Для чего используются ACL
ACL созданы для выгрузки на оборудования - обычно их используют чтобы дать абонентам доступ на некоторые сайты при отрицательном балансе или блокировке. Например, сайт онлайн-банка или платежной системы, чтобы абонент мог оплатить задолженность.
Как формировать списки
- Для создания новой группы перейдите в раздел "Справочники" - "ACL-группы" и нажмите "Добавить".
- Заполните следующие поля:
- Name: имя группы ACL в настройках биллинга, можно написать краткий комментарий (например, "доступно заблокированным).
- ACL Name: название списка на оборудовании (например, ACL_BLOCKED_TRUSTED для Cisco/Redback или crb_trust_blocked_list для Mikrotik).
- Кнопка "Сохранить" сохранит новый список.
- После этого нужно перейти в соседний раздел слева "ACL списки разрешенных сайтов", в нем появится вкладка группы, созданной в предыдущем пункте. Чтобы добавить адрес, нажмите кнопку "Добавить":
- Группа: к какой группе ACL относится сайт (например, разрешен при отрицательном балансе)
- Адрес: адрес сайта, например carbonsoft.ru
- Комментарий: текстовый комментарий к записи, например "Сайт Карбон-Софт"
- Включен: флаг, активирующий правило.
Как выгрузить на оборудование
Cisco ISG, RedBack SE, Microtik RouterOS
Затем в разделе "Оборудование" нужно выбрать NAS, на который будет загружен список ACL, перейти на вкладку "Управление" и выбрать пункт rtsh acl upload под заголовком "Дополнительные команды":
- Зайдите в настройки NAS на вкладку "Управление"
- Нажмите кнопку rtsh acl upload в разделе "Дополнительные параметры"
Mikrotik Router OS, дополнительные списки
В схеме Mikrotik Simple Вы можете указать дополнительные ACL в файле firewall.ini, подготовленные, например, для маршрутизаторов Cisco или Redback.
Для этого заполните следующие параметры:
- negbal_acl_groups - ID списков, доступных при отрицательном балансе.
- blocked_acl_groups - ID списков, доступных заблокированным администратором
Можно указать несколько списков через прямую черту "|".
Например:
- ACL
- firewall.ini
negbal_acl_groups='1|2|3|5' blocked_acl_groups='2|3'
В этом примере, при блокировке по балансу будут дополнительно доступны все списки со скриншота, а при блокировке администратором - списки "Социальный интернет" и стандартный список "trusted_blocked", подготовленный для Cisco.