Документация NetAMS

•

• Опишем подробнее правила формирования цели (target) политики. Сами политики жестко определены в исходном коде программы и вкомпилированы в обработчик политик трафика. Возможны любые комбинации следующих типов:

• proto XX — номер или имя протокола из файла /etc/protocols

• tos XX — проверка на совпадения с полем TOS IP пакета

• port [s|d|b]num [s|d|b]num … — описывает TCP или UDP трафик на указанные порты. список портов — числа или диапозоны, отделенные пробелом.

• если перед числом стоит буква s(ource) - совпадение происходит только если совпадает порт в поле SRC пакета, d(estination) - в DST пакета, отсутствие буквы или b(oth) - SRC или DST.

• Ограничение на число элементов (отдельных портов или диапозонов) в списке — 10. Диапозоны задаются с помощью двоеточия или тире.

• например: target proto tcp port 25 описывает весь SMTP (почтовый)трафик, target proto tcp port s80:82 s8080 примененная к клиентскому компьютеру (юниту), считает входящий веб–трафик.

• as [s|d|b]num [s|d|b]num … — описывает трафик по указанным AS. список AS — числа или диапозоны, отделенные пробелом.

• если перед числом стоит буква s(ource) - совпадение происходит только если совпадает AS источника пакета, d(estination) - с номером AS получателя пакета, отсутствие буквы или b(oth) - SRC AS или DST AS.

• Ограничение на число элементов AS в списке — 10, диапазоны задаются с помощью двоеточия или тире.

• (Начиная с версии 3.3.0(2266))

• vlan N1 [ N2 ] … совпадает, если пакеты были инкапсулированы с VLAN–тэгом N, применимо к data–source libpcap

• ds N1 [ N2 ] … совпадает, если пакеты пришли от data–source номер N

• units oid XXXX трафик, при том что другая сторона (по IP заголовку) является NetUnit с индексом XXXX

• file YYYY совпадает, если другая сторона (по IP заголовку) совпадает с адресом из файла таблицы префиксов YYYY

• Файл префиксов содержит записи в следующих форматах:

• A.B.C.D /N или A.B.C.D /MASK или A.B.C.D/N или A.B.C.D/MASK

• где:

• A.B.C.D — адрес сети, например 10.1.1.0

• MASK — маска (255.255.255.0)

• N — количество единичных бит в сетевой маске, например 24 (255.255.255.0). Смотрите также подробное описание.

• addr addr … — ip адреса участники соединения.

• ifindex [s|d|b]num [s|d|b]num … — номера (индексы) интерфейсов в таблице роутинга. В настоящее время актуально только для netflow данных.

• ingress|egress — способ сбора netflow информации на роутере. В настоящее время актуально только для netflow v9 данных.

• policy–or [!]{NAME|OID} … [!]{NAME|OID} - политика совпадет, если совпадет проверка ЛЮБОЙ из перечисленных политик. Флажок ! означает инвертирование проверки к которой он относится.

• policy–and [!]{NAME|OID} … [!]{NAME|OID} - политика совпадет, если совпадет проверка ВСЕХ из перечисленных политик. Флажок ! означает инвертирование проверки к которой он относится.

• time timespec — совпадает, если пакет пришел в указанный временной интервал timespec. Это строка, содержащая диапазон времени в часах:минутах (24–часовая схема), при этом нулевые минуты можно пропускать:

• target time 9–18

• target time 00:40–21:30

• day dayspec — совпадает, если пакет пришел в день недели, указанный в dayspec. Это строка, содержащая трехбуквенное название дня недели, или диапазон дней:

• target day Mon–Fri

• target day Sun

default { acct–policy | fw–policy } NAME|OID … NAME|OID

Задает политики подсчета|фильтрации по умолчанию для всех вновь создаваемых юнитов.

restrict all {drop|pass} local {drop|pass}

задает политику фильтрации трафика для случая, когда fw–policy для объекта не определен

all — для всех данных (всех ip–адресов src/dst)

local — для данных, предназначенных объектам, описанным в конфигурационном файле

drop — не пропускать пакеты данного класса

pass — пропускать пакеты

Значение по умолчанию restrict all drop local pass приводит к тому, что для трафика, пакеты которого в заголовке в полях src/dst оба IP–адреса не принадлежат ни одной из описанных в конфигурационном файле машин/кластеров/сетей, этот трафик блокируется. Фактически, это означает что программа будет пропускать только данные с/для зарегистрированных машин «за» маршрутизатор. В случае установления restrict local drop вы обязаны явно для каждого юнита прописать fw–policy. Если для юнита не прописаны никакие политики acct–policy или fw–policy, то это эквивалентно применению к этому юниту параметра no–local–pass, т.е. применение restrict all вместо restrict local.

auto–assign A.B.C.D E.F.G.H

Регистрирует диапазон адресов, начиная с A.B.C.D и заканчивая E.F.G.H в качестве пула для автоматического присваивания IP–адресов вновь создаваемым юнитам. При этом юнит создается при помощи команды:

unit {host|user} name XXX ip auto

В таком случае для всех зарегистрированных диапазонов auto–assign проверяются уже существующие юниты типа user или host, имеющие IP–адреса из заданного диапазона, и назначается следующий незанятый адрес (он выводится в ответ на команду создания). Таким образом, скрипт создания аккаунтов–юнитов может «создавать» новые юниты сам, а адреса присваиваются в автоматическом режиме.