X-Git-Url: https://git.stg.codes/stg.git/blobdiff_plain/d4d0006dd2a603fc5c17774d6eacc186f689cbfc..ac9dc8faf23104c8d82cbf5ff0041f46da8d9534:/doc/help/ch4.xml?ds=sidebyside diff --git a/doc/help/ch4.xml b/doc/help/ch4.xml index 7374ce96..b3dc7159 100644 --- a/doc/help/ch4.xml +++ b/doc/help/ch4.xml @@ -90,6 +90,7 @@ none - ничего не передавать. + LogProtocolErrors – не обязательный параметр, включающий расширенное журналирование ошибок протокола. Может принимать значения yes или no, значение по умолчанию: no. Обмен данными авторизатора с сервером осуществляется по протоколу UDP. Можно указать несколько модулей авторизатора auth_ia для авторизации с разных портов. @@ -194,9 +195,16 @@ Модуль не имеет параметров. Для захвата трафика используются так называемые «raw sockets», которые позволяют получить доступ к Ethernet-фреймам. Перехватывается весь трафик попадающий в сетевую подсистему ядра. При использовании обычной маршрутизации трафик будет посчитан два раза: на входящем интерфейсе и на исходящем. При использовании NAT удвоения трафика не происходит, так как NAT заменяет адрес источника. При интенсивном сетевом обмене или при высокой нагрузке на сервер, на котором происходит захват трафика, модуль может терять отдельные пакеты. Процент потерь тем выше чем выше скорость прохождения пакетов и чем выше загрузка сервера. Модуль рекомендуется использовать для ознакомления или в небольших сетях до 100 абонентов с трафиком до 100 Мбит. - Модуль захвата трафика cap_ipq (только для ОС Linux). + Модуль захвата трафика cap_ipq (устаревший, только для ОС Linux). Модуль не имеет параметров. Для захвата трафика используются передача пакетов из пространства ядра в пространство пользователя посредством очередей (ip queue). Для его работы требуется поддержка ip queueing в ядре (модуль ip_queue.ko) и специальная настройка файрвола (правило QUEUE для iptables). Следует обратить внимание на то что обычно требуется два правила в файрволе для полного перехвата: одно для входящих пакетов и одно для исходящих. Модуль гарантирует 100% перехват трафика, но так как пакет перед отправкой обязательно проходить через плагин — может приводить к снижению пропускной способности роутера. При этом следует обратить внимание на нагрузку на процессор, возможно имеет смысл заменить его на более производительный. В противном случае стоит рассмотреть использование модуля cap_nf для захвата трафика. + + Описание параметров модуля захвата трафика cap_nfqueue (только для ОС Linux). + + queueNumber — не обязательный параметр, определяющий номер очереди netfilter из которой будет происходить захват трафика. + + Для захвата трафика используются передача пакетов из пространства ядра в пространство пользователя посредством очередей (netfilter queue). Модуль является заменой устаревшего cap_ipq. Для его работы требуется поддержка netfilter queueing в ядре (модуль xt_NFQUEUE.ko) и специальная настройка файрвола (правило NFQUEUE для iptables). Следует обратить внимание на то что обычно требуется два правила в файрволе для полного перехвата: одно для входящих пакетов и одно для исходящих. Модуль гарантирует 100% перехват трафика, но так как пакет перед отправкой обязательно проходить через плагин — может приводить к снижению пропускной способности роутера. При этом следует обратить внимание на нагрузку на процессор, возможно имеет смысл заменить его на более производительный. В противном случае стоит рассмотреть использование модуля cap_nf для захвата трафика. + Описание параметров модуля cap_bpf для захвата трафика (только для ОС FreeBSD): @@ -206,7 +214,11 @@ Модуль захвата трафика cap_divert (только для ОС FreeBSD). - Модуль не имеет параметров. Для захвата трафика используются divert-сокеты. Как и IPQ эта технология использует прохождение пакетов через пространство пользователя. Для работы модуля требуется поддержка divert-сокетов в ядре и специальная настройка файрвола. Для передачи пакета в пространство пользователя в файрволе используется правило divert или tee. Первое правило работает аналогично цели QUEUE для iptables — пропускает пакет через пространство пользователя перед отправкой. Соответственно, это может вызвать те-же проблемы с пропускной способностью роутера. Правило tee передает в пространство пользователя копию пакета, а оригинал отправляет дальше. Такой подход позволяет избежать снижения пропускной способности сервера при высокой нагрузке на него, так как исключается ожидание пакета в время его нахождения в пространстве пользователя. + + Port — необязательный параметр, указывающий порт на который будет происходить перенаправление трафика. Значение по умолчанию: 15701. + DisableForwarding — необязательный параметр, отключающий форвардинг пакетов. Значение по умолчанию: no. + + Для захвата трафика используются divert-сокеты. Как и IPQ эта технология использует прохождение пакетов через пространство пользователя. Для работы модуля требуется поддержка divert-сокетов в ядре и специальная настройка файрвола. Для передачи пакета в пространство пользователя в файрволе используется правило divert или tee. Первое правило работает аналогично цели QUEUE для iptables — пропускает пакет через пространство пользователя перед отправкой. Соответственно, это может вызвать те-же проблемы с пропускной способностью роутера. Правило tee передает в пространство пользователя копию пакета, а оригинал отправляет дальше. Такой подход позволяет избежать снижения пропускной способности сервера при высокой нагрузке на него, так как исключается ожидание пакета в время его нахождения в пространстве пользователя. При использовании правила tee рекомендуется отключать форвардинг пакетов. Описание параметров модуля cap_nf для захвата трафика: