From 81f6937187486120f1e42fa2b3a11a5135545daa Mon Sep 17 00:00:00 2001 From: bol-van Date: Mon, 15 Dec 2025 14:39:39 +0300 Subject: [PATCH] update docs --- docs/manual.md | 20 ++++++++++++++++++++ 1 file changed, 20 insertions(+) diff --git a/docs/manual.md b/docs/manual.md index 2732149..aef4ba7 100644 --- a/docs/manual.md +++ b/docs/manual.md @@ -703,6 +703,26 @@ Linux conntrack имеет похожий способ определения н портов назначения для xmit и портов источника для recv (или наоборот для серверного режима). Это достаточно надежно идентифицирует необходимый к перехвату трафик по направлению. +## Кэш IP + +ipcache представляет собой структуру в памяти процесса, позволяющую по ключу IP адреса и имени интерфейса запоминать некоторую информацию, +которую впоследствии можно извлечь и использовать как недостающие данные. На текущий момент это применяются в следующих ситуациях : + +1. IP,interface => incoming ttl . Кэшируется TTL/HL первого входящего пакета от для последующего применения в LUA функциях (autottl) прямо с первого пакета, когда еще ответа не было. + +2. IP => hostname . Кэшируется имя хоста, вне привязки к интерфейсу, для последующего поиска профиля с фильтрами по хостлистам и передачи в LUA функции, когда имя хоста еще неизвестно. +Режим отключен по умолчанию и включается через параметр `ipcache-hostname`. +Данная техника является экспериментальной. Ее проблема в том, что как такового нет однозначного соответствия между доменом и IP. Множество доменов могут ссылаться на тот же IP адрес. +При коллизии происходит замещение имени хоста на последний вариант. +Домен может скакать по разным IP на CDN. Сейчас один адрес, через час - другой. Эта проблема решается через время жизни записей кэша : `--ipcache-lifetime`. По умолчанию 2 часа. +Однако, может случиться и так, что в вашем случае применение техники несет больше пользы, чем проблем. Будьте готовы к непонятному на первый взгляд поведению, которое может быть исследовано только через `--debug` лог. + +## Сигналы + +* **SIGHUP** принудительно перечитывает все файлы хостлистов и ipset +* **SIGUSR1** выводит содержимое пула conntrack +* **SIGUSR1** выводит счетчики autohostlist и содержимое пула ipcache + ## Песочница В целях безопасности nfqws2 после инициализации сбрасывает свои привилегии.