gifts2017

1C в помощь Системному администратору и Kerio Winroute Firewall (Kerio Control). IpAccessList - Группы IP Адресов

Опубликовал Дмитрий Фролов (Jivchic) в раздел Администрирование - Системное

Интернет технологии быстро развиваются, повышается количество пользователей, растет число провайдеров. С ростом количества провайдеров возникает необходимость выделять подсети, а так как диапазоны адресов отведенных на страну фиксированное, то приходится выпиливать новые подсети из существующих. Например у нас в стране это происходит достаточно часто...
В случае если фирма использует специализированное оборудование и программное обеспечение которое позволяет обновлять диапазоны IP-Адресов автоматически то проблем нет, например CIDR нотация, или различные скрипты...
но не все фирмы могут позволить себе покупать спец оборудование и оплачивать услуги специалистов по поддержанию сети, некоторые используют "Пользовательское" ПО например Kerio Winroute Firewall, в котором я не наблюдал автоматической загрузки диапазонов IP-Адресов, поможем ему с помощью 1C:Предприятие

На просторах интернета есть множество решений по файрволам и прочему администрированию сети, я работал в организации где использовали продукт Kerio  - Kerio Winroute Firewall (нынче Kerio Control) и мне понравилось работать с этим продуктом.

Раньше я им пользовался активно, даже дома (сеть 3-4 компьютера), т.к. с интернетом были сложности приходилось изворачиваться для экономии трафика...

Вобщем много могу писать, но перейду к сути:

 У нас страна маленькая, и работает такое понятие как пиринг, т.е. трафик между провайдерами в нашей стране по льготной цене, и вобщем для некоторых целей проходилось группировать подсети наших провайдеров, а потом уже файрволить эту группу...

Количество подсетей у нас около 30-40, и когда они меняются приходилось глазками сверять текущие подсети в группе, и те что напилили... это очень неудобно в данном случае, так и родилась небольшая обработка которая облегчила мне жизнь.

 

Сразу предупрежу!

Не нужно обсуждений по поводу применяемого софта и какая плохая виндовз, статья предназначена для тех кому это будет полезно, есть миллион решений по файрволинью сетей, это мы не обсуждаем!

 

 Переходим к теме:

Все что я описываю применяется мною, все могут это делать поразному, я опишу для своей ситуации.

 

Один из местных провайдеров выкладывает так называемые Диапазоны IP-адресов провайдеров, выглядят в моем случае так:

Наименование провайдера | Подсеть | Маска подсети

Этапы задачи таковы:

1) Помещаем сведения по диаппазонам IP-Адресов в таблицу Excel (использую этот способ т.к. на сайте выкладывается табличка с нужной информацией) и мне удобно это сделать.

Для удобства можно применить функцию Excel -"Обновляемый web запрос...". Тут подробнее информация.

Smile Таблица готова. Для моей обработки не страшно наличие шапки таблицы... Сохраняем таблицу Excel (я сохраняю в версии 97-2003)

 

2) Открываем и настраиваем обработку.

a) Выбираем созданный нами файл *.xls, диапазон ячеек можно не указывать, автоматически будет подставленно с 1 по 1000 (1000 думаю хватит).

b) Указываем Допустимое количество ошибок. Для чего? В обработке стоит проверка по колонке с указанием маски подсети, Если в ячейке есть подстрока "255.255." тогда это то что нужно нам, а если например там шапка таблицы или какие-нибудь разделители скопированные с таблицы сайта, или лень указать диапазон строк, и чтобы не перебирать 1000 строк -стоит счетчик ошибок, как он переполняется -цикл прекращается.

c) Поле "Id" это как бы "Код" элемента, если в вашем файрволе будет только тот диапазон ip-адресов который импортируем, то нумерация пусть будет с 1, а если у вас уже есть внесенные ip-адреса то укажите нумерацию с которой нужно начать.

d) Флажок "Enabled". В файрволе можно отключать подсеть в группе, тогда он не будет участвовать в правилах файрвола, а просто будет внесен в группу. Если он установлен, то всем подсетям будет установлено значение "активно".

e) Поле "Desc" - имя группы. Т.к. мы добавляем подсети в 1 группу, то указываем имя этой группы.

f) Поле "Name" - номер колонки в которой находится название провайдера.

g) Поле "Value" состоит из Номера колонки в которой находятся адреса подсетей, и после слэша номер колонки в которой обозначены маски для этих подсетей.

 

Жмем кнопку "Выполнить". Процес завершается и открывается поле с блоком текста для вставки в конфигурационный файл Kerio Winroute Firewall.

3) Сгенерированный текст нужно добавить в конфигурационный файл Kerio Winroute Firewall (Kerio Control), который находится в папке с установленной программой.

 a) Останавливаем файрвол.

 b) Открываем блокнотом файл winroute.cfg (если Win7 то обязательно от имени администратора).

 Ищем блок "IpAccessList", если у вас уже внесены какие-то подсети то структура будет в таком виде:


     

 Тогда добавляем новые блоки из обработки

А если ничего небыло, то вставляем все скопированное из обработки меджу тэгами :


 с) Сохраняем файл winroute.cfg

 d) Запускаем файрвол, идем в консоль администрирования и смотрим раздел "Определения - Группы IP-Адресов"

 


P.S. Файлик конечно можно и xml генерить, но не стал заморачиваться, сделал простым текстом...

Если найдет применение у пользователей, то второй релиз можно соорудить еще и с добавлением групп web адресов (обычно для блокировки доступа используются)... ну и т.д.

Скачать файлы

Наименование Файл Версия Размер
IpAccessList_fromExcel 5
.epf 8,77Kb
02.03.12
5
.epf 8,77Kb Скачать

См. также

PowerTools от 1 000
Подписаться Добавить вознаграждение
Комментарии
1. rsu5 (rsu5) 12.03.12 16:45
5 баллов за решение на базе 1С.. Скоро будильники будем на базе 1С делать ;) да вообще умный дом на базе 1С ;)
2. Дмитрий Фролов (Jivchic) 13.03.12 07:48
я кроме 1С, которую тоже "знаю" поверхностно, языками программирования не владею (школьные B и QB не считаются),
как то провайдер меня решил на 67$ обсчитать не в мою пользу, для меня это не мало... я попросил кинуть мне детализацию, на что они прислали мне txt файлик ~10-20 Мб с на внешний вид непонятным набором цифр... ну я в общем нашел шапку для такого вида файла, написал обработку в 1С и она мне сделала "детализацию" трафика по дням, часам, минутам, ip адресам, зонам и т.д. и т.п.

и получилось так что я скачал за 1,5 минуты более 1,5 Гб с "внешней" для нас зоны... для нашей страны и интернета это невозможно, они согласились с моим отчетом...

в общем чем можем тем и справляемся... это мне помогло избежать обсчета, вернули деньги на баланс