Путь к каталогу, в который сохраняются резервные копии файлов счетчиков.

Путь к каталогу, в котором хранятся файлы листов ipset.

Путь к каталогу, в котором хранятся файлы описаний групп клиентов (IP-адресов).

    Если значение $filter_web_access установлено в 1, тогда при попытке входа на веб-интерфейс, проверяется IP-адрес входящего, и если он не совпадает ни с одним из списка $allowed_ip, вместо формы авторизации в виде фрейма грузится сайт что указан в переменной $site_to_redirect. Соответственно, при $filter_web_access=0 опция отключена.
    $allowed_ip может содержать один адрес или, как указано в примере, список адресов через запятую без пробелов.

    Хотите историю? Однажды cложилось так, что когда я был где-то посреди Москвы с ноутбуком, мне понадобилось пипец как срочно кое что поправить через веб-интерфейс. Нашел wi-fi, вышел в интернет, зашел на свой фантомас.. Сработала защита и пришлось читать баш...
    Поэтому существует "служебный" режим. Попробуйте убрать свой адрес из $allowed_ip и зайти на веб-интерфейс вот так:
       http://yourhost/fantomas/?ayadvornik=xtkjdtrcfvjktn

   Редиректа не произойдет - Вы увидите окно авторизации :)
   Как Вы уже поняли, "волшебные слова" настраиваются в $index_freename и $index_freepass. ( ##Прим: в предыдущих версиях эти настройки были непосредственно в самом index.php.)
   Из веб-интерфейса доступна настройка только первых трех опций, две последние можно настроить только в консольном режиме путем редактирования файла config.php. Обязательно смените значения опций $index_freename и $index_freepass на что нибудь свое.

   Имя группы пользователей, которая будет открываться по умолчанию в мониторе трафика.

   Время задержки (тайм-аут) в секундах, используемое по умолчанию в трафик-мониторе и мониторе процессов.
   Не советую ставить значение меньше чем 5 сек, т.к. к примеру, трафик-монитор показывает суммарный трафик каждого юзера по выбранной группе, а это требует некоторого времени на обработку данных.
   Для сравнения: группа из 15 клиентов у меня формируется примерно 3 сек.

   При формировании отчета по трафику из БД ulogd, рассчитывается процентное отношение трафика конкретного хоста назначения к общей сумме трафика. Так вот, в этой переменной задается уровень "отбивки" хостов, процент которых меньше или равен этому. Они не попадут в отчет с целью не захламлять его почти нулевыми значениями (обычно их много).

   URL для запроса информации whois в отчетах по веб-трафику, к этой строке в конец добавляется адрес IP, по которому запрашивается информация.

   Настройка сет-панели: Если значение указано TRUE, то после любой операции редактирования сет-листов, новое содержимое сет-листа будет сохраняться на диск в соответствующий файл в каталоге, указанном в переменной $sets_dir.

   Настройка сет-панели: Если значение указано TRUE, то сет-панель будет запрашивать подтверждение при операциях редактирования или изменения сет-листов.

   Настройка сет-панели: Если значение указано TRUE, то в сет-панели в списке сет-листов будет показываться табличная информация о количестве элементов и биндингах.

   Список лог-файлов, которые можно будет просматривать их веб на странице состояния системы.

   Количество строк с конца лог-файла, которые программа будет загружать для показа.

   Размер по высоте (в пикселах) окна просмотра лог-файла.

   Размер по длине (в пикселах) окна просмотра лог-файла.

   Путь к файлу crontab (файл настроек демона-планировщика crond).

   Путь к исполняемому файлу демона crond.

   Путь к исполняемому файлу программы crontab.

   Путь к лог-файлу crond.

   Опция указывает состояние порт-фильтра: FALSE - порт-фильтр выключен, TRUE - включен.

   Если опция выставлена в TRUE, то в веб-интерфейсе в разделе "MySQL", при просмотре информации о состоянии баз, не показываются данные о таблицах входящих в БД, а только общая инфо о БД.

   Опция указывает состояние подсистемы ведения логов Fantomas: FALSE - логи не ведутся, TRUE - логи ведутся.

   Путь к каталогу с лог-файлами.

   Порог уровня событий, записываемых в лог, значения могут быть от 1 (наиболее полный лог) до 5 (только самые критические и системные ошибки).

   Указывает записывать ли в лог события о проверке пароля успешно авторизовавшегося в программе клиента во время его переходов из раздела в раздел (данные авторизации клиента перепроверяются при каждом новом запуске любого из разделов).

   Имя текущего файла лога программы.

   Максимально допустиммый размер файла лога, "М" - означает мегабайты ("k"-килобайты, "G"-гигабайты), при достижении файлом указанного размера, в имя файла добавляется метка текущего времени и создается новый файл с именем как указано в переменной $syslog.

   Режим вывода информации для консольной утилиты iptconf.php: TRUE - информация выводится в сокращенном виде, FALSE - отображение полной информации.

   Погрешность рассчета счетчиков при применении квот. При проверке достижения пользователем квоты, значение квоты уменьшается на это значение.
   Это нужно когда, например, бывает что значение счетчика байт приближается максимально близко к значению квоты, так, что может даже сработать блокировка квоты, а в веб-интерфейсе клиент виден все равно активным.    "k" - означает килобайты, при считывании переменной программа конвертирует в байты автоматически.

   Ключ для шифрования данных авторизации, длина ключа должна быть 9 символов (только латинские буквы и цифры), иначе Fantomas самостоятельно дополнит на свое усмотрение или соответственно урежет длину ключа. Начиная с версии 0.1.5, если система поддерживает шифрование MD5, то Fantomas использует MD5-хеширование вместо шифрования по ключу и тогда эта опция не используется.

   Если значение TRUE, то вместо шифрования по ключу, Fantomas использует MD5-хеширование без применения ключа.

   Может быть TRUE или FALSE
   Отвечает за запуск функции сохранения счетчиков при отключении или удалении политики, ранее примененной к клиенту. Это нужно когда, например, с клиента удаляется политика или отключается его политика по умолчанию. Соответственно, удаляются правила из iptables и вместе с ними счетчики с текущими показаниями его трафика. Если потом политику добавить или включить обратно, то его счетчики могут быть по нулям. А в случае предварительной отработки рассматриваемой фунции, значения счетчиков считываются из файла counters, находящегося в каталоге iptconf.
   По умолчанию включена. Имейте ввиду что эта функция отрабатывает не по одному конкретному клиенту или политике, а по всем счетчикам всех клиентов. При огромном количестве клиентов может возникнуть какая-то задержка, но это оценить сложно, т.к. при моей обкатке на 60-ти клиентах этой задержки было не заметно.
   Кстати, при добавлении или включении политики, счетчики считываются одельно по этой политике для конкретного клиента .
   Понимаю что надо сделать функцию раздельного сохранения счетчиков, но пока не было необходимости, да и лень, поэтому эта функция возможно появится в следующей версии.

   Параметры подключения к серверу MySQL.

   Путь к лог файлу MySQL. Он потребуется для того чтоб Вы смогли смотреть этот лог через веб-интерфейс.

   Название БД, которую Fantomas использует для своих задач.

   Содержит имя БД MySQL демона Ulogd.

   Название БД MySQL демона ulogd.

   Путь к лог файлу демона Ulogd. Он потребуется для того чтоб Вы смогли смотреть этот лог через веб-интерфейс.

   Устаревшая переменная, в ранних версиях программы отсюда брался список процессов, информация о статусе которых отображалась на странице состояния системы. В последствии инфа о процессах стала не нужна, т.к. появился монитор процессов, а ее бывшее место заняла панель просмотра системных логов. Оставлена для обратной совместимости.

   Настройка index.php: Тайм-аут в минутах, по истечению которого веб-интерфейс будет "забывать" логин и пароль текущей сессии и прийдется перелогиниться. Если указан 0, то таймаута нет, но параметры сессии будут забыты при выходе из веб-интерфейса.

   Настройка отображения групп клиентов в веб: указавает подменять ли знаки подчеркивания "_" на пробелы для тегов "cname" при отображении имен клиентов в веб-интерфейсе.

4.2 Настройка загрузки конфигурации iproute2, скрипт "tabloid"

    Fantomas имеет возможность при старте своего init-скрипта iptcldr загружать список маршрутов Iproute2. Эта опция включается в разделе "Система -> Iproute2", там доступно включение/выключение самой опции, также там можно указать сам файл конфига cо списком маршрутов, и еще там есть панель таблиц маршрутизации в которой можно добавлять/удалять таблицы и просматривать загруженные маршруты по таблицам.

    Файл списка маршрутов называется iproute2-init и хранится в каталоге программы. Немного о самом файле: структура файла разбита на секции, каждая из которых должна принадлежать отдельной таблице маршрутизации и в этой секции должны располагаться правила этой таблицы, последняя же из секций должна содержать правила iproute2 (ip rule list).

    Обычная секция таблицы маршрутизации выглядит так:

### table <tablename> zone
ip route add ... table <tablename>
ip route add ... table <tablename>
######### end zone

### rules zone
ip rule add ... table <tablename>
ip rule add ... table <tablename>
######### end zone

tabloid {up|down|reload} [target=<tablename>]

4.3 Список подсетей

    Для любой маршрутизации нужно знать источник и адресата, не так ли? Более того, для вменяемой маршрутизации нужно видеть разницу между объектами в локальной сети и всеми остальными. Для этого при настройке установщик создал список подсетей, подключенных непосредственно к маршрутизатору, их можно настроить в веб или в консоли в файле "Networks". Веб-настройка выглядит примерно так:


    На основе данных о подсетях также формируется ipset-лист locals, который и используется для четкой идентификации локальных подсетей и их отличия от внешних.
    Файл "networks" располагается в каталоге где установлен Fantomas, при желании работать в консоли его можно править вручную. Синтаксис файла следующий:

<subnet_address> [local] [notallforward]

127.0.0.1
192.168.0.0/24 local
10.120.6.0/24 local notallforward

-A FORWARD -s 192.168.0.10 -d 10.120.6.0/24 -j ACCEPT

-A FORWARD -s 192.168.0.10 -d 10.120.6.0/24 -p tcp -m multiport ! --ports 25,3389,8080,3128 -j ACCEPT
-A FORWARD -s 192.168.0.10 -d 10.120.6.0/24 -p udp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.0.103 -d 10.120.6.0/24 -p tcp --sport 80 -j DROP

4.4 Список сетевых подключений

    Здесь все предельно просто - список содержит описания сетевых интерфейсов, с которыми работает программа.
    Аналогично списку подсетей, работать с со списком подключений можно как через веб-панель, так и в консоли. Данные списка хранятся в файле "providers".
    Синтаксис файла:

link <link_name> [local] {
ipaddr=<iface_ipaddr>
ifname=<iface_name>
}

link propellernet local {
ipaddr=192.168.0.1
ifname=eth1
}

link tochka-ru {
ipaddr=78.78.78.79
ifname=eth2
}

4.5 "Inits" - cписок произвольных правил Iptables

    Как и предыдущие списки настроек, этот список возможно редактировать как из веб так и в консольном режиме. Данные хранятся в файле "inits".
    Список предназначен для размещения написанных админом вручную команд iptables, которые при процедуре пересоздания конфигурации (RELOAD) будут выполняться перед генерацией правил по политикам клиентов.
Целью его создания было иметь возможность производить вручную небольшие манипулиции с трафиком, как то например, маркировка, разрешение или запрещение трафика.

    Всю основную работу c трафиком Fantomas проводит в таблице mangle (цепочки PREROUTING, FORWARD, COUNT_IN, COUNT_OUT и PORTFILTER).
Поэтому создавайте правила очень осторожно! Помните, что действие Ваших правил способно всерьез нарушить или вообще разрушить работу Fantomas. К примеру, если здесь дропать пакеты, которые могли бы принадлежать какому то клиенту, то уже никакие правила никаких политик эти пакеты не получат.
Цепочки COUNT_IN и COUNT_OUT просто не используйте!

    Выше уже писалось о том что, штатно inits можно применять для раздавания вручную ACCEPT'ов на форвард трафика, в том случае, когда на одной из Ваших подсетей установлена опция "notallforward":

-A FORWARD -s 192.168.0.10 -d 10.120.6.0/24 -j ACCEPT

-t mangle -A PREROUTING -s 192.168.0.10 -d 10.120.6.0/24 -p all -j MARK --set-mark 22
-t mangle -A COUNT_IN -m mark --mark 22 -j RETURN
-t mangle -A COUNT_OUT -m mark --mark 22 -j RETURN

4.6 Политики

    Политики хранятся в текстовом виде в файле "policies" в каталоге Fantomas. Работать со списком политик можно тоже как из веб-интерфейса, так и в консоли.

    Политика - это краткое схематичное, синтаксически соответственно оформленное, описание видов сетевого трафика с указанием действий, которые должен применять маршрутизатор к этим видам трафика.

    Мы уже говорили про основную идею политик и их назначение в разделе п.1.1.3 Как это работает?.

    Политика имеет краткое название (идентификатор), которое используется во всех операциях с политикой: ее можно назначить клиенту или большому числу клиентов (или вообще всем). Можно политику назначить группе клиентов - тогда она будет использоваться как политика по-умолчанию для членов этой группы и при создании нового клиента будет применяться автоматически (потом Вы, конечно, можете ее отменить и назначить другую политику).

    Каждому конкретному клиенту может быть назначено сколько угодно политик - их количество ограничено только аппаратными ресурсами сервера. Главное требование: виды трафика, описанные в каждой политике, не должны повторяться в других политиках, назначенных клиенту - иначе действия политик будут попросту конфликтовать.

    В качестве клиентов возможно использовать не только ip-адреса рабочих станций, но и адреса серверов, расположенных в локальной сети. Для серверов также возможно создавать политики, описывающие используемые ими виды трафика. Например, создать политику, разрешающую исходящий SMTP для почтового сервере или политику, разрешающую DNAT из интернет на внутренний сервер терминалов. А можно создать политику, выполняющую reject tcp (80,8080,3128) для сервера терминалов, если не хотите чтобы пользователи пытались ходить в интернет из под терминальной сесии.

    Еще пример: запросы к удаленным http и ftp-серверам могут быть описаны одной политикой, а к smtp-серверам - другой. При этом первая политика может направлять трафик через одного провайдера, при этом подсчитывая трафик , а вторая - через другого, и возможно без подсчета трафика. Или, допустим, первой политикой Вы можете описывать доступ к удаленным http-серверам c подсчетом трафика, поддержкой месячных квот и блэк-листов, а во второй политике Вы можете описать совершенно свободный доступ в интернет без ограничений. И далее, можете применить эти политики разным клиентам, к примеру, первую - основной массе клиентов, а вторую - начальнику и себе любимому :).

   В веб-интерфейсе работа с политиками ведется в меню "Настройки->Политики", там есть поиск по политикам, режим создания новой политики, редактирование, поиск использующих политик у пользователей и т.д..
   В консоли создавать новые и править существующие политики можно простым редактированием файла policies.

##Примечание: Будьте внимательны при редактировании политик, уже назначенных одному или нескольким клиентам - НЕЛЬЗЯ существенно видоизменять политику если она уже на ком то применена. Допускается дополнение таких политик новыми строками, но воздерживайтесь от их видоизменения.
   Объясню почему: При простом редактировании текста политик с ранее сгенерированными по ней правилами ничего не происходит - для вступления изменений в силу требуется запустить процедуру пересоздания конфигурации (RELOAD). Эта процедура сперва выгружает счетчики существующих правил, а потом, при формировании новых правил для Вашей политики, процедура загружает показания до этого выгруженных счетчиков... И на этом моменте Вас вполне объективно будут ждать грабли: чем сильнее Вы видоизменили строки политики, тем больше вероятность того что программа не сможет определить какие показания счетчиков соответствуют Вашей политике. В результате - счетчики по нулям.

policy <policy_name> {
title "любое описание политики"
[accept | reject] <proto> <ports> [dst | src] [[from | to] <address>] [quota <quota>]
[action] [ snat|masquerade|dnat|input [<destination>] ]
[in | out] [<provider>]
[manglemark <N>]
[count [nolog] ]
[[blacklist | allow_only] <list>]
}

title "Terminal Services DNAT for 2piplz"
accept tcp 3389 from 11.11.11.11
accept tcp 3389 from 22.22.22.22
in myprovider
count
action dnat 192.168.0.100

4.7 Управление сет-листами - списки Ipset, файл "ipsetlist"

    ...Файл "ipsetlist" представляет из себя перечисление листов ipset (по принципу один сет-одна строка), вообще используемых в Fantomas. При старте системы Fantomas ищет файлы с соответствующими именами в каталоге из переменной $sets_dir и загружает в память.
Файлы листов ipset это файлы, сгенерированные самим ipset и, следовательно, в них можно использовать весь функционал ipset как Вам угодно, здесь Вас Fantomas никак не ограничивает.

    Работать с сет-листами возможно из веб-интерфейса или из консоли. Разница заключается в способах обработки сет-листов: для обработки сет-листов в консольном режиме Вы должны будете использовать "родной" инструментарий ipset и выполнять команды ipset вручную из коммандной строки, а что касается веб-интерфейса - для обработки сет-листов есть специальная сет-панель, в которой можно в реальном времени видеть состояние используемых сет-листов (загружен/не загружен, количество элементов и т.п.), создавать, изменять или удалять сет-листы. Вид фрагмента сет-панели:

    А это панель для работы с выбранным сетлистом:


    Также в веб-интерфейсе есть редактор сет-листов, в котором можно вручную редактировать сохраненные сет-листы как файлы на диске, но чтобы изменения вступили в силу, Вы должны будете выполнить RELOAD.

В консоли, с помощью команд Ipset Вы можете создавать сетлисты, редактировать, связывать их, и сохранять в каталоге $sets_dir. После этого Вы должны добавить имена Ваших новых сетов в файл ipsetlist, иначе при перезагрузке или процедуре RELOAD они не будут загружены.

Подробно на использовании ipset останавливаться не будем, т.к. для него существует его родная документация, с которой я Вам рекомендую ознакомиться. Ее можно найти в интернет или с консоли просто сделать man ipset.

ipset -N set_video_nets nethash
ipset -A set_video_nets 208.117.224.0/19
ipset -A set_video_nets 83.229.247.0/24
ipset -N set_video_ip iphash
ipset -A set_video_ip 94.100.179.115
ipset -A set_video_ip 81.19.66.144
ipset -A set_video_ip 81.19.66.145
ipset -A set_video_ip 74.125.77.100
ipset -A set_video_ip 74.125.77.113
ipset -A set_video_ip 74.125.77.102
ipset -A set_video_ip 74.125.77.139
ipset -N set_videos setlist
ipset -A set_videos set_video_nets
ipset -A set_videos set_video_ip
cd /usr/local/iptconf/sets
ipset -S set_video_nets >./set_video_nets
ipset -S set_video_ip >./set_video_ip
ipset -S set_videos >./set_videos
cd ..
echo "set_video_nets" >>./ipsetlist
echo "set_video_ip" >>./ipsetlist
echo "set_videos" >>./ipsetlist

4.8 Управление группами и клиентами

    Данные о группах и о клиентах лежат в каталоге из переменной $users_dir (по умолчанию /usr/local/iptconf/usr).

В этом каталоге должны быть файлы с именами типа _usr_groupname. Собственно, здесь groupname это краткое название группы клиентов, а _usr_ - маска, которая должна быть перед названием группы. Причем, в названии файла не должно быть ".bak". Именно такие файлы ищет и читает Fantomas, а потом пытается найти в них сведения о своих клиентах.

По умолчанию каталог может быть вообще пуст, если при установке программы, установщик для Вас не проводил сканирование сети с помощью nmap. Если хотите, скрипт, работающий с nmap, называется sbnetscan и лежит в каталоге tools. Этот скрипт просканирует подсеть, которую Вы ему укажете, создаст файл _usr_default с политикой по умолчанию для всех клиентов - default. Если это для Вас подходит, можете подправить по своим потребностям политику default и запустить sbnetscan.

Синтаксис файлов "_usr_*" следующий:

title "Подробное название группы клиентов"
_default_policy=<default_policy_name>
<client_ip1> [ policy:<policies> ] [ cname:"client_name" ]
...
<client_ipN> [ policy:<policies> ]

Скрин 2. панель глобальных процедур:

4.10 Консольная утилита iptconf.php

    Этот скрипт предназначен для доступа к базовому функционалу программы из коммандной строки.

Синтаксис:

iptconf.php [NoKeepCounts] Reload

iptconf.php SaveCounts

iptconf.php NewPeriod

iptconf.php group=<groupname> client=<client_ipaddr> [ListPolicies] [ShowTraffic]
     возможен и сокращенный синтаксис:
iptconf.php --grp=<groupname> --usr=<client_ipaddr> [lspols] [shtraf]

iptconf.php group=<groupname> client=<client_ipaddr> policy=<policyname> [AddPolicy|DeletePolicy]
     возможен и сокращенный синтаксис:
iptconf.php --grp=<groupname> --usr=<client_ipaddr> --pp=<policyname> [addpol|delpol]

4.11 Ограничение скорости трафика клиентов, скрипт ifbtool

    Fantomas Iptconf использует шейпинг клиентского трафика на базе IFB.
    Я не буду вдаваться в глубокие теоретические излияния, если кому то интересны глубинные механизмы работы этой технологии - Вы можете почерпнуть всю интересующую информацию с официальной страницы ifb и iproute2, а я опишу механизм работы вкратце: ядро ОС Linux по умолчанию поддерживает модуль ifb и это делает эту технологию наиболее доступной для использования при шейпинге трафика. Работает это следующим образом: поднимается виртуальный интерфейс (к примеру, ifb0), в котором создаются несколько очередей обработки пакетов, каждая из которых может иметь свою дисциплину (htb, sfq, tbf &etc). Каждая из этих дисциплин обработки очереди пакетов имеет свои свойства, параметры и особенности, подробно об этом Вы можете прочитать в документации LARTC. Далее, на непосредственно существующем сетевом интерфейсе, к которому подключены клиенты, добавляются правила, переадресовывающие трафик указываемых Вами клиентов через созданный виртуальный интерфейс, при этом указывая какой именно из нескольких очередей пакетов этот трафик будет обработан. Соответственно, при поступлении трафика в очередь пакетов виртуального интерфейса, начинают отрабатывать алгоритмы дисциплины очереди и применяются указываемые Вами ограничения скорости трафика, а после этого пакеты возвращаются снова на физический сетевой интерфейс...

    Управлять этим механизмом Вы можете из веб-интерфейса в разделе "Клиенты и трафик->Шейпер трафика". На этой странице Вы можете включить/выключить шейпер и управлять набором правил шейпера.

    По параметрам шейпера следует пояснить следующее:
    HW Интерфейс - это физический сетевой интерфейс, обычно это внутренний интерфейс Вашего роутера, к которому подключена подсеть с Вашими клиентами.
    IFB Интерфейс - виртуальный ifb-интерфейс, через который будет осуществляться пересылка трафика, оба этих параметра настраиваются в веб-интерфейсе в разделе "Настройки->Параметры->Система".

    И еще кое что: когда Вы задаете скорость трафика для клиентов значения для входящей и исходящей скорости указываются слитно с единицами измерения - kbit, mbit, kbps, mbps.
    Если указаны только цифры, то по-умолчанию подразумеваются килобиты(kbit). Пример: 512kbit - 512 килобит, 256 - 256 килобит.

    По умолчанию, когда поднимается интерфейс ifb, система создает интерфейс с именем ifb0, поэтому если Вы не планируете использовать более одного ifb-интерфейса, то менять этот параметр смысла нет. Но Вам нужно настроить название HW-интерфейса.
    Я не зря упоминул о нескольких ifb-интерфейсах - в системе может быть и несколько таких интерфейсов и они могут содержать совершенно разные очереди пакетов для совершенно разных задач. Просто для "резания" скорости трафика в Fantomas вполне достаточно одного интерфейса.

    Более широкие возможности работы для работы с ifb дает консольный скрипт ifbtool, который идет в дистрибутиве Fantomas и лежит в каталоге tools, в том же каталоге есть и файл с описанием скрипта, поэтому на этом я позволю себе подробно не останавливаться.
    Для получения подробного описания синтаксиса ifbtool сделайте в консоли следующее:

cd /usr/local/iptconf
tools/ifb help