• mac «XX:XX:XX:XX:XX:XX» — задает аппаратный Ethernet–адрес (MAC–адрес) юнита типа USER или HOST. Используется для проверки соответствия (mac–control …) и RADIUS–авторизации.
• sys-{allow|deny}-XXX — т.н. «системная политика», возможные значения:
• sys–allow — разрешить все, те снять все запреты
• sys–deny — запретить все, остальные запреты тоже остаются
• sys-{deny|allow}-ACTION — запретить|разрешить действие ACTION(auth, block, login, money, quota, mac)
• возможна комбинация нескольких подобных политик.
• sys–deny–OID — запретить работу с юнитом OID вне зависимости от других ограничений
• sys–allow–OID — разрешить работу с юнитом OID вне зависимости от других ограничений
• bw { speed in speed out | speed } - позволяет ограничивать входящий и/или исходящий трафик для данного юнита по скорости. Параметр speed указывается в битах в секунду; можно применять множители K и M для указания килобит и мегабит. Если не указано направление in или out, подразумевается выставление одинакового лимита скорости на оба направления одновременно. Возможно также задать fw–политику ограничения скорости (см. выше). ВАЖНО! Чтобы ограничение скорости работало, необходимо пересобрать NeTAMS с включенной опцией HAVE_BW. Это делается так: make distclen && FLAGS=-DHAVE_BW make
• nodefault, ap–nodefault, fp–nodefault — отменяет, для данного юнита, политики по умолчанию (все, acct–policy или fw–policy, соответственно)
• acct–policy [!][%]p_name — разделенный пробелами список политик учета трафика для данного объекта
! — Если вы ставите восклицательный знак перед именем политики (без пробела), например !all–icmp, то совпадение/несовпадение данной политики применительно к пакету будет ИНВЕРТИРОВАНО, т.е. в данном случае будет учитываться ВЕСЬ НЕ–ICMP трафик.
• % - Если вы ставите знак процента при указании политики acct–policy, это значит, что при совпадении данной политики для пакета, дальнейший просмотр списка политик прекращается и подсчет заканчивается.
• fw–policy [!][%]p_name — разделенный пробелами список политик фильтрации трафика для данного объекта
• Для версий netams 3.1.xx, 3.2.xx и 3.3.xx до build 2117:
• ! — Если вы ставите восклицательный знак перед именем политики (без пробела), например !all–icmp, то совпадение/несовпадение данной политики применительно к пакету будет ИНВЕРТИРОВАНО, т.е. в данном случае будет пропускаться ВЕСЬ НЕ–ICMP трафик.
• % - Если вы ставите знак процента при указании политики fw–policy, это значит что при совпадении данной политики для пакета дальнейший просмотр списка политик прекращается, и вердикт пропускать/не пропускать пакет будет сделан сразу же.
• Для версий netams 3.3.xx после build 2117, в частности 3.3.0–release и далее:
• Перечисляются политики, трафик которых нужно пропускать. Все остальное будет заблокировано. Можно также указать политику ограничения скорости (которая имеет target… bw XX). Флаги [!][%] сохраняют свое действие, но их применение не имеет особого смысла.
• Подробнее про «направление действия» смотрите этот документ.
• ds–list no,[no,no,…] - список источников данных, которые будут связаны с этим сетевым объектом
• auto–units X — номер записи auto–units в сервисе processor, согласно которой будут автоматически создаваться учетные записи для новых хостов в сети. Этот параметр применяется только к юниту типа net. Подробнее об этой функции можно прочитать здесь.
access–script path
устанавливает имя скрипта, который будет использоваться для блокировки трафика. полезно для систем, использующих не data–source ip–filter, а другие механизмы.
path — полный путь до скрипта
например:
access–script '/usr/home/anton/script.pl»
при этом скрипт имеет вид:
#!/usr/bin/perl–w
print shift, ' ', shift, ' ', shift, ' ', shift, ' »;
При наступлении события отключения–включения сервис processor вызывает его с параметрами:
Действие(DENY|ALLOW)
Идентификатор_юнита(OID)
IP(IP)
Причина(QUOTA|LOGIN|…)
[service storage]
type { hash | mysql | postgres | oracle | radius}
Определение типа базы данных:
• hash
• UNIX hash (файлы .db). Есть только учета трафика (нет квот, логинов и биллинга, т.е. только таблицы RAW/SUMMARY). Не рекомендуется для массового применения. Вы должны раскомментировать соответствующую строку–DUSE_HASH в файле addon/Makefile.common и пересобрать программу через make distclean && make
• mysql
• MySQL (www.mysql.com). Поддерживаются версии 4.0.ХХ, 4.1.ХХ и 5.ХХ
• postgres
• PostgreSQL (www.postgresql.com). Поддерживаются версии 7.4.ХХ.
• oracle
• Oracle (www.oracle.com). Работа с базой ведется через OCI (фактически, любые версии базы).
• radius
• Сбрасывание статистики RADIUS–серверу, только на запись, только данные RAW. Для Linux необходимо наличие в системе пакета openssl–devel (или аналогов содержащих md5.h).
path XXX
Определяет каталог в системе, где будут создаваться и храниться файлы базы данных при использовании hash в качестве хранилища данных. при использовании MySQL/PostgreSQL не имеет смысла.
user username
Имя пользователя для подключению к MySQL/PostgreSQL. по умолчанию root
password password
Пароль для подключения к MySQL/PostgreSQL, по умолчанию отсутствует
host hostname
Имя хоста где установлен MySQL/PostgreSQL
dbname database_name
Имя базы данных, по умолчанию «netams»
socket sock_name
Имя UNIX–сокета для общения NeTAMS с SQL–сервером. По умолчанию общение идет через TCP–порт и сокет не используется.
port XXX
Номер TCP–порта, через который идет соединение с MySQL/PostgreSQL. Также номер UDP–порта на котором слушает RADIUS–сервер
retry XXX
