub no
(puste).
REDIRECT - określa szczegółowe przekierowania - opcja dla zaawansowanych. Przykład wpisu:

REDIRECT=''192.168.1.0/24-194.204.152.34-192.168.1.1-53-udp'' (kto-gdzie-cel-port-protokół). Elementy
rozdzielamy znakiem minus, natomiast kilka wpisów rozdzielamy spacją. Objaśnienie powyższego przykładu:
wszystkie wywołania portu 53(udp) z adresów sieci 192.168.1.0/24 skierowane do adresu 194.204.152.34
będą przekierowane na IP 192.168.1.1.
10.1.7 Autoryzacja RACL
RACL - włączenie autoryzacji www, czyli konieczności zalogowania się klientów przez formularz www przed
uzyskaniem dostępu do Internetu. Zmienna przyjmuje 2 wartości: yes lub no (puste).
RACL_MODE - określa sposób działania autoryzacji. Gdy wybrano ''return'', autoryzacja dotyczy tylko
klientów, dla których wybrano tę metodę autoryzacji (wymienionych w pliku racl.cfg). Gdy wybierzemy
''deny'' - obowiązuje wszystkich (każdy z klientów musi więc mieć wybraną metodę autoryzacji RACL,
ustalone logi i hasło - posiadać stosowny wpis w pliku racl.cfg). Wartość ''return'' umożliwia więc autoryzację
tylko części klientów.
RACL_LOGIN_ADDR - określa adres, na który zostaną przekierowani przy pomocy DNAT autoryzowani
klienci. Na porcie 399 routera nasłuchuje strona przekierowująca na formularz obsługiwany szyfrowanym
połączeniem SSL, zaś na 401 - bez SSL.
RACL_CHK_METOD - określa metodę sprawdzania aktywności klienta (czy jego komputer jest nadal
włączony). Dostępne metody, to arpscan (1), arping (2) oraz ping (3).
19
RACL_CHK_TIME - określa interwał czasowy (w minutach) sprawdzania aktywności klienta. Gdy podamy
''0'' - klient nie będzie sprawdzany. Aktualnie obowiązujące uprawnienia resetowane są, gdy z
poziomu konsoli wykonujemy restart ustawień bez parametru soft.
10.1.8 Zaawansowane ustawienia QoS
FAST_ICMP - włączenie umożliwia obsługę protokołu icmp (ping) w kolejce fast. Zmienna przyjmuje 2
FAST_VOIP_SIP_RTP - włączenie umożliwia obsługę protokołu sip rtp (voip) w kolejce fast. Zmienna
FAST_PORTS_TCP - zmienna określa porty tcp, z których ruch obsługiwany będzie kolejką fast.
Poszczególne, pojedyncze porty rozdzielane wyłącznie spacją! Obsługa bezpośrednio w tc (bez markowania).
Przykład wpisu: FAST_PORTS_TCP=''22 53''.
FAST_PORTS_UDP - określa porty udp, z których ruch obsługiwany będzie kolejką fast. Poszczególne,
pojedyncze porty rozdzielane wyłącznie spacją! Obsługa bezpośrednio w tc (bez markowania). Przykład
wpisu: FAST_PORTS_TCP=''53''.
FAST_PORTS_TCP_M - zmienna określa porty tcp markowane do kolejki fast. Tutaj można stosować
zakres portów oraz rozdzielanie przecinkiem i spacją. Przykład wpisu: FAST_PORTS_TCP_M=''20:22,53''.
FAST_PORTS_UDP_M - określa porty udp markowane do kolejki fast. Tutaj można stosować zakres
portów oraz rozdzielanie przecinkiem i spacją. Przykład wpisu: FAST_PORTS_UDP_M=''53,20000''.
FAST_IP - określa adresy IP, z którymi połączenia obsługiwane będą w kolejce fast. Adresy IP hostów w
Internecie rozdzielane spacją. Przykład wpisu: FAST_IP=''123.45.67.89''.
PRIO_DL_DNS - włączenie obsługi połączeń informacji DNS w kolejce prio. Zmienna przyjmuje 2 wartości:
yes lub no (puste).
PRIO_DL_ICMP - włączenie obsługi protokołu icmp (ping) w kolejce prio. Zmienna przyjmuje 2 wartości:
yes lub no (puste).
PRIO_UL_DNS - włączenie obsługi zapytań DNS w kolejce prio. Zmienna przyjmuje 2 wartości: yes lub no
(puste).
PRIO_UL_ACK - włączenie obsługi pakietów potwierdzeń ACK w kolejce prio. Zmienna przyjmuje 2
PRIO_UL_ICMP - włączenie obsługi protokołu icmp (ping) w kolejce prio. Zmienna przyjmuje 2 wartości:
yes lub no (puste).
HTB_QUANTUM - określ parametr htb quantum. Opcja - wpis nie jest wymagany. Przykład:
HTB_QUANTUM=''quantum 1500''.
HTB_R2Q - określ parametr htb r2q. Opcja - wpis nie jest wymagany. Przykład: HTB_R2Q=''r2q 10''.
QOS_FAST_DELAY - parametr delay w kolejce fast. Przykład wpisu: QOS_FAST_DELAY=''1s'',

QOS_FAST_DELAY=''50ms''.
RATE_P - procent dla określenia rate całości łącza. Zalecana wartość w zakresie 90-100, np. 95. Przykład:
RATE_P=''95''.
20
NO_QOS_ROUTER - połączenia inicjowane bezpośrednio z routera do określonych tu IP w sieci Internet

nie będą kolejkowane. Wpisy rozdzielane spacją. Przykład: NO_QOS_ROUTER=''194.204.159.1
194.204.152.34''.
NO_QOS_ALL - wszystkie połączenia z i do określonych tu IP nie będą kolejkowane. Wpisy rozdzielane

spacją.
USER_SPEC_SPEED - włączenie specjalnego przyspieszenia dla kolejki użytkownika. Działa wyłącznie dla
algorytmu HFSC. Stosuj z rozwagą. Zmienna przyjmuje 2 wartości: yes lub no (puste). Gdy włączona - podaj
odpowiednie wartości w nw. zmienne określające prędkość i czas - zarówno dla download, jak i upload.
USER_SPEC_PROC - włączenie formatu procentowego zamiast w kbit dla wartości prędkości

przyspieszenia kolejki użytkownika.
DL_USER_SPEC_SPEED - wartość prędkości download (ściąganie) klienta (w kbit lub %) oraz czas jej
obowiązywania w sekundach rozdzielone średnikiem. Podana prędkość (jeśli w kbit) powinna być większa od
standardowo dostępnej dla klientów sieci. Jeśli zaś w procentach (gdy włączono ww. USER_SPEC_PROC) -
będzie to zawsze wartość pow. 100. Przykład wpisu: ''125;5'' (klient przez pierwsze 5 sek. osiągnie prędkość
dla nowego połączenia o wartości równej 125% swojej standardowej prędkości download).
Można także ustawić wartość ''auto''. Wtedy klient może uzyskać przez pierwsze 3 sekundy prędkość
wielkości 80% wartości DOWNLOAD łącza WAN.
UL_USER_SPEC_SPEED - wartość prędkości upload (wysyłanie) klienta (w kbit lub %) oraz czas jej
obowiązywania w sekundach rozdzielone średnikiem. Podana prędkość (jeśli w kbit) powinna być większa od
standardowo dostępnej dla klientów sieci. Jeśli zaś w procentach (gdy włączono ww. USER_SPEC_PROC) -
będzie to zawsze wartość pow. 100. Przykład wpisu: ''120;1'' (klient przez pierwszą sekundę osiągnie
prędkość dla nowego połączenia o wartości równej 120% swojej standardowej prędkości upload).
Można także ustawić wartość ''auto''. Wtedy klient może uzyskać przez pierwsze 2 sekundy prędkość
wielkości 60% wartości UPLOAD łącza WAN. Używaj z rozwagą!
USER_CL_DLDSPRO - umożliwia procentowe określenie dysproporcji prędkości ceil klienta (prędkości

maksymalnej w danej ''podkolejce''). Działa wyłącznie, gdy USER_CL='2 (czyli kolejka klienta podzielona jest
na 2 części - 2 podkolejki). Dotyczy tylko kolejki download i umożliwia ustawienie różnej prędkości
maksymalnej (ceil) w obu podkolejkach. Dysproporcja określana jest procentowo w zakresie od 1 do 50. Np.
wartość 20 spowoduje zwiększenie maksymalnej prędkości (ceil) w pierwszej podkolejce klienta o 20% i
jednocześnie zmniejszenie prędkości o 20% dla drugiej podkolejki klienta. Nie można ustawić większej
wartości niż 50. Używaj z rozwagą!
FQC_PARAM - umożliwia dopisanie dodatkowych parametrów, gdy wybrano metodę kolejkowania fq_codel.
Opcja dla zaawansowanych.
PIE_PARAM - umożliwia dopisanie dodatkowych parametrów dla kolejek pie. Opcja dla zaawansowanych.
HHF_PARAM - umożliwia dopisanie dodatkowych parametrów dla kolejek hhf. Opcja dla zaawansowanych.
SFB_PARAM - umożliwia dopisanie dodatkowych parametrów dla kolejek sfb. Opcja dla zaawansowanych.
10.1.9 Zaawansowane ustawienia limitowania ruchu
ICMP_INPUT_LIMIT - określa limit przychodzących połączeń icmp (limit;burst). Format wpisu: wyłącznie
2 elementy rozdzielone średnikiem, np. ''10;2''.
P2P_UDP_S_LIMIT - określa limit rozpoznanych połączeń udp P2P - dotyczy każdego klienta odrębnie, np.
''20''.
21
LENGTH_REJECT - pakiety o określonej długości zakresu length zostaną odrzucone, np. ''2000:20000''.
Przykładowy wpis bywa przydatny w blokowaniu nadużyć np. niektórych programów P2P.
P2P_IPSET_LIMIT - zmienna określa limit ilości połączeń tcp na portach powyżej 1024. Po przekroczeniu
limitu połączenia są automatycznie blokowane przez 1 min. przy wykorzystaniu oprogramowania ipset.
Dotyczy każdego klienta odrębnie i jest bardzo skutecznym zabezpieczeniem przed dużą ilością połączeń.
Określ interfejs LAN, którego dotyczy limit oraz liczbę możliwych połączeń. Format wpisu: wyłącznie 2
elementy (interfejs-limit) rozdzielone znakiem minus, np. ''eth0-200''. Aktualny stan zawsze można
wyświetlić na konsoli, wydając polecenie: ipset -L p2p
HASH_LIMIT_LAN_DEV - zmienna określa interfejs LAN, na którym działa uniwersalne limitowanie

pakietów na sek. np. ''eth0''.
HASH_LIMIT_DOWNLOAD - określa wartość dopuszczalnej ilości ściąganych (download) pakietów na

sek. Limit dotyczy każdego klienta odrębnie. Przykład wpisu: ''1000''.
HASH_LIMIT_UPLOAD - określa wartość dopuszczalnej ilości wysyłanych (upload) pakietów na sek. Limit
dotyczy każdego klienta odrębnie. Przykład wpisu: ''100''.
HASH_LIMIT_NOPORT_TCP - określa porty tcp, z którymi połączenia nie będą limitowane. Można
stosować zakres portów oraz rozdzielanie przecinkiem i/lub spacją. Przykład: ''80,443''.
HASH_LIMIT_NOPORT_UDP - określa porty udp, z którymi połączenia nie będą limitowane. Można
stosować zakres portów oraz rozdzielanie przecinkiem i/lub spacją. Przykład wpisu: ''53''.
HASH_LIMIT_NO_IP - określa adresy IP, z którymi połączenia nie będą limitowane.
HASH_LIMIT_TYPE - zmienna pozwala określić charakterystykę działania - miejsce tworzenia reguł

hashlimit. Przyjmuje 2 wartości: raw lub filter. Gdy puste, działa w tablicy raw.
HASH_LIMIT_BURST - określa wartość parametru burst limitowania hashlimit (domyślna wartość, gdy
puste, to 2).
HASH_LIMIT_DL_MODE - określa tryb hash download (domyślnie, gdy puste, to dstip).
HASH_LIMIT_UL_MODE - tryb hash upload (domyślnie, gdy puste, to srcip).
10.1.10 Pozostałe ustawienia
FRW_MODE - określa tryb obsługi reguł forwardu klientów sieci. Zalecane użycie: ''ipset''. Funkcjonalność
ipset nie jest używana, gdy określono DST_LIMIT. Listę przypisanych IP w tablicy ipset o nazwie fwout
można wyświetlić poleceniem: ipset -L fwout
SNAT_MODE - określa tryb obsługi reguł nat dla klientów sieci. Zalecane użycie: ''ipset''. Tryb ipset nie
będzie używany, jeśli NAT_ON=''file'' (określono reguły nat w pliku snat.cfg). Listę przypisanych IP w tablicy
ipset o nazwie nat można wyświetlić poleceniem: ipset -L nat
LOCAL_PORTF_DEV - określa interfejs LAN, na którym również lokalnie obowiązują przekierowania portów
z pliku port.cfg.
LAN_QOS_DEV - określa interfejs LAN, który będzie skierowany do kolejkowania z użyciem IMQ.
Rozwiązanie alternatywne, gdyż standardowo to WAN jest kierowany do IMQ. Przydatne m.in. w sytuacji,
gdy działa lokalny serwer proxy. Przykład wpisu: ''eth0 ppp+''.
22
LOCAL_SERV_IP - podaj IP lokalne serwera, gdy do IMQ kierowany jest interfejs LAN (ww. zmienna
LAN_QOS_DEV) lub gdy kolejki wykonane są na interfejsach fizycznych bez użycia IMQ. Przykład wpisu:
''192.168.1.1''.
LOCAL_PROXY_SERV_IP - podaj IP lokalne serwera proxy, gdy włączono przekierowanie na proxy.

Przykład wpisu: ''192.168.1.1''.
LAN_PORT_NO_QOS - określ porty, które nie podlegają kolejkowaniu w obrębie sieci LAN, gdy do IMQ
kierowany jest interfejs LAN (zmienna LAN_QOS_DEV). Elementy (porty lub zakresy portów) rozdzielane
wyłącznie przecinkiem (tylko 1. pełny wpis bez spacji!). Przykład wpisu: ''137:139,445,80,443,3128''.
DL_VDEV - określ interfejs kolejkowania download. Standardowo jest to imq0. Jeśli fizyczny, to LAN, czyli z
reguły eth0. Zazwyczaj nie wymaga zmian i pozostaje puste.
UL_VDEV - określ interfejs kolejkowania upload. Standardowo jest to imq1. Jeśli fizyczny, to WAN, czyli
najczęściej eth1. Zazwyczaj nie wymaga zmian i pozostaje puste.
USER_UL_CLSFY - włączenie classify dla upload, gdy kolejkowanie wykonano w ww. zmiennych na
interfejsach fizycznych.
BKP_FILES - włączenie skutkuje wykonywaniem kopii bezpieczeństwa wszystkich plików .cfg podczas
każdego restartu oprogramowania. Zmienna przyjmuje 2 wartości: yes lub no (puste).
Kopie zachowywane są w katalogu /etc/intrux/.bk/{DATA}. Pozwala to na łatwe przywrócenie
przez administratora niemal każdego stanu wcześniejszej konfiguracji. Należy pamiętać o tej
możliwości w przypadku trudności ze znalezieniem ostatnio popełnionego błędu.
GEN_HOSTS - gdy włączone, oprogramowanie generuje podczas każdego restartu plik /etc/hosts na
podstawie informacji nagłówkowych z pliku /etc/intrux/def/hosts oraz adresu IP i nazwy klienta z pliku
client.cfg. Zmienna przyjmuje 2 wartości: yes lub no (puste). Niekiedy w zaawansowanych konfiguracjach
serwerów takie automatyczne generowanie pliku może przeszkadzać.
GEN_ARP - podczas restartu dodaje aktualne wpisy powiązań IP z MAC klienta w tablicy arp. Elementarne
zabezpieczenie przed podszywaniem (świadomą zmianą MAC). Zmienna przyjmuje 2 wartości: yes lub no
(puste).
GEN_DHCPD - generuje podczas restartu plik /etc/dhcp/dhcpd.conf na podstawie informacji nagłówkowych

z pliku /etc/intrux/def/dhcpd.conf i z nim powiązanych oraz adresu IP, MAC i nazwy klienta z pliku client.cfg.
Po wygenerowaniu uruchomi polecenie: service dhcpd restart. Zmienna przyjmuje 2 wartości: yes lub no
(puste). Rozważ przydatność tej ''automatyzacji'' dla Twojej sieci - w niektórych zaawansowanych, własnych
konfiguracjach niekiedy może to przeszkadzać.
GEN_RADIUS - generuje automatycznie podczas restartu plik /etc/raddb/users (baza klientów serwera
freeradius) na podstawie informacji nagłówkowych z pliku /etc/intrux/def/radius_users_head oraz klientów z
pliku client.cfg w wybraną autoryzacją ''radius''. Automatycznie wykonuje polecenie restartu serwera
RADIUS: service radiusd restart gdy zachodzi taka potrzeba (zaszły zmiany w pliku users). Uwaga -
klientów samego serwera (tzw. ''NAS'', czyli urządzenia, które będą łączyć się z serwerem freeradius)
dopisuje się w pliku /etc/raddb/clients.conf
Plik /etc/raddb/users generowany jest poprzez skrypt /etc/intrux/.sc/c2rad i w nim można dokonać zmian
dot. szczegółowego formatu danych i zakresu zmiennych, które się w nim znajdą (rożne urządzenia wysyłają
dane weryfikacyjne klientów z użyciem różnych zmiennych i często zachodzi potrzeba dokładnego
''dostrojenia'' formatu wymiany danych).
QOS_INFO - włączenie wyświetlania dodatkowych informacji podczas restartu oprogramowania. Zmienna

QOS_USER_INFO - włączenie wyświetlania podczas restartu dodatkowych informacji o wielkościach

kolejek użytkowników. Zmienna przyjmuje 2 wartości: yes lub no (puste).
23
WIZYTOWKA - włącz wyświetlanie wizytówki sieci dla przypadkowych klientów. Taki klient otrzyma adres z
zakresu 10.176.177.65-77 i zostanie przekierowany na stronę z treścią informacji, działającą na porcie 799
routera. Używaj z rozwagą! Opcja powinna być uprzednio aktywowana podczas konfiguracji
interfejsów sieciowych z użyciem kreatora intrux-netset. Funkcja wizytówki sieci nie działa
prawidłowo, gdy MAC_CHECK=''yes''. Zmienna przyjmuje 2 wartości: yes lub no (puste).
DEF_FRW_ACPT - umożliwia ustawienie domyślnej polityki FORWARD firewalla na ACCEPT. Używaj

raczej tylko doraźnie, w uzasadnionych przypadkach! Zmienna przyjmuje 2 wartości: yes lub no
(puste).
INFO_AUTO_DEL - włącz, by serwer automatycznie usuwał przekierowania na powiadomienia za

potwierdzeniem, gdy zostały już potwierdzone przez klienta.
AUTO_INFO_DATE - włącz, by serwer automatycznie tworzył powiadomienia na określoną ilość dni przed
datą dnia końca dostępu do internetu danego klienta. Konfiguracja parametrów (ile dni przed, nr szablonu
wiadomości) znajduje się w pliku /usr/intrux/etc/auto_info_date.cfg
PPPOE_MAC_CHECK - włącz weryfikację adresu MAC klienta podczas połączenia z serwerem PPPoE. Błędy
weryfikacji są logowane do pliku /var/log/pppoe-mac.log
IP_HIST - włącza funkcję „ostatni raz widziany” - informację na karcie klienta podczas edycji w panelu.
Uwaga - funkcjonalność ta zwiększa istotnie obciążenie serwera i nie jest zalecane jej używanie w sieciach
powyżej 200 klientów.
MF_HAZARD_REDIR - włącza funkcję przekierowania na stronę Ministerstwa Finansów i aktualizuje listę

„stron hazardowych” zgodnie z aktualnymi przepisami prawa w tym zakresie. Zalecane ustawienia to „bind”,
jeśli klienci mają podany jako pierwszy serwer DNS adres IP lokalnego serwera - czyli bramy klientów
(konfiguracja domyślna).
10.2 Konfiguracja interfejsów WAN (dla wersji 2xWAN i 4xWAN)
10.2.1 Podstawowe informacje i wstępna konfiguracja
Oprogramowanie INTRUX Firewall & QoS w wersjach 2xWAN i 4xWAN umożliwia dystrybucje ruchu
pomiędzy łącza WAN zarówno w trybie wskazania konkretnych portów usług do obsługi danym interfejsem
WAN (jest to tzw. ''podział na usługi''), jak i w trybie wskazania klientów sieci, którzy są obsługiwani w
całości przez dane łącze WAN (tzw. ''podział na klientów''). Obie metody mogą być stosowane równocześnie.
Można także określić, iż ruch do określonych hostów w sieci Internet będzie realizowany tylko konkretnym
interfejsem WAN. Dodatkowo istnieje możliwość włączenia load-balancing (czyli próby równego obciążenia
łącz) i stosowanie wszystkich tych metod równocześnie. Wszystko to daje ogromnie możliwości konfiguracji.
Obserwacja statystyk obciążenia interfejsów WAN (każdy interfejs ma własny wykres w lstat) może być
pomocna w doborze wymaganych parametrów podczas pracy sieci - zależnie od potrzeb i wymagań.
Monitorowanie obciążenia interfejsów WAN jest szczególnie istotne, gdy posiadamy łącza o różnych
parametrach prędkości.
Load-balancing umożliwia podniesienie odporności na awarię łącza, a w razie jej wystąpienia - klienci
sieci nie stracą całkowicie możliwości korzystania z zasobów Internetu, a jedynie częściowo. Przypisanie
klienta do konkretnego łącza WAN ma najwyższy priorytet w podziale multiWAN. Dzięki temu można łączyć
metody podziału ''na usługi'' i ''na klientów'', jednak awaria łącza przypisanego dla danego klienta nie
pozwoli mu na korzystanie z zasobów sieci Internet bez interwencji administratora. Wszystkie metody
podziału mają swoje zalety i wady. Rolą administratora jest dokonywanie właściwego wyboru ustawień w
reakcji na aktualny stan sieci WAN i LAN.
Wstępne ustawienia i istotne zmiany konfiguracji i pracy multiWAN należy zawsze

wykonywać przy pomocy kreatora intrux-netset.
24
Istotniejsze zmiany w obrębie zaawansowanego podziału pomiędzy łączami WAN (włączenie, bądź
wyłączenie danego interfejsu WAN) powinny zostać potwierdzone pełnym restartem interfejsów sieciowych
lub samego serwera (wydaj polecenie reboot z konsoli).
Należy pamiętać, iż interfejsy WAN muszą posiadać stałe IP z różnych klas adresowych -
łącza WAN nie mogą ''spotykać'' się na tej samej bramie!
Przy standardowej konfiguracji kolejkowania (WAN do IMQ) każdy klient posiada odrębne kolejki na
łączach WAN (z opcją zwiększenia procentowo jej wartości dla konkretnych interfejsów w stosunku do
standardowych wartości prędkości). Tak więc ruch klienta danym łączem może osiągać inne prędkości
maksymalne, niż określone standardowo. Opis zmiennych odpowiedzialnych za konfiguracje tych i innych
parametrów znajduje się w kolejnym rozdziale instrukcji. Oczywiście można także zrobić kolejkowanie po
stronie LAN, gdzie niezależnie od ilości łącz WAN klient ma standardowo jedną własną kolejkę prędkości.
Decyzja o wyborze danej metody jest jeszcze uwarunkowana innymi opcjami, które nie są bezpośrednio
związane z istnieniem kilku łącz WAN. Wspomnimy o tym jeszcze w dalszej części instrukcji.
Dla łącza WAN2, WAN3 i WAN4 tworzone są jedynie: kolejka routera oraz kolejki użytkowników
(analogicznie jak na łączu domyślnym WAN1, jednak - jak wspomniano wyżej - z możliwością
zwielokrotnienia wartości ceil). Nie istnieją tam opcjonalne, odrębne kolejki usługowe typu fast, prio, www
(jak to może mieć miejsce na łączu WAN1). Ponadto stosując ''podział na usługi'' z reguły nie zaleca się
używania kolejek usługowych na łączu WAN1 (czyli najlepiej pozostawić puste wartości w zmiennych
QOS_FAST, QOS_PRIO i oczywiście QOS_WWW). Zaawansowany administrator może jednak zdecydować
inaczej.
Należy pamiętać, iż stosując udostępnianie IP (wpisy w pliku ipf.cfg) należy także w client.cfg
włączyć danego klienta do obsługi w całości przez łącze WAN, z którego publiczne IP klient otrzymuje.
Podczas edycji klienta na liście wybieramy dla niego stosowne łącze WAN oraz możemy śmiało włączyć opcję
PUB, skoro klient będzie miał przypisane własne IP w pliku ipf.cfg.
W plikach ipf.cfg, iserv.cfg oraz portf.cfg można dokładnie określić, którego łącza dotyczy dany wpis
(np. podając wartość 2 lub WAN2 w stosownej kolumnie).
10.2.2 Opis zmiennych pliku multiwan.cfg
MULTIWAN - włączenie i sposób działania podziału multiWAN. Ustawienie ''yes'' umożliwia podział
tradycyjny, gdzie łącze WAN1 jest łączem domyślnym (obsługuje zawsze zapytania DNS i jest niezbędne do
działania sieci), a na pozostałe łącza kieruje się usługi i/lub klientów. Ustawienie ''LB'' dodaje kolejną
funkcjonalność: load-balancing (równe obciążenie łącz poprzez losowe kierowanie kolejnych połączeń na
kolejny interfejs WAN). W tym przypadku łącze WAN1 nie jest niezbędne do działania sieci. Load-balancing
umożliwia więc podniesienie odporności na awarię łącza, a w razie jej wystąpienia - klienci sieci nie stracą
całkowicie możliwości korzystania z zasobów Internetu, a jedynie częściowo. Możliwe wartości zmiennej, to
yes, LB lub no (puste).
WAN1_NET - określa adres sieci pierwszego łącza, domyślnego (określonego już częściowo w main.cfg
zmienną INTERNET_DEV oraz INTERNET_IP). Należy podać adres sieci wraz z prawidłową maską (prefix) w
krótkiej formie, np. ''81.123.45.67/29''. Kreator intrux-netset ustawił tam już wcześniej właściwą wartość.
Jeśli jednak musisz dokonać zmian i nie wiesz, jaki powinien być prefix, użyj komendy:
ipcalc TU.ADRES.IP.WAN TU.PELNA.MASKA -p
np.: ipcalc 83.12.34.56 255.255.255.248 -p
WAN1_GTW - określa adres IP bramy (gateway) dla sieci pierwszego łącza.
LB_NTH_MARK - włącz markowanie dla load-balancing z wykorzystaniem modułu iptables statistic nth. To
zaawansowane rozwiązanie pozwala na dokładne i równomierne obciążenie łącz WAN. Zmienna przyjmuje 2
25
LB_NTH_MARK_DEV - interfejs lub interfejsy LAN, na których następuje oznaczenie nowego połączenia
dla potrzeb równomiernego rozłożenia ruchu w load-balancing z wykorzystaniem modułu iptables statistic
nth. Przykład wpisu: ''eth0 ppp+''.
LB_NTH_IPSET_SEC - przypisanie ''na trwałe'' do danego łącza WAN przez określoną ilość sekund.
Funkcja elementu load-balancing - umożliwia przypisanie klienta do kolejnego łącza WAN na trwałe, jeśli
przez określoną ilość sekund wciąż dany klient korzysta z internetu. Przykładowa wartość: ''180'' (czyli 3
minuty). Ipset utworzy tablice o nazwach: wan1_ip, wan2_ip, wan3_ip oraz wan4_ip, w których będą
umieszczane IP klientów na określoną ilość sekund. Klient realizujący kolejne połączenie w czasie, gdy jest
już przypisany do jakiegoś interfejsu - spowoduje odliczanie dla siebie czasu od nowa (wciąż będzie
obsługiwany tym samym interfejsem WAN). Jeśli jednak przez określoną ilość sekund nie nawiązał żadnego
nowego połączenia - przy kolejnym może zostać przypisany już do innego interfejsu (zgodnie z algorytmem
równego obciążenia łącz zastosowanym w oprogramowaniu FiQs). Bieżącą zawartość tablic można
wyświetlać poleceniem: ipset -L, np. ipset -L wan2_ip pokaże listę IP, które aktualnie są przypisane do
interfejsu WAN2 (czyli ich ruch internetowy realizowany jest łączem WAN2).
WAN1_TO_HOST - określ IP lub hosty w sieci Internet, do których połączenia będą realizowane w całości
przez interfejs WAN1. Kilka wpisów rozdziel spacją. Podając domenową nazwę hosta licz się z wydłużeniem
czasu restartu ustawień z powodu potrzeby odpytania przez iptables serwera DNS i wstawienia do reguł
właściwych adresów IP. Przykład wpisu: ''onet.pl wp.pl''.
LB_WAN1_WEIGHT - waga (ważność, stopień wykorzystania) łącza dla load-balancing, gdy nie jest
używane statistic nth (LB_NTH_MARK jest wyłączone). Zazwyczaj nie wymaga zmian. Przykład wpisu: ''1''.
WAN1_WAN2_MONIT - gdy włączono LB dla MULTIWAN i WAN2_ON - sprawdza co 2 minuty łącza WAN i
w razie awarii automatycznie przypisuje wszystkich klientów do łącza działającego. Gdy łącze zacznie działać
poprawnie, wykonuje automatycznie restart do ustawień standardowych. Zdarzenia zapisywane są w pliku
/etc/intrux/.wan_log.
W pliku /usr/intrux/etc/wan1_wan2_monit.cfg określa się 3 hosty, do których jest wykonywany ping testowy
poprzez łącza WAN1 i WAN2. Standardowo znajdują się tam: wp.pl, onet.pl oraz gts.pl.
Częstotliwość sprawdzania (domyślnie co 2 minuty) można zmienić edytując zadanie crona w pliku
/etc/cron.d/intrux-wan-monit.
WAN2_ON - włączenie i sposób obsługi łącza WAN2. Możliwe wartości zmiennej, to yes, LB lub no (puste).
WAN2_DEV - określa interfejs drugiego łącza. Zazwyczaj jest to eth2.
WAN2_IP - określa adres IP na interfejsie WAN2.
WAN2_NET - określa adres sieci drugiego łącza. Należy podać adres sieci wraz z prawidłową maską (prefix)
w krótkiej formie, np. ''83.100.200.44/30''. Kreator intrux-netset ustawił tam już wcześniej właściwą wartość.
Jeśli jednak musisz dokonać zmian i nie wiesz, jaki powinien być prefix, użyj komendy:
ipcalc TU.ADRES.IP.WAN TU.PELNA.MASKA -p
np.: ipcalc 83.12.34.56 255.255.255.248 -p
WAN2_GTW - określa adres IP bramy (gateway) dla sieci drugiego łącza.
WAN2_DOWNLOAD - określa całkowitą prędkość pobierania (download) drugiego interfejsu w kbit.

Przykład wpisu: ''4000''.
WAN2_UPLOAD - określa całkowitą prędkość wysyłania (upload) drugiego interfejsu w kbit. Przykład
wpisu: ''500''.
WAN2_TCP_PORT - określa porty (usługi) protokołu tcp, z którymi połączenia klientów będą realizowane 2
łączem. Poszczególne wartości rozdzielamy spacją. Można stosować zakres portów. Przykład: ''80 443''.
26
WAN2_UDP_PORT - określa porty (usługi) protokołu udp, z którymi połączenia klientów będą realizowane
2 łączem. Poszczególne wartości rozdzielamy spacją.
WAN2_ICMP - włączenie obsługi protokołu icmp łączem WAN2.
WAN2_TO_HOST - określ adresy IP lub hosty w sieci Internet, do których połączenia będą realizowane w
całości przez interfejs WAN2. Kilka wpisów rozdziel spacją. Podając domenową nazwę hosta licz się z
wydłużeniem czasu restartu ustawień z powodu potrzeby odpytania przez iptables serwera DNS i wstawienia
do reguł właściwych adresów IP. Przykład wpisu: ''allegro.pl''.
używane statistic nth (LB_NTH_MARK jest wyłączone). Zazwyczaj nie wymaga zmian. Przykład wpisu: ''1''.
WAN2_USER_CEIL_DL_X - określa procentowe zwiększenie lub zmniejszenie prędkości pobierania w

kolejce klienta na 2 łączu. Jeśli wpiszemy np. wartość 150, to prędkość ceil (maksymalna) download
(określana w pliku client.cfg) w kolejce danego klienta utworzonej dla drugiego łącza będzie 1,5 razy większa
(150% wartości ceil).
WAN2_USER_CEIL_UL_X - określa procentowe zwiększenie lub zmniejszenie prędkości wysyłania w

kolejce klienta na 2 łączu. Jeśli wpiszemy np. wartość 50, to prędkość ceil (maksymalna) upload (określana
w pliku client.cfg) w kolejce danego klienta utworzonej dla drugiego łącza będzie o połowę mniejsza (50%
wartości ceil).
DL2_VDEV - określa interfejs kolejkowania download WAN2. Domyślnie imq2. Zazwyczaj nie wymaga
zmian i pozostaje puste. Jeśli fizyczny - podaj interfejs LAN (standardowo eth0).
UL2_VDEV - określa interfejs kolejkowania upload WAN2. Domyślnie imq3. Zazwyczaj nie wymaga zmian i
pozostaje puste. Jeśli fizyczny - podaj rzeczywisty interfejs WAN2 (standardowo eth2).
10.2.3 Opis zmiennych w plikach wan3.cfg i wan4.cfg (dla wersji 4xWAN)
WAN3_ON - włączenie i sposób obsługi łącza WAN3. Możliwe wartości zmiennej, to yes, LB lub no (puste).
WAN3_DEV - określa interfejs trzeciego łącza. Zazwyczaj jest to eth3.
WAN3_IP - określa adres IP na interfejsie WAN3.
WAN3_NET - określa adres sieci trzeciego łącza. Należy podać adres sieci wraz z prawidłową maską
(prefix) w krótkiej formie. Kreator intrux-netset zapewne ustawił tam już wcześniej właściwą wartość.
WAN3_GTW - określa adres IP bramy (gateway) dla sieci trzeciego łącza.
WAN3_DOWNLOAD - określa całkowitą prędkość pobierania (download) trzeciego interfejsu w kbit.
WAN3_UPLOAD - określa całkowitą prędkość wysyłania (upload) trzeciego interfejsu w kbit.
WAN3_TCP_PORT - określa porty (usługi) protokołu tcp, z którymi połączenia klientów będą realizowane 3
łączem. Poszczególne wartości rozdzielamy spacją. Można stosować zakres portów. Nie wolno podawać
takich samych portów w analogicznej zmiennej dotyczącej innego interfejsu WAN.
WAN3_UDP_PORT - określa porty (usługi) protokołu udp, z którymi połączenia klientów będą realizowane
3 łączem. Poszczególne wartości rozdzielamy spacją. Nie wolno podawać takich samych portów w
analogicznej zmiennej dotyczącej innego interfejsu WAN.
WAN3_ICMP - włączenie obsługi protokołu icmp łączem WAN3. Tylko dla jednego z łącz WAN można
ustawić jako włączone.
27
WAN3_TO_HOST - określ IP lub hosty w sieci Internet, do których połączenia będą realizowane w całości
przez interfejs WAN3. Kilka wpisów rozdziel spacją.
używane statistic nth (LB_NTH_MARK jest wyłączone w pliku multiwan.cfg). Przykład wpisu: ''1''.
WAN3_USER_CEIL_DL_X - określa procentowe zwiększenie lub zmniejszenie prędkości pobierania w

kolejce klienta na 3 łączu.
WAN3_USER_CEIL_UL_X - określa procentowe zwiększenie lub zmniejszenie prędkości wysyłania w

kolejce klienta na 3 łączu.
Analogicznie dla pliku wan4.cfg wszystkie ww. zmienne występują w stosownej

odmianie nazwy WAN4_ON, WAN4_DEV itd. i dotyczą one interfejsu WAN4.
Pamiętaj! Wszystkie ważniejsze zmiany w obrębie włączenia/wyłączenia danego

interfejsu WAN powinny być potwierdzone pełnym restartem interfejsów sieciowych lub
serwera (polecenie reboot z konsoli). W innym wypadku mogą występować istotne błędy mimo
prawidłowych wpisów i łącze nie będzie działać właściwie.
10.3 Pozostałe pliki konfiguracyjne
10.3.1 band.cfg
Plik definicji 20 opcjonalnych taryf prędkości (od T0 do T19). W konfiguracji prędkości klientów (plik
client.cfg lub moduł Klienci, urządzenia i powiadomienia) można odwoływać się do zdefiniowanych tu
prędkości używając nazw taryf.
Plik edytowany jest automatycznie poprzez moduł panelu Grupy, limity i taryfy prędkości .
Nie zaleca się więc jego edycji bezpośrednio z poziomu konsoli.
Taryfy można zdefiniować bardzo szczegółowo, podając wszystkie 4 elementy określające kolejkę:
download_rate;download_ceil;upload_rate;upload_ceil lub tylko 2 elementy: download_ceil;upload_ceil (rate
zostanie obliczone automatycznie). Poszczególne, 4 lub 2 elementy zmiennych rozdzielamy wyłącznie
średnikiem. Ponadto dla prędkości gwarantowanej (rate) oraz maksymalnej (ceil) można stosować słowo
auto. Nie można zmieniać nazw proponowanych zmiennych - obowiązują tu tylko podane T0,
T1, T2, T3... do T19.
Wartości dla prędkości gwarantowanej (rate) należy określać z rozwagą - podając przemyślane
28
parametry, aby suma prędkości rate nie przekroczyła wartości całości łącza! Nie jest wymagane używanie
tego pliku (wszak w client.cfg można podawać prędkości bezpośrednio). Przykład zawartości ww. pliku:
T0=''auto;auto''
T1=''auto;auto;auto;auto''
T2=''auto;256;auto;32''
T3=''auto;512;auto;64''
T4=''128;1024;32;128''
T5=''1;256;1;64''
T6="auto;auto;auto;auto"
10.3.2 client.cfg
To najważniejszy z plików konfiguracyjnych - zawiera listę klientów Twojego serwera. Z poziomu

panelu www plik ten jest automatycznie edytowany za pomocą modułu Klienci, urządzenia i powiadomienia .
Zalecamy konfigurację klientów sieci właśnie przy pomocy tego narzędzia. Edytując plik bezpośrednio w
poziomu konsoli należy pamiętać, iż po zapisaniu zmian w pliku należy wykonać restart lub restart-soft, a
dopiero później można ponownie zalogować się do panelu administracyjnego. Nigdy nie należy w tym
samym czasie dokonywać zmian ustawień przy pomocy konsoli i panelu www.
Plik client.cfg wraz z main.cfg to najważniejsze pliki konfiguracyjne systemu. Określa konfigurację
udostępniania Internetu i przydzielania pasma dla klientów (w kbit). Zawiera także loginy i hasła klientów dla
potrzeb autoryzacji PPPoE lub RACL.
Stosując wpisy określające oferowaną prędkość danego klienta o wartości auto zamiast konkretnych
liczb, prędkość ta jest automatycznie określana na maksymalną możliwą do osiągnięcia w danej chwili
(jednak ta dynamika realizowana jest wyłącznie przez sam algorytm - bez żadnego dodatkowego
''wspomagania''). Optymalną wartością dla maksymalnej ilości jednoczesnych połączeń (tcp syn) danego
klienta wydaje się być 200. Może mieć także wartość 0 (ograniczenie wtedy nie obowiązuje!). Limity ustawia
się w formie taryf od C0 do C9 zdefiniowanych w climit.cfg (lub z panelu w module Grupy, limity i taryfy
prędkości).
Poszczególne elementy rozdzielamy spacją.

Format wpisu:
IP DL/UL(dz.) DL/UL(noc) CLIMIT MAC INT. PUB WAN NAZWA ATR LOGIN HASLO INFO GRUPY
Przykłady wpisów:
192.168.1.2 256/32 auto C2 0 0 0 0 Kowalski 0 0 0 0
192.168.1.3 T3 1024/128 C3 0 ppp+ 0 0 Jan_Nowak pppoe t123 h123 0
192.168.1.4 auto auto 0 00:12:AB:34:CD:56 0 0 0 HOST_4
Jeśli używanie adresów MAC i podawanie interfejsu klienta nie jest konieczne - należy zastosować
wartość 0. Jeśli dla klienta jest wykonywany NAT (standard), w kolumnie PUB także powinno być 0. Gdy
dany klient ma być w całości ''obsługiwany'' tylko łączem WAN2 - w kolumnie WAN2 należy wpisać wartość 2
lub WAN2 - w przeciwnym wypadku: 0. Analogicznie dla pozostałych interfejsów WAN (np. 3 lub WAN3).
Przypisanie klienta do konkretnego łącza WAN ma najwyższy priorytet w podziale multiWAN. Dzięki temu
można łączyć metody podziału ''na usługi'' i ''na klientów''.
Jeśli jedna wspólna kolejka klienta o określonej prędkości ma być współdzielona przez
kilka adresów IP (kilka komputerów), należy poniżej standardowego wiersza wpisu dodać
kolejny wiersz zawierający bezpośrednio przed IP znak - (minus).
I tak np. wpisy:

192.168.1.4 512/128 auto C4 0 0 0 0 HOST_4
-192.168.1.3 auto auto C4 0 0 0 0 HOST_5
-192.168.1.49 auto auto 0 0 0 0 0 HOST_6
spowodują, iż komputery 192.168.1.3 oraz 192.168.1.49 będą limitowane we wspólnej kolejce klienta
29
192.168.1.4. Oznacza to przydzielenie wspólnej prędkości (zgodnie z ww. przykładem: 512/128) dla 3
różnych IP. Tak więc wpisy wartości prędkości w 2 i 3 kolumnie w wierszach z IP ze znakiem minus - nie
mają żadnego znaczenia. Jednak informacje typu adres MAC, nazwa hosta itp. - oczywiście brane są pod
uwagę.
10.3.3 climit.cfg
Plik konfiguracji limitu ilości połączeń klienta (connlimit tcp syn oraz hashlimit). Z poziomu panelu
www plik ten jest automatycznie edytowany za pomocą modułu Grupy, limityi taryfy prędkości. Najczęściej
stosowanym ustawieniem limitu dla klienta (gdy jest to np. 1 stanowisko komputerowe), jest 200 na 20.
Przykład zawartości pliku:
C0=''0;0''
C1=''100;10''
C2=''200;20''
C3=''500;0''
10.3.4 ipf.cfg
Konfiguracja przekierowania IP. Jeśli posiadasz kilka adresów publicznych, możesz udostępnić jeden
z nich klientowi w sieci LAN. Należy utworzyć alias na interfejsie internetowym przy wykorzystaniu danego,
udostępnianego IP (automatycznie przy pomocy zmiennej IPF_ALIAS_ON=''yes'' w main.cfg). Klient w sieci
LAN nadal używa adresu prywatnego, jednak na zewnątrz będzie widoczny pod udostępnionym adresem
publicznym. Ograniczenia prędkości i pozostałe parametry określone w client.cfg obowiązują bez zmian.
Poszczególne elementy rozdzielamy spacją (pojedynczą, wielokrotną) lub tabulatorem. Ustawienie wartości
max ilości połączeń na 0 oznacza brak ograniczenia.
Format wpisu:
ZEWN_IP LOKALNY_IP_LAN PROTOKOL CONNLIMIT (WAN2) (LAN) (SNAT)
Przykład:
120.34.45.156 192.168.1.30 all 0 WAN1 eth0 192.168.1.1
120.34.45.157 192.168.1.31 all 0
120.34.45.158 192.168.1.32 gre 200
arp 83.34.45.158 all 100
Wpis z użyciem słowa arp na początku tworzy przekierowanie przy użyciu proxy_arp (umożliwia to
ustawienie publicznego IP bezpośrednio na komputerze klienta, bądź innym urządzeniu docelowym w sieci
LAN). Uwaga - proxy_arp to zdecydowanie rozwiązanie „hybrydowe”, którego należy unikać w
poważnych zastosowaniach sieciowych!
Należy pamiętać, iż gdy stosujemy tego typu przekierowanie (proxy_arp), to po stronie klienta
konfigurujemy adresacje jego karty sieciowej ''ręcznie'' ustawiając mu publiczny adres IP użyty w 2 kolumnie
ww. pliku ipf.cfg (oczywiście ten sam adres musi być też dodany jako klient w client.cfg, czyli na liście
klientów serwera). Maskę na karcie klienta ustawiamy zgodną z maską interfejsu WAN (dane otrzymane od
dostawcy), a bramą dla klienta jest główne IP interfejsu WAN serwera (czyli zwykle to podane w zmiennej
INTERNET_IP main.cfg. Nie adres bramy serwera, czyli modemu!). DNS zaś ustawiamy zgodne z
otrzymanymi od dostawcy. W razie problemów wyłącz zmienne MAC_CHECK i GEN_ARP, nie podawaj adresu
MAC klienta na liście i po reboot sprawdź ponownie jego połączenie z internetem.
10.3.5 iserv.cfg
Konfiguracja usług serwera dostępnych na zewnątrz (od strony Internetu). Poszczególne elementy
rozdzielamy spacją (pojedynczą, wielokrotną) lub tabulatorem. Można protokół, port i IP zastępować słowem
30
all (udostępniając wszystkie protokoły, wszystkie porty i/lub dla wszystkich IP). Można stosować zakres
portów oraz porty rozdzielone przecinkiem. Uwaga! Jeśli konkretny port (nie all), to protokół nie
może być all! Konkretny port zawsze musi mieć określony konkretny protokół (tcp i/lub udp). Gdy wpis
dotyczy łącza WAN2, należy w ostatniej, opcjonalnej kolumnie wpisać wartość 2 lub WAN2.
Format wpisu:
PROTOKOL PORT IP_KLIENTA_WAN (WAN2)
Przykład:
tcp 80,443 all
tcp 20:22 all 2
all all 82.34.56.78
10.3.6 lan.cfg
Konfiguracja usług serwera dostępnych dla klientów w sieci lokalnej. Plik czytany jest przez
oprogramowanie, gdy zmienna LIMIT_LAN=''yes'' w pliku main.cfg. Poszczególne elementy rozdzielamy
spacją (pojedynczą, wielokrotną) lub tabulatorem. Można stosować słowo all dla protokołu i portu. Można
stosować zakresy portów oraz porty rozdzielone przecinkiem. Uwaga! Jeśli konkretny port (nie all), to
protokół nie może być all.
Format wpisu:
PROTOKOL PORT IP_KLIENTA/SIECI_LAN SERWER/SIEC_IP INTERFEJS
Przykład:
all all 192.168.1.0/24 192.168.1.0/24 eth0
udp 67,68 0.0.0.0 255.255.255.255 eth0
tcp 80 192.168.1.0/24 192.168.1.1 eth0
udp 137:138 192.168.1.0/24 192.168.1.0/24 eth0
10.3.7 mserv.cfg
Zawartość pliku generowana jest automatycznie - z reguły nie należy edytować go z

poziomu konsoli! Konfiguracja przekierowania portu 80. Żądania tego portu (www) przez klientów w sieci
LAN mogą być przekierowywane na lokalny port serwera (np. w celu wyświetlenia informacji od
administratora sieci). Poszczególne elementy rozdzielamy spacją. Jeśli w 3. kolumnie zastosujemy słowo all,
to klient traci dostęp do Internetu, a jego przeglądarka www jest cały czas przekierowywana na komunikat.
Komunikat potwierdzany po przeczytaniu wysyła się podając słowo on w 3. kolumnie.
Format wpisu:
IP_KLIENTA_LAN IP_SERWERA:PORT LIMIT
Przykład:
192.168.1.2 192.168.1.1:300 on
192.168.1.103 192.168.1.1:301 all
10.3.8 noport.cfg
Konfiguracja blokowania portów. Żądania klientów w sieci LAN do i z danego portu lub portów
(można stosować zakresy portów lub listę rozdzielaną przecinkiem) dla połączeń internetowych będą
natychmiast blokowane. Poszczególne elementy rozdzielamy spacją (pojedynczą, wielokrotną) lub
tabulatorem. Opcjonalna czwarta kolumna wiersza wpisu może przyjmować wartość raw. Wpis taki
powoduje określenie decyzji NOTRACK oraz odrzucenie połączeń z/do określonych portów już w tablicy raw.
Jest to skuteczne zabezpieczenie przed wirusami działającymi na konkretnych portach, a wpis taki nie
powoduje obciążenia serwera w przypadku wystąpienia licznych połączeń zawirusowanych komputerów.
Można także umieścić reguły blokad w tablicy security iptables (wpis sec).
31
Format wpisu:
PROTOKOL IP_KLIENTA_LAN PORT (raw/sec)
Przykład:
tcp 192.168.1.2 21,22,25
tcp 192.168.1.5 80 sec
udp 192.168.1.0/24 137:139,445 raw
tcp 0/0 23 raw
10.3.9 nostring.cfg
Plik konfiguracji blokowania połączeń, gdy wystąpi podany ciąg znaków. Dwa elementy rozdzielane
spacją (adres ip klienta oraz wyrażenie). Dla wiersza wpisu można użyć w 2 kolumnie wyłącznie jednego
pełnego ciągu znaków bez spacji. Opcja dla zaawansowanych. Nie działa przy jednoczesnym używaniu
proxy.
Format wpisu:
IP_KLIENTA_LAN WYRAŻENIE
Przykład:
192.168.1.5 mstring
10.3.10 notime.cfg
Plik konfiguracji blokowania połączeń klientów o określonej porze dnia oraz w wybranych dniach
tygodnia. Elementy rozdzielamy spacją lub tabulatorem.
Format wpisu:
IP_KLIENTA_LAN GODZ:START GODZ:STOP DNI,TYGODNIA
Przykład:
192.168.1.2 14:00 22:00 Mon,Tue,Wed,Thu,Fri,Sat,Sun
192.168.1.0/24 8:00 23:55 all
10.3.11 oplaty.cfg

poziomu konsoli! Plik zawiera bazę opłaconych m-cy przez klienta. Edytowany jest z poziomu panelu
administracyjnego.
10.3.12 p2pt.cfg
Konfiguracja blokowania rozpoznanego ruchu P2P w określonych porach czasu. Plik jest czytany
przez oprogramowanie, gdy zmienna P2P_DENY_TIME=''yes'' w main.cfg. Poszczególne elementy
rozdzielamy spacją (pojedynczą, wielokrotną) lub tabulatorem. Określenie all oznacza wszystkie dni
tygodnia. Gdy nadejdzie czas obowiązywania danego ograniczenia - połączenia nawiązane wcześniej nie
zostają zerwane, jednak nowe - rozpoznane połączenia P2P - nie będą mogły być nawiązane.
Format wpisu:
IP_KLIENTA_LAN GODZ:START GODZ:STOP DNI,TYGODNIA
Przykład:
192.168.1.20 14:00 23:55 Mon,Tue,Wed,Thu,Fri
192.168.1.20 7:00 23:55 Sat,Sun
192.168.1.0/24 9:35 18:20 all
32
10.3.13 portf.cfg
Konfiguracja przekierowania portów. Poszczególne elementy rozdzielamy spacją. (pojedynczą,

wielokrotną) lub tabulatorem. Zazwyczaj dany port powinien być dostępny z dowolnego adresu, więc w
piątej kolumnie stosuje się słowo all. Kolumny 6 i 7 są opcjonalne.
Kolumna 7 służy do wpisania interfejsu lokalnego i lokalnego IP serwera - bramy
klientów (2 elementy rozdzielone dwukropkiem, np. eth0:192.168.1.1). Wpis taki może być
wymagany, by dostać się do urządzenia, które standardowo nie pozwala na dostęp z adresu IP
spoza swojej własnej klasy adresowej.
Nie można udostępniać tego samego portu dla różnych klientów w sieci! Gdy wpis dotyczy
łącza WAN2, należy w 6 kolumnie wpisać wartość 2 lub WAN2. Analogicznie dla pozostałych łącz WAN.
Chcąc przekierować zakres portów, należy w 2 kolumnie rozdzielić zakres tradycyjnie dwukropkiem,
a w 4 kolumnie ten sam zakres powinien zostać rozdzielony znakiem minus (patrz przykład poniżej).
Format wpisu:
PROTOKOL ZEW_PORT LOKALNY_IP PORT IP_KLIENTA_WAN (WAN2) (LAN_DEV:IP)
Przykład:
tcp 6080 192.168.1.60 80 all WAN1 eth0:192.168.1.1
tcp 6081 192.168.1.61 80 all
udp 4443 192.168.1.43 4443 81.12.34.56
udp 5000:5100 192.168.1.51 5000-5100 all
10.3.14 proxy.cfg
Plik konfiguracji przekierowania klientów na serwer proxy. Plik czytany jest przez oprogramowanie,
gdy określona została zmienna PROXY_SERV pliku main.cfg w grupie "Ustawienia przekierowań". 3 elementy
(IP klienta, IP serwera proxy oraz jego port) rozdzielane spacją.
Format wpisu:
IP IP_SERWERA PORT
Przykład:
192.168.1.0/24 192.168.1.1 3128
10.3.15 racl.cfg

poziomu konsoli! Plik konfiguracji przekierowania na lokalną stronę autoryzacji przez formularz www. Plik
czytany jest przez oprogramowanie, gdy RACL=''yes'' w grupie ''Autoryzacja RACL'' pliku main.cfg. Wiersz
wpisu składa się z 5 elementów rozdzielonych spacją. Login i hasło nie mogą być dłuższe niż 30 znaków. Nie
mogą zawierać polskich liter z ''ogonkami''. Oprócz dużych i małych liter oraz cyfr, w loginie i haśle
dopuszczalne jest jeszcze użycie znaku podkreślenia, minusa, kropki oraz @.
Format wpisu:
IP_KLIENTA_LAN LOGIN HASLO STATUS INTERFEJS
Przykład:
192.168.1.2 login123 haslo123 on eth0
192.168.1.3 jan.kowalski trudne-haslo on eth0
33
10.3.16 addcmd.cfg
Plik może zawierać konkretne polecenia, komendy konsoli Linuksa, które zostaną wykonane
bezpośrednio po restarcie ustawień Firewall & QoS. Umożliwia np. dodawanie własnych reguł iptables, tras
routingu, czy też wykonywanie własnych, dodatkowych skryptów, czy restartu innych usług bezpośrednio po
restarcie ustawień FiQs. Opcja dla zaawansowanych.
10.3.17 grupy.cfg
Plik edytowany jest z poziomu panelu administracyjnego poprzez moduł Grupy, limity i
taryfy prędkości. Nie zalecamy edycji z poziomu konsoli. Zawiera listę zdefiniowanych grup. Z poziomu
panelu można utworzyć dowolną ilość grup o dowolnych nazwach - wg potrzeb. Może to być własny podział
wg dowolnego kryterium (np. klienci wifi i ''po kablu'', klienci 5GHz, klienci z danej ulicy, podsieci, podłączeni
do danego AP, firmy i osoby pryw., zalegający w opłatach itd itp...). Sam zdecyduj, jaki podział i jakie grupy
będą dla Ciebie przydatne. Danego klienta można przypisać z poziomu panelu do maksymalnie 5 grup
jednocześnie.
10.3.18 lan_list.cfg
Plik jest czytany, gdy w zmiennej LAN_LIST main.cfg wpisano: file lub lan_list.cfg (uwaga - zmienna
LAN_LIST jest nadpisywana przez intrux-netset). Zawiera listę sieci lokalnych LAN działających i mających
dostęp do routera. Format wpisu: interfejs-adres/sieci (np. eth0-192.168.1.0/24). Elementy rozdzielone
minusem. Każda sieć musi być wpisana w kolejnym wierszu pliku. Rozwiązanie zalecane, gdy posiadasz
większą ilość adresów, interfejsów sieci LAN (gdy dopisane do zmiennej LAN_LIST stają się nieczytelne ze
względu na jej długą zawartość). Kreator intrux-netset, gdy dodajemy alias na karcie LAN, domyślnie stosuje
ta formę określania dostępu sieci LAN (czyli właśnie poprzez plik lan_list.cfg, do którego dopisywane są
adresacje LAN).
Format wpisu (jak w samej zmiennej LAN_LIST main.cfg, tylko każda sieć w nowym wierszu):
INTERFEJS_LAN-SIEC
Przykład:
eth0-192.168.1.0/24
ppp+-10.10.10.0/24
10.3.19 snat.cfg
Plik snat.cfg jest czytany, gdy zmienną NAT_ON w main.cfg ustawiono na: file. Określa reguły SNAT
dla sieci lub klientów - standardowy NAT dla zapewnienia dostępu klasy prywatnej do Internetu.
Decydujesz, z jakim adresem interfejsu WAN klient będzie funkcjonował w Internecie. 3 elementy
rozdzielamy spacją - adres klienta lub sieci lokalnej, interfejs WAN oraz adres IP interfejsu WAN. Przykłady:
"192.168.1.25 eth1 83.12.34.56" lub "192.168.1.0/24 eth1 8.12.34.57". Każdy wpis w kolejnym wierszu
pliku. Rozwiązanie zalecane w celu optymalizacji i zmniejszenia ilości reguł w większych sieciach. Umożliwia
również szybkie, dowolne ustawienie z jakim adresem IP wychodzi dana podsieć, czy też klient. Pamiętaj,
iż dany adres IP interfejsu WAN (podawany w ostatniej kolumnie pliku snat.cfg) musi być na
nim uruchomiony! Sprawdź to poleceniem: ip a. W razie potrzeby edytuj więc uprzednio
/etc/sysconfig/network-scripts/alias-eth1 (lub alias-eth2 dla interfejsu WAN2), by uruchomić na danym
interfejsie WAN kolejne IP. W plikach alias-ethX dopisujemy kolejne ip wraz z prefiksem w nowym wierszu,
np.:
81.23.45.67/28
81.23.45.68/28
Po dokonaniu zmian - pamiętaj o restarcie interfejsów sieciowych i ustawień FiQs! Wykonaj:
/etc/intrux/restart-net
Format wpisu w snat.cfg:
34
IP_KLIENTA/SIECI_LAN INTERFEJS_WAN ADRES_IP_WAN

Przykład:
192.168.1.2 eth1 81.23.45.67
192.168.2.0/25 eth1 81.23.45.68
10.3.20 goodhosts.cfg
Plik goodhosts.cfg jest czytany, gdy w zmiennej GOODHOSTS w main.cfg wpisano słowo: file lub goodhosts.cfg.
W pliku tym można określić adresy hostów lub sieci, do których dostęp będzie możliwy zawsze (mimo ustawionych
blokad i przekierowań na powiadomienia dla klientów sieci). Każdy wpis (adres IP hosta lub sieci, bądź domena) w
kolejnym wierszu pliku. Uwaga - stosowanie nazw domenowych może znacznie wydłużyć przeładowanie ustawień
(iptables musi zamienić nazwę na adres IP przed dodaniem reguły).
10.3.21 precmd.cfg
Plik może zawierać konkretne polecenia, komendy konsoli Linuksa, które zostaną wykonane bezpośrednio przed
restartem ustawień Firewall & QoS. Umożliwia m.in. dodawanie własnych reguł iptables, czy też wykonywanie restartu
innych usług bezpośrednio przed restartem ustawień FiQs. Opcja dla zaawansowanych.
11. Autoryzacja użytkowników przez formularz www
11.1 Włączenie autoryzacji RACL
Jak już zapewne wiesz, by włączyć autoryzację użytkowników poprzez przeglądarkę www, należy
włączyć zmienną RACL (grupa ''Autoryzacja RACL'' w pliku main.cfg). Zmienna dostępna jest z poziomu
panelu www w module Ustawienia Firewall i QoS.
Gdy zmienną RACL_MODE ustawiono na ''return'', autoryzacja www dotyczy tylko klientów, dla
których wybrano taką metodę autoryzacji. Można wtedy stosować wymóg autoryzacji tylko dla części
klientów. Gdy jednak wartość tej zmiennej ustawiona jest na ''deny'' - autoryzacja obowiązuje bez wyjątku
wszystkich klientów w sieci LAN i bezwzględnie każdy z klientów w client.cfg musi mieć wybraną tę metodę
autoryzacji (oraz wpisany login i hasło).
W zmiennej RACL_LOGIN_ADDR określa się adres, na który zostaną przekierowani przy pomocy
DNAT autoryzowani klienci. Domyślnie jest to adres lokalnego serwera z VirtualHostem na porcie 399, gdzie
z kolei znajduje się strona zawierająca wpis redirect (czyli przekierowująca) na VirtualHost działający w
trybie szyfrowanym (SSL), na porcie 400 (strona z właściwym formularzem logowania). Zazwyczaj nie są
wymagane żadne zmiany domyślnego wpisu w tej zmiennej. Jeśli jednak nie chcesz korzystać z SSL (lub gdy
niektórzy użytkownicy sieci nie potrafią zaakceptować prywatnego certyfikatu m.in. przez irytujące
ostrzeżenia nadgorliwych przeglądarek www), możesz wybrać port 401.
Po stronie klienta i jego przeglądarki www nie są wymagane żadne dodatkowe zabiegi (poza
ewentualnym zaakceptowaniem prywatnego certyfikatu SSL przed wypełnieniem pól formularza logowania).
Rolą administratora jest jedynie przydzielenie i przekazanie klientowi informacji o jego loginie i haśle - nie
trzeba nic więcej konfigurować (jak ma to miejsce w przypadku połączeń PPPoE).
11.2 Kontrola aktywności, zabezpieczenia i ograniczenia
Informacje o prawidłowym logowaniu są zapisywane w pliku .log_ok w katalogu

/usr/intrux/www/vhosts/racl/. Aktywność klientów sprawdzana jest przy pomocy skryptu
35
/usr/intrux/bin/intrux-racl-chk uruchamianego (bądź nie) cyklicznie z cron-a co zadaną ilość minut (zgodnie z
wpisem w zmiennej RACL_CHK_TIME).
Podczas dokonywania zmian w ustawieniach konfiguracji, bądź w edycji klientów z poziomu panelu
administracyjnego www - wszystkie przyznane aktualnie uprawnienia dostępu dla autoryzowanych klientów
nie będą po każdorazowym restarcie oprogramowania wymagać ponownego potwierdzania (czyli
konieczności ponownego logowania klienta), gdyż restart jest wykonywany z jednoczesnym włączeniem
funkcji uprzedniego sprawdzenia i zachowania już przyznanych uprawnień (./rc.fiqs restart soft).
Pamiętaj, iż wykonując restart ustawień z poziomu konsoli bez użycia dodatkowego parametru soft -
uprawnienia są resetowane (klient będzie musiał ponownie się zalogować).
Uwaga! Po kilkukrotnej próbie logowania z użyciem błędnego loginu lub hasła - dostęp do strony
logowania dla IP danego klienta podejmującego nieudaną próbę zostanie trwale zablokowany. Stosując więc
tą metodę autoryzacji należy często i regularnie zaglądać do katalogu /usr/intrux/www/vhosts/racl oraz
racl_ssl i przeglądać każdy znaleziony plik o nazwie .log_{TU.ADRES.IP.KLIENTA}. Zawiera on cenne
informacje. Jeśli dany klient rzeczywiście kilka razy omyłkowo wpisał błędną wartość podczas logowania - w
celu usunięcia blokady należy usunąć stosowny plik .log_{TU.ADRES.IP.KLIENTA}.
Login i hasło klienta może składać się wyłącznie z małych i dużych liter (bez polskich ''ogonków''),
cyfr oraz znaków _ (podkreślenia), - (minusa), . (kropki) oraz @ (''małpy''). Tylko takich znaków można
używać podczas ustalania loginu i hasła dla klienta oraz w oknach formularza podczas logowania. Długość
loginu nie może składać się z więcej niż 30 znaków. Takie samo ograniczenie dotyczy długości hasła.
11.3 Pozostałe informacje
Na stronie wyświetlonej po poprawnym zalogowaniu można łatwo zamieścić dodatkową informację

dla wszystkich autoryzowanych użytkowników, bądź tylko dla konkretnego IP. Nie trzeba w tym celu
bezpośrednio ingerować w plik index.php. W katalogu /usr/intrux/www/vhosts/racl i racl_ssl znajduje się plik
o nazwie info.txt.tmp z przykładową zawartością informacji. Wystarczy zmienić jego nazwę na info.txt, a
jego treść zostanie automatycznie dodana do standardowej informacji, którą klient widzi po poprawnym
zalogowaniu. Jeśli plik ten skopiujesz w tym samym katalogu zmieniając jego nazwę na składającą się z IP
danego klienta (np. plik będzie się nazywał: 192.168.1.2), to klient o tym IP zobaczy jego zawartość po
zalogowaniu. W ten sposób można przekazać informację tylko konkretnemu użytkownikowi sieci. Kopiowanie
ze zmianą nazwy pliku docelowego najłatwiej jest wykonać przy pomocy mc (klawisz F5).
Wygląd strony logowania zaawansowany administrator może zmienić i dostosować, edytując zgodnie
z zasadami języka HTML, PHP, CSS. Właściwy plik index.php dostępny jest w ww. katalogu
/usr/intrux/www/vhosts/racl i racl_ssl. Jak nietrudno się domyślić, katalog racl to strona logowania bez SSL,
działająca na porcie 401, a katalog racl_ssl zawiera stronę dostępną na porcie 400 (https).
Jeśli autoryzacja RACL nie jest włączona, a do pliku racl.cfg dodawane są nowe aktywne wpisy, to
po restarcie oprogramowania może pojawić się w logu panelu informacja o braku pliku stanu dla danego
klienta - należy ją oczywiście zignorować, gdyż nie ma wpływu na działanie systemu.
12. Backup konfiguracji

Serwer standardowo raz na tydzień (w nocy z niedzieli na poniedziałek) wykonuje backup
najważniejszych katalogów, umieszczając pliki archiwum w katalogu /home/admin/backup/{DATA}. Dane z
poprzedniego tygodnia są po wykonaniu bieżącej kopii automatycznie usuwane, więc nie trzeba się obawiać,
że po jakimś czasie akurat z tego powodu zabraknie miejsca.
Ta obszerna kopia bezpieczeństwa może być wykonana również ''ręcznie'' poprzez wydanie
polecenia: /usr/intrux/bin/intrux-backup. Najistotniejsze jest archiwum etc.tar.gz.
36
Aby połączyć się z serwerem przy pomocy ftp w celu przeniesienia plików na swój komputer, należy
użyć loginu: admin oraz standardowego hasła: intrux14 (lub ustawionego samodzielnie przy pomocy
intrux-pass). Stosunkowo łatwo można również zarządzać zawartością katalogu domowego użytkownika
admin przez przeglądarkę www, wpisując np. adres ftp://admin:intrux14@192.168.177.14
13. Zbieranie i archiwizacja logów ulogd

Jeśli zmienna ULOG_ON=''yes'' w main.cfg (lub włączono ją z poziomu panelu www w module
Ustawienia Firewall i QoS), to w pliku /var/log/ulogd/ulogd_syslogemu.log (lub ulogd_pcap.log - zależnie od
wybranego formatu danych w zmiennej ULOG_FORMAT) zbierane są informacje o wszystkich połączeniach
klientów realizowanych za pośrednictwem routera.
Logi te pakowane są raz na dobę (lub częściej, jeśli tak wybrano) do katalogu /home/admin/logs/ i
za pośrednictwem połączenia FTP można przenosić je na swój lokalny komputer celem np. archiwizacji na
płycie DVD.
Znamy już sposób połączenia poprzez ftp z poprzedniego rozdziału. Dla przypomnienia - aby
połączyć się z serwerem przy pomocy ftp, należy użyć loginu: admin oraz standardowego hasła: intrux14
(lub innego, jeśli zostało zmienione przy pomocy intrux-pass). Łatwo można również zarządzać zawartością
katalogu domowego użytkownika admin przez przeglądarkę www, wpisując adres
ftp://admin:intrux14@192.168.177.14
Zdecydowanie zalecamy regularną archiwizację (przenoszenie i nagrywanie na trwały nośnik)

zawartości katalogu /home/admin/logs/.
Pamiętaj! Pliki archiwalne mogą okazać się przydatne w najmniej oczekiwanym

momencie, a gdy jesteś ISP - zbieranie tych informacji jest Twoim obowiązkiem. Kopiuj więc
regularnie i archiwizuj spakowane pliki - logi. Zgodnie z aktualnymi przepisami prawa okres
przechowywania logów połączeń to 1 rok.
14. Własna strona www

Pliki własnej strony www należy umieścić w katalogu /var/www/html/. Aby to uczynić, można w
znany już nam sposób przenieść stosowne pliki do katalogu użytkownika admin przy pomocy opisanego w
poprzednim rozdziale połączenia FTP. Skopiowane pliki z naszego dysku znajdą się w katalogu
/home/admin/. Musimy je przenieść do katalogu serwera www, więc kolejną czynnością będzie zalogowanie
się bezpośrednio do konsoli serwera lub poprzez SSH (np. przy użyciu programu putty). Następnie
uruchamiamy mc , przechodzimy w jednym oknie do katalogu /var/www/html/, w drugim oknie do
/home/admin/ i przenosimy (klawisz F6) stosowne pliki (czy też katalogi) do wspomnianego już, głównego
katalogu serwera www.
Przypominamy, iż serwer w domyślnej konfiguracji nie umożliwia nawiązania połączenia do swoich

usług, jeśli nawiązujemy je od strony WAN (Internetu). Od strony sieci lokalnej LAN domyślnie wszystkie
usługi są dostępne. Wyjątkiem jest SSH działające na nietypowym porcie 14014. Dostęp do pozostałych
usług określa się poprzez odblokowanie portów w pliku iserv.cfg. Edycję tego pliku można wykonać z
poziomu panelu administracyjnego (moduł Edycja plików konfiguracyjnych) lub bezpośrednio z poziomu
konsoli (/etc/intrux/iserv.cfg).
Tak więc gdy chcemy, aby serwer www był dostępny od strony Internetu, należy dodać wpis do ww.
pliku o treści: tcp 80 all. Jeśli www ma być dostępne także poprzez szyfrowane połączenie SSL (wpisujemy
37
w przeglądarce adres zaczynający się od https://), stosowny wpis może wyglądać tak: tcp 80,443 all. Jak
zapewne się domyślasz, możesz zezwolić tylko i wyłącznie na połączenia szyfrowane, czyli: tcp 443 all.
Taki rodzaj dostępu jest zalecany, gdy planujesz administrować serwerem zdalnie, gdy łączysz się z nim i
używasz panelu administracyjnego właśnie od strony Internetu. Wpisujesz wtedy w przeglądarce adres
https://TU.IP.SERWERA.WAN/intrux-admin/). Zwróć uwagę na literkę s (https) w adresie. Zaakceptuj w
przeglądarce (lub dodaj do wyjątków) prywatny certyfikat SSL Twojego serwera.
Jeśli natomiast usługa FTP ma być dostępna od strony Internetu, stosowny wiersz wpisu do iserv.cfg
powinien wyglądać tak: tcp 20:21 all. Gdy dany port (usługa) ma być dostępny tylko z określonych
adresów IP, w 3 kolumnie ww. pliku nie stosujemy słowa all, a podajemy konkretne IP komputera, z którego
będziemy łączyć się z serwerem. Więcej informacji znajduje się w opisie pliku iserv.cfg w niniejszej instrukcji.
15. Uruchomienie i konfiguracja PPPoE

Serwer PPPoE nie jest standardowo uruchomiony. O jego uruchomienie pyta kreator intrux-netset.
Możesz go włączyć także poleceniami: service pppoe-server start oraz chkconfig pppoe-server on.
Jeśli serwer wymaga zmiany konfiguracji, należy jej dokonać edytując pliki /etc/ppp/options oraz
/etc/ppp/pppoe-server-options.
Użytkowników korzystających z tego rodzaju połączenia oprogramowanie INTRUX Firewall & QoS
dodaje automatycznie do pliku /etc/ppp/chap-secrets zgodnie z formatem wpisu:
nazwa_klienta * hasło_klienta adres_ip_klienta
Pliku chap-secrets nie należy więc edytować z poziomu konsoli.
Aby klienci mogli korzystać także z dowolnych usług serwera, w pliku main.cfg (moduł Ustawienia
Firewall i QoS w panelu www) dla zmiennej LAN_LIST powinien istnieć także (lub wyłącznie) wpis
zawierający interfejs ppp+ (np. ppp+-10.10.10.0/24). Oczywiście możesz także przy pomocy wpisów w pliku
lan.cfg (jeśli wcześniej ustawisz LIMIT_LAN=''yes'') ustawić bardzo szczegółowo dostęp na tym interfejsie
tylko do konkretnych usług i z konkretnych adresów IP.
Jeśli chciałbyś zwiększyć bezpieczeństwo, to dla klientów PPPoE warto stosować adresy IP, które nie
należą do klasy adresowej działającej w protokole TCP/IP na interfejsie LAN. Mogą to być zupełnie różne
adresy. Jeśli jeszcze dodatkowo w client.cfg (lub w panelu www w okienku ''Interfejs'') podamy dla takiego
klienta jako interfejs ppp+, spowoduje to działanie dostępu do Internetu tylko i wyłącznie po poprawnym
zalogowaniu przez PPPoE.
Ustawienia zaawansowanych parametrów konfiguracji pppoe-server i pppd wykonuje się w plikach

/etc/ppp/pppoe-server-options i /etc/ppp/options. Zazwyczaj domyślne wpisy są odpowiednie, lecz
nie zawsze!
Uwaga! Proponowana konfiguracja serwera PPPoE w systemie INTRUX Firewall & QoS
wymaga użycia podczas logowania wyłącznie bezpiecznego protokołu MS-CHAP v2 przez
klienta. W większości zastosowań jest to właściwy wybór zapewniający profesjonalną, bezpieczną
autoryzację.
Jednak starsze routery sprzętowe mogą wymagać CHAP. Edytuj wtedy ww. pliki w katalogu
/etc/ppp/ zakomentowując lub usuwając stosowne wiersze typu refuse-* w pliku pppoe-server-options oraz
wiersze -chap, -mschap (lub zamieniając je na +chap, +mschap) w pliku options. Po dokonaniu zmian,
wydaj polecenie: service pppoe-server restart
Pamiętaj, iż używając PPPoE w sieciach WLAN, musisz zadbać o dobrą jakość sygnału radiowego do
klienta! Ponadto zalecane jest, aby na komputerze łączącym się przy pomocy PPPoE, został wyłączony
protokół TCP/IP na karcie sieciowej.
38
Jeśli nie korzystasz z PPPoE i usługa serwera PPPoE jest zbędna w Twojej sieci - wyłącz ją
poleceniem: chkconfig pppoe-server off oraz service pppoe-server stop.
Domyślnym interfejsem serwera PPPoE na routerze jest LAN (eth0). Jeśli wymagana jest zmiana,
należy edytować bezpośrednio plik startowy demona: /etc/init.d/pppoe-server i odpowiednio zmienić lub
powielić wiersz w sekcji start(): daemon /sbin/$prog -I eth0 …
16. Uruchomienie serwera proxy Squid

Serwer proxy Squid w standardowej konfiguracji nie jest włączony. Jego przydatność powinna
być przemyślaną, indywidualną decyzją administratora danej sieci. Pamiętaj, iż stosowanie
proxy ma swoje zalety oraz wady. My po prostu nie zalecamy korzystania z proxy - Ty oczywiście
możesz mieć inne zdanie.
Przed włączeniem proxy przy pomocy poleceń: service squid start oraz chkconfig squid on
należy edytować plik /etc/squid/squid.conf oraz opcjonalne pliki powiązane w /etc/squid/. Ważne jest
dostosowanie konfiguracji serwera Squid do własnych potrzeb poprzez edycję parametrów ww. pliku. Ale
domyślne wartości również mogą być wystarczające i odpowiednie. Edycja jest jednak niezbędne, gdy
dodano więcej niż 1 adres (alias) po stronie LAN. Kreator intrux-netset już ustawił stosowne wartości
adresacji pierwszej sieci lokalnej w ''includowanych'' do squid.conf plikach squid.intrux.acl oraz IP serwerów
DNS w squid.intrux.dns.
Zmiana pozostałych parametrów to już kwestia indywidualnych potrzeb i preferencji administratora

sieci. Więcej na temat parametrów konfiguracyjnych znajduje się w obszernej dokumentacji Squid. Po
ewentualnej zmianie katalogu dla cache squid, należy wykonać polecenie: service squid restart.
Jeśli serwer Squid zostanie włączony, to aby przekierować wszystkich, bądź wybranych klientów sieci
LAN na serwer proxy, należy bezpośrednio w pliku main.cfg (lub łatwiej poprzez panel www w module
''Ustawienia Firewall i QoS'') włączyć zmienną PROXY_SERV (powinna zawierać wartość ''yes'' lub
''REDIRECT'') oraz wypisać klientów (bądź całą sieć LAN) w pliku proxy.cfg. Standardowo serwer proxy działa
na porcie 3128.
Domyślna konfiguracja QoS przy włączonym proxy może okazać się nieodpowiednia, gdyż ruch proxy
będzie obsługiwany wspólną kolejką usługową QOS_ROUTER. Takie rozwiązanie na ogół nie jest
odpowiednie dla większości sieci!
Gdy korzystamy z proxy - zalecane jest wykonanie niestandardowego kolejkowania na interfejsie

LAN (zmienna LAN_QOS_DEV w grupie ''Pozostałe ustawienia'' powinna zawierać wpis ''eth0'' lub
''eth0 ppp+''). Kierujemy wtedy do IMQ interfejs LAN (standardowo, gdy brak jest wpisu w zmiennej
LAN_QOS_DEV - jest to WAN). Squid oraz oprogramowanie INTRUX Firewall & QoS zostały tak
przygotowane, by przy takiej konfiguracji elementy pochodzące bezpośrednio z cache Squid (HIT) nie
podlegały ograniczeniom kolejki klienta (czyli dotrą do klienta z dużo wyższą prędkością), natomiast
pozostały ruch będzie tradycyjnie ograniczany określoną kolejką każdego klienta.
Pamiętaj! Wszystkie dostępne możliwości konfiguracji kolejkowania (WAN do IMQ, LAN do IMQ czy
też kolejki bezpośrednio na interfejsach fizycznych bez użycia IMQ) mają swoje zalety i wady. Użycie PPPoE
oraz Squid dodatkowo to komplikuje - stosowanie kilku usług i rozwiązań jednocześnie może wykluczać
użycie danego sposobu kolejkowania. Ważne jest poprawne ustawienie wszystkich parametrów w zależności
od charakteru danej sieci, ilości klientów i rodzaju ruchu sieciowego, który występuje najczęściej. Niestety -
zastosowanie proxy komplikuje działanie wielu różnych funkcjonalności systemu.
Należy także pamiętać, iż pełne zalety serwera proxy można docenić dopiero po zastosowaniu
bardzo wydajnego sprzętu. Istotne jest, aby cache squid było na odrębnym, szybkim dysku twardym, a
serwer posiadał dużą ilość pamięci RAM.
39
17. Kolejne interfejsy LAN, aliasy IP, interfejsy VLAN

Aby uruchomić kolejny interfejs fizyczny LAN (odrębna karta sieciowa), należy edytować odpowiedni
dla niego plik w katalogu /etc/sysconfig/network-scripts/ (np. ifcfg-eth3). Aby interfejs był włączony, należy
ustawić zmienną ONBOOT=yes. Zmienne IPADDR i NETMASK należy ustawić zgodnie z wymaganiami, np.
IPADDR=192.168.152.1, NETMASK=255.255.255.0. Jeśli wcześniej umieściłeś nową kartę sieciową w
routerze - pamiętaj o zasadach opisanych w punkcie 20 niniejszej instrukcji (uruchom: intrux-udev).
Aby na interfejsie LAN (np. standardowym eth0), na tej samej karcie sieciowej uruchomić kolejne
adresy IP (wykonać tzw. alias), należy edytować plik /etc/sysconfig/network-scripts/alias-eth0 dopisując
adres wraz z prefixem, np.: 192.168.33.1/24 (każdy kolejny wpis w nowym wierszu pliku).
Po dokonaniu zmian należy wydać polecenia: service network restart oraz service named
restart lub ponownie uruchomić serwer (polecenie reboot).
Należy także pamiętać o dodaniu każdej sieci w zmiennej LAN_LIST pliku main.cfg (zmienna
dostępna z panelu w module Ustawienia Firewall i QoS - ''Podstawowe ustawienia sieci''). Przykład wpisu:
LAN_LIST=''eth0-192.168.1.0/24 eth3-192.168.2.0/24 eth0-10.10.10.0/24'' lub gdy LAN_LIST zawiera słowo
file czy też lan_list.cfg - dodanie kolejnych wierszy sieci do pliku lan_list.cfg.
Gdyby dla kolejnej sieci miała także działać usługa dhcpd - należy przebudować odpowiednio plik
/etc/intrux/def/dhcpd.conf lub któryś z powiązanych, ''includowanych'' *.sub i *.dns.
Kreator intrux-netset pytając o kolejne aliasy dokonuje zmian w kilku odpowiednich plikach
ustawiając także sieci dla DHCP w ww. plikach konfiguracyjnych. Warto więc korzystać z tego narzędzia, by
mieć pewność poprawnej konfiguracji tych podstawowych parametrów dla nowej adresacji.
Jeśli serwer DHCP ma działać także na innym interfejsie poza eth0 - zmień odpowiednio
wpis w pliku /etc/sysconfig/dhcpd (standardowo zmienna DHCPDARGS="eth0"). Dopisz nowy
interfejs, np. DHCPDARGS="eth0 eth3". Następnie wykonaj: service dhcpd restart.
Jeśli jest taka potrzeba, to aliasy IP można także uruchamiać na interfejsach WAN. Dla
przekierowanych IP w pliku ipf.cfg aliasy dodawane są automatycznie. Można jednak zdecydować inaczej i
wyłączyć automat poprzez ustawienie w main.cfg zmiennej IPF_ALIAS_ON=''no'' zamiast ''yes''.
W przypadku chęci uruchomienia interfejsu VLAN należy utworzyć plik na bazie pliku
/etc/sysconfig/interfaces/ifcfg-eth0 lecz o nazwie np. ifcfg-eth0.20 (w tym samym katalogu) z odpowiednią
zawartością (czyli zmienna DEVICE="eth0.20") i oczywiście z ustalonym adresem w zmiennej IPADDR. Czyli
jako root z konsoli wykonujemy polecenia:
cd /etc/sysconfig/interfaces
cp ifcfg-eth0 ifcfg-eth0.20
mcedit ifcfg-eth0.20
Edycja zmiennych DEVICE i IPADDR, dopisanie nowego wiersza u dołu o treści:
VLAN=yes
zapisanie zmian, wyjście z edytora, a następnie restart:
service network restart (lub lepiej: /etc/intrux/restart-net)
Po czym już poleceniem ifconfig lub ip a możemy zobaczyć podniesiony interfejs vlan eth0.20
Należy także pamiętać, by do zmiennej LAN_LIST w /etc/intrux/main.cfg (lub do pliku lan_list.cfg – zależnie,
co jest używane) dodać tą nową sieć.
40
18. Pozostałe usługi serwera

Serwer w standardowej konfiguracji posiada kilka usług, które choć obecne, specjalnie nie są
włączone. Przydatność konkretnych usług lub konieczność ich używania powinna być
przemyślaną, indywidualną decyzją - zależnie od aktualnych potrzeb lub preferencji
administratora sieci.
Obowiązują tu zasady, jak w każdym systemie linuksowym - prawie każdą wymaganą usługę można
samodzielnie doinstalować, czy skompilować, skonfigurować i uruchomić.
Usługi instalowane standardowo z pakietów dystrybucji można ''włączyć do autostartu'' przy pomocy
chkconfig, np. chkconfig mysqld on. Aby włączyć daną usługę, która obecnie nie jest uruchomiona, należy
użyć polecenia service, np. service squid start, a restart danej usługi wykonujemy z oczywistym
parametrem restart, np. service smb restart.
Po włączeniu serwera MySQL (service mysqld start oraz chkconfig mysqld on) można
zarządzać bazą danych poprzez panel phpMyAdmin dostępny pod adresem
http://192.168.177.14/myadmin/ (login: root, hasło: intrux14). Tradycyjnie już - gdy IP serwera
zostało zmienione - ww. adres będzie odpowiednio różny w części przed /myadmin/.
Uwaga! Znany Ci już dobrze kreator zmiany haseł (intrux-pass) nie pyta i nie zmienia
hasła dla mysql. Należy to zrobić z poziomu ww. panelu phpMyAdmin.
Shell In A Box, pełnowartościową konsolę linuksową obsługiwaną w przeglądarce www

uruchamia się wydając polecenie: service shellinaboxd start oraz chkconfig shellinaboxd on
Działa ona domyślnie w tej wersji na porcie 54200 (można to zmienić edytując zmienną PORT w pliku
/etc/sysconfig/shellinaboxd). Jeśli usługa ma być dostępna także od strony WAN - pamiętaj o dodaniu
stosownego wpisu w pliku iserv.cfg. Używaj z rozwagą!
By uruchomić Zabbix, należy wydać polecenia: service zabbix-server start oraz chkconfig
zabbix-server on. Panel administracyjny Zabbix dostępny jest pod adresem
http://TU.IP.TWOJEGO.SERWERA/zabbix/ (login: admin, hasło: intrux14). Po zalogowaniu możesz
utworzyć odpowiednie grafiki zgodnie z potrzebami. Więcej informacji na temat konfiguracji tego obszernego
i skomplikowanego narzędzia jakim jest Zabbixa znajdziesz na pewno w zasobach internetu i w oficjalnej
dokumentacji serwisu.
Analogicznie rzecz wygląda w przypadku monitora SmokePING: service smokeping start,

chkconfig smokeping on. Konfigurację wykresów wykonuje się w pliku /etc/smokeping/etc/config.in. Po
dokonaniu zmian najlepiej restartować usługę skryptem /etc/smokeping/etc/restart, gdyż wymagany jest
restart 2 usług: Apache (httpd) oraz smokeping. Strona usługi dostępna jest pod adresem
http://TU.IP.TWOJEGO.SERWERA/smokeping/smokeping.fcgi
Dodatkowe statystyki sieci Bandwidthd również tak się uruchamia: service bandwidthd start. Plik
konfiguracyjny tej usługi, gdzie określa się m.in. adresacje monitorowanych podsieci to
/etc/bandwidthd.conf. Po zmianach należy wydać polecenie restartu usługi: service bandwidthd restart
Statystyki dostępne będą pod adresem: http://TU.IP.TWOJEGO.SERWERA/bandwidthd/
Statystyki vnStat uruchamia się poleceniem: vnstatd -d --config /etc/vnstat.conf

Strona z wykresami - analogicznie jak w ww. przykładach: http://TU.IP.TWOJEGO.SERWERA/vnstat/
W przypadku statystyk rzeczywistych darkstat - dostępne są wyłącznie od strony LAN serwera.
Panel UniFi Controller do scentralizowanego zarządzania urządzeniami Ubiquiti wymaga

uruchomienia z konsoli usługi: service UniFi start, chkconfig UniFi on. Należy także odblokować ruch na
konkretnych portach, aby kontroler bez przeszkód był dostępny i komunikował się z urządzeniami Ubiquiti w
infrastrukturze naszej sieci LAN. Stosowne, domyślnie zakomentowane wpisy znajdują się w
/etc/intrux/addcmd.cfg (porty tcp: 8080,8081,8443,8880,8843,27117 i udp: 3478). Po uruchomieniu usługi,
41
podczas pierwszego uruchomienia panelu stosowny kreator pozwoli ustawić wymagane parametry
logowania. Gdyby kontroler miał być dostępny od strony WAN, pamiętaj o dopisaniu w iserv.cfg stosownego
wiersza dla portu tcp 8443.
Narzędzie NTOP przed uruchomieniem swojego panelu dostarczającego wielu przydatnych

informacji na temat bieżącego ruchu sieciowego wymaga odpalenia usługi z konsoli, tradycyjnie poleceniem:
service ntop start, następnie: chkconfig ntop on (jeśli ntop ma być automatycznie uruchamiany podczas
restartu serwera). Panel ten działa na porcie 3000. Domyślne dane logowania to: admin, hasło: intrux14.
Panel PHPVirtualBox do zarządzania maszynami wirtualnymi VirtualBox przez stronę www wymaga
uprzednio uruchomienia 2 usług z poziomu konsoli: service vboxdrv start, service vboxweb-service start,
chkconfig vboxdrv on, chkconfig vboxweb-service on. Dane do zalogowania w panelu: admin, hasło: admin.
Dokumentacja znajduje się na www.virtualbox.org/manual/
Oczywiście nasz zestaw oprogramowania INTRUX Firewall & QoS służy do określonych celów i
uruchamianie innych, dodatkowych usług na routerze powinno być świadome i uzasadnione.
Jest to też kwestia wyłącznie samodzielnych działań administratora - nie oferujemy wsparcia dla
konfiguracji innych usług poza oferowanymi przez nas funkcjami oprogramowania FiQs (Firewall & QoS) i
usługami serwera ściśle powiązanymi, czy bezpośrednio zależnymi.
19. Przydatne programy i polecenia

Przydatnym programem w niektórych sytuacjach jest arpwatch. Umożliwia on zbieranie informacji o
hostach pojawiających się w sieci. Informuje także o niewłaściwych zmianach adresów mac. Aby go włączyć,
należy wydać polecenie service arpwatch start. Nie jest zalecane, aby arpwatch był uruchomiony cały
czas. Zebrane przez program informacje o pojawiających się w sieci urządzeniach oraz ewentualne
ostrzeżenia o nieprawidłowościach będą zbierane w pliku /var/log/deamon. Jeśli arpwatch ma nasłuchiwać
także na innych interfejsach LAN, to należy zmodyfikować wpis w pliku /etc/sysconfig/arpwatch. Domyślnie
zmienna OPTIONS zawiera w wierszu wpis -i eth0. Należy dopisać kolejne za nim, np.: -i eth0 -i eth2.
Następnie wydajemy polecenie: service arpwatch restart.
Do doraźnej obserwacji natężenia ruchu sieciowego polecamy znane konsolowe narzędzia: iftop
oraz iptraf. Iftop można uruchomić na konkretnym interfejsie (domyślnie działa na eth0) i z dodatkowymi
parametrami, np. iftop -PNn -i eth1 (aby dowiedzieć się więcej, wydaj polecenie iftop -h). Najczęściej
stosowanym będzie: iftop -i eth0 (a po uruchomieniu można wcisnąć po sobie literki s oraz t, by lista stała
się czytelniejsza).
Bieżące obciążenie serwera można wyświetlić przy użyciu programu htop, a ogólne obciążenie
interfejsów można podejrzeć przy pomocy nload (klawiszem strzałki w prawo przełączymy kolejną stronę
interfejsów), nload -m wyświetli ruch wszystkich interfejsów na jednej stronie.
Aktualne wykorzystanie interfejsów sieciowych można obserwować także przy użyciu: bwm-ng
Program pktstat (uruchomiony z parametrem -i eth0) wyświetli szczegółową listę aktualnych

połączeń na danym interfejsie.
Wydając komendę dmesg możemy zapoznać się z ostatnimi wpisami zanotowanymi przez syslog.
Aby przewinąć ekran w górę, należy wcisnąć klawisz Shift i trzymając wciśnięty, naciskać klawisz PgUp. Te
same wpisy możemy także odczytać w tradycyjny sposób - znajdują się w plikach w katalogu /var/log/.
Przy pomocy conntrack -L wyświetlimy zawartość tablicy conntrack (czyli aktualnie śledzone i
utrzymywane przez router/serwer połączenia). Statystyki conntrack wyświetlisz poleceniem: conntrack -S
lub -C. Uwaga! Poleceniem conntrack -F usuniemy wszystkie istniejące sesje z tablicy, zrywając tym
samym wszystkie aktualne połączenia klientom! Nie zalecamy nieuzasadnionego użycia tej metody!
42
Aby zobaczyć zawartość tablic ipset - wydaj polecenie: ipset -L
Program arp-scan szybko wyświetli aktualnie aktywne IP na danym interfejsie, uruchom np.:
arp-scan -I eth0 -l
Otwarte porty serwera (działające usługi) można wyświetlić przy pomocy netstat -ant (dla
protokołu TCP) oraz netstat -anu (dla UDP). Lub wszystko, np.: natstat -antup
Poleceniem df -h sprawdzimy zajętość partycji dysku twardego, a free -m pokaże wielkość

używanej i zajętej pamięci RAM oraz partycji swap.
By dodać kolejnego, własnego użytkownika systemu (założyć kolejne konto w systemie) -

obowiązują zasady, jak w każdym systemie Linuksowym. Poleceniem: useradd -m {TU.NAZWA.USERA}
dodamy nowe konto o podanej nazwie tworząc jednocześnie katalog domowy użytkownika w katalogu
/home, a poleceniem: passwd {TU.NAZWA.USERA} - ustalimy dla niego hasło dostępu. Po utworzeniu
takiego konta - od razu można się na nie zalogować lokalnie, poprzez SSH, jak i z użyciem klienta FTP.
Możesz zajrzeć również do katalogu /usr/intrux/misc/ - znajdziesz tam kilka, być może Tobie
przydatnych skryptów.
20. Gdy wymieniasz kartę lub karty sieciowe
Uwaga! Zmiana kart sieciowych zazwyczaj spowoduje konieczność ponownej rejestracji routera.
Prawidłowy sposób postępowania w przypadku wymiany karty lub kart sieciowych:
1. Usuń plik /etc/udev/rules.d/69-net.rules. Możesz to zrobić po zalogowaniu na konsolę jako root,

wydając polecenie: rm /etc/udev/rules.d/69-net.rules lub jeszcze prościej, tylko: intrux-udev-del
2. Wyłącz router przyciskiem na obudowie lub poleceniem: halt
3. Teraz wymień kartę lub karty sieciowe.
4. Uruchom ponownie router. Uwaga! Karty sieciowe mogą zostać wykryte i ustawione przez
udev w innej kolejności, niż poprzednio! Następnie zaloguj się jako root i wydaj polecenie:
/etc/intrux/rc.fiqs start lub /etc/intrux/start
5. Pamiętaj! Aby zaakceptować nowe karty i zatwierdzić ich układ (by podczas kolejnego uruchomienia
nie zostały ustawione w innej kolejności) - wydaj polecenie: /usr/intrux/sbin/intrux-udevinfo-net lub jeszcze
prościej, tylko: intrux-udev
Teraz możliwa jest także opcjonalna zmiana kolejności wykrytych kart sieciowych poprzez edycję
pliku /etc/udev/rules.d/69-net.rules. Wszak możesz chcieć, mimo iż system wykrył karty w innej kolejności,
przypisać określoną kartę do LAN, a inną do WAN - Ty decydujesz! Pamiętaj, iż w ww. pliku podczas edycji
zmienia się tylko nazwę interfejsu w ostatniej części wiersza wpisu danej karty, np. z ''eth1'' na ''eth0'' i
odwrotnie. Udev wykrywa MAC karty i do niego przypisuje nazwę interfejsu.
Po zmianach tego typu oczywiście należy wykonać reboot. Zmiany takie skutkują także
koniecznością ponownej rejestracji oprogramowania.
Jeśli system przywrócił wersję startową i należy ponownie zarejestrować router - uruchom go raz
jeszcze (wykonaj reboot). Jeśli wszystko jest w porządku po kolejnym uruchomieniu - zarejestruj router
ponownie poprzez panel administracyjny - kliknij ikonkę Rejestracja i aktualizacja . Dodaj stosowny
komentarz w formularzu rejestracji - opisz krótko powód kolejnej rejestracji, by ułatwić nam
poprawną weryfikację takiego zgłoszenia.
43
21. Współpraca z programem PYXIS

Aktualna wersja programu PYXIS (baza danych dla ISP) dostępna jest do pobrania ze strony www
autora - http://pyxisisp.pl. Tam też znajdziesz instrukcje oraz dane kontaktowe, jeśli po zakupie
programu będziesz chciał skorzystać z pomocy technicznej.
Aby nasz router z oprogramowaniem FiQs przyjmował i reagował na dane wysyłane z programu
PYXIS - należy jednorazowo jako root z konsoli systemu wydać polecenie pyxis. Uruchomimy wtedy
specjalnego demona oraz ustalimy hasło dla użytkownika pyxis. Domyślnie po instalacji demon już
działa, a domyślne hasło dla użytkownika FTP pyxis, to: intrux14 (mogłeś już oczywiście zmienić przy
pomocy kreatora zmiany wszystkich haseł: intrux-pass).
Następnie stosowne dane wpisujemy w zakładce konfiguracji programu PYXIS (menu Opcje-
>Konfiguracja->zakładka INTRUX). Więcej informacji znajdziesz w dokumentacji programu. Dane z
programu wysyłane są przy użyciu protokołu FTP (na routerze z FiQs serwer ProFTPD jest już domyślnie
uruchomiony i działa).
Od strony LAN nie powinno być żadnych problemów z połączeniem. Od strony WAN, czyli gdy chcesz
łączyć się i wysyłać dane z programu PYXIS zdalnie od strony Internetu pamiętaj, być port 21 był
odblokowany w pliku iserv.cfg (wpis: tcp 20:21 all) a zmienna TCPSYN_LIMIT w main.cfg miała wysoką
wartość limitu, bądź najlepiej była pusta.
Program PYXIS od wersji 4 korzysta z baz danych SQL. Serwer MySQL w systemie FiQs w wersji 14
posiada już właściwie założoną bazę danych dla programu i można z niej oczywiście skorzystać, jeśli nie nie
chcemy korzystać z bazy uruchomionej na lokalnym komputerze z programem. Nazwa bazy danych to
PYXIS4SQL, użytkownik również: PYXIS4SQL, a hasło domyślne: intrux14
Jak wspomniano już wcześniej - samo uruchomienie serwera baz danych MySQL wymaga wydania
jako root z konsoli poleceń: service mysqld start oraz chkconfig mysqld on. Uwaga - dostęp do bazy
danych od strony WAN wymaga udostępnienia portu tcp 3306 w pliku iserv.cfg (używaj z rozwagą - najlepiej
ogranicz dostęp tylko z konkretnego adresu IP).
22. Współpraca z programem „Intrux Monitor”

Windowsowy program Intrux Monitor powstał jako alternatywa w wyniku braku możliwości dalszego
korzystania z popularnego niegdyś komunikatora Gadu-Gadu jako odbiorcy powiadomień o niedziałających
urządzeniach w sieci (moduł „Monitorowanie urządzeń”). Serwer z FiQs umożliwia generowanie pliku
powiadomień, który poprzez protokół http lub https jest na bieżąco monitorowany przez ww. program Intrux
Monitor.
W celu ustanowienia prawidłowej komunikacji w serwerze z FiQs 14 należy w module „Konfiguracja

kont i opcji panelu” ustalić login i hasło dostępowe dla programu. W samym zaś programie należy po
wciśnięciu przycisku „Konfiguracja”, w zakładce „Opcje” pozostawić domyślny wpis dla wartości „Ścieżka
zdalna”, czyli: /intrux-monit-log/, natomiast w zakładce „Serwery” należy wcisnąć przycisk „Dodaj” i wpisać
dane naszego serwera (adres IP, login i hasło).
Oczywiście jeśli łączymy się z serwerem od strony WAN - należy tradycyjnie udostępnić port 80 lub
443 (gdy wybrano https, czyli SSL w konfiguracji Intrux Monitor) w pliku iserv.cfg.
Program jest dostępny do pobrania pod adresem www: download.intrux.net.pl/monitor/

Po rozpakowaniu do dowolnego katalogu należy uruchomić plik IntruxMonitor.exe.
44
23. Serwery OpenVPN oraz OpenVPN-ecc i współpraca z

programem sToken Access Center
W komplecie oprogramowania jest obecny serwer OpenVPN 2.4.7 (openvpn.net), wstępnie

skonfigurowany tak, by móc szybko go uruchomić i połączyć się. Standardowo uruchamiamy go poleceniem
service openvpn start i dodajemy do „autostartu”: chkconfig openvpn on
W katalogu /home/admin/openvpn/ znajduje się paczka vpn-intrux14.zip, która zawiera konfigurację
dla klienta. Po rozpakowaniu jej do katalogu zawierającego zapisane konfiguracje połączeń OpenVPN po
stronie klienta (np. w systemie Windows może to być C:/Users/Nazwa_konta/OpenVPN/config/vpn-intrux14).
W pliku intrux14.ovpn należy oczywiście edytować wiersz zawierający adres IP docelowego serwera.
Program klienta „OpenVPN GUI” w Windows uruchamiamy jako administrator. Na samym serwerze
należy oczywiście pamiętać o umożliwieniu połączenia na port 1194 udp (czyli do pliku iserv.cfg należy
dopisać stosowny wiersz).
Więcej o konfiguracji OpenVPN znajduje się w dokumentacji dostępnej na stronie tego projektu.
Oprogramowanie FiQs posiada również zintegrowany moduł do odbioru konfiguracji i restartu

ustawień serwera openvpn-ecc autorstwa Centrum Modelowania Matematycznego Sigma. Domyślnie
uruchomi się on po wysłaniu konfiguracji, a komunikacja odbywa się po FTP z użyciem konta admin. Tak
więc podczas wysyłania konfiguracji z programu Access Center zapyta on o hasło właśnie do tego konta.
Pamiętaj, iż obowiązują tutaj takie same zasady udostępniania portu FTP i ustawienia (wyłączenia) zmiennej
TCPSYN_LIMIT, jakie opisano w poprzednich rozdziałach (np. ''Współpraca z PYXIS'').
Windowsowa aplikacja ''sToken Access Center'' jest zintegrowanym środowiskiem do zarządzani
użytkownikami sieci VPN. Głównym jej zadaniem jest tworzenie konfiguracji serwera, dodawanie, blokowanie
i usuwanie użytkowników oraz zarządzenie dostępem do poszczególnych zasobów sieciowych.
Szczegółowa instrukcja znajduje się na stronie www:
http://www.stoken.eu/wsparcie-techniczne/instrukcje-2/stoken-access-center/
Autor ww. oprogramowania świadczy również odpłatne wsparcie techniczne dla zaawansowanych,
profesjonalnych konfiguracji VPN z użyciem FiQs, ww. aplikacji Access Center i nie tylko.
24. Kontrola treści, blokada niepożądanych stron www -

Dansguardian
W oprogramowaniu FiQs istnieje możliwość włączenie serwera dansguardian w celu kontroli treści
dla wszystkich lub tylko wybranych klientów (IP) w sieci. Umożliwia on zablokowanie dostępu m.in. do stron
o tematyce pornograficznej z wyświetleniem dla klienta informacji o przyczynie blokady (wraz z opcją
czasowego odblokowania dostępu, gdy klient posiada stosowne hasło).
Dansguardian wymaga włączonego serwera Squid. O serwerze proxy Squid przeczytałeś już
zapewne w poprzednim rozdziale. Przekierowanie dla klientów sieci, których ma obowiązywać filtrowanie
treści wykonuje się także w pliku proxy.cfg, jedynie port jest inny: 8080
Aby uruchomić odpowiednie oprogramowanie, należy najpierw uruchomić Squid (zgodnie z
wcześniejszą instrukcją - patrz pkt. 15): service squid start
Dla przypomnienia: jeśli serwer Squid zostanie włączony, to aby przekierować wszystkich, bądź
wybranych klientów sieci LAN na serwer proxy, należy bezpośrednio w pliku main.cfg (lub łatwiej poprzez
panel www w module ''Ustawienia Firewall i QoS'') włączyć zmienną PROXY_SERV (powinna zawierać
wartość ''yes'' lub ''REDIRECT'') oraz wypisać klientów (bądź całą sieć LAN) w pliku proxy.cfg. Standardowo
serwer proxy Squid działa na porcie 3128, a dansguardian: 8080.
Następny krok to pobranie aktualnej blacklisty dansguardian (ta czynność może potrwać dłuższą chwilę).
W tym celu wydaj polecenie: service dansguardian stop
Następnie: /etc/dansguardian/update-blacklists.sh
45
A gdy program skończy pobierać bazę, możesz już uruchomić dansguardian: service dansguardian start
By dodać wszystkie wymagane do działania kontroli treści programy do ''autostartu'', wykonaj:

chkconfig squid on
chkconfig dansguardian on
Każda treść www może być filtrowana pod z użyciem wielu kryteriów. Szczegóły wykluczeń i blokad
znajdują się w plikach konfiguracyjnych w katalogu /etc/dansguardian/lists/.
Wcześniej wspomniano o możliwości odblokowania dostępu do zablokowanej strony poprzez

wpisanie hasła w formularzu strony z powiadomieniem. Hasło to może być globalne (takie samo dla
wszystkich klientów, IP w proxy.cfg) lub indywidualne (każdy klient, IP w 4 kolumnie pliku proxy.cfg ma
swoje hasło odblokowujące).
A oto przykład wpisów w pliku proxy.cfg:

192.168.1.12 192.168.1.1 8080
192.168.1.13 192.168.1.1 8080 haslo123
192.168.1.14 192.168.1.1 3128
192.168.1.17 192.168.1.1 8080 555haslo
Zgodnie z ww. wpisami klient z IP z końcówką .12 jest przekierowany na filtr treści. Nie ma
ustalonego indywidualnego hasła. Klient .13 ma własne hasło, zaś klient .14 jest przekierowany tylko na
proxy (bez filtrowania treści).
Jeśli zaś chodzi o hasło globalne, to ustalone zostało ono w zmiennej $haslo w pliku
/home/httpd/html/.dg/dg.php. Edytuj zawartość zmiennej (domyślnie wpisano tam: DGtajnehaslo100),
by zmienić w razie potrzeby (zgodnie z zasadami języka PHP). W pliku dg.php występuje jeszcze poniżej
zmienna $haslo_dg, której nie należy zmieniać (to hasło do komunikacji pomiędzy skryptem php, a
dansguardianem).
Uwaga! Jeśli adres IP interfejsu LAN serwera (brama klientów) ustawiono na różny od domyślnego
192.168.1.1, aby prawidłowo działała funkcja hasła odblokowującego w formularzu, należy odpowiednio
zmienić wpis w pliku /etc/dansguardian/@template.html, w wierszu nr 67 jest:
<form action=''http://192.168.1.1/.dg/... - zmień tutaj tylko IP na właściwe!
Plik template.html zaawansowany administrator oczywiście może dostosować do własnych potrzeb.

To samo dotyczy skryptu dg.php. Jeśli wykonasz ciekawe modyfikacje - podziel się nimi z nami!
Uwaga - dasnguardian może często nadgorliwie blokować dostęp do stron, w których znalazł
dostateczną ilość słów zakazanych, gdy jednak tak naprawdę dana strona nie powinna być blokowana.
Sytuacja często może dotyczyć naszych rodzimych, ''popularnych'' portali informacyjnych.
Aby trwale odblokować dany adres www (by dostęp do danej domeny zawsze był możliwy bez
przeszkód), należy go dopisać do pliku /etc/dansguardian/lists/exceptionsitelist (domyślnie na dole
pliku znajduje się już adres: windowsupdate.microsoft.com. Jeśli np. strona onet.pl jest blokowana, dopisz
na dole ww. pliku kolejny wiersz o treści: onet.pl (bez http:// na początku!).
W sytuacji odwrotnej (czyli w sytuacji, gdy chcemy zawsze blokować daną stronę www) należy
dopisać jej adres w pliku /etc/dansguardian/lists/bannedsitelist. Zasady jak w wyżej opisanym pliku
exceptionsitelist.
Pamiętaj! Po dokonaniu zmian w plikach konfiguracyjnych w katalogu /etc/dansguardian/ należy

zawsze wykonać restart demona: service dansguardian restart
W pliku /etc/dansguardian/lists/bannedextensionlist znajduje się lista zabronionych

rozszerzeń plików (m.in. nie wolno pobrać i zapisać plików .doc, .xls, spakowanych archiwów .zip, .rar i
innych. Zakomentuj bądź usuń wybrane wiersze pliku, jeśli te blokady nie maja obowiązywać. Oprócz tego
zwróć także koniecznie uwagę na wpisy w pliku /etc/dansguardian/lists/bannedmimetypelist, które
niezależnie od rozszerzenia pliku blokują pobieranie określonego rodzaju treści na podstawie wykrytych
46
nagłówków mime identyfikujących typ danego pliku (tutaj znów występuje np. archiwum zip, czyli
dansguardian może np. zablokować zapis plików zip nawet gdyby miały zmienione rozszerzenie!).
Dansguardian ma naprawdę duże możliwości konfiguracji i z pewnością warto również przyjrzeć się
zawartości, opisom i przykładom w pozostałych plikach w katalogu /etc/dansguardian/lists/.
W rozdziale na temat proxy (pkt 15) napisano, iż pełne zalety serwera proxy można docenić dopiero
po zastosowaniu bardzo wydajnego sprzętu. Tutaj używane są 2 ''zasobożerne'' programy (czyli każda treść
www ''przechodzi'' przez squid+dansguardian), więc wymaga to zarówno dobrego, wydajnego sprzętu,
właściwej konfiguracji, jak i stosownej wiedzy i doświadczenia administratora. Nie należy oczekiwać wysokiej
wydajności, jeśli kontrola treści miałaby dotyczyć wielu klientów i wielu jednoczesnych połączeń.
25. Na zakończenie
Konfiguracja parametrów kolejkowania zaproponowana domyślnie po świeżej instalacji wcale nie

musi być i często nie jest odpowiednia dla Twojej sieci. Jeśli nie wiesz, jak na podstawie własnego
doświadczenia oraz informacji zawartych w opisach pomocy panelu administracyjnego i niniejszej instrukcji
optymalnie dobrać wartości dla zmiennych w pliku main.cfg lub masz inne wątpliwości dotyczące konfiguracji
oprogramowania INTRUX Firewall & QoS - opisz proszę swój problem możliwie dokładnie i wyślij e-mail na
nasz adres. Często najlepszym rozwiązaniem jest od razu załączenie informacji o danych dostępowych do
serwera (adres IP serwera oraz hasło root-a, bądź użytkownika: service).
Najłatwiej jest wtedy skorzystać z modułu Pomoc techniczna i serwis e-mail w panelu
administracyjnym. Wysyłane tą drogą informacje dają nam najlepszy obraz aktualnych ustawień, są
traktowane z wysokim priorytetem i zazwyczaj stosunkowo szybko możemy pomóc w rozwiązaniu
ewentualnych problemów. Przed wysłaniem pytania - sprawdź proszę jednak najpierw, czy odpowiedzi na
nie nie ma w tej instrukcji.
Duże możliwości konfiguracyjne oprogramowania FiQs pozwalają na lepsze dostosowanie i

dopasowanie do wymogów konkretnej sieci, jednak ilość opcji może na początku nieco dezorientować
administratora. Większość odpowiedzi znajduje się jednak w tej instrukcji - warto więc mieć ją w pobliżu
podczas codziennej pracy z serwerem. Znajdziesz ją również w formacie PDF, w katalogu /doc na płycie
DVD.
Życzę dużo satysfakcji w pracy z Linuksem i zadowolenia z efektów działania zestawu

oprogramowania INTRUX Firewall & QoS. W razie pytań, bądź problemów dotyczących FiQs - możesz zawsze
śmiało pisać na nasz adres: intrux@intrux.pl - odpiszę tak szybko, jak tylko będę mógł.
Grzegorz Lewandowski
47

FiQs14 0

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

FiQs14 0

Uploaded by

Copyright:

Available Formats

INTRUX Firewall & QoS v 14.

INSTRUKCJA INSTALACJI I KONFIGURACJI

2. Szybki start wersji 14.0

2. Po uruchomieniu świeżo zainstalowanego systemu z dysku - wpisz prawidłowo nr nośnika (tylko

3. Po konfiguracji zalecane jest wykonanie: reboot. Po restarcie i kolejnym zalogowaniu uruchom

6. Zaloguj się do panelu administracyjnego przez przeglądarkę www z komputera klienckiego.

Na koniec wykonaj backup (export) ustawień zapisując konfiguracje na swój dysk.

3. Instalacja systemu z obrazu dysku

3.1 Przed uruchomieniem płyty

W konfiguracji BIOS-u komputera przeznaczonego na serwer/router, napęd optyczny (czytnik bądź

3.2 Instalacja systemu - nagrywanie dysku

Po ukończeniu procesu nagrywania zastosuj się do informacji wyświetlonej na ekranie i zrestartuj

5. Przydatne informacje dla początkujących

Wszystkie wpisy w plikach konfiguracyjnych poprzedzone znakiem # nie są brane po

6. Gdy dysk jest większy niż 64 GB

/dev/sda8 /mnt/sda8 ext4 defaults 1 2

7. Uruchomienie i konfiguracja interfejsów sieciowych

Na początku zatwierdź powiązanie nazw interfejsów z adresami MAC wykrytych kart

Może być tylko 2 użytkowników panelu (administrator i użytkownik z ograniczeniami) o różnych

8.1 Wybrane moduły panelu

8.1.1 Ustawienia Firewall i QoS

8.1.2 Klienci, urządzenia i powiadomienia

Moduł Klienci, urządzenia i powiadomienia obejmuje konfigurację pliku /etc/intrux/client.cfg oraz - w

Warto wyrobić sobie nawyk, iż po zalogowaniu do panelu i wyświetleniu listy

Standardowo włączone zmienne GEN_HOSTS oraz GEN_DHCPD w grupie ''Pozostałe ustawienia''

Na podstawie ustawionych opcji danych klientów generowane są wpisy w /etc/ppp/chap-secrets (plik

8.1.3 Wspólna taryfa prędkości dla kilku klientów

8.1.4 Backup - kopia konfiguracji

8.2 Pozostałe informacje i dodatkowe funkcje panelu

9. Ograniczenia wersji startowej i konieczność rejestracji

Podstawowa funkcjonalność wersji startowej, czyli udostępnianie internetu, podział łącza i

Licencjonowaniu i ochronie podlega oprogramowanie INTRUX obecne w katalogu /etc/intrux/ oraz

10. Konfiguracja ustawień INTRUX Firewall i QoS

10.1 Opis zmiennych w głównym pliku main.cfg

10.1.1 Podstawowe ustawienia sieci

10.1.2 Podstawowe ustawienia QoS

QOS_ROUTER - określa pasmo (w kbit) dla połączeń routera. Elementy

QOS_FAST_MTD - wybór metody kolejkowania w kolejce fast (określonej w zmiennej QOS_FAST).

10.1.3 Limitowanie i blokada ruchu P2P

P2P_DENY_TIME - włącza blokowania rozpoznanych połączeń programów P2P w określonym czasie. Po

10.1.4 Ustawienia zabezpieczeń

MAC_ALL_DEV - interfejs lokalny, na którym odbywa się bezwzględne sprawdzanie powiązania IP z

PUB_FRW_ACPT - włączenie forwardu (wyłączenie ochrony firewalla) do klienta z publicznym adresem IP

10.1.5 Logowanie ruchu i statystyki sieci

COUNT_LSTAT - umożliwia automatyczne zbudowanie i ewentualna aktualizacja plików obiektów oraz

COUNT_LSTAT_UPDATE - umożliwia automatyczną aktualizację wykresów (gdy zaszły zmiany w

10.1.6 Ustawienia przekierowań

IPF_ALIAS_ON - włączenie automatycznego tworzenia aliasów na interfejsie internetowym dla

REDIRECT - określa szczegółowe przekierowania - opcja dla zaawansowanych. Przykład wpisu:

10.1.7 Autoryzacja RACL

10.1.8 Zaawansowane ustawienia QoS

QOS_FAST_DELAY - parametr delay w kolejce fast. Przykład wpisu: QOS_FAST_DELAY=''1s'',

NO_QOS_ROUTER - połączenia inicjowane bezpośrednio z routera do określonych tu IP w sieci Internet

NO_QOS_ALL - wszystkie połączenia z i do określonych tu IP nie będą kolejkowane. Wpisy rozdzielane

USER_SPEC_PROC - włączenie formatu procentowego zamiast w kbit dla wartości prędkości

USER_CL_DLDSPRO - umożliwia procentowe określenie dysproporcji prędkości ceil klienta (prędkości

10.1.9 Zaawansowane ustawienia limitowania ruchu

HASH_LIMIT_LAN_DEV - zmienna określa interfejs LAN, na którym działa uniwersalne limitowanie

HASH_LIMIT_DOWNLOAD - określa wartość dopuszczalnej ilości ściąganych (download) pakietów na

HASH_LIMIT_NO_IP - określa adresy IP, z którymi połączenia nie będą limitowane.

HASH_LIMIT_TYPE - zmienna pozwala określić charakterystykę działania - miejsce tworzenia reguł

HASH_LIMIT_DL_MODE - określa tryb hash download (domyślnie, gdy puste, to dstip).

HASH_LIMIT_UL_MODE - tryb hash upload (domyślnie, gdy puste, to srcip).