Книга: Документация NetAMS

Зачем нужен break flag [%] при описании policy

Зачем нужен break flag [%] при описании policy

Для версий netams 3.1.xx, 3.2.xx и 3.3.xx до build 2117:

Если вы задаете последовательность из нескольких политик фильтрации трафика подряд, то по умолчанию их действие суммируется, т.е. в случае

service processor

policy name all–ip target proto ip

policy name tcp target proto tcp

unit host name HOST1 ip 192.168.1.5 fw–policy !tcp all–ip

вы все равно не сможете открыть для этой машины ТОЛЬКО TCP–трафик, на следующем совпавшем правиле all–ip пакет зарежется. Для того чтобы после совпадения политики дальнейший поиск прекратился, поставьте

unit host name HOST1 ip 192.168.1.5 fw–policy !%tcp all–ip

Если вы задаете последовательность из нескольких политик подсчета трафика подряд, то по умолчанию подсчет ведется для каждой политики, т.е. в случае

service processor

policy name ip target proto ip

policy name tcp target proto tcp

policy name udp target proto udp

policy name other target proto ip

unit host name HOST1 ip 192.168.1.5 acct–policy ip tcp udp other

вы все равно не сможете явно посчитать для этой машины весь не udp и не tcp трафик, который назовем other, так как пакет все равно посчитается по политике ip. Чтобы при совпадении политики дальнейший подсчет прекратился, поставьте

unit host name HOST1 ip 192.168.1.5 acct–policy ip %tcp %udp other

Для версий netams 3.3.xx после build 2117, в частности 3.3.0–release и далее:

По многочисленным пожеланиям пользователей и для упрощения конфигурационного файла, действие политики fw–policy было инвертировано. Теперь код вида:

unit host name HOST1 ip 192.168.1.5 fw–policy www icmp

разрешает данному юниту общение по политикам www и icmp, блокируя все остальное. Вам теперь не нужно городить сложные комбинации с участием break flag и инвертирования. Помните, что весь остальной трафик, не описанный в политиках fw–policy, будет блокирован.

Оглавление книги