Документация NetAMS

AAA+FW работало для Linux и FreeBSD, поддерживало несколько потоков (сервисы), однако единственной политикой учета была «IP», и это никак не менялось.

Первая версия NeTAMS вышла в октябре 2001 года. Нумерация версий начинается с 3, по понятным причинам. В течение первых двух лет развивалась ветка 3.1, после чего была освоена система CVS и основные нововведения стали поступать в ветку–CURRENT. Она стала достаточно стабильной и привела в выходу релиза 3.2 в декабре 2004 года. Версия 3.3 вышла в конце сентября 2005 года. Версия 3.4 стала окончательно стабитьной в январе 2009 года.

В настоящий момент NeTAMS включен в дерево портов FreeBSD. Существуют также пакеты RPM/RPMS для вариантов Linux (поддерживаются сторонними разработчиками).

ВНИМАНИЕ!

Admintool не избавляет вас о необходимости начального создания и настройки конфигурационного файла NeTAMS. С его помощью можно лишь управлять параметрами уже существующих юнитов в плане настройки IP–адресов, квот, параметров логинов и прочего.

Admintool тесно связан с существующим сервисом создания статических HTML–страниц так, что в вновь создаваемых страницах появляется ссылка на скрипт:

Допустим, сервис html настроен следующим образом:

service html 0

path /usr/local/www/stat

language en

run hourly

При нормальной работе в этом каталоге находятся следующие файлы:

srv:/usr/local/www/stat#ls–la

drwxr–xr–x 4 root wheel 512 Jul 12 14:31 .

drwxr–xr–x 11 root wheel 1536 Jul 19 11:41 ..

drwxr–xr–x 7 root wheel 512 Jul 12 14:30 2004

drwxr–xr–x 118 root wheel 2048 May 31 14:11 clients

drwxr–xr–x 2 root wheel 512 Jul 21 21:14 images

— rwxr–xr–x 1 root wheel 139 Jul 19 12:59 index.html

Для инсталляции Admintool необходимо скопировать в каталог /usr/local/www/ из дистрибутива NeTAMS подкаталог /cgi–bin/

Необходимо отредактировать верхние строки скрипта admintool.cgi, указав параметры соединения с NeTAMS:

# Data required to do a script login, change this

$sc_host=«localhost»; $sc_port=20001; $sc_user=«anton»; $sc_passwd=«aaa»;

Необходимо настроить веб–сервер (Apache), чтобы он разрешал выполнение CGI–скриптов в каталоге /usr/local/www/stat. Отредактируйте /usr/local/etc/apache/httpd.conf (или где там он у вас есть):

Options FollowSymLinks ExecCGI

Alias /stat/ /usr/local/www/stat/

Убедитесь что скрипт работает, набрав

http://webservername/stat/admintool.cgi

Вы должны увидеть нечто вроде следующего:

В левом верхнем углу указано:

Версия работающей программы NeTAMS

Время выполнения программы NeTAMS (из show version)

Текущее локальное время в системе.

Если вместо пунктов 1 и 2 изображены пустые строки, значит или NeTAMS не запущен в настоящий момент, или скрипту не удалось с ним связаться (не совпадают логин/пароль/номер порта).

Настоятельно рекомендуется:

Запускать NeTAMS, Apache и Admintool на одной машине. Открыть доступ в NeTAMS только с локальной машины (service server … login local).

Средствами Apache разграничить доступ к статистике и к скрипту только для тех, кому это действительно необходимо (и использовать опцию htaccess yes для сервиса html).

Начиная с версии NeTAMS 3.4.0 (build 3018) в дистрибутиве присутствует утилита ascii2netflow, которая предназначена для преобразования входящей статистики в поток данных в формате Cisco NetFlow

Зачастую бывает проблематично или неудобно вручную создавать весь список юнитов для большой сети. Для решения этой проблемы в netams–3.1(2000.204) была введена функциональность auto–units, или возможность автоматического создания юнитов при появлении IP–трафика на заданные адреса. Для этого необходимо:

Необходимо создать специальную запись в конфигурации сервиса processor, с именем auto–units и уникальным номером, и описать ее поведение

Создать юнит типа сеть (net) и указать параметр «auto–units N» для него.

Опционально создать для каждого использующегося ip–адреса запись в обратной зоне DNS.

Например:

service processor

auto–units 1 type host naming by–dns

auto–units 2 type user naming prefix1 ip–auto–units 3 type user naming prefix2 user_

unit net name OFFICE ip 192.168.0.0 mask 255.255.255.0 auto–units 1

unit net name CLIENTS ip 192.168.100.0 mask 255.255.255.0 auto–units 2

unit net name USERS ip 172.16.0.0 mask 255.255.0.0 auto–units 3

Допустим, что для подсети 192.168.0.0 у вас уже настроена обратная зона DNS (например, для работы DHCP, или через Dynamic DHS от Windows2000). В этом случае возможно обратное преобразование IP–адреса в FQDN, т.е. команда

host 192.168.0.123

выдает что–то вроде

pupkin.office.domain.ru

Допустим также, что у вас настроен и работает сервис data–source, и трафик для подсетей 192.168.0 и 172.16 попадает через этот сервис в NeTAMS.

Что должно происходить, когда пакет с адресом DST=192.168.0.123 попадает на обработку. Если соответствующий сервис имеет тип ip–traffic, то, поскольку юнита для данного IP еще не существует, прохождение или блокировка этого пакета будет определяться значением параметра restrict сервиса processor, наличием no–local–pass, sys–policy, fw–policy на юнит OFFICE. Если сервис data–source не осуществляет фильтрацию, пакет проходит. В любом случае, из–за действия механизма потоков информация о трафике на IP–адрес 192.168.0.123 рано или поздно попадет на обработку s_datasource и связана с юнитом типа «сеть» с именем OFFICE. Если для него установлено значение параметра auto–units, то:

Будет установлено, что адрес 192.168.0.123 принадлежит искомой сети 192.168.0.0/24

Юнита с адресом 192.168.0.123 пока еще не существует, и его надо создать

Поскольку для записи auto–units 1 установлен type==host, будет создан юнит типа host

Для определения имени для этого юнита будет использован DNS (т.к. параметр naming==by–dns), который преобразует IP–адрес 192.168.0.123 в имя pupkin.office.domain.ru. В качестве имени будет выбрано «pupkin». На совести администратора обеспечить уникальность имен в подсети.

Если в качестве типа юнита установлено type==user, будет применен этот тип.

Если в качестве параметра присвоения имени (naming) указано prefix1 или prefix2, то для выбора имени будет использоваться указанная затем подстрока в сочетании с последним (prefix1) или двумя последними (prefix2) октетами рассматриваемого IP–адреса. Таким образом, для проходящих пакетов с адресами 192.168.100.123 и 172.16.0.23 будут созданы юниты:

unit user name ip–123 ip 192.168.100.123

unit user name user_0.23 ip 172.16.0.23

Учтите также, что процесс преобразования IP–адресов в имена хостов может занимать время, и основан на механизме, описанном в man resolver. Это может сказаться на времени реакции системы и производительности NeTAMS.

Автоматически созданные юниты будут расположены в конфигурационном файле «в памяти» и иметь уникальные автоматически присвоенные значения OID. Вы должны время от времени сохранять «растущий» конфигурационный файл на место, чтобы новые юниты и их статистика не потерялась. Эту операцию можно автоматизировать: