update docs

docs/manual.md

@@ -973,6 +973,12 @@ ipcache представляет собой структуру в памяти
 Домен может скакать по разным IP на CDN. Сейчас один адрес, через час - другой. Эта проблема решается через время жизни записей кэша : `--ipcache-lifetime`. По умолчанию 2 часа.
 Однако, может случиться и так, что в вашем случае применение техники несет больше пользы, чем проблем. Будьте готовы к непонятному на первый взгляд поведению, которое может быть исследовано только через `--debug` лог.
 
+Имена хостов для кэширования берутся из анализа L7 протоколов и из DNS ответов (не DoH).
+Извлечение DNS работает только по udp протоколу и требует перенаправления пакетов с порта 53. Нужны только ответы DNS, имеющие source port 53.
+На Windows это будет `--wf-udp-in=53`. На роутере, если используется шифрованный DNS, надо ловить запросы от клиента еще до шифрования - на LAN интерфейсе.
+Если шифрование не используется, можно ловить и на WAN.
+Для LAN интерфейса они будут исходящими, для интерфейса WAN - входящими, по направлению conntrack - reply.
+
 ## Сигналы
 
 - **SIGHUP** принудительно перечитывает все файлы хостлистов и ipset