]> git.stg.codes - stg.git/blobdiff - doc/help/ch4.xml
Add divert_cap params description.
[stg.git] / doc / help / ch4.xml
index 7374ce9635e9f5f29e37ac389ae7a4520a204f33..b3dc7159123db8d8d124a8794d2cdc7507921086 100644 (file)
@@ -90,6 +90,7 @@
           <listitem><para>none - ничего не передавать.</para></listitem>
         </itemizedlist>
       </listitem>
           <listitem><para>none - ничего не передавать.</para></listitem>
         </itemizedlist>
       </listitem>
+      <listitem><para>LogProtocolErrors – не обязательный параметр, включающий расширенное журналирование ошибок протокола. Может принимать значения yes или no, значение по умолчанию: no.</para></listitem>
     </itemizedlist>
     <para>Обмен данными авторизатора с сервером осуществляется по протоколу UDP. Можно указать несколько модулей авторизатора auth_ia для авторизации с разных портов.</para>
   </simplesect>
     </itemizedlist>
     <para>Обмен данными авторизатора с сервером осуществляется по протоколу UDP. Можно указать несколько модулей авторизатора auth_ia для авторизации с разных портов.</para>
   </simplesect>
     <para>Модуль не имеет параметров. Для захвата трафика используются так называемые «raw sockets», которые позволяют получить доступ к Ethernet-фреймам. Перехватывается весь трафик попадающий в сетевую подсистему ядра. При использовании обычной маршрутизации трафик будет посчитан два раза: на входящем интерфейсе и на исходящем. При использовании NAT удвоения трафика не происходит, так как NAT заменяет адрес источника. При интенсивном сетевом обмене или при высокой нагрузке на сервер, на котором происходит захват трафика, модуль может терять отдельные пакеты. Процент потерь тем выше чем выше скорость прохождения пакетов и чем выше загрузка сервера. Модуль рекомендуется использовать для ознакомления или в небольших сетях до 100 абонентов с трафиком до 100 Мбит.</para>
   </simplesect>
   <simplesect>
     <para>Модуль не имеет параметров. Для захвата трафика используются так называемые «raw sockets», которые позволяют получить доступ к Ethernet-фреймам. Перехватывается весь трафик попадающий в сетевую подсистему ядра. При использовании обычной маршрутизации трафик будет посчитан два раза: на входящем интерфейсе и на исходящем. При использовании NAT удвоения трафика не происходит, так как NAT заменяет адрес источника. При интенсивном сетевом обмене или при высокой нагрузке на сервер, на котором происходит захват трафика, модуль может терять отдельные пакеты. Процент потерь тем выше чем выше скорость прохождения пакетов и чем выше загрузка сервера. Модуль рекомендуется использовать для ознакомления или в небольших сетях до 100 абонентов с трафиком до 100 Мбит.</para>
   </simplesect>
   <simplesect>
-    <title>Модуль захвата трафика cap_ipq (только для ОС Linux).</title>
+    <title>Ð\9cодÑ\83лÑ\8c Ð·Ð°Ñ\85ваÑ\82а Ñ\82Ñ\80аÑ\84ика cap_ipq (Ñ\83Ñ\81Ñ\82аÑ\80евÑ\88ий, Ñ\82олÑ\8cко Ð´Ð»Ñ\8f Ð\9eС Linux).</title>
     <para>Модуль не имеет параметров. Для захвата трафика используются передача пакетов из пространства ядра в пространство пользователя посредством очередей (ip queue). Для его работы требуется поддержка ip queueing в ядре (модуль ip_queue.ko) и специальная настройка файрвола (правило QUEUE для iptables). Следует обратить внимание на то что обычно требуется два правила в файрволе для полного перехвата: одно для входящих пакетов и одно для исходящих. Модуль гарантирует 100% перехват трафика, но так как пакет перед отправкой обязательно проходить через плагин — может приводить к снижению пропускной способности роутера. При этом следует обратить внимание на нагрузку на процессор, возможно имеет смысл заменить его на более производительный. В противном случае стоит рассмотреть использование модуля cap_nf для захвата трафика.</para>
   </simplesect>
     <para>Модуль не имеет параметров. Для захвата трафика используются передача пакетов из пространства ядра в пространство пользователя посредством очередей (ip queue). Для его работы требуется поддержка ip queueing в ядре (модуль ip_queue.ko) и специальная настройка файрвола (правило QUEUE для iptables). Следует обратить внимание на то что обычно требуется два правила в файрволе для полного перехвата: одно для входящих пакетов и одно для исходящих. Модуль гарантирует 100% перехват трафика, но так как пакет перед отправкой обязательно проходить через плагин — может приводить к снижению пропускной способности роутера. При этом следует обратить внимание на нагрузку на процессор, возможно имеет смысл заменить его на более производительный. В противном случае стоит рассмотреть использование модуля cap_nf для захвата трафика.</para>
   </simplesect>
+  <simplesect>
+    <title>Описание параметров модуля захвата трафика cap_nfqueue (только для ОС Linux).</title>
+    <itemizedlist mark="opencircle">
+      <listitem><para>queueNumber — не обязательный параметр, определяющий номер очереди netfilter из которой будет происходить захват трафика.</para></listitem>
+    </itemizedlist>
+    <para>Для захвата трафика используются передача пакетов из пространства ядра в пространство пользователя посредством очередей (netfilter queue). Модуль является заменой устаревшего cap_ipq. Для его работы требуется поддержка netfilter queueing в ядре (модуль xt_NFQUEUE.ko) и специальная настройка файрвола (правило NFQUEUE для iptables). Следует обратить внимание на то что обычно требуется два правила в файрволе для полного перехвата: одно для входящих пакетов и одно для исходящих. Модуль гарантирует 100% перехват трафика, но так как пакет перед отправкой обязательно проходить через плагин — может приводить к снижению пропускной способности роутера. При этом следует обратить внимание на нагрузку на процессор, возможно имеет смысл заменить его на более производительный. В противном случае стоит рассмотреть использование модуля cap_nf для захвата трафика.</para>
+  </simplesect>
   <simplesect>
     <title>Описание параметров модуля cap_bpf для захвата трафика (только для ОС FreeBSD):</title>
     <itemizedlist mark="opencircle">
   <simplesect>
     <title>Описание параметров модуля cap_bpf для захвата трафика (только для ОС FreeBSD):</title>
     <itemizedlist mark="opencircle">
   </simplesect>
   <simplesect>
     <title>Модуль захвата трафика cap_divert (только для ОС FreeBSD).</title>
   </simplesect>
   <simplesect>
     <title>Модуль захвата трафика cap_divert (только для ОС FreeBSD).</title>
-    <para>Модуль не имеет параметров. Для захвата трафика используются divert-сокеты. Как и IPQ эта технология использует прохождение пакетов через пространство пользователя. Для работы модуля требуется поддержка divert-сокетов в ядре и специальная настройка файрвола. Для передачи пакета в пространство пользователя в файрволе используется правило divert или tee. Первое правило работает аналогично цели QUEUE для iptables — пропускает пакет через пространство пользователя перед отправкой. Соответственно, это может вызвать те-же проблемы с пропускной способностью роутера. Правило tee передает в пространство пользователя копию пакета, а оригинал отправляет дальше. Такой подход позволяет избежать снижения пропускной способности сервера при высокой нагрузке на него, так как исключается ожидание пакета в время его нахождения в пространстве пользователя.</para>
+    <itemizedlist mark="opencircle">
+      <listitem><para>Port — необязательный параметр, указывающий порт на который будет происходить перенаправление трафика. Значение по умолчанию: 15701.</para></listitem>
+      <listitem><para>DisableForwarding — необязательный параметр, отключающий форвардинг пакетов. Значение по умолчанию: no.</para></listitem>
+    </itemizedlist>
+    <para>Для захвата трафика используются divert-сокеты. Как и IPQ эта технология использует прохождение пакетов через пространство пользователя. Для работы модуля требуется поддержка divert-сокетов в ядре и специальная настройка файрвола. Для передачи пакета в пространство пользователя в файрволе используется правило divert или tee. Первое правило работает аналогично цели QUEUE для iptables — пропускает пакет через пространство пользователя перед отправкой. Соответственно, это может вызвать те-же проблемы с пропускной способностью роутера. Правило tee передает в пространство пользователя копию пакета, а оригинал отправляет дальше. Такой подход позволяет избежать снижения пропускной способности сервера при высокой нагрузке на него, так как исключается ожидание пакета в время его нахождения в пространстве пользователя. При использовании правила tee рекомендуется отключать форвардинг пакетов.</para>
   </simplesect>
   <simplesect>
     <title>Описание параметров модуля cap_nf для захвата трафика:</title>
   </simplesect>
   <simplesect>
     <title>Описание параметров модуля cap_nf для захвата трафика:</title>