В случае использования MAC-авторизации на Carbon Reductor (да, он и такое может, но не очень надёжно, так что использовать не надо) в связке с Carbon Billing 5 стоит разнести всё на несколько машин:
* Фильтрация РКН - железный сервер
* Фильтрация "плохих" абонентов - можно в виртуалку
И перед запуском в продакшн проверить следующее:
h1. Железный сервер
# Все опции связанные с биллингом отключены
# IP адреса и адреса заглушек удалены в вкладке биллинг
# justsync и nocheckauth = 1
h1. Виртуалка
# Правильно настроены IP адреса и URL заглушек, при обращении по http на них выдаются правильные сообщения (не авторизован, заблокирован, негбал, ркн)
# auth, negbal и blocked ipset заполнены
h1. Биллинг
# В качестве NAS у всех абонентов указан IP виртуалки
# пустые очереди event_stack/event_stack_compact в базе биллинга
# sync_nasd после опроса биллинга ничего не делает и не планирует никаких команд
# ssh из chroot asr_billing на ip редуктора в виртуалке происходит без yes/no, ошибок known_hosts и запроса пароля
h1. Оба редуктора
# Не влияют на работу друг друга
## Трафик при выходе в инет, либо не попадает, либо дропается
## Редиректы и спуфинг, либо не попадают, либо дропаются
* Фильтрация РКН - железный сервер
* Фильтрация "плохих" абонентов - можно в виртуалку
И перед запуском в продакшн проверить следующее:
h1. Железный сервер
# Все опции связанные с биллингом отключены
# IP адреса и адреса заглушек удалены в вкладке биллинг
# justsync и nocheckauth = 1
h1. Виртуалка
# Правильно настроены IP адреса и URL заглушек, при обращении по http на них выдаются правильные сообщения (не авторизован, заблокирован, негбал, ркн)
# auth, negbal и blocked ipset заполнены
h1. Биллинг
# В качестве NAS у всех абонентов указан IP виртуалки
# пустые очереди event_stack/event_stack_compact в базе биллинга
# sync_nasd после опроса биллинга ничего не делает и не планирует никаких команд
# ssh из chroot asr_billing на ip редуктора в виртуалке происходит без yes/no, ошибок known_hosts и запроса пароля
h1. Оба редуктора
# Не влияют на работу друг друга
## Трафик при выходе в инет, либо не попадает, либо дропается
## Редиректы и спуфинг, либо не попадают, либо дропаются