Константы

В Межсетевом экране ИКС реализован модуль, который отсутствует в списке всех служб. Этот модуль определяет некоторые глобальные константы поведения ИКС. В большинстве случаев изменять их не требуется, однако в некоторых случаях их изменение оправдано.

Для того чтобы перейти в модуль настройки констант, выполните следующие действия:

  1. Удалите в адресной строке браузера весь путь после символов #/.
  2. Впишите в URL слово const:

    https://192.168.17.187:81/#/const

  3. Нажмите <Enter> — откроется окно со списком доступных для редактирования глобальных констант.

В ИКС предусмотрены следующие константы:

  • net.nat_networks — определяет локальные сети, которые будут транслироваться во внешнюю сеть сервисом NAT. По умолчанию он работает только для локальных сетей, определяемых RFC — 192.168.0.0/16, 172.16.0.0/12 и 10.0.0.0/8. В случае, если в вашей локальной сети присутствуют нестандартные IP-адреса, можно добавить их в список натируемых хостов и подсетей.
  • max_execution_time — максимальное время выполнения PHP-скриптов. По умолчанию составляет 30 секунд. Если ИКС работает слишком медленно и некоторые скрипты не успевают выполниться за данное время (например, импорт большого числа доменных пользователей), можно увеличить этот параметр. Важно! Не следует присваивать параметру слишком большие значения, это может привести к зависанию системы!
  • update_server — сервер обновлений ИКС. Этот параметр может быть изменен для установки специальных обновлений с тестового сервера. Важно! Не изменяйте данный параметр самостоятельно без консультации с сотрудником технической поддержки!
  • xauth_expire_timeout — время таймаута в секундах, после которого в случае отсутствия запросов со стороны пользователя сессия подключения клиента Xauth считается разорванной.
  • mail.smtp_auth_enable — позволяет включить авторизацию на SMTP. Может иметь значение true либо false. При значении false авторизоваться смогут только хосты из белого списка.
  • mail.helo_check — позволяет включить проверку HELO для входящих почтовых сообщений. Может иметь значение true либо false.
  • mail.dns_check — позволяет включить проверку PTR-записей для входящих почтовых сообщений. Может иметь значение true либо false.
  • mail.greyfix.dst_skip — адреса, для которых отключена проверка серыми списками.
  • mail.relay_allow — отвечает за добавление сетей из белого списка в список mynetworks, тем самым автоматически разрешая ретрансляцию/отправку/релей писем из этих сетей.
  • web.sessionTimeout — время отключения сессии пользователя в веб-авторизации в случае неактивности в секундах.
  • asterisk.session-timers — таймеры сессии для провайдеров (accept, originate или refuse). Значение следует уточнить у провайдера.
  • asterisk.earlymedia — формат: значение 1;значение 2. Записываются в переменные progressinband;prematuremedia. Progressinband = yes (для тех, у кого нет сообщений от провайдера), never (для тех, у кого два гудка); prematuremedia = yes/no (обычно no).
  • asterisk.timeoutdigit — время ожидания нажатия следующей клавиши при наборе номера. По умолчанию 3 секунды.
  • squid.intercept_host_verify — включает проверку соответствия IP-адреса для перехваченных запросов. Может иметь значение true (по умолчанию) либо false.
  • import.ldap_filter — позволяет вручную ввести строку фильтра для импорта из LDAP.
  • import.disable_ldap_groups — отключает импорт групп безопасности (синхронизированных наборов правил). Может иметь значение true либо false.
  • import.allow_duplicate_name — разрешает импорт пользователей с одинаковыми именами. Может иметь значение true либо false.
  • squid.connect_retries — количество попыток восстановления TCP-сессии после истечения таймаута соединения.
  • squid.icap_io_timeout — таймаут для ожидания ответа от ICAP-сервера.
  • snort.et_rules_url, snort.pt_rules_url — позволяет задать URL загрузки правил для детектора атак Suricata.
  • clamav.update_server — позволяет задать URL загрузки правил для ClamAV.
  • pinger.pongs — количество полученных ответов на пинг хоста, при котором можно считать, что он пингуется. По умолчанию равно 5. Граничные значения: 1—60 (включительно).
  • pinger.timeout — время, в течение которого, если не получен ответ на пинг, можно считать, что пинга нет (в секундах). По умолчанию равно 5. Граничные значения: 1—60 (включительно).
  • pinger.some — определяет зависимость статуса провайдера от статусов указанных серверов в настройках мониторинга. Если значение false, то провайдер считается недоступным, если недоступен хотя бы один из серверов (поведение по умолчанию). Если значение true, то провайдер считается недоступным, если недоступны ВСЕ серверы из списка; если хотя бы один сервер из списка доступен, то провайдер также доступен.
  • firewall.tcp_timeout — время жизни установленного TCP-соединения в секундах. По умолчанию равно 86400 (24 часа).
  • support.hosts — серверы регистрации и технической поддержки ИКС. Важно! Не изменяйте данный параметр самостоятельно без консультации с сотрудником технической поддержки.

Правила набора (Dialplan)

Начиная с версии 7.0.0 добавлена возможность корректировать (обрабатывать) все called number в SIP Trunk провайдера. Так как некоторые SIP-провайдеры отходят от стандартной записи (например, один провайдер присылал номер, начинающийся с решетки #), такой номер не мог быть обработан правилами, установленными на ИКС. Поэтому для решения данной ситуации в ИКС добавлена возможность использовать символ решетки в начале номера.

Константа asterisk.rulepattern позволяет задать список возможных символов, с которых начинается номер. По умолчанию установлено значение _[0-9+*#].

Настройка кеша ZFS

Начиная с версии ИКС 6.1.0 изменено искусственное ограничение размера кеша ZFS (Zettabyte File System). Теперь FreeBSD резервирует половину оперативной памяти для ядра и прикладных программ. Вторая половина оперативной памяти используется для кеша ZFS (ARC — Adaptive Replacement Cache).

ARC имеет очень низкий приоритет для запросов к памяти. Если приложение запрашивает оперативную память, а система не имеет достаточно свободной памяти, ядро системы уменьшает ARC, предоставляя приложению запрошенную им память. Процесс возвращения оперативной памяти кеша в систему не является мгновенным: он может занять несколько секунд, поэтому система начнет подтормаживать.

Чтобы изменить параметры ARC, перейдите в <IP-адрес ИКС>:<порт web-интерфейса>/#/const. На данной вкладке доступны следующие параметры настройки ARC:

  • vfs.zfs.arc_max
  • vfs.zfs.arc_meta_limit
  • vfs.zfs.arc_min
  • vfs.zfs.prefetch_disable

Параметр vfs.zfs.arc_max позволяет установить максимальный размер ARC, указывается в мегабайтах. Пустое поле означает, что ИКС использует размер по умолчанию (<объем ОЗУ>/2). Ограничение соответствует объему оперативной памяти (RAM).

Для изменения размера ARC следует исходить из следующих рекомендаций:

  • На каждый терабайт ПЗУ необходимо использовать 1 Гб ARC.
  • Максимальный размер ARC не должен превышать <объем ОЗУ> – 1Гб.

Параметр vfs.zfs.arc_meta_limit отвечает за размер части ARC, затраченной на хранение метаданных, указывается в мегабайтах. Пустое поле означает, что установлен размер по умолчанию (vfs.zfs.arc_max/4) от первоначального определения arc_max. Если параметр vfs.zfs.arc_max был изменен, рекомендуется изменить данный параметр на новое значение vfs.zfs.arc_max/4. Значение должно быть между vfs.zfs.arc_min и vfs.zfs.arc_max.

Внимание! Если в ИКС создано много каталогов с большим количеством файлов (например, много почтовых ящиков с большим количеством писем) и система подтормаживает, рекомендуется установить параметр vfs.zfs.arc_meta_limit равным vfs.zfs.arc_max/2.

Параметр vfs.zfs.arc_min отвечает за минимальный размер ARC, указывается в мегабайтах. Пустое поле означает, что установлен размер по умолчанию (vfs.zfs.arc_meta_limit/2). Если параметр vfs.zfs.arc_max был изменен, рекомендуется изменить данный параметр на новое значение vfs.zfs.arc_meta_limit/2. Значение всегда должно быть меньше vfs.zfs.arc_max.

В ZFS реализован механизм предварительной загрузки файлов zfetch. Данный механизм анализирует шаблоны чтения файлов и пытается предсказать результаты следующего чтения для сокращения времени отклика приложений. В некоторых случаях zfetch может интенсивно нагружать процессор и иметь предел масштабируемости. Для того чтобы отключить zfetch, укажите значение параметра vfs.zfs.prefetch_disable равным 1.

Внимание! Чтобы произведенные настройки вступили в силу, перезагрузите ИКС.

Изменение групп AD

Константа import.ldap_admin_groups позволяет менять группы AD, которые будут администрировать ИКС. Если удалить все группы, из констант подтянутся группы по умолчанию Administrators, Domain Admins, Администраторы, Администраторы домена. Группы необходимо указывать через запятую.

О статье

Идентификатор статьи:
119
Категория:
Рейтинг :

Меню

Связанные статьи