Документация NetAMS

• addr addr … — ip адреса участники соединения.

• ifindex [s|d|b]num [s|d|b]num … — номера (индексы) интерфейсов в таблице роутинга. В настоящее время актуально только для netflow данных.

• ingress|egress — способ сбора netflow информации на роутере. В настоящее время актуально только для netflow v9 данных.

• policy–or [!]{NAME|OID} … [!]{NAME|OID} - политика совпадет, если совпадет проверка ЛЮБОЙ из перечисленных политик. Флажок ! означает инвертирование проверки к которой он относится.

• policy–and [!]{NAME|OID} … [!]{NAME|OID} - политика совпадет, если совпадет проверка ВСЕХ из перечисленных политик. Флажок ! означает инвертирование проверки к которой он относится.

• time timespec — совпадает, если пакет пришел в указанный временной интервал timespec. Это строка, содержащая диапазон времени в часах:минутах (24–часовая схема), при этом нулевые минуты можно пропускать:

• target time 9–18

• target time 00:40–21:30

• day dayspec — совпадает, если пакет пришел в день недели, указанный в dayspec. Это строка, содержащая трехбуквенное название дня недели, или диапазон дней:

• target day Mon–Fri

• target day Sun

default { acct–policy | fw–policy } NAME|OID … NAME|OID

Задает политики подсчета|фильтрации по умолчанию для всех вновь создаваемых юнитов.

restrict all {drop|pass} local {drop|pass}

задает политику фильтрации трафика для случая, когда fw–policy для объекта не определен

all — для всех данных (всех ip–адресов src/dst)

local — для данных, предназначенных объектам, описанным в конфигурационном файле

drop — не пропускать пакеты данного класса

pass — пропускать пакеты

Значение по умолчанию restrict all drop local pass приводит к тому, что для трафика, пакеты которого в заголовке в полях src/dst оба IP–адреса не принадлежат ни одной из описанных в конфигурационном файле машин/кластеров/сетей, этот трафик блокируется. Фактически, это означает что программа будет пропускать только данные с/для зарегистрированных машин «за» маршрутизатор. В случае установления restrict local drop вы обязаны явно для каждого юнита прописать fw–policy. Если для юнита не прописаны никакие политики acct–policy или fw–policy, то это эквивалентно применению к этому юниту параметра no–local–pass, т.е. применение restrict all вместо restrict local.

auto–assign A.B.C.D E.F.G.H

Регистрирует диапазон адресов, начиная с A.B.C.D и заканчивая E.F.G.H в качестве пула для автоматического присваивания IP–адресов вновь создаваемым юнитам. При этом юнит создается при помощи команды:

unit {host|user} name XXX ip auto

В таком случае для всех зарегистрированных диапазонов auto–assign проверяются уже существующие юниты типа user или host, имеющие IP–адреса из заданного диапазона, и назначается следующий незанятый адрес (он выводится в ответ на команду создания). Таким образом, скрипт создания аккаунтов–юнитов может «создавать» новые юниты сам, а адреса присваиваются в автоматическом режиме.

Возможно создание нескольких пулов. В этом случае проверка и выделение IP происходит в порядке следования auto–assign.

auto–units N type {host|user} naming {by–dns| prefix1 PPP |prefix2 QQQ} [group GROUPNAME]

Позволяет автоматически создавать юниты при получении пакетов, принадлежащих некоторой сети, и отсутствии соответствующего юнита в конфигурационном файле. При этом имя юниту генерируется через DNS, или на базе IP–адреса.

• N — номер записи auto–units

• type host или type user — тип создаваемого юнита

• naming — как будет присваиваться имя:

• by–dns — имя будет определяться через DNS, который должен у вас быть уже настроен и обеспечивать обратное преобразование адресов

• Если имя не получено, то в качестве имени будет использоваться IP адрес.

• prefix1 PPP — будет взят последний октет адреса, и спереди перед ним поставлена строчка PPP

• prefix2 QQQ — будут взяты два последних октет адреса, и спереди перед ними поставлена строчка QQQ

• group GROUPNAME — в какую группу помещать созданный юнит (необязательно)(версии начиная с 17 марта 2004).

unit {host|group|cluster|net|user}

[oid OID]

name NAME

parameters

[parent GROUP]

[no–local–pass]

[email addr]

[password passwd]

[description «any describing words»]

[mac «XX:XX:XX:XX:XX:XX»]

[sys–XXXX]

[bw { speed in speed out | speed } ]

[nodefault] [ap–nodefault] [fp–nodefault]

[acct–policy [!][%]p_name [p_name] …]

[fw–policy [!][%]p_name [p_name] … ]

[ds–list 1,2,3…]

[auto–units X]

определение объекта (NetUnit) по которому будет проводиться контроль и учет.

• Тип:

• host — хост, только один IP адрес

• group — группа (возможно пустая)

• cluster — хост с несколькими ip–адресами (кластер)

• net — подсеть, которая определяется сетевым адресом и маской

• user — аналог типа хост, используется для динамического задания ip адресов и привязке к пользователям

• oid OID — уникальный идентификатор сетевой единицы, создается автоматически

• name NAME — название объекта в виде строки (2–8 символов)

• parameters — специфические для данного типа объекта параметры:

• для хоста: ip A.B.C.D — адрес этого хоста

• для группы: нет

• для кластера: ip A.B.C.D [ip A.B.C.E [..]] - список адресов

• для подсети: ip A.B.C.D mask E.F.G.H — сетевой адрес и маска

• для пользователя: ip A.B.C.D — адрес с которого работает пользователь

• parent GROUP [GROUP1 [..]] - название родительских для данного объекта групп

• no–local–pass — при указании этого флага ip–пакет, совпавший с этим юнитом, не будет считаться локальным, к нему применится политика фильтрации restrict all, а не restrict local (полезно для подсетей)

• email addr — адрес электронной почты ответственного за этот юнит человека

• password passwd — пароль для данного юнита. Может использоваться как для авторизации (unit user), так и для просмотра статистики, если включен htaccess yes в сервисе html.

• description «any describing words» — описание юнита, может содержать пробелы и русские буквы (в кавычках).

• mac «XX:XX:XX:XX:XX:XX» — задает аппаратный Ethernet–адрес (MAC–адрес) юнита типа USER или HOST. Используется для проверки соответствия (mac–control …) и RADIUS–авторизации.

• sys-{allow|deny}-XXX — т.н. «системная политика», возможные значения:

• sys–allow — разрешить все, те снять все запреты

• sys–deny — запретить все, остальные запреты тоже остаются

• sys-{deny|allow}-ACTION — запретить|разрешить действие ACTION(auth, block, login, money, quota, mac)

• возможна комбинация нескольких подобных политик.

• sys–deny–OID — запретить работу с юнитом OID вне зависимости от других ограничений

• sys–allow–OID — разрешить работу с юнитом OID вне зависимости от других ограничений

• bw { speed in speed out | speed } - позволяет ограничивать входящий и/или исходящий трафик для данного юнита по скорости. Параметр speed указывается в битах в секунду; можно применять множители K и M для указания килобит и мегабит. Если не указано направление in или out, подразумевается выставление одинакового лимита скорости на оба направления одновременно. Возможно также задать fw–политику ограничения скорости (см. выше). ВАЖНО! Чтобы ограничение скорости работало, необходимо пересобрать NeTAMS с включенной опцией HAVE_BW. Это делается так: make distclen && FLAGS=-DHAVE_BW make