TMeter :: Rule editor

Редактор правила

Правило определяет условия при котором пакет может попасть в фильтр. Для того, чтобы правило сработало, необходимо чтобы выполнились все условия, перечисленные в правиле.

Описание правила

Здесь можно задать произвольное описание правила длиной до 100 символов. Это поле можно оставить пустым.

IP протокол

Задает имя или номер IP протокола. См. статью "Номер протокола IP" в Базе Знаний TMeter.

Источник и Назначение

Эта группа полей задает способ проверки IP адресов. В случае создания правила для протоколов TCP или UDP - возможность указания номеров портов, которые также будут приниматься во внимание при проверки пакета правилом.

Группа свойств "Направление"

Свойство "Это также распространяется на пакеты с полностью противоположными адресами..." (Mirrored) определяет так называемое условие направления попадания:

Если свойство "Mirrored" выключено, то для того чтобы пакет попал в правило, необходимо чтобы IP-пакет в точности соответствовал условиям, заданным в правиле. При этом произойдет так называемое "прямое" попадание и обновляться будет только счетчик переданных байт (sent bytes counter).
Если свойство "Mirrored" включено, то данное правило (помимо проверки на "прямое" попадание) будет проверять также и "отраженные" пакеты, т.е. пакеты с полностью противоположными адресами источника и назначения. При этом "отраженное" (или "обратное") попадание будет обновлять счетчик принятых байт (recv bytes counter).

Внимание! Свойство "Mirrored" включено по-умолчанию. Отключайте свойство "Направление" только тогда, когда Вы в точности понимаете что делаете.

Свойство "Контроль состояния пакета" (Stateful Inspection) включает так называемый динамический режим для свойства "Mirrored".

Если свойство "Stateful Inspection" включено, то обратные пакеты будут попадать в правило только при наличии предварительного "прямого" попадания в правило.
Если свойство "Stateful Inspection" выключено, то наличие "прямых" попаданий в правило не требуется для проверки на "обратное попадание".

Свойство "Stateful Inspection" полезно для построения файрволльных правил.

Свойство "TCP опции" (только для протокола TCP)

Определяет реакцию данного правила на первый пакет TCP-соединения (т.е. пакет с флагом SYN и без флага ACK). Эта опция особенно полезна при построении файрволльных правил, запрещающие, например, входящие TCP-соединения. Данная опция доступна только в одном направлении, т.е. проверка срабатывания на "отраженных" пакетов производиться не будет.

Свойство "ICMP опции" (только для протокола ICMP)

Включает проверку типа каждого ICMP-пакета. Если тип - ICMP echo request, происходит срабатывание правила (при выполнении прочих условий). Это свойство также полезно при построении файрволльных правил.

Свойство "Действие"

Свойство "Действие" определяет что делать с пакетом, если выполнились все условия правила:

Подсчитать - счетчики данного фильтра будут изменены, пакет будет передан на обработку в следующий фильтр.
Не обрабатывать вообще - счетчики данного фильтра не будут изменены, пакет не будет передан на обработку в следующий фильтр(ы)
Подсчитать и не обрабатывать далее - счетчики данного фильтра будут изменены, пакет не будет передан на обработку в следующий фильтр
Блокировать - счетчики данного фильтра не будут изменены, пакет будет заблокирован файрволлом (правило действительно только в Активном Режиме Сбора Пакетов)
В случае, если ни одно из правил в фильтре не сработало, счетчики данного фильтра не будут изменены, а пакет будет передан на обработку в следующий фильтр

Действия правила можно также выразить таблицей:

Действие	Изменение счетчиков фильтра	Пакет будет передан на обработку в следующий фильтр?	Пакет будет заблокирован файрволлом?
Подсчитать	Да	Да	Нет
Не обрабатывать вообще	Нет	Нет	Нет
Подсчитать и не обрабатывать далее	Да	Нет	Нет
Блокировать	Нет	Нет	Да
Ни одно правило не сработало	Нет	Да	Нет

Свойство "Пакет должен быть"

Определяет, должен ли пакет быть уже подсчитанным ранее в предыдущих фильтрах, не подсчитанным в предыдущих фильтрах или вообще игнорировать эту опцию.

Свойство "Через сетевой адаптер"

Определяет, что пакет должен пройти через определенный сетевой адаптер чтобы он попал в правило. Это свойство может принимать следующие значения: "Любой адаптер", "Внешний адаптер" или "Внутренний адаптер". Определить внешний и внутренний сетевой адаптер можно в диалоге выбора сетевых адаптеров.

Условие на значение счетчиков фильтров

Позволяет задать лимиты на трафик, однако способ задания лимитов по трафику через правило не является предпочтительным и вскоре будет удален из TMeter. Предпочтительный способ задания лимитов по трафику - на уровне фильтра.

Попасть в редактор правила можно из редактора фильтра.