Записки на полях » internet

Про палки и банки

admin — Wed, 18 Nov 2009 06:10:45 +0000

Сегодня выяснилась пренеприятная новость – моя ВТБшная VISA Classic ни черта не работает с PayPal (из-за хитрозадой системы ВТБ). Придется оформлять VISA e-card. Стоит то конечно копейки (обслуживание 50р в год), но спрашивается нафига тогда брать VISA classic, которая стоит 750р в год, если есть VISA electron за 50?

Каждому по потребностям – шейпинг трафика при помощи IPFW

admin — Sun, 18 Oct 2009 13:37:35 +0000

Исходные данные: FreeBSD 7.2, IPFW, MPD4.3. две ADSL линии.
Задача – раздавать интернет пользователям – у каждой группы пользователей свой канал.

Итак, настраиваем mpd. В /usr/local/etc/mpd4 нас интересуют два файла:

snake@snake [mpd4]#ls -al
total 118
drwxr-xr-x   2 root   wheel    512 16 окт 22:57 .
drwxr-xr-x  24 root   wheel   1536 18 окт 20:53 ..
-rw-r--r--   1 snake  snake   2799 19 сен 00:33 mpd.conf
-rw-r--r--   1 snake  snake    638 17 сен 23:14 mpd.links

Содержимое mpd.conf:

startup:
        # configure the console
        set console port 5005
        set console ip 127.0.0.1
        set console user user test
        set console open
 
default:
        load vtk_unlim
        load vtk_unlim2
 
vtk_unlim:
        new -i ng0 pppoe_vtk pppoe_vtk #имя соединения в mpd.links
        set iface route default #установить соединение маршрутом по умолчанию
        set iface disable on-demand
        set iface idle 0
        set ipcp yes vjcomp
        set ipcp ranges 0.0.0.0/0 0.0.0.0/0
        set bundle disable multilink
        set auth authname mylogin
        set auth password MyPaSsWoRd
        set link no acfcomp protocomp
        set link disable pap chap#настройки шифрования
        set link accept chap
        set link mtu 1400 #настройка MTU
        set link keep-alive 10 60
        set link max redial 0 #число попыток реконнекта
        set bundle disable noretry #перезванивать при обрыве
        set iface up-script /usr/local/etc/mpd4/up #скрипт, выполняющийся при установке соединения
        open
 
vtk_unlim2:
        new -i ng1 pppoe_vtk2 pppoe_vtk2
        set iface route default
        set iface disable on-demand
        set iface idle 0
        set ipcp yes vjcomp
        set ipcp ranges 0.0.0.0/0 0.0.0.0/0
        set bundle disable multilink
        set auth authname mylogin2
        set auth password mYpAsSwOrD
        set link no acfcomp protocomp
        set link disable pap chap
        set link accept chap
        set link mtu 1400
        set link keep-alive 10 60
        set link max redial 0
        set bundle disable noretry
        set iface up-script /usr/local/etc/mpd4/up2
        open

Содержимое скриптов запуска:

#!/bin/sh
out_if="-interface ng0"
route delete default
route add default $out_if

Скрипт назначает наш pppoe канал маршрутом по умолчанию как для самого сервера, так и для клиентов

Скрипт up2:

#!/bin/sh
out_if="-interface ng1"
setfib 1 route add -net default $out_if
gw=`ifconfig ng1 | grep "inet" | cut -d " " -f 4`
host=`ifconfig ng1 | grep "inet" | cut -d " " -f 2`
fw="/sbin/ipfw -q"
users2=`cat /usr/local/etc/rc.fire.new | grep "users2=" | cut -d "=" -f 2`
num=`ipfw show | grep "fwd" | cut -d " " -f 1`
/usr/local/etc/rc.d/natd.sh
$fw delete $num
$fw add $num fwd $gw ip from $host to any

Суть этого скрипта в том, что он выдирает из вывода ifconfig текущие шлюз и ip (т.к. на втором соединении ип динамический) и добавляет эти значения в правило ipfw, обеспечивающее прохождение трафика. Подробней про эти правила будет ниже.

Файл mpd.links:

pppoe_vtk:
    set link type pppoe # Тип соединения PPPoE
    set pppoe iface em1 #Интерфейс, на котором создается pppoe соединение
    set pppoe service ""
    set pppoe disable incoming #запрещаем входящие соединения
    set pppoe enable originate
 
pppoe_vtk2:
    set link type pppoe
    set pppoe iface fxp0
    set pppoe service ""
    set pppoe disable incoming
    set pppoe enable originate

mpd настроен. При запуске он должен автоматически поднять соединения и мы увидим нечто вроде этого:

ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1400
        inet 85.15.66.66 --> 85.15.64.119 netmask 0xffffffff
ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1400
        inet 85.15.81.133 --> 85.15.80.1 netmask 0xffffffff

Не забудьте прописать в /etc/syslog.conf:

!mpd
*.*                                             /var/log/mpd.log

Теперь займемся настройкой нат. Я использовал natd. Про свежевыпущенный ipfw nat скажу ниже

Прописываем в /etc/rc.conf следующее:

snake@snake [mpd4]#cat /etc/rc.conf | grep natd
natd_enable="YES"

далее создаем файлы конфигурации (в моем случае /etc/natd2.conf, /etc/natd3.conf):

snake@snake [mpd4]#cat /etc/natd2.conf
# порт, на котором висит natd
port 8448
# интерфейс
interface ng0
# стараться не изменять порты
same_ports yes
# перенаправлять только трафик с адресом источника 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16.
unregistered_only yes
dynamic yes
 
# проброс портов для отдельных машин наружу
redirect_port tcp 10.12.51.24:51024 51024
redirect_port udp 10.12.51.24:51024 51024
redirect_port tcp 10.12.51.24:51025 51025
redirect_port udp 10.12.51.24:51025 51025

snake@snake [mpd4]#cat /etc/natd3.conf
port 8558
interface ng1
same_ports yes
unregistered_only yes
dynamic yes
redirect_port tcp 10.12.51.118:31027 31027
redirect_port udp 10.12.51.118:31027 31027

создаем скрипт в /usr/local/etc/rc.d

snake@snake [mpd4]#cat /usr/local/etc/rc.d/natd.sh
#!/bin/sh
/sbin/natd -f /etc/natd2.conf
/sbin/natd -f /etc/natd3.conf

Запускаем, смотрим: в sockstat должно быть что-то такое:

snake@snake [mpd4]#sockstat -l4 | grep natd
root     natd       1033  4  div4   *:8558                *:*
root     natd       1031  4  div4   *:8448                *:*

Теперь приступим к самой ответственной части – а именно настройке фаервола :)
Тут я приведу конфиг полностью, с пояснениями и комментариями
Про ядерный nat ipfw можно почтитать тут

#Создаем каналы-пайпы. Труба одна для каждой группы пользователей
$fw pipe 100 config bw $downi queue 50
$fw pipe 200 config bw $upi   queue 50
$fw pipe 300 config bw $downi queue 50
$fw pipe 400 config bw $up2 queue 50
$fw pipe 500 config bw $downvtk queue 50
$fw pipe 600 config bw $upvtk queue 50
#-----------------------------------
 
#Очереди трафика (подробнее смотрим man ipfw) 
#именно они обеспечивают справедливое распределение канала между пользователями
#inet --> LAN
$fw queue 101 config weight $tcp2w queue 50 pipe 100 gred 0.002/10/35/0.1 mask dst-ip 0xffffffff
$fw queue 102 config weight $tcp1w queue 50 pipe 100 gred 0.002/10/35/0.1 mask dst-ip 0xffffffff
 
#LAN --> inet
$fw queue 201 config weight $tcp2w queue 50 pipe 200 gred 0.002/10/35/0.1 mask src-ip 0xffffffff
$fw queue 202 config weight $tcp1w queue 50 pipe 200 gred 0.002/10/35/0.1 mask src-ip 0xffffffff
 
#inet --> LAN
$fw queue 301 config weight $tcp1w queue 50 pipe 300 gred 0.002/10/35/0.1 mask dst-ip 0xffffffff
 
#LAN --> inet
$fw queue 401 config weight $tcp1w queue 50 pipe 400 gred 0.002/10/35/0.1 mask src-ip 0xffffffff
 
#VTK --> LAN
$fw queue 501 config weight $tcp2w queue 50 pipe 500 gred 0.002/10/35/0.1 mask dst-ip 0xffffffff
 
#LAN --> VTK
$fw queue 601 config weight $tcp2w queue 50 pipe 600 gred 0.002/10/35/0.1 mask src-ip 0xffffffff
#-----------------------------------
#Настройки ядерного NAT. У меня нормально так и не заработал, но может у вас получится ;) 
$fw nat 300 config log if $wan same_ports deny_in
#-----------------------------------
#Selfcare & service
##loopback
# разрешаем ходить локалхост трафику, но только в пределах интерфейса loopback
$fwa 01000 allow ip from any to any via lo0
$fwa 01010 deny ip from any to 127.0.0.0/8
$fwa 01020 deny ip from 127.0.0.0/8 to any
#-----------------------------------
##Deny networks
# Запрещаем частные подсети на внешних интерфейсах
$fwa 1200 deny log ip from 10.0.0.0/8 to me in via $inet
$fwa 1210 deny log ip from any to 10.0.0.0/8 out via $inet
$fwa 1220 deny log ip from 172.16.0.0/12 to any in via $inet
$fwa 1230 deny log ip from any to 172.16.0.0/12 out via $inet
$fwa 1240 deny log ip from 192.168.0.0/16 to any in via $inet
$fwa 1250 deny log ip from any to 192.168.0.0/16 out via $inet
 
$fwa 1205 deny log ip from 10.0.0.0/8 to any in via $inet2
$fwa 1215 deny log ip from any to 10.0.0.0/8 out via $inet2
$fwa 1225 deny log ip from 172.16.0.0/12 to any in via $inet2
$fwa 1235 deny log ip from any to 172.16.0.0/12 out via $inet2
$fwa 1245 deny log ip from 192.168.0.0/16 to any in via $inet2
$fwa 1255 deny log ip from any to 192.168.0.0/16 out via $inet2
 
#-----------------------------------
#Allowing connetctions
#-----------------------------------
##Intranet connections
# Разрешаем соединение с сервером из локалки
$fwa 02100 allow ip from $hostel to $iplan $usr_ports in via $lan
$fwa 02110 allow ip from me to $hostel out via $lan
$fwa 02115 allow ip from me to $hostel out via $vlan
#-----------------------------------
##DNS (разрешаем связь с DNS серверами прова 
#и доступ к DNS-серверу на машине из локальной сети
$fwa 02310 allow udp from me to $vtk_dns out
$fwa 02320 allow udp from $vtk_dns to me in
$fwa 02330 allow udp from $hostel to $iplan 53 in via $lan
$fwa 02340 allow udp from $iplan 53 to $hostel out via $lan
$fwa 02350 deny udp from $hostel to $vtk_dns in via $lan
$fwa 02360 deny udp from $hostel to $vtk_dns in via $vlan
$fwa 02370 deny udp from $vtk_dns to $hostel out via $lan
$fwa 02380 deny udp from $vtk_dns to $hostel out via $vlan
#-----------------------------------
# Ради чего все затевалось - разрешаем пользователям из локалки доступ вовне
$fwa 03141 allow ip from "table(1)"  to not me in via $lan
$fwa 03142 allow ip from "table(1)" to not me in via $vlan
$fwa 03143 allow ip from not me to "table(1)" out via $lan
$fwa 03144 allow ip from not me to "table(1)" out via $vlan
#-----------------------------------
 
#NAT & queues
##Outcoming queues (исходящие очереди)
#Настройка очередей. Трафик сервера идет отдельной очередью
$fwa 05010 queue 201 ip from me to any out via $inet
$fwa 05020 queue 202 ip from $users to any out via $inet
$fwa 05030 queue 401 ip from $users2 to any out via $inet2
$fwa 05040 queue 601 ip from any to $vtk out via $wan
#-----------------------------------
##NAT
#Заворачиваем трафик от разных групп на разные natd
$fwa 07200 divert 8448 ip from $users to any out via $inet
$fwa 07250 divert 8448 ip from any to me in via $inet
$fwa 07100 divert 8558 ip from $users2 to any out via $inet2
#Говорим фаерволу, что трафик второй группы 
#нужно пускать через другой шлюз. 
#Именно это правило мы меняем, когда mpd делает реконнект
#Переменные $gw и $host определяются при каждом перезапуске
#скрипта с правилами
$fwa 07130 fwd $gw ip from $host to any
$fwa 07150 divert 8558 ip from any to me in via $inet2
# тот самый ядерный nat. оставил для примера :)
$fwa 07400 nat 300 ip from any to any via $wan
#----------------------------------
##Incoming queues (входящие очереди)
$fwa 08010 queue 101 ip from any to me in via $inet
$fwa 08020 queue 102 ip from any to $users in via $inet
$fwa 08030 queue 301 ip from any to $users2 in via $inet2
$fwa 08040 queue 501 ip from $vtk to any in via $wan
#-----------------------------------
#Allowing connections
##Outcoming allowers (разрешающие правила для соединений)
$fwa 09000 allow ip from $users to $vtk out via $wan
$fwa 09010 allow ip from me to $vtk out via $wan
$fwa 09023 allow ip from me 12553 to any out via $inet
$fwa 09034 allow ip from me 12554 to any out via $inet
$fwa 09040 allow ip from $users to any out via $inet
$fwa 09050 allow ip from $users2 to any out via $inet2
$fwa 09060 allow ip from me to any out via $inet
$fwa 09070 allow ip from me to any out via $inet2
#----------------------------------
##Incoming allowers
$fwa 09100 allow ip from $vtk to $users in via $wan
$fwa 09110 allow ip from $vtk to me in via $wan
$fwa 09120 allow ip from any to $users in via $inet
$fwa 09130 allow ip from any to $users2 in via $inet2
$fwa 09143 allow ip from any to me 12553 in via $inet
$fwa 09154 allow ip from any to me 12554 in via $inet
$fwa 09160 allow ip from any to me in via $inet
#$fwa 09700 allow ip from any to me in via $inet2
#----------------------------------
##ICMP
$fwa 50200 allow icmp from me to any
$fwa 50250 allow icmp from any to me
##Allow all outcoming
$fwa 60000 allow ip from me to any

На этом в общем-то все :) выставляем на клиентских машинах шлюзом по умолчанию наш сервер и радуемся – инет должен работать

Посчитаем все! Stargazer как биллинг для небольшой локалки

admin — Sun, 04 Oct 2009 10:09:14 +0000

Имеется: сервер на freebsd 7.2, две безлимитных линии, две группы пользователей
Задача – контролировать платежи пользователей за интернет.

Для начала нам понадобится биллинг – программа, которая будет считать трафик пользователя, осуществлять авторизацию и считать абонку. В моем случае это Stargazer

Для установки нам потребуются оболочка bash и библиотека expat.
Распаковываем архив, идем в projects/stargazer.
Выполняем:

#./build
#gmake install

Если все прошло успешно, то в /etc/stargazer появятся файлы rules, stargazer.conf и скрипты пользователей

Начнем по порядку:
rules содержит список подсетей и направлений. По каждому направлению может быть свой тариф и свои правила подсчета.

ALL     192.168.0.0/16  DIR1 #направление 1 - локалка
ALL     10.0.0.0/8      DIR2 # направление 2 - городская сеть
ALL     0.0.0.0/0       DIR0 # направление 3 - инет

stargazer.conf – основной конфигурационный файл

################################################################################
#                        Файл настроек сервера stargazer                       #
################################################################################
# Имя лог-файла куда пишутся события
LogFile = /var/log/stargazer.log
 
# Имя PID-файла куда пишется идентификатор процесса
# По умолчанию /var/run/pid
# PIDFile = /var/run/stargazer.pid
 
# Имя файла в котором определяются правила подсчета трафика
Rules = /etc/stargazer/rules
 
# Время через которое пишется d БД детальная статистика пользователя
# Значения: 1, 1/2, 1/4, 1/6.
# 1 - раз в чаc, 1/2 - раз в пол часа, 1/4 - раз в 15 мин, 1/6 - раз в 10 мин
DetailStatWritePeriod=1/6
 
# Периодичность записи записи в БД информации о статистике пользователя (минуты)
# При большом кол-ве пользователей эту величину стоит увеличить, т.к.
# запись в БД может занимать длительное время.
# Значения: 1...1440 (минуты)
StatWritePeriod = 10
 
# День снятия абонплаты
# Значения: 0...31. 0 - Последний день месяца
DayFee = 1
 
# Абонплата снимается в последний (yes) или первый (no) день учетного периода.
# Это влияет на то, как будет снята абонплата (АП) при переходе на новый тариф.
# Если у пользователя был тариф A с АП=100 и он хочет перейти на тариф B с АП=200,
# то при переходе на новый тариф со счета пользователя снимется 100, если
# DayFeeIsLastDay = yes и 200, если DayFeeIsLastDay = no
DayFeeIsLastDay = yes
 
# День сброса данных о трафике за месяц и день перехода пользователей на новые тарифы
# Значения: 0...31. 0 - Последний день месяца
DayResetTraff = 1
 
# "Размазанное" снятие абонплаты. Снятие АП не раз в месяц, а каждый
# день 1/30 или 1/31 части АП
# Значения: yes, no
SpreadFee = no
 
# Данная опция определяет может ли пользователь получить доступ в интерент
# если у него на счету нет денег, но остался предоплаченный трафик
# Значения: yes, no
FreeMbAllowInet = no
 
# Эта опция определяет что будет писаться в стоимость трафика в detail_stat.
# Если у пользователя еще есть предоплаченный трафик и WriteFreeMbTraffCost = no,
# то в detail_stat стоимость будет 0. Если у пользователя уже нет
# предоплаченного трафика и WriteFreeMbTraffCost = no, то в detail_stat
# будет записана стоиость трафика. При WriteFreeMbTraffCost = yes стоимость
# трафика будет записана в любом случае.
WriteFreeMbTraffCost = no
 
# Названия направлений. Направления без названий не будут отображаться в
# авторизаторе и конфигураторе. Названия состоящие из нескольких слов должны
# быть взяты в кавычки
# Я использовал только одно направление - Интернет. (прим. Snake)
<DirNames>
    DirName0 = Internet
    #DirName1 = Город
    #DirName2 = Локаль
DirNames>
 
# Кол-во запускаемых процессов stg-exec.
# Эти процессы отвечают за выполнение скриптов OnConnect, OnDisconnect, ...
# Кол-во процессов означает сколько скриптов могут выполнятся одновременно.
# Значения: 1...1024
ExecutersNum = 1
 
# Message Key для stg-exec.
# Идентификатор очереди сообщений для выполнятеля скриптов.
# Его изменение может понадобится если есть необходимость запустить несколько
# экземпляров stg. Если вы не понимаете, что это, не трогайте этот параметр!
# Значения: 0...2^32
# Значение по умолчанию: 5555
# ExecMsgKey = 5555
 
# Путь к директории, в которой находятся модули сервера
ModulesPath = /usr/lib/stg
 
# Определяет директорию, в которой будут находится файлы "монитора"
# работы сервера. В этой директории будут созданы пустые файлы, время 
# модификации которых будет меняться примерно раз в минуту. Если какой-то 
# компонент сервера зависнет, файл(ы) перестанет обновлятся, и по этому 
# признаку можно определить сбой в работе сервера и при надобности 
# перезапустить. Если параметр не указан или пустой, мониторинг производится 
# не будет. Параметр не является обязательным, по умолчанию пустой.
# MonitorDir=/var/stargazer/monitor
 
################################################################################
# Store module
# Настройки плагина работающего с БД сервера
# Выберите нужный модуль хранения статистики (БД или файлы). Должен быть активен только один модуль!
# Второй параметр - это имя модуля без mod_ в начале и .so в конце
# Т.е. полное имя модуля mod_store_files.so
<StoreModule store_files>
 
    # Рабочая директория сервера, тут содержатся данные о тарифах, пользователях,
    # администраторах и т.д.
    WorkDir = /var/stargazer
 
 
    # Владелец, группа и права доступа на файлы статистики (stat) пользователя
    ConfOwner = root
    ConfGroup = wheel
    ConfMode = 600
 
 
    # Владелец, группа и права доступа на файлы конфигурации (conf) пользователя
    StatOwner = root
    StatGroup = wheel
    StatMode = 640
 
    # Владелец, группа и права доступа на лог-файлы (log) пользователя
    UserLogOwner = root
    UserLogGroup = wheel
    UserLogMode = 640
 
    # Удалять резервные копии после успешной записи conf/stat
    # Значения: yes, no
    # По умолчанию: yes
    # RemoveBak = yes
 
    # Восстанавливать файлы conf/stat из резервных копий при ошибке чтения
    # Значения: yes, no
    # По умолчанию: no
    # ReadBak = no
 
StoreModule>
 
#
#    # Адрес сервера БД
#    server=localhost
#
#    # Путь к БД на сервере или ее алиас
#    database=/var/stg/stargazer.fdb
#
#    # Имя пользователя БД
#    user=stg
#
#    # Пароль пользователя БД
#    password=123456
#
#    # Уровень изоляции транзаций (не обязательно, по умолчанию oncurrency):
#    #  concurrency
#    #  dirtyRead
#    #  readCommitted
#    #  consistency
#    isolationLevel=concurrency
#
#    # Действия при блокировках (не обязательно, по умолчанию wait):
#    #  wait
#    #  noWait
#    lockResolution=wait
#
 
#
#    # Адрес сервера БД
#    server=localhost
#
#    # Имя БД
#    database=stargazer
#
#    # Имя пользователя БД
#    user=stg
#
#    # Пароль пользователя БД
#    password=123456
#
 
#
#    # Имя пользователя БД
#    dbuser = stg
#
#    # Пароль пользователя БД
#    rootdbpass = 123456
#
#    # Имя БД на сервере
#    dbname = stg
#
#    # Адрес сервера БД
#    dbhost = localhost
#
 
################################################################################
# Прочие модули
 
<Modules>
 
    # Настройки плагина авторизации Always Online "mod_auth_ao.so"
    # Второй параметр - это имя модуля без mod_ в начале и .so в конце
    # Т.е. полное имя модуля mod_auth_ao.so
    <Module auth_ao>
    Module>
 
    # Настройки плагина авторизации InetAccess "mod_auth_ia.so"
    # Второй параметр - это имя модуля без mod_ в начале и .so в конце
    # Т.е. полное имя модуля mod_auth_ia.so
    <Module auth_ia>
 
        # Порт на котором принимаются обращения от авторизатора
        # Значения: 1...65534
        Port = 5555
 
        # Время между посылками запроса пользователю жив ли он
        # и обновлением данных статистики (секунды)
        # Значения: 5...600
        UserDelay = 15
 
        #Таймаут для пользователя. Если в течение этого времени авторизатор
        #не отвечает, пользователь будет отключен
        # Значения: 15...1200
        UserTimeout = 65
 
        # Этот параметр определяет что будет передаваться программе InetAccess от сервера
        # как отстаток предоплаченного трафика
        # Значения:
        # FreeMb = 0 - кол-во бесплатных мегабайт в пресчете на цену нулевого направления
        # FreeMb = 1 - кол-во бесплатных мегабайт в пресчете на цену первого направления
        # FreeMb = 2 - кол-во бесплатных мегабайт в пресчете на цену второго направления
        # FreeMb = 3 - кол-во бесплатных мегабайт в пресчете на цену третьего направления
        # ........................
        # FreeMb = 9 - кол-во бесплатных мегабайт в пресчете на цену девятого направления
        # FreeMb = cash - кол-во денег на которые юзер может бесплатно качать
        # FreeMb = none - ничего не передавать
        FreeMb = cash
    Module>
 
    # Модули можно использовать несколько раз с разными параметрами
    #
    #    Port = 7777
    #    UserDelay = 15
    #    UserTimeout = 65
    #    FreeMb = 0
    #
 
    # Настройки модуля конфигурации SgConfig "mod_conf_sg.so"
    # Второй параметр - это имя модуля без mod_ в начале и .so в конце
    <Module conf_sg>
 
        # Порт по которому сервер взаимодействует с конфигуратором
        # Значения: 1...65535
        Port = 5555
 
    Module>
 
    # Модуль захвата трафика "mod_cap_bpf.so"
    # Второй параметр - это имя модуля без mod_ в начале и .so в конце
    # Без параметров. Только имя модуля.
    <Module cap_bpf>
        # Интерфейс(ы) на котором нужно производить подсчет трафика
        iface = rl0
        iface = rl1
        iface = dc0
    Module>
 
    # Модуль захвата трафика "mod_cap_nf.so"
    # Принимает информацию о трафике по протоколу NetFlow
    # Второй параметер - это имя модуля без mod_ в начале и .so в конце
    <Module cap_nf>
        # TCPPort - порт для TCP-соединений
        TCPPort = 42111
 
        # UDPPort - порт для UDP-соединений
        UDPPort = 42111
 
        # Могут иметь совпадающие значения.
        # Если параметр не указан - соответствующий порт не "прослушивается".
    Module>
 
    # Настройки модуля пингующего пользователей "mod_ping.so"
    # Второй параметр - это имя модуля без mod_ в начале и .so в конце
    <Module ping>
 
        # Время, в секундах, между пингами одного и того же пользователя
        # Значения: 10...3600
        PingDelay = 15
 
    Module>
 
#    # Настройки модуля для удаленного выполнения скриптов OnCOnnect и
#    # OnDisconnect "mod_remote_script.so"
#    # Второй параметр - это имя модуля без mod_ в начале и .so в конце
#    
#
#        # Время, в секундах, между посылками подтверждений, того, что пользователь
#        # всё еще онлайн
#        # Значения: 10...600
#        SendPeriod = 15
#
#        # Соответствие подсетей, в которой находится пользователь и
#        # соответствующего роутера. Первая часть строки - подслеть, заданная
#        # как IP-адрес и маска, через пробел - IP-адрес роутера на котором
#        # должны выполняться скрипты
#        # Например эта запись "192.168.1.0/24 192.168.1.1" означает, что для
#        # всех пользователей из подсети 192.168.1.0/24, скрипты будут
#        # выполняться на роутере с адресом 192.168.1.1
#        # Subnet0...Subnet100
#        Subnet0 = 192.168.1.0/24 192.168.1.7
#        Subnet1 = 192.168.2.0/24 192.168.2.5
#        Subnet2 = 192.168.3.0/24 192.168.2.5
#        Subnet3 = 192.168.4.0/24 192.168.2.5
#
#        # Пароль для шифрования пакетов между stg-сервером и сервером,
#        # выполняющим скрипты
#        Password = 123456
#
#        # Этот параметр определяет какие параметры пользователя передаются
#        # на удаленный сервер
#        # Cash, FreeMb, Passive, Disabled, AlwaysOnline, TariffName, NextTariff, Address,
#        # Note, Group, Email, RealName, Credit, EnabledDirs, Userdata0...Userdata9
#        UserParams=Cash Tariff EnabledDirs
#
#        # Порт по которому сервер отсылает сообщения на роутер
#        # Значения: 1...65535
#        Port = 9999
#
#    
 
#    
#        Password = 123456
#        ServerIP = 127.0.0.1
#        Port = 6666
#        AuthServices = Login-User
#        AcctServices = Framed-User
#    
 
Modules>
################################################################################

Скрипты OnConnect, OnDisconnect и другие обрабатываются при наступлении соответствующего события. Например, при подключении пользователя ему должен открываться доступ к интернету. Соответственно, при отключении пользователя “окно” должно закрываться.
Вот пример моих скриптов:
OnConnect:

# Login
LOGIN=$1
#user IP
IP=$2
#cash
CASH=$3
#user ID
ID=$4
#Selected dirs to connect
DIRS=$5
fw="/sbin/ipfw"
${fw} table 1 add $IP

При соединении IP пользователя добавляется в таблицу фаервола, и ему открывается доступ в инет.

OnDisconnect:

# Login
LOGIN=$1
#user IP
IP=$2
#cash
CASH=$3
#user ID
ID=$4
#Selected dirs to disconnect
DIRS=$4
fw="/sbin/ipfw"
${fw} table 1 del $IP

При отключении ип пользователя удаляется из таблицы, доступ закрывается.

Остальная настройка подробно описана в мануале, ничего сложного там нет. Трафик считается, деньги исправно списываются.