Документация NetAMS

• nodefault, ap–nodefault, fp–nodefault — отменяет, для данного юнита, политики по умолчанию (все, acct–policy или fw–policy, соответственно)

• acct–policy [!][%]p_name — разделенный пробелами список политик учета трафика для данного объекта

! — Если вы ставите восклицательный знак перед именем политики (без пробела), например !all–icmp, то совпадение/несовпадение данной политики применительно к пакету будет ИНВЕРТИРОВАНО, т.е. в данном случае будет учитываться ВЕСЬ НЕ–ICMP трафик.

• % - Если вы ставите знак процента при указании политики acct–policy, это значит, что при совпадении данной политики для пакета, дальнейший просмотр списка политик прекращается и подсчет заканчивается.

• fw–policy [!][%]p_name — разделенный пробелами список политик фильтрации трафика для данного объекта

• Для версий netams 3.1.xx, 3.2.xx и 3.3.xx до build 2117:

• ! — Если вы ставите восклицательный знак перед именем политики (без пробела), например !all–icmp, то совпадение/несовпадение данной политики применительно к пакету будет ИНВЕРТИРОВАНО, т.е. в данном случае будет пропускаться ВЕСЬ НЕ–ICMP трафик.

• % - Если вы ставите знак процента при указании политики fw–policy, это значит что при совпадении данной политики для пакета дальнейший просмотр списка политик прекращается, и вердикт пропускать/не пропускать пакет будет сделан сразу же.

• Для версий netams 3.3.xx после build 2117, в частности 3.3.0–release и далее:

• Перечисляются политики, трафик которых нужно пропускать. Все остальное будет заблокировано. Можно также указать политику ограничения скорости (которая имеет target… bw XX). Флаги [!][%] сохраняют свое действие, но их применение не имеет особого смысла.

• Подробнее про «направление действия» смотрите этот документ.

• ds–list no,[no,no,…] - список источников данных, которые будут связаны с этим сетевым объектом

• auto–units X — номер записи auto–units в сервисе processor, согласно которой будут автоматически создаваться учетные записи для новых хостов в сети. Этот параметр применяется только к юниту типа net. Подробнее об этой функции можно прочитать здесь.

access–script path

устанавливает имя скрипта, который будет использоваться для блокировки трафика. полезно для систем, использующих не data–source ip–filter, а другие механизмы.

path — полный путь до скрипта

например:

access–script "/usr/home/anton/script.pl»

при этом скрипт имеет вид:

#!/usr/bin/perl–w

print shift, " ", shift, " ", shift, " ", shift, "\n»;

При наступлении события отключения–включения сервис processor вызывает его с параметрами:

Действие(DENY|ALLOW)

Идентификатор_юнита(OID)

IP(IP)

Причина(QUOTA|LOGIN|…)

type { hash | mysql | postgres | oracle | radius}

Определение типа базы данных:

• hash

• UNIX hash (файлы .db). Есть только учета трафика (нет квот, логинов и биллинга, т.е. только таблицы RAW/SUMMARY). Не рекомендуется для массового применения. Вы должны раскомментировать соответствующую строку–DUSE_HASH в файле addon/Makefile.common и пересобрать программу через make distclean && make

• mysql

• MySQL (www.mysql.com). Поддерживаются версии 4.0.ХХ, 4.1.ХХ и 5.ХХ

• postgres

• PostgreSQL (www.postgresql.com). Поддерживаются версии 7.4.ХХ.

• oracle

• Oracle (www.oracle.com). Работа с базой ведется через OCI (фактически, любые версии базы).

• radius

• Сбрасывание статистики RADIUS–серверу, только на запись, только данные RAW. Для Linux необходимо наличие в системе пакета openssl–devel (или аналогов содержащих md5.h).

path XXX

Определяет каталог в системе, где будут создаваться и храниться файлы базы данных при использовании hash в качестве хранилища данных. при использовании MySQL/PostgreSQL не имеет смысла.

user username

Имя пользователя для подключению к MySQL/PostgreSQL. по умолчанию root

password password

Пароль для подключения к MySQL/PostgreSQL, по умолчанию отсутствует

host hostname

Имя хоста где установлен MySQL/PostgreSQL

dbname database_name

Имя базы данных, по умолчанию «netams»

socket sock_name

Имя UNIX–сокета для общения NeTAMS с SQL–сервером. По умолчанию общение идет через TCP–порт и сокет не используется.

port XXX

Номер TCP–порта, через который идет соединение с MySQL/PostgreSQL. Также номер UDP–порта на котором слушает RADIUS–сервер

retry XXX

Только для RADIUS: Количество повторов посылки accounting–пакета.

timeout XXX

Только для RADIUS: Время ожидания подтверждения получения accounting–пакета.

nas–ip A.B.C.D

Только для RADIUS: IP–адрес (этого) сервера, который подставится в атрибут NAS–IP–Address отсылаемого accounting–пакета. Нужно, если интерфейсов на сервере много, и хочется выбрать один. Без этой команды в качестве адреса подставится то, что первым вернет системная функция gethostbyname(gethostname()).

accept { all | type … } [except type …]

Определяет, какие типы сообщений и какие сервисы будут работать с этим хранилищем. Таким образом, отпадает необходимость указывать тип хранилища в конфигурации каждого сервиса. Возможные типы (type) следующие:

raw summary monitor login quota events oids billing bdata config

Есть специальный тип all, который задан по умолчанию и определяет все типы данных вместе. Можно выборочно исключить один или несколько типов, написав all except type …

type { ip–traffic | netflow | libpcap | netgraph | raw }

Задает тип источника данных

• ip–traffic

• данные берутся путем перехвата ip–пакетов из ядра через divert socket (FreeBSD) или netfilter (Linux 2.4.x)

• netflow

• данные о прошедшем трафике приходят от маршрутизатора Cisco, отдающего поток информации в пакетах NetFlow, или от любого другого коллектора, поддерживающего NetFlow v.5 (ulog2netflow, ipfw2netfloe, flowprobe)

• libpcap

данные берутся путем перехвата пакетов с помощью библиотеки libpcap, которая копирует в программу проходящие через ядро системы определенные пакеты. так же работает, например, tcpdump. Смотри этот раздел.

• netgraph

данные передаются от установленного модуля ядра. Только для FreeBSD 5.xx. Смотри этот раздел.

• raw

• данные передаются от произвольного источника (например коммутатор Cisco или сервер Radius) и учитываются через команду rawdata .

source { tee XXX | divert XXX | ipq | ulog NL1 [NL2 … NL32] | A.B.C.D | ifname [promisc] | nodename [divert] }

Задает источник данных:

Для FreeBSD

• tee XXX

• пакеты будут копироваться в программу и параллельно обрабатываться системой, номер divert–порта XXX

• divert XXX

• пакеты будут заворачиваться в программу и она может отдать или не отдать их системе обратно, номер divert–порта XXX

• nodename [divert]

• установится соединение с модулем NETGRAPH ядра nodename. Параметр divert указывает на необходимость проводить авторизацию потока перед его пропусканием. Смотри этот раздел.

Для Linux

Необходимо наличие в системе netfilter.

Подробнее можно прочитать man iptables и на сайте www.netfilter.org

• ipq

• пакеты будут заворачиваться в программу и она может отдать или не отдать их системе обратно. Используется библиотека libipq.

• Для работы должен быть загружен модуль ip_queue (modprobe ip_queue). Чтобы активировать передачу пакетов из ядра, необходимо задать это в firewall, например командой: