• policy–and [!]{NAME|OID} … [!]{NAME|OID} - политика совпадет, если совпадет проверка ВСЕХ из перечисленных политик. Флажок ! означает инвертирование проверки к которой он относится.
• time timespec — совпадает, если пакет пришел в указанный временной интервал timespec. Это строка, содержащая диапазон времени в часах:минутах (24–часовая схема), при этом нулевые минуты можно пропускать:
• target time 9–18
• target time 00:40–21:30
• day dayspec — совпадает, если пакет пришел в день недели, указанный в dayspec. Это строка, содержащая трехбуквенное название дня недели, или диапазон дней:
• target day Mon–Fri
• target day Sun
default { acct–policy | fw–policy } NAME|OID … NAME|OID
Задает политики подсчета|фильтрации по умолчанию для всех вновь создаваемых юнитов.
restrict all {drop|pass} local {drop|pass}
задает политику фильтрации трафика для случая, когда fw–policy для объекта не определен
all — для всех данных (всех ip–адресов src/dst)
local — для данных, предназначенных объектам, описанным в конфигурационном файле
drop — не пропускать пакеты данного класса
pass — пропускать пакеты
Значение по умолчанию restrict all drop local pass приводит к тому, что для трафика, пакеты которого в заголовке в полях src/dst оба IP–адреса не принадлежат ни одной из описанных в конфигурационном файле машин/кластеров/сетей, этот трафик блокируется. Фактически, это означает что программа будет пропускать только данные с/для зарегистрированных машин «за» маршрутизатор. В случае установления restrict local drop вы обязаны явно для каждого юнита прописать fw–policy. Если для юнита не прописаны никакие политики acct–policy или fw–policy, то это эквивалентно применению к этому юниту параметра no–local–pass, т.е. применение restrict all вместо restrict local.
auto–assign A.B.C.D E.F.G.H
Регистрирует диапазон адресов, начиная с A.B.C.D и заканчивая E.F.G.H в качестве пула для автоматического присваивания IP–адресов вновь создаваемым юнитам. При этом юнит создается при помощи команды:
unit {host|user} name XXX ip auto
В таком случае для всех зарегистрированных диапазонов auto–assign проверяются уже существующие юниты типа user или host, имеющие IP–адреса из заданного диапазона, и назначается следующий незанятый адрес (он выводится в ответ на команду создания). Таким образом, скрипт создания аккаунтов–юнитов может «создавать» новые юниты сам, а адреса присваиваются в автоматическом режиме.
Возможно создание нескольких пулов. В этом случае проверка и выделение IP происходит в порядке следования auto–assign.