1. Установка Netams
Установить с помощью менеджера пакетов mysql-server, mysql-client, netams, netams-web.
При установке будут запрошены пароли для администратора mysql, для пользователя базы данных netams, для администратора netams.
Установка netams версии 3.4.3 выполняется с ошибкой.
Исправить файл /var/lib/dpkg/info/netams.postinst:
убрать “\n” из DB-PARAMS
повторно установить netams.
добавить в файл /etc/apache2/httpd.conf:
Include /etc/netams/apache.conf
Include /etc/netams-web/apache.conf
исправить файл /etc/netams-web/console.inc
$sc_host="localhost";
$sc_port=20001;
$sc_user="mylogin";
$sc_passwd="mypwd";
запустить сервис netams:
sudo /etc/init.d/netams start
запустить сервис apache
sudo /etc/init.d/apache2 start
Дополнительно можно усилить аутентификацию веб панели администратора:
sudo cp /var/lib/netams/stat/.htaccess /usr/share/netams-web
sudo cp /var/lib/netams/stat/.htpasswd /usr/share/netams-web
sudo chmod +r /usr/share/netams-web/.htaccess
sudo chmod +r /usr/share/netams-web/.htpasswd
исправить /etc/netams-web/apache.conf
...
AllowOverride All
…
перезапустить apache.
2. Настройка Netams
Конфигурационный файл Netams:
#/etc/netams/netams.conf
Настройка политик и юнитов.
...
service processor
…
подсчет всего траффика IP
policy oid 002B81 name ip target proto ip
подсчет траффика WWW, задаются определенные порты
policy oid 0A5288 name www target proto tcp port 80 81 8080 3128
подсчет почтового траффика
policy oid 009EB9 name mail target proto tcp port 25 110 465 995 993
подсчет траффика Jabber
policy oid 04AE57 name jabber target proto tcp port 5222
подсчет траффика IPSec
policy oid 0F2891 name ipsec target proto esp
подсчет траффика L2TP/IPSec
policy oid 0DFC71 name l2tp target proto udp port 500 4500 1701
подсчет траффика по URL, необходимо чтобы Netams был собран с поддержкой этой функции, по умолчанию не поддерживает.
policy oid 050099 name urls target layer7-detect
политика действует совместо с описанием юнита, предназначена для подсчета траффика из диапазона сетевых адресов:
policy oid 0ABCDE name pol-CDT-VPN target units oid 0ABCDF
unit net oid 0ABCDF name CDT-VPN ip 192.168.0.0/24
сложная политика, считает весь траффик IP за исключением определенного вида траффика, в данном примере это траффик jabber, l2tp, ipsec
policy oid 0ABCDD name allowed target policy-and ip !jabber !l2tp !ipsec
политика без юнита, для определенного адреса
#policy name anekdotes target addr 217.16.28.51
можно запретить доступ всем или локальным адресам
разрешено всем и локальным.
restrict all pass local pass
#restrict all drop local pass
политика по умолчанию, то есть применяется для всех вновь созданных юнитов.
требуется для работы layer7
default acct-policy urls
автоматически создает юниты для адресов в пределах группы , юниты будут иметь имя в виде IP-192.168.21.1
auto-units 1 type user naming prefix2 "IP-" group CLIENTS
unit group oid 0EEE30 name CLIENTS acct-policy ip
unit net oid 04E8AE name localnet ip 192.168.21.0/24 auto-units 1 acct-policy ip www mail jabber allowed
#разрешить доступ только одному адресу локальной сети
#restrict all drop local pass
#unit net name LAN ip 192.168.0.1/24 no-local-pass acct-policy ip www
#unit host name pupkin ip 192.168.0.18 acct-policy ip www
#разрешить доступ пользователям с помощью сервиса Login с любого адреса
#unit user name pupkin ip 0.0.0.0 password ABCDEF acct-policy ip parent CLIENTS
#unit group oid 0C6834 name KalininaLAN
#unit group oid 0667FE name KalininaBanks
Весь интернет
unit net oid 082752 name externalnet ip 0.0.0.0/0 acct-policy ip www mail jabber urls
Настройка источника данных
service data-source 1
type libpcap
#type ip-traffic
#source eth0
#source ipq
source ulog NL1
layer7-detect urls
В моем случае наиболее приемлемым оказалось использование ULOG.
Для этого нужно добавить правила в netfilter:
iptables -I FORWARD 1 -j ULOG –ulog-nlgroup 1
iptables -I INPUT 1 -j ULOG –ulog-nlgroup 1
iptables -I OUTPUT 1 -j ULOG –ulog-nlgroup 1
если использовать
source ipq
то правила netfilter должны быть такими:
iptables -A FORWARD -j QUEUE
iptables -A INPUT -j QUEUE
iptables -A OUTPUT -j QUEUE
В этом случае обработка пакетов передается Netams, и пакеты в netfilter могут не вернуться, в зависимости от политик обработки пакетов в Netams.
Данные мониторинга выбранных юнитов сохранаются в storage 1(база данных mysql)
service monitor 0
monitor to storage 1
monitor unit CLIENTS
monitor unit localnet
monitor unit CDT-VPN
service quota
#политика учета трафика, считается весь IP траффик
policy ip
# рассылка почтовых сообщений, у юнитов должна быть настроен параметр почты.
notify soft owner
notify hard owner admin
notify return owner
#установить квоту юниту
set name localnet active day 500M in month 10G in
storage 1
Настройки квот можно выполнить использую веб панель администрирования, в этом случае квоты будут сохраняться не в конфигурационном файле а в базе данных. После применения квот нет необходимости сохранять конфигурационный файл.
#служба оповещения. Не настраивается.
service alerter 0
report oid 06100 name rep1 type traffic period day detail simple
smtp-server localhost
#служба формирования статистических отчетов
service html
path /var/lib/netams/stat/
#интервал времени между созданием отчетов, рекомендуемое значение hourly- .
run 2min
url http://localhost/netams/stat/
htaccess yes
client-pages all
#account-pages none
display-health yes
Section Blog 
