Документация NetAMS - страница 8

стр.

• action requested_action

• запланированная команда — любая допустимая. Если в ней несколько слов, заключите ее полностью в кавычки, а если в самой команде нужны кавычки, то используйте апострофы. Если хочется исполнить последовательность команд, например для настройки каких–нибудь параметров сервиса, команды можно разделять символами "&&" (перед и после — пробелы), например так:

• schedule time at–23:30 action «service processor && unit host name pupkin sys–deny && exit»

no schedule oid OID

Отменяет запланированную задачу.

show schedule

Отображает список текущих задач планировщика. Смотри также здесь.

[service server]

listen XXXX

определяет tcp–порт, на котором программа будет ожидать входящих соединений для управления своей работой или сбора статистики. Не поддерживает динамическое изменение!

XXXX — номер порта TCP (1…65535), по умолчанию 20001

max–conn XXXX

устанавливает максимальное число одновременно открытых подключений к процессу.

XXXX — количество одновременных соединений, по умолчанию 6

login { any | localhost }

определяет возможность подключения с любого адреса или непосредственно с самого сервера, с точки зрения безопасности лучше выбрать последнее.

• any

• соединение возможно с любого хоста

• localhost

• соединение возможно только с этой машины (127.0.0.1)

[service processor]

Сервис processor описывает настройки ядра NeTAMS, которое и будет производить учет.

lookup–delay XXXX

определяет периодичность, с которой сервис processor будет просматривать список своих NetUnit, чтобы проверить время существования потоков и сбросить их в базу данных. Чем меньше это время, тем точнее идет «квантование» временных периодов, но тем больше нагрузка на программу. На размер базы данных не влияет.

XXX — время в секундах, по умолчанию 30.

flow–lifetime XXXX

определяет время жизни RAW потока. через указанное время поток обнуляется, а данные суммируются в статистику и записываются в базу. Чем меньше меньше это время, тем с большей точностью записаны данные в базу, но тем она и больше.

XXX — время в секундах, по умолчанию 300.

policy [oid OID] name NAME

[no] target TARGET

[bw { speed in speed out | speed } ]

определяет правило, или политику, по которой для данного объекта (NetUnit) будет производиться фильтрация или подсчет трафика.

oid OID — уникальный идентификатор политики, создается автоматически

name NAME — название политики виде строки (2–8 символов)

hidden — не отображать статистику для этой политики в выводе сервиса HTML (полезно для политики с target layer7–detect)

target TARGET — правило, по которому будет проводиться проверка соответствия политике.

Если перед target стоит флажок no, то указанный TARGET убирается из списка.

• bw { speed in speed out | speed } - позволяет ограничивать входящий и/или исходящий трафик для данной fw политики по отношению к юниту по скорости. Ограничение начинает работать, если по данной fw политике было принято решение DROP. В этом случае пакет НЕ БУДЕТ отброшен, а ВМЕСТО этого он будет пропущен и на него будет проверяться проверка по скорости.

• Параметр speed указывается в битах в секунду; можно применять множители K и M для указания килобит и мегабит. Если не указано направление in или out, подразумевается выставление одинакового лимита скорости на оба направления одновременно. Возможно также задать ограничение скорости напрямую для всего юнита, без политик (см. ниже). ВАЖНО! Чтобы ограничение скорости работало, необходимо пересобрать NeTAMS с включенной опцией HAVE_BW. Это делается так: make distclean && FLAGS=-DHAVE_BW make

• Опишем подробнее правила формирования цели (target) политики. Сами политики жестко определены в исходном коде программы и вкомпилированы в обработчик политик трафика. Возможны любые комбинации следующих типов:

• proto XX — номер или имя протокола из файла /etc/protocols

• tos XX — проверка на совпадения с полем TOS IP пакета

• port [s|d|b]num [s|d|b]num … — описывает TCP или UDP трафик на указанные порты. список портов — числа или диапозоны, отделенные пробелом.

• если перед числом стоит буква s(ource) - совпадение происходит только если совпадает порт в поле SRC пакета, d(estination) - в DST пакета, отсутствие буквы или b(oth) - SRC или DST.