FAQ moved to HowTo

doc/html/faqe.html

@@ -1,165 +1,2 @@
-<h3>Why ... doesn't work?</h3>
 
-<p><i>Q: Why does nothing work?</i></p>
-A: Valid configuration file is required.
-
-<p><i>Q: Why restrictions (redirections, limits, etc) do not work?</i></p>
-A: Most probable reasons: 'auth none' or no auth is used. For any ACL based feature one of 'iponly', 'nbname' or 'strong' auths required. Sequence of commands may be invalid. Commands are executed one-by-one and 'proxy', 'tcppm', 'socks' or another service commands must follow valid configuration. Invalid sequence of ACLs. First matching ACL is used (except of internal redirections, see below). If ACL contains at least one records last record is assumed to be 'deny *'.
-
-<p><i>Q: Why doesn't 3proxy work as service under Windows?</i></p>
-Possible reasons:
-<ul>
-<li>there are relative paths in configuration file for included files,
-log files, etc. Always use absolute paths. For example
-$"c:\3proxy\networks.local" instead of  $networks.local. For debugging remove
-'service' and 'daemon', log to stdout an try to execute 3proxy from command
-line from some different directory (for example from disk root).
-<li>SYSTEM account doesn't have access to executable file, configuration files,
-log files, etc.
-<li>configuration files is not located in default path (3proxy.cfg in same
-location with 3proxy.exe). For alternative configuration file location use
-<pre>
-3proxy --install full_path_to_configuration_file
-</pre>
-<li>user has no rights to install or start service
-<li>service is already installed and/or started
-
-</ul>
-
-<p><A NAME="INTEXT"><i>Q: Why doesn't internal and external commands work as expected</i></A></li></p>
-A: Check your expectations first.
-Both internal and external IPs are IPs of the host running 3proxy itself.
-This configuration option is usefull in situation 3proxy is running on the
-border host with 2 (or more) connections: e.g. LAN and WAN with different IPs
-<pre>
-     LAN connection +-------------+ Internet connection
-LAN <-------------->| 3proxy host |<-------------------> INTERNET
-                   ^+-------------+^
-	           |               |
-              Internal IP       External IP
-</pre>
-If 3proxy is used on the host with single connection, both internal and
-external are usually same IP.
-<br>Internal should exist and be UP on the moment 3proxy is started and
-should never be disconnected/DOWN. If this interface is periodically
-disconnected (e.g. direct link between 2 hosts), do not specify internal
-address or use 0.0.0.0 instead. In this case, if you have 2 or more
-interfaces you must use firewall (preferably) or 3proxy ACLs to avoid open
-proxy situation. 
-<br>
-External IP (if specified) must exist in the momet 3proxy
-serves client request. If external interface is no specified (or 0.0.0.0),
-system select external IP. It may be possible to access resources of internal
-network, to prevent this use ACLs. In addition, SOCKSv5 will not support BIND
-operation, required for incoming connections (this operation is quite rarely
-implemented in SOCKSv5 clients and usually is not required). In case of
-dynamic address, do not specify external or use external 0.0.0.0 or, if
-external address is required, create a script to determine current external
-IP and save it to file, and use external "$path_to_file" with "monitor" command
-to automatically reload configuration on address change.
-
-<p><i>Q: Why doesn't ODBC loggind work?</i></p>
-A: Check you use system DSN. 
-Check SQL request is valid. 
-The best way to check is to make file or stdout logging, get SQL request from log file or console and execute this request manually.
-Under Unix, you may also want to adjust 'stacksize' parameter.
-
-<p><i>Q: Why doesn't IPv6 work?</i></p>
-A: Proxy can not access destination directly over IPv6 if client requests IPv4 address.
-To access IPv6 destination, either IPv6 address or hostname  must be used in request.
-Best solution is to enable option to resolve hostnames via proxy on client side.
-<p><i>Q: Why proxy crash on request processing?</a></i></p>
-<i>A:</i> default stacksize may be insufficient, if some non-default plugins
-  are used (e.g. PAM and ODBC on Linux) or if compiled on some platforms with
-  invalid system defined values (few versionds of FreeBSD on amd64).
-  Problem can be resolved with 'stacksize' command or '-S' option starting 3proxy 0.8.4.
-
-
-<p><i>Q: Why doesn't APOP/CRAM-MD5 authentication work with POP3 proxy?</i></p>
-A: Any Challenge-response authentication require challenge to be transmitted from server. Pop3p doesn't know which server to use before authentication, it makes it impossible to obtain challenge. You can encrypt your POP3 communications with TLS (i.e. stunnel) or IPSec.
-
-<h3>Redirection to local proxy</h3>
-
-<p><i>Q: What is it for?</i></p>
-A: To have control based on request and to have URLs and another protocol specific parameters to be logged.
-
-<p><i>Q: What are restrictions?</i></p>
-A: It's hard to redirect services for non-default ports; Internet Explorer supports only SOCKSv4 with no password authentication (Internet Explorer sends username, but not password), for SOCKSv5 only cleartext password authentication is supported.
-
-<p><i>Q: What are advantages?</i></p>
-A: You need only to setup SOCKS proxy in browser settings. You can use socksifier, i.e. FreeCAP or SocksCAP with application which is not proxy aware.
-
-<p><i>Q: How to setup?</i></p>
-A: You should specify parent proxy with IP of 0.0.0.0 and port 0. Examples:
-<pre>
-auth iponly
-allow * * * 80,8080-8088
-parent 1000 http 0.0.0.0 0
-allow * * * 80,8080-8088
-#redirect ports 80 and 8080-8088 to local HTTP proxy
-#Second allow is required, because ACLs are checked
-#twice: first time by socks and second by http proxy.
-
-allow * * * 21,2121
-parent 1000 ftp 0.0.0.0 0
-allow * * * 21,2121
-#redirect ports 21 and 2121 to local 
-#ftp proxy
-
-
-allow *
-#allow rest of connections directly
-
-socks
-#now let socks server to start
-</pre>
-
-<p><i>Q: How it affects different ACL rules?</i></p>
-A: After local redirections rules are applied again to protocol-level request. Redirection rule itself is skipped. It makes it possible to redirect request again on the external proxy depending on request itself.
-<pre>
-allow * * * 80,8080-8088
-parent 1000 http 0.0.0.0 0
-#redirect http traffic to internal proxy
-
-allow * * $c:\3proxy\local.nets 80,8080-8088
-#allow direct access to local.nets networks
-allow * * * 80,8080-8088
-parent 1000 http proxy.3proxy.org 3128
-#use parent caching proxy for rest of the networks
-
-allow *
-#allow direct connections for rest of socks
-#requests
-</pre>
-
-<h3>Can I ...?</h3>
-
-<p><i>Q: Is it possible to resolve names through parent proxy?</i></p>
-A: Yes, use 'proxy', 'connect+', 'socks4+' or 'socks5+' as parent proxy type.
-3proxy itself requires name resolutions for ACL checks, so, if it's impossible
-to resolve names from 3proxy host, use
-<pre>
-fakeresolve
-</pre>
-command. Fakeresolve resolves any name to 127.0.0.2.
-
-
-<p><i>Q: Can I use 3proxy as FTP proxy?</i></p>
-A: There are two kinds of FTP proxy supported: FTP over HTTP support (known as FTP proxy inside Internet Explorer, Mozilla and another browsers) and real FTP proxy (usable in Far and different FTP clients). Both are supported in 3proxy: first one as a part of HTTP 'proxy' and second one as 'ftppr'.
-
-<p><i>Q: Can I bind any 3proxy service to non-default port?</i></p>
-A: proxy -p8080
-
-<h3>Why so ...?</h3>
-
-<p><i>Q: Why traffic accounting is incomplete? It differs for what my provider (or another accounting application) shows to me?</i></p>
-A: 3proxy accounts protocol level traffic. Provider counts channel or IP-level traffic with network and transport headers. In additions, 3proxy doesn't counts DNS resolutions, pings, floods, scans, etc. It makes approx. 10% of difference. That's why you should have 15% reserve if you use 3proxy to limit your traffic. If difference with your provider is significantly above 10% you should look for traffic avoiding proxy server, for example connections through NAT, traffic originated from the host with proxy installed, traffic from server applications, etc.
-
-<p><i>Q: Why configuration is so difficult and non-intuitive?</i></p>
-A: Configuration format is created in a way it's easy to parse and matches to internal 3proxy structures. In addition, there are some older things left for compatibility to be cleaned in 3proxy release. And last, I think it's easy and intuitive.
-
-<p><i>Q: Why the code is so difficult and non-intuitive?</i></p>
-A: First, I'm not programmer. Second, 3proxy was 'proof of concept' in reply for some conference post. Request was to write proxy server in 100 lines of code. First version of 3proxy had less, with HTTP and SOCKS support and portmappers. Third, there are peoples who want to use 3proxy code in trojans. I don't want to help them.  Fourth, the aim is to support different platforms. It's well known - the worse code is, the better it compiles.
-
-<p><i>Q: Why do you use insecure strcpy, sprintf, etc?</i></p>
-A: Why not? I try to use insecure function in secure manner. You're welcome to look for vulnerabilities.
+<H2><A href="hotoe.html">See HowTo:</a></H2>

doc/html/faqr.html

@@ -1,295 +1,2 @@
-<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
-3APA3A 3proxy tiny proxy server Frequently Asked Questions (FAQ)
-<ul>
-  <li><a href="#TROUBLE">Почему не работает...</a></li>
-  <ul>
-    <li><a href="#NOTHING">Q: Почему ничего не работает?</a></li>
-    <li><a href="#LIMITS">Q: Почему не работают ограничения доступа (перенаправления, ограничения по скорости, трафику и т.д.)?</a></li>
-    <li><a href="#SERVICE">Q: Почему 3proxy не запускается как служба?</a></li>
-    <li><a href="#INTEXT">Q: Почему не получается указать internal и external?</a></li>
-    <li><a href="#ODBC">Q: Почему не работает ведение журналов в ODBC?</a></li>
-    <li><a href="#IPV6">Q: Почему не работает IPv6?</a></li>
-    <li><a href="#CHAP">Q: Почему не поддерживаются APOP и CRAM-MD5 в POP3 прокси?</a></li>
-    <li><a href="#CRASH">Q: Почему прокси крэшится при обработке запроса?</a></li>
-  </ul>
-  <li><a href="#SOCKSREDIR">Перенаправление socks соединений в локальный прокси</a></li>
-  <ul>
-    <li><a href="#REDIR">Q: Для чего это надо?</a></li>
-    <li><a href="#REDIRLIMIT">Q: Какие недостатки?</a></li>
-    <li><a href="#REDIRADV">Q: Какие преимущества?</a></li>
-    <li><a href="#REDIRHOW">Q: Как настраивается?</a></li>
-    <li><a href="#REDIINTER">Q: Как взаимодействует с другими правилами в ACL?</a></li>
-  </ul>
-  <li><a href="#ISIT">А есть ли...</a></li>
-  <ul>
-    <li><a href="#NAMES">Можно ли разрешать имена на родительском прокси?</a></li>
-    <li><a href="#ISFTP">Существует ли сейчас поддержка FTP прокси в продукте?</a></li>
-    <li><a href="#PORT">Каким образом можно прибиндить сервисы на свой порт, к примеру, HTTP прокси к 8080, а не 3128 как по-умолчанию?</a></li>
-    <li><a href="#BANDLIM">Как ограничить ширину канала?</a></li>
-  </ul>
-  <li><a href="#BRRR">Почему так криво...</a></li>
-  <ul>
-    <li><a href="#TRAF">Почему так криво считается трафик? Не совпадает с ...</a></li>
-    <li><a href="#CONFIG">Почему такая кривая конфигурация и ничерта не понятно?</a></li>
-    <li><a href="#CODE">Почему так криво написан код?</a>
-    <li><a href="#UNSAFE">Почему так много strcpy, sprintf и т.д., это ж дыры!</a>
-  </ul>
-</ul>
-<hr>
-<li><b><a name="TROUBLE">Почему не работает...<a></b></li>
-<ul>
-  <li><a name="NOTHING"><i>Q: Почему ничего не работает?</i></a></li>
-  <p>
-  <i>A:</i> Потому что для работы нужен правильный файл конфигурации.
-  </p>
-  <li><a name="LIMITS"><i>Q: Почему не работают ограничения доступа (перенаправления, ограничения по скорости,
-  трафику и т.д.)?</i></a></li>
-  <p>
-  <i>A:</i> Обычные ошибки - использование auth none (для работы любых
-  функций, основанных на ACL, требуется auth iponly, nbname или strong),
-  нарушение порядка ввода команд (команды выполняются последовательно,
-  запуск сервиса proxy, socks, tcppm и т.д. должен осуществляться после
-  того, как указана его конфигурация), неправильный порядок записей в ACL
-  (записи просматриваются последовательно до первой, удовлетворяющей
-  критериям). Если в ACL имеется хотя бы одна запись, то считается, что
-  последняя запись в ACL - это неявная deny *.
-  </p>
-  <li><a name="SERVICE"><i>Q: Почему 3proxy не запускается как служба?</i></a></li>
-  <p>
-  <i>A:</i> Наиболее вероятные причины:
-  <ul>
-    <li>Использование относительных (неполных) путей файлов в файле конфигурации
-    При использовании файлов журналов, файлов вставок ($filename) используйте
-    полные пути, например, $"c:\3proxy\include files\networks.local". Тоже самое
-    относится к файлам журналов и любым другим.
-    Для отладки лучше запускать 3proxy с ведением журнала на стандартный вывод.
-    Не забудьте в таком случае отключить daemon и service в файле конфигурации.
-    Для чистоты эксперимента запускать 3proxy из коммандной строки в таком случае
-    следует, находясь в другой папке.
-    <li>Отсутствие у системной записи прав на доступ к исполняемому файлу, каким-либо файлам конфигурации, журнала и т.п.
-    <li>Отсутствие файла конфигурации по стандартному расположению -
-    3proxy.cfg в одном каталоге с исполняемым файлом. Если файл расположен по
-    другому пути, необходимо использовать команду
-    <pre>
-    3proxy --install path_to_configuration_file</pre>
-    <li>Отсутствие у пользователя прав на установку или запуск службы
-    <li>Служба уже установлена или запущена
-  </ul>
-  </p>
-  <li><a name="INTEXT"><i>Q: Почему не получается указать internal и external?</i></a></li></li>
-  <p>
-  <i>A:</i> Убедитесь, что выправильно понимаете что такое internal и external адреса.
-  Оба адреса - это адреса, принадлежищие хосту, на котором установлен 3proxy.
-  Эта опция конфигурации необходима в классической ситуации, когда 3proxy
-  установлен на граничном компьютере с двумя (или более) подключениями:
-  <pre>
-       LAN connection +-------------+ Internet connection
-  LAN <-------------->| 3proxy host |<-------------------> INTERNET
-                     ^+-------------+^
-                     |               |
-               Internal IP      External IP</pre>
-  Если 3proxy работает на хосте с одним интерфейсом, то его адрес будет и
-  internal и external.
-  <br>Интерфейс с адресом internal должен существовать и быть рабочим на момент
-  запуска 3proxy, и не должен отключаться. Если internal интерфейс
-  периодически отключается, то не следует его указывать, или можно указать адрес
-  0.0.0.0. При этом прокси будет принимать запросы на всех интерфейсах, поэтому
-  при наличии нескольких интерфейсов для ограничения доступа следует использовать
-  фаервол или хотя бы ACL.
-  </p>
-  <p>
-  Интерфейс с адресом external, если он указан, должен быть рабочим на момент
-  получения запроса клиента. При отсутствии external или адресе 0.0.0.0 внешний
-  адрес будет выбираться системой при установке соединения. При этом, может быть
-  возможность доступа через прокси к ресурсам локальной сети, поэтому для
-  предотвращения несанкционированного доступа следует использовать ACL. Кроме
-  того, могут быть проблемы с приемом входящих соединений через SOCKSv5
-  (SOCKSv5 используется в клиентах исключительно редко).
-  В случае, если адрес динамический, можно либо не
-  указывать external, либо использовать адрес 0.0.0.0, либо, если необходима
-  поддержка входящих соединений в SOCKSv5, использовать скрипт,
-  который будет получать текущий адрес и сохранять его в файл, который будет
-  отслуживаться через команду monitor.
-  </p>
-  <li><a name="ODBC"><i>Q: Почему не работает ведение журналов в ODBC?</i></a></li>
-  <p>
-  <i>A:</i> Убедитесь, что используется системный, а не
-  пользовательский DSN. Убедитесь, что выполняется правильный SQL запрос. Наиболее
-  распространенная проблема связана с отсутствием кавычек или неправильным
-  форматом данных. Самый простой способ - сделать ведение журнала в файл или
-  на стандартный вывод, просмотреть выдаваемые SQL запросы и попробовать
-  дать такой запрос вручную.
-  </p> 
-  <li><a name="IPv6"><i>Q: Почему не работает IPv6?</i></a></li>
-  <p>
-  <i>A:</i> Прокси не может обращаться напрямую к IPv6 сети если в запросе от клиента
-  указан IPv4. В запросе от клиента должен быть IPv6 адрес или имя хоста, чаще
-  всего это решается включением опции разрешения имен через прокси-сервер на стороне
-  клиента.
-  </p> 
-  <li><a name="CHAP"><i>Q: Почему не поддерживаются APOP и CRAM-MD5 в POP3 прокси?</i></a></li>
-  <p>
-  <i>A:</i> Любая challenge-response аутентификация, к которым относятся APOP
-  и CRAM-MD5, требует, чтобы со стороны сервера был передан уникальный challenge.
-  До начала аутентификации POP3 прокси не знает, к какому серверу следует
-  подключаться для получения Challenge, поэтому challenge-response в принципе
-  невозможен. Защитить соединение можно с помощью TLS (например, stunnel) или
-  IPSec.
-  </p>
-  <li><a name="CRASH"><i>Q: Почему прокси крэшится при обработке запроса?</a></i></li>
-  <p>
-  <i>A:</i> Возможно, недостаточен размер стека потока по-умолчанию, это может
-  быть при использовани каких-либо сторонних плагинов (PAM, ODBC) или на
-  некоторых платформах (некоторые версии FreeBSD на amd64). Можно решить
-  проблему с помощью опции 'stacksize' или '-S', поддерживаемых в 0.8.4 и выше.
-  </p>
-</ul>
-<hr>
-<li><b><a name="SOCKSREDIR">Перенаправление socks соединений в локальный прокси</a></b></li>
-<ul>
-  <li><a name="REDIR"><i>Q: Для чего это надо?</i></a></li>
-  <p>
-  <i>A:</i> Чтобы иметь в логах URL запросов, если пользователь SOCKS пользуется
-  Web, FTP или POP3.
-  </p>
-  <li><a name="REDIRLIMIT"><i>Q: Какие недостатки?</i></a></li>
-  <p>
-  <i>A:</i> Перенапраление невозможно для web-серверов или FTP, висящих на
-  нестандартных портах, для SOCKSv4 не поддрживается авторизация с
-  паролем (IE поддерживает только SOCKSv4), но при этом IE передает
-  имя пользователя по SOCKSv4 (имя, с которым пользователь вошел в систему).
-  Для SOCKSv5 не поддерживается NTLM авторизация, пароли передаются в открытом
-  тексте.
-  </p>
-  <li><a name="REDIRADV"><i>Q: Какие преимущества?</i></a></li>
-  <p>
-  <i>A:</i> Достаточно в настройках IE только указать адрес SOCKS прокси. В
-  больших сетях можно для этого использовать WPAD (автоматическое
-  обнаружение прокси). В 3proxy достаточно запускать только одну службу
-  (socks). Если используется только Internet Explorer, то можно
-  автоматически получать имя пользователя в логах, не запрашивая
-  логин/пароль.
-  </p>
-  <li><a name="REDIRHOW"><i>Q: Как настраивается?</i></a></li>
-  <p>
-  <i>A:</i> Указывается parent http proxy со специальным адресом 0.0.0.0 и портом
-  0. Пример:
-  <pre>
-  allow * * * 80,8080-8088
-  parent 1000 http 0.0.0.0 0
-  allow * * * 80,8080-8088
-  #перенаправить соединения по портам 80 и 8080-8088 в локальный
-  #http прокси. Вторая команда allow необходима, т.к. контроль доступа
-  #осуществляется 2 раза - на уровне socks и на уровне HTTP прокси
-  allow * * * 21,2121
-  parent 1000 ftp 0.0.0.0 0
-  allow * * * 21,2121
-  #перенаправить соединения по портам 21 и 2121 в локальный
-  #ftp прокси
-  allow *
-  #пустить все соединения напрямую
-  socks</pre>
-  </p>
-  <li><a name="REDIINTER"><i>Q: Как взаимодействует с другими правилами в ACL?</i></a></li>
-  <p>
-  <i>A:</i> После внутреннего перенаправления правила рассматриваются еще раз за
-  исключением самого правила с перенаправлением (т.е. обработка правил не
-  прекращается). Это позволяет сделать дальнейшие перенаправления на
-  внешний прокси. По этой же причине локальное перенаправление не должно
-  быть последним правилом (т.е. должно быть еще хотя бы правило allow,
-  чтобы разрешить внешние соединения через HTTP прокси).
-  Например,
-  <pre>
-  allow * * * 80,8080-8088
-  parent 1000 http 0.0.0.0 0
-  #перенаправить во внутренний прокси
-  allow * * $c:\3proxy\local.nets 80,8080-8088
-  #разрешить прямой web-доступ к сетям из local.nets
-  allow * * * 80,8080-8088
-  parent 1000 http proxy.3proxy.ru 3128
-  #все остальные веб-запросы перенаправить на внешний прокси-сервер
-  allow *
-  #разрешить socks-запросы по другим портам</pre>
-  </p>
-</ul>
-<hr>
-<li><b><a name="ISIT">А есть ли...</a></b></li>
-<ul>
-  <li><a name="NAMES"><i>Q: Можно ли разрешать имена на родительском прокси?</i></a></li>
-  <p>
-  <i>A:</i> Можно. Для этого надо использовать тип родительского прокси http,
-  connect+, socks4+ и socks5+. Однако, при это надо помнить, что самому 3proxy
-  требуется разрешение имени для управления ACL. Поэтому, если с прокси-хоста
-  не работают разрешения имени, необходимо в конфигурации дать команду
-  <pre>
-  fakeresolve</pre>
-  которая разрешает любое имя в адрес 127.0.0.2.
-  </p>
-  <li><a name="ISFTP"><i>Q: Существует ли сейчас поддержка FTP прокси в продукте?</i></a></li>
-  <p>
-  Есть поддержка как FTP через HTTP (то, что называется FTP прокси в Internet
-  Explorer, Netscape, Opera) так и настоящего FTP прокси (то, что называется
-  FTP proxy в FAR и FTP клиентах).
-  </p>
-  <li><a name="PORT"><i>Q: Каким образом можно прибиндить сервисы на свой порт, к примеру, HTTP прокси к 8080, а не 3128 как по-умолчанию?</i></a></li>
-  <p>
-  А:
-  <pre>
-  proxy -p8080</pre>
-  </p>
-  <li><a name="BANDLIM"><i>Q: Как ограничить ширину канала?</i></a></li>
-  <p>
-  <i>A:</i> Читайте HowTo <a href="https://3proxy.ru/howtor.asp#BANDLIM">https://3proxy.ru/howtor.asp#BANDLIM</a>
-  </p>
-</ul>
-<hr>
-<li><b><a name="BRRR">Почему так криво...</a></b></li>
-<ul>
-  <li><a name="TRAF"><i>Q: Почему так криво считается трафик? Не совпадает с ...</i></a></li>
-  <p>
-  <i>A:</i> Следует учитывать, что 3proxy считает трафик только на прикладном уровне и
-  только проходящий через прокси-сервер. Провайдеры и другие средства учета
-  трафика считают трафик на сетевом уровне, что уже дает расхождение порядка 10%
-  за счет информации из заголовков пакетов. Кроме того, часть трафика, как
-  минимум DNS-разрешения, различный флудовый трафик и т.д. идут мимо прокси.
-  Уровень "шумового" трафика в Internet сейчас составляет порядка 50KB/день на
-  каждый реальный IP адрес, но может сильно варьироваться в зависимости от сети,
-  наличия открытых портов, реакции на ping-запросы и текущего уровня вирусной
-  активности. По этим причинам, если 3proxy используется чтобы не "выжрать"
-  трафик, выделенный провайдером, всегда следует делать некий запас порядка
-  15%.
-  </p>
-  <p>
-  Если на одной с 3proxy машине имеются какие-либо сервисы или
-  работает пользователь, то их трафик не проходит через proxy-сервер и так же
-  не будет учтен. Если где-то есть NAT, то клиенты, выходящие через NAT мимо
-  прокси, так же останутся неучтенными. Если расхождение с провайдером превышает
-  10% - нужно искать причину именно в этом.
-  </p>
-  <li><a name="CONFIG"><i>Q: Почему такая кривая конфигурация и ничерта не понятно?</i></a></li>
-  <p>
-  <i>A:</i> Есть несколько причин. Во-первых, до выхода релиза (т.е. версии 1.0) я буду изо
-  всех сил добиваться совместимости конфигурации между версиями. Во-вторых,
-  конфигурация сделана так, чтобы ее можно было легко разбирать программно.
-  В-третьих, все там понятно. При желании. Если знать как все работает.
-  </p>
-  <li><a name="CODE"><i>Q: Почему так криво написан код?</i></a></li>
-  <p>
-  <i>A:</i> Есть несколько причин. Во-первых, я не программист. Во-вторых, 3proxy изначально
-  писался на коленке (в отет на &quot;слабо&quot; в одной из конференций). Никто
-  не мог предположить, что им кто-то реально будет пользоваться. В-третьих, у многих
-  возникает желание разобраться в коде 3proxy чтобы внедрить его в какой-нибудь
-  троян. Очень не хочется облегчать эту задачу. В-четвертых, мне надо добиться
-  компиляции кода в как можно большем числе систем. Замечено, что чем кривее код в
-  C, тем он лучше переносится.
-  </p>
-  <li><a name="UNSAFE"><i>Q: Почему так много strcpy, sprintf и т.д., это ж дыры!</i></a><li>
-  <p>
-  <i>A:</i> Есть несколько причин. Во-первых, несмотря на дурной тон использования этих
-  функций, они наиболее совместимы между разными системами и компиляторами.
-  Во-вторых, само по себе их использование не означает присутствие дыры, если их
-  параметры должным образом контролируются. Найдете дыру - обязательно сообщите.
-  В третьих, может быть я уберу их перед конечным релизом, чтобы никого не
-  пугать.
-  </p>
-</ul>
+
+<H2><A href="hotoe.html">См. HowTo</a></H2>

doc/html/howtoe.html

@@ -8,7 +8,6 @@
 		<li><A HREF="#INTL">How to compile 3proxy with Intel C Compiler under Windows</A>
 		<li><A HREF="#GCCWIN">How to compile 3proxy with GCC under Windows</A>
 		<li><A HREF="#GCCUNIX">How to compile 3proxy with GCC under Unix/Linux</A>
-		<li><A HREF="#CCCUNIX">How to compile 3proxy with Compaq C Compiler under Unix/Linux</A>
 	</ul>
 	<li><A HREF="#INSTALL">Proxy server installation and removal</A>
 	<ul>
@@ -18,20 +17,31 @@
 	</ul>
 	<li><A HREF="#SERVER">Server configuration</A>
 	<ul>
-		<li><A HREF="#SAMPLE">Where to find configuration example</A>
+  <li><a href="#NOTHING">How to make 3proxy start</a></li>
+    <li><a href="#LIMITS">How to make limitation (access, bandwidth, traffic, connections) work</a></li>
+    <li><a href="#SERVICE">How to make 3proxy to run as a service</a></li>
+    <li><a href="#INTEXT">How to understand internal ¨ external</a></li>
+    <li><a href="#ODBC">How to make ODBC logging work?</a></li>
+    <li><a href="#IPV6">How to make IPv6 work</a></li>
+    <li><a href="#CRASH">How to fix 3proxy crashes</a></li>
+  		<li><A HREF="#SAMPLE">Where to find configuration example</A>
 		<li><A HREF="#LOGGING">How to set up logging</A>
 		<li><A HREF="#LOGFORMAT">How to setup logging format</A>
 		<li><A HREF="#LOGANALIZERS">How to use log analizers with 3proxy</A>
 		<li><A HREF="#LAUNCH">How to start any of proxy services (HTTP, SOCKS etc)</A>
-		<li><A HREF="#BIND">How to bind service to specific interface and port?</A>
+		<li><a href="#BIND">How to bind service to specific interface or port</a>
+		<li><a href="#NAMES">How to resolve names through a parent proxy</a></li>
+		<li><a href="#ISFTP">How to setup FTP proxy</a></li>
 		<li><A HREF="#AUTH">How to limit service access</A>
 		<li><A HREF="#USERS">How to create user list</A>
 		<li><A HREF="#ACL">How to limit user access to resources</A>
 		<li><A HREF="#REDIR">How to manage redirections</A>
+		<li><a href="#SOCKSREDIR">How to manage local redirections</a>
 		<li><A HREF="#ROUNDROBIN">How to balance traffic between few external channgels?</A>
 		<li><A HREF="#CHAIN">How to manage proxy chains</A>
 		<li><A HREF="#BANDLIM">How to limit bandwidth</A>
 		<li><A HREF="#TRAFLIM">How to limit traffic amount</A>
+		<li><a href="#TRAF">How to fix incorrect traffic accounting</a>
 		<li><A HREF="#NETLIST">How to build network lists</A>
 		<li><a href="#NSCACHING">How to configure name resolution and DNS caching</a>
 		<li><a href="#IPV6">How to use IPv6</a>
@@ -84,12 +94,6 @@ shouldn't have problems under different Solaris, BSD or linux compatible systems
 For different systems you may be required to patch Makefile or even source codes.
 If you want to use ODBC support, make sure to install ODBC for unix, remove -DNOODBC
 option from makefile compiler options and add ODBC library to linker variable.
-</p>
-	</ul>
-<hr>
-		<li><A NAME="CCCUNIX">How to compile 3proxy with Compaq C Compiler under Unix/Linux</A></li>
-<p>
-See <A HREF="#GCCUNIX">How to compile 3proxy with GCC under Unix/Linux</A>, use Makefile.ccc instead of Makefile.unix.
 </p>
 	</ul>
 <hr>
@@ -164,6 +168,83 @@ Add 3proxy to system startup scripts.
 	<li><A NAME="SERVER">Server configuration</A>
 <p>
 	<ul>
+  <li><a name="NOTHING">How to make 3proxy start</a>
+<p>Valid configuration file is required.
+
+    <li><a name="IMITS">How to make limitation (access, bandwidth, traffic, connections) work</a>
+<p> Most probable reasons for non-working limitations: 'auth none' or no auth is used. For any ACL based feature one of 'iponly', 'nbname' or 'strong' auths required. Sequence of commands may be invalid. Commands are executed one-by-one and 'proxy', 'tcppm', 'socks' or another service commands must follow valid configuration. Invalid sequence of ACLs. First matching ACL is used (except of internal redirections, see below). If ACL contains at least one records last record is assumed to be 'deny *'.
+
+    <li><a name="SERVICE">How to make 3proxy to run as a service</a>
+<p>Possible reasons for 3proxy starts manually but fails to start as a service:
+<ul>
+<li>there are relative paths in configuration file for included files,
+log files, etc. Always use absolute paths. For example
+$"c:\3proxy\networks.local" instead of  $networks.local. For debugging remove
+'service' and 'daemon', log to stdout an try to execute 3proxy from command
+line from some different directory (for example from disk root).
+<li>SYSTEM account doesn't have access to executable file, configuration files,
+log files, etc.
+<li>configuration files is not located in default path (3proxy.cfg in same
+location with 3proxy.exe). For alternative configuration file location use
+<pre>
+3proxy --install full_path_to_configuration_file
+</pre>
+<li>user has no rights to install or start service
+<li>service is already installed and/or started
+
+</ul>
+
+<p><A NAME="INTEXT">How to understant internal and external</A>
+<p>
+Both internal and external IPs are IPs of the host running 3proxy itself.
+This configuration option is usefull in situation 3proxy is running on the
+border host with 2 (or more) connections: e.g. LAN and WAN with different IPs
+<pre>
+     LAN connection +-------------+ Internet connection
+LAN <-------------->| 3proxy host |<-------------------> INTERNET
+                   ^+-------------+^
+	           |               |
+              Internal IP       External IP
+</pre>
+If 3proxy is used on the host with single connection, both internal and
+external are usually same IP.
+<br>Internal should exist and be UP on the moment 3proxy is started and
+should never be disconnected/DOWN. If this interface is periodically
+disconnected (e.g. direct link between 2 hosts), do not specify internal
+address or use 0.0.0.0 instead. In this case, if you have 2 or more
+interfaces you must use firewall (preferably) or 3proxy ACLs to avoid open
+proxy situation. 
+<br>
+External IP (if specified) must exist in the momet 3proxy
+serves client request. If external interface is no specified (or 0.0.0.0),
+system select external IP. It may be possible to access resources of internal
+network, to prevent this use ACLs. In addition, SOCKSv5 will not support BIND
+operation, required for incoming connections (this operation is quite rarely
+implemented in SOCKSv5 clients and usually is not required). In case of
+dynamic address, do not specify external or use external 0.0.0.0 or, if
+external address is required, create a script to determine current external
+IP and save it to file, and use external "$path_to_file" with "monitor" command
+to automatically reload configuration on address change.
+
+    <li><a name="ODBC">How to make ODBC logging work?</a>
+<p>
+Check you use system DSN. 
+Check SQL request is valid. 
+The best way to check is to make file or stdout logging, get SQL request from log file or console and execute this request manually.
+Under Unix, you may also want to adjust 'stacksize' parameter.
+
+    <li><a name="IPV6">How to make IPv6 work</a>
+<p> Proxy can not access destination directly over IPv6 if client requests IPv4 address.
+To access IPv6 destination, either IPv6 address or hostname  must be used in request.
+Best solution is to enable option to resolve hostnames via proxy on client side.
+
+    <li><a name="CRASH">How to fix 3proxy crashes</a>
+<p> default stacksize may be insufficient, if some non-default plugins
+  are used (e.g. PAM and ODBC on Linux) or if compiled on some platforms with
+  invalid system defined values (few versionds of FreeBSD on amd64).
+  Problem can be resolved with 'stacksize' command or '-S' option starting 3proxy 0.8.4.
+
+
 		<li><A NAME="SAMPLE">Where to find configuration example</A>
 <p>
 Server configuration example 3proxy.cfg.sample is in any 3proxy distribution.
@@ -382,6 +463,22 @@ proxy -p8080 -i192.168.1.1
 proxy -p8080 -i192.168.2.1
 </pre>
 </p>
+  <li><a name="NAMES">How to resolve names through a parent proxy</a></li>
+  <p>
+  <i>A:</i> Use one of connect+, socks4+ ¨ socks5+ as a parent type. 3proxy
+  itself still performs a name resolution, it's required e.g. to ACLs matching.
+  So, if no name resolution must be performed by 3proxy itself add a command
+  <pre>
+  fakeresolve</pre>
+  this command resolves any name to 127.0.0.2 address.
+  </p>
+  <li><a name="ISFTP"><i>How to setup FTP proxy</i></a></li>
+  <p>
+  There is FTP over HTTP (what is called FTP proxy in browsers) and FTP over FTP ¯à®ªá¨
+  (what is called FTP proxy in file managers and FTP clients). For browsers, there is no need to start additional
+  proxy service, 'proxy' supports FTP over HTTP, configure 'proxy' port as an FTP proxy. For ftp clients and file
+  managers use ftppr. FTP proxy supports both active and passive mode with client, but always use passive mode with FTP servers.
+  </p>
 		<li><A NAME="AUTH">How to limit service access</A>
 <p>
 First, always specify internal interface to accept incoming connection with
@@ -518,7 +615,7 @@ allow &lt;userlist&gt; &lt;sourcelist&gt; &lt;targetlist&gt; &lt;targetportlist&
 'flush' command is used to finish with existing ACL and to start new one.
 It's required to have different ACLs for different services.
 'allow' is used to allow connection and 'deny' to deny connection. 'allow'
-command can be extended by 'parent' command to manage redirections (see <A NAME="REDIR">How to manage redirections</A>)). If ACL
+command can be extended by 'parent' command to manage redirections (see <A href="#REDIR">How to manage redirections</A>)). If ACL
 is empty it allow everything. If ACL is not empty, first matching ACL entry
 is searched for user request and ACL action (allow or deny) performed. If
 no matching record found, connection is denied and user will be asked to
@@ -607,6 +704,60 @@ no need to run these services expicitly. Local redirections are usefull if
 you want to see and control via ACLs protocol specific parameters, e.g.
 filenames requests thorugh FTP while clients are using SOCKS.
 </p>
+    <li><a name="SOCKSREDIR">Š ª ã¯à ¢«ïâì «®ª «ì­ë¬¨ ¯¥à¥­ ¯à ¢«¥­¨ï¬¨</a>
+<p>
+<p><i>Q: What is it for?</i></p>
+A: To have control based on request and to have URLs and another protocol specific parameters to be logged.
+
+<p><i>Q: What are restrictions?</i></p>
+A: It's hard to redirect services for non-default ports; Internet Explorer supports only SOCKSv4 with no password authentication (Internet Explorer sends username, but not password), for SOCKSv5 only cleartext password authentication is supported.
+
+<p><i>Q: What are advantages?</i></p>
+A: You need only to setup SOCKS proxy in browser settings. You can use socksifier, i.e. FreeCAP or SocksCAP with application which is not proxy aware.
+
+<p><i>Q: How to setup?</i></p>
+A: You should specify parent proxy with IP of 0.0.0.0 and port 0. Examples:
+<pre>
+auth iponly
+allow * * * 80,8080-8088
+parent 1000 http 0.0.0.0 0
+allow * * * 80,8080-8088
+#redirect ports 80 and 8080-8088 to local HTTP proxy
+#Second allow is required, because ACLs are checked
+#twice: first time by socks and second by http proxy.
+
+allow * * * 21,2121
+parent 1000 ftp 0.0.0.0 0
+allow * * * 21,2121
+#redirect ports 21 and 2121 to local 
+#ftp proxy
+
+
+allow *
+#allow rest of connections directly
+
+socks
+#now let socks server to start
+</pre>
+
+<p><i>Q: How it affects different ACL rules</i></p>
+A: After local redirections rules are applied again to protocol-level request. Redirection rule itself is skipped. It makes it possible to redirect request again on the external proxy depending on request itself.
+<pre>
+allow * * * 80,8080-8088
+parent 1000 http 0.0.0.0 0
+#redirect http traffic to internal proxy
+
+allow * * $c:\3proxy\local.nets 80,8080-8088
+#allow direct access to local.nets networks
+allow * * * 80,8080-8088
+parent 1000 http proxy.3proxy.org 3128
+#use parent caching proxy for rest of the networks
+
+allow *
+#allow direct connections for rest of socks
+#requests
+</pre>
+
 		<li><A NAME="ROUNDROBIN">How to balance traffic between few external channgels?</A>
 <p>
 Proxy itself doesn't manage network level routing. The only way to control
@@ -722,30 +873,9 @@ reportpath specifies location of text reports, type parameter of 'counter'
 command controls how often text reports are created. amount is amount of
 allowed traffic in Megabytes (MB). nocountin allows you to set exclusions.
 </p>
-		<li><A NAME="NETLIST">How to build network lists</A>
-<p>Networks or users lists are often very huge. 3proxy doesn't currently
-supports user groups, but ones can be created by the means of include files.
-You can store comma-delimited lists of networks or users in the separate
-file and use $ macro to insert this list into 3proxy.cfg.
-3proxy comes with 'dighosts'
-utility. This utility helps to grab the list of the network from HTTP page.
-It may be usefull to e.g. obtain a regullary updated list of local networks
-from ISP's server. A network list can be either in form of NETWORK MASK,
-e.g. 192.168.1.0 255.255.255.0 or NETWORK/LENGTH, e.g. 192.168.1.0/24. You can
-launch dighosts from 3proxy.cfg to be executed on every 3proxy startup or
-configuration reload:
-<pre>
-system "dighosts http://provider/network.html local.networks"
-allow * * $local.networks
-allow *
-parent 1000 proxy.provider 3128 *
-proxy
-flush
-</pre>
-In this example we obtain list of local networks from provider's page to
-local.networks file, allow direct access to these networks and redirect all
-connection to external networks to provider's proxy.
-</p>
+  <li><a name="TRAF"><i>How to fix incorrect traffic accounting</i></a>
+
+  <p>3proxy accounts protocol level traffic. Provider counts channel or IP-level traffic with network and transport headers. In additions, 3proxy doesn't counts DNS resolutions, pings, floods, scans, etc. It makes approx. 10% of difference. That's why you should have 15% reserve if you use 3proxy to limit your traffic. If difference with your provider is significantly above 10% you should look for traffic avoiding proxy server, for example connections through NAT, traffic originated from the host with proxy installed, traffic from server applications, etc.
   <li><a name="NSCACHING"><i>How to configure name resolution and DNS caching</i></a>
   <p>
   For name resolution and caching use commands nserver, nscache / nscache6 and nsrecord.

doc/html/howtor.html

@@ -18,25 +18,34 @@
   </ul>
   <li><a href="#SERVER">Конфигурация сервера</a>
   <ul>
+    <li><a href="#NOTHING">Как заставить 3proxy запускаться</a></li>
+    <li><a href="#LIMITS">Как заставить ограничения (по ширине канала, трафику, ACL и. т.п.) работать</a></li>
+    <li><a href="#SERVICE">Как заставить 3proxy запускаться как службу</a></li>
+    <li><a href="#INTEXT">Как разобраться с internal и external</a></li>
+    <li><a href="#ODBC">Как починить ведение журналов в ODBC?</a></li>
+    <li><a href="#IPV6">Как заставить IPv6 работать</a></li>
+    <li><a href="#CRASH">Как сделать чтобы 3proxy не крешился</a></li>
     <li><a href="#SAMPLE">Как посмотреть пример файла конфигурации</a>
     <li><a href="#LOGGING">Как настроить ведение журнала</a>
     <li><a href="#LOGFORMAT">Как настроить формат журнала</a>
     <li><a href="#LOGANALIZERS">Как использовать лог-анализаторы с 3proxy</a>
     <li><a href="#LAUNCH">Как запустить конкретную службу (HTTP, SOCKS и т.д)</a>
     <li><a href="#BIND">Как повесить службу на определенный интерфейс или порт</a>
+    <li><a href="#NAMES">Как разрешать имена на родительском прокси?</a></li>
+    <li><a href="#ISFTP">Как настроить FTP прокси?</a></li>
     <li><a href="#AUTH">Как ограничить доступ к службе</a>
     <li><a href="#USERS">Как создать список пользователей</a>
     <li><a href="#ACL">Как ограничить доступ пользователей к ресурсам</a>
     <li><a href="#REDIR">Как управлять перенаправлениями</a>
+    <li><a href="#SOCKSREDIR">Как управлять локальными перенаправлениями</a>
     <li><a href="#ROUNDROBIN">Как организовать балансировку между несколькими каналами</a>
     <li><a href="#CHAIN">Как составлять цепочки прокси</a>
     <li><a href="#BANDLIM">Как ограничивать скорости приема</a>
     <li><a href="#TRAFLIM">Как ограничивать объем принимаемого трафика</a>
-    <li><a href="#NETLIST">Как строить списки сетей</a>
+    <li><a href="#TRAF">Как пофиксить некорректный подсчет трафика</a></li>
     <li><a href="#NSCACHING">Как управлять разрешением имен и кэшированием DNS</a>
     <li><a href="#IPV6">Как использовать IPv6</a>
     <li><a href="#CONNBACK">Как использовать connect back</a>
-    <li><a href="#DEMANDDIAL">Как устанавливать соединение по требованию</a>
   </ul>
   <li><a href="#CLIENT">Конфигурация и настройка клиентов</a>
   <ul>
@@ -172,6 +181,101 @@
 <li><a name="SERVER"><b>Конфигурация сервера</b></a>
 <p>
 <ul>
+  <li><a name="NOTHING">Как заставить прокси работать</a></li>
+  <p>
+	Для работы требуется корректный файл конфигурации. Если прокси не запускается, значит в конфигурации есть ошибка.
+  </p>
+  <li><a name="LIMITS">Как заставить работать ограничения (контроль доступа, ограничения ширины канала, счетчики и т.п.)</a></li>
+  <p>
+  <i>A:</i> Обычные ошибки - использование auth none (для работы любых
+  функций, основанных на ACL, требуется auth iponly, nbname или strong),
+  нарушение порядка ввода команд (команды выполняются последовательно,
+  запуск сервиса proxy, socks, tcppm и т.д. должен осуществляться после
+  того, как указана его конфигурация), неправильный порядок записей в ACL
+  (записи просматриваются последовательно до первой, удовлетворяющей
+  критериям). Если в ACL имеется хотя бы одна запись, то считается, что
+  последняя запись в ACL - это неявная deny *.
+  </p>
+  <li><a name="SERVICE">Как починить запуск 3proxy службой</a></li>
+  <p>
+  Чаще всего 3proxy не запускается службой (но запускается вручную) по одной из следующих причин:
+  <ul>
+    <li>Использование относительных (неполных) путей файлов в файле конфигурации
+    При использовании файлов журналов, файлов вставок ($filename) используйте
+    полные пути, например, $"c:\3proxy\include files\networks.local". Тоже самое
+    относится к файлам журналов и любым другим.
+    Для отладки лучше запускать 3proxy с ведением журнала на стандартный вывод.
+    Не забудьте в таком случае отключить daemon и service в файле конфигурации.
+    Для чистоты эксперимента запускать 3proxy из коммандной строки в таком случае
+    следует, находясь в другой папке.
+    <li>Отсутствие у системной записи прав на доступ к исполняемому файлу, каким-либо файлам конфигурации, журнала и т.п.
+    <li>Отсутствие файла конфигурации по стандартному расположению -
+    3proxy.cfg в одном каталоге с исполняемым файлом. Если файл расположен по
+    другому пути, необходимо использовать команду
+    <pre>
+    3proxy --install path_to_configuration_file</pre>
+    <li>Отсутствие у пользователя прав на установку или запуск службы
+    <li>Служба уже установлена или запущена
+  </ul>
+  </p>
+  <li><a name="INTEXT">Как разобраться с internal и external</a></li></li>
+  <p>
+  Убедитесь, что выправильно понимаете что такое internal и external адреса.
+  Оба адреса - это адреса, принадлежищие хосту, на котором установлен 3proxy.
+  Эта опция конфигурации необходима в классической ситуации, когда 3proxy
+  установлен на граничном компьютере с двумя (или более) подключениями:
+  <pre>
+       LAN connection +-------------+ Internet connection
+  LAN <-------------->| 3proxy host |<-------------------> INTERNET
+                     ^+-------------+^
+                     |               |
+               Internal IP      External IP</pre>
+  Если 3proxy работает на хосте с одним интерфейсом, то его адрес будет и
+  internal и external.
+  <br>Интерфейс с адресом internal должен существовать и быть рабочим на момент
+  запуска 3proxy, и не должен отключаться. Если internal интерфейс
+  периодически отключается, то не следует его указывать, или можно указать адрес
+  0.0.0.0. При этом прокси будет принимать запросы на всех интерфейсах, поэтому
+  при наличии нескольких интерфейсов для ограничения доступа следует использовать
+  фаервол или хотя бы ACL.
+  </p>
+  <p>
+  Интерфейс с адресом external, если он указан, должен быть рабочим на момент
+  получения запроса клиента. При отсутствии external или адресе 0.0.0.0 внешний
+  адрес будет выбираться системой при установке соединения. При этом, может быть
+  возможность доступа через прокси к ресурсам локальной сети, поэтому для
+  предотвращения несанкционированного доступа следует использовать ACL. Кроме
+  того, могут быть проблемы с приемом входящих соединений через SOCKSv5
+  (SOCKSv5 используется в клиентах исключительно редко).
+  В случае, если адрес динамический, можно либо не
+  указывать external, либо использовать адрес 0.0.0.0, либо, если необходима
+  поддержка входящих соединений в SOCKSv5, использовать скрипт,
+  который будет получать текущий адрес и сохранять его в файл, который будет
+  отслуживаться через команду monitor.
+  </p>
+  <li><a name="ODBC">Как починить ведение журналов в ODBC</a></li>
+  <p>
+  Убедитесь, что используется системный, а не
+  пользовательский DSN. Убедитесь, что выполняется правильный SQL запрос. Наиболее
+  распространенная проблема связана с отсутствием кавычек или неправильным
+  форматом данных. Самый простой способ - сделать ведение журнала в файл или
+  на стандартный вывод, просмотреть выдаваемые SQL запросы и попробовать
+  дать такой запрос вручную.
+  </p> 
+  <li><a name="IPv6">Как починить IPv6</a></li>
+  <p>
+  Прокси не может обращаться напрямую к IPv6 сети если в запросе от клиента
+  указан IPv4. В запросе от клиента должен быть IPv6 адрес или имя хоста, чаще
+  всего это решается включением опции разрешения имен через прокси-сервер на стороне
+  клиента.
+  </p> 
+  <li><a name="CRASH">Как починить падения 3proxy</a></li>
+  <p>
+  Возможно, недостаточен размер стека потока по-умолчанию, это может
+  быть при использовани каких-либо сторонних плагинов (PAM, ODBC) или на
+  некоторых платформах (некоторые версии FreeBSD на amd64). Можно решить
+  проблему с помощью опции 'stacksize' или '-S', поддерживаемых в 0.8.4 и выше.
+  </p>
   <li><a name="SAMPLE"><i>Как посмотреть пример файла конфигурации</i></a>
   <p>
   Пример файла конфигурации 3proxy.cfg.sample поставляется с любым дистрибутивом
@@ -386,6 +490,24 @@
   <pre>
   proxy -p8080 -i192.168.1.1
   proxy -p8080 -i192.168.2.1</pre>
+  <li><a name="NAMES"><i>Как разрешать имена на родительском прокси?</i></a></li>
+  <p>
+  <i>A:</i> Для этого надо использовать тип родительского прокси http,
+  connect+, socks4+ и socks5+. Однако, при это надо помнить, что самому 3proxy
+  требуется разрешение имени для управления ACL. Поэтому, если с прокси-хоста
+  не работают разрешения имени, необходимо в конфигурации дать команду
+  <pre>
+  fakeresolve</pre>
+  которая разрешает любое имя в адрес 127.0.0.2.
+  </p>
+  <li><a name="ISFTP"><i>Как настроить FTP прокси?</i></a></li>
+  <p>
+  Есть поддержка как FTP через HTTP (то, что называется FTP прокси в браузерах) так и настоящего FTP прокси (то, что называется
+  FTP proxy в командных оболочках и FTP клиентах). В браузерах в качестве FTP прокси следует прописывать порт службы proxy,
+  т.е. FTP организован
+  через http прокси, дополнительного прокси поднимать не надо. Для FTP-клиентов необходимо поднять ftppr. FTP прокси всегда работает
+  с FTP сервером в пассивном режиме.
+  </p>
   <li><a name="AUTH"><i>Как ограничить доступ к службе</i></a>
   <p>
   Во-первых, для ограничения доступа необходимо указать внутренний интерфейс,
@@ -614,6 +736,74 @@
   того, чтобы видеть в логах записи о посещаемых пользвоателем ресурсах и
   загружаемых файлах даже в том случае, если он подключается через SOCKS.
   </p>
+<li><a name="SOCKSREDIR">Как управлять локальными перенаправлениями</a>
+<p>
+<ul>
+  <li><a name="REDIR"><i>Q: Для чего это надо?</i></a></li>
+  <p>
+  <i>A:</i> Чтобы иметь в логах URL запросов, если пользователь SOCKS пользуется
+  Web, FTP или POP3.
+  </p>
+  <li><a name="REDIRLIMIT"><i>Q: Какие недостатки?</i></a></li>
+  <p>
+  <i>A:</i> Перенапраление невозможно для web-серверов или FTP, висящих на
+  нестандартных портах, для SOCKSv4 не поддрживается авторизация с
+  паролем (IE поддерживает только SOCKSv4), но при этом IE передает
+  имя пользователя по SOCKSv4 (имя, с которым пользователь вошел в систему).
+  Для SOCKSv5 не поддерживается NTLM авторизация, пароли передаются в открытом
+  тексте.
+  </p>
+  <li><a name="REDIRADV"><i>Q: Какие преимущества?</i></a></li>
+  <p>
+  <i>A:</i> Достаточно в настройках IE только указать адрес SOCKS прокси. В
+  больших сетях можно для этого использовать WPAD (автоматическое
+  обнаружение прокси). В 3proxy достаточно запускать только одну службу
+  (socks). Если используется только Internet Explorer, то можно
+  автоматически получать имя пользователя в логах, не запрашивая
+  логин/пароль.
+  </p>
+  <li><a name="REDIRHOW"><i>Q: Как настраивается?</i></a></li>
+  <p>
+  <i>A:</i> Указывается parent http proxy со специальным адресом 0.0.0.0 и портом
+  0. Пример:
+  <pre>
+  allow * * * 80,8080-8088
+  parent 1000 http 0.0.0.0 0
+  allow * * * 80,8080-8088
+  #перенаправить соединения по портам 80 и 8080-8088 в локальный
+  #http прокси. Вторая команда allow необходима, т.к. контроль доступа
+  #осуществляется 2 раза - на уровне socks и на уровне HTTP прокси
+  allow * * * 21,2121
+  parent 1000 ftp 0.0.0.0 0
+  allow * * * 21,2121
+  #перенаправить соединения по портам 21 и 2121 в локальный
+  #ftp прокси
+  allow *
+  #пустить все соединения напрямую
+  socks</pre>
+  </p>
+  <li><a name="REDIINTER"><i>Q: Как взаимодействует с другими правилами в ACL?</i></a></li>
+  <p>
+  <i>A:</i> После внутреннего перенаправления правила рассматриваются еще раз за
+  исключением самого правила с перенаправлением (т.е. обработка правил не
+  прекращается). Это позволяет сделать дальнейшие перенаправления на
+  внешний прокси. По этой же причине локальное перенаправление не должно
+  быть последним правилом (т.е. должно быть еще хотя бы правило allow,
+  чтобы разрешить внешние соединения через HTTP прокси).
+  Например,
+  <pre>
+  allow * * * 80,8080-8088
+  parent 1000 http 0.0.0.0 0
+  #перенаправить во внутренний прокси
+  allow * * $c:\3proxy\local.nets 80,8080-8088
+  #разрешить прямой web-доступ к сетям из local.nets
+  allow * * * 80,8080-8088
+  parent 1000 http proxy.3proxy.ru 3128
+  #все остальные веб-запросы перенаправить на внешний прокси-сервер
+  allow *
+  #разрешить socks-запросы по другим портам</pre>
+  </p>
+</ul>
   <li><a name="ROUNDROBIN"><i>Как организовать балансировку между несоклькими каналами</i></a>
   <p>
   Сам по себе прокси не может управлять маршрутизацией пакетов сетевого уровня.
@@ -742,33 +932,26 @@
   <br>
   amount - объем трафика на указанный период в мегабайтах.
   </p>
-  <li><a name="NETLIST"><i>Как строить списки сетей</i></a>
+  <li><a name="TRAF">Как пофиксить некорректный подсчет трафика</a>
   <p>
-  Очень часто списки сетей и пользователей бывают достаточно громоздкими.
-  3proxy не поддерживает создание групп, но позволяет включение файлов. Это
-  означает, что для удобства администрирования выгодно хранить списки
-  пользователей и списки сетей в отдельных файлах и при необходимости дать
-  пользователю доступ к тому или иному ресурсу, править файл со списком
-  пользователей или сетей вместо того, чтобы править сам файл 3proxy.cfg. В файле
-  3proxy.cfg файл со списком можно включить с помощью макроса $.
-  Поскольку в 3proxy есть ограничения на максимальный размер элемента
-  конфигурации, большие списки следует разбивать на несколько файлов и
-  использовать несколько записей списка контроля доступом.
-  В комплекте с 3proxy поставляется утилита dighosts, которая позволяет построить
-  список сетей по странице Web. Утилита осуществляет поиск адресов на Web-странице
-  в формате АДРЕС МАСКА или АДРЕС/ДЛИНА. Утилиту dighosts можно вызвать во время
-  старта 3proxy, используя команду system. Например:
-  <pre>
-  system "dighosts http://provider/network.html local.networks"
-  allow * * $local.networks
-  allow *
-  parent 1000 proxy.provider 3128 *
-  proxy
-  flush</pre>
-  В данном случае в файле local.networks генерируется список локальных сетей по
-  странице networklist.html. Далее используется список контроля доступа для того,
-  чтобы разрешить локальному прокси-серверу доступ к локальным сетям напрямую,
-  а все остальные запросы перенаправить на прокси-сервер провайдера.
+  Следует учитывать, что 3proxy считает трафик только на прикладном уровне и
+  только проходящий через прокси-сервер. Провайдеры и другие средства учета
+  трафика считают трафик на сетевом уровне, что уже дает расхождение порядка 10%
+  за счет информации из заголовков пакетов. Кроме того, часть трафика, как
+  минимум DNS-разрешения, различный флудовый трафик и т.д. идут мимо прокси.
+  Уровень "шумового" трафика в Internet сейчас составляет порядка 50KB/день на
+  каждый реальный IP адрес, но может сильно варьироваться в зависимости от сети,
+  наличия открытых портов, реакции на ping-запросы и текущего уровня вирусной
+  активности. По этим причинам, если 3proxy используется чтобы не "выжрать"
+  трафик, выделенный провайдером, всегда следует делать некий запас порядка
+  15%.
+  </p>
+  <p>
+  Если на одной с 3proxy машине имеются какие-либо сервисы или
+  работает пользователь, то их трафик не проходит через proxy-сервер и так же
+  не будет учтен. Если где-то есть NAT, то клиенты, выходящие через NAT мимо
+  прокси, так же останутся неучтенными. Если расхождение с провайдером превышает
+  10% - нужно искать причину именно в этом.
   </p>
   <li><a name="NSCACHING"><i>Как управлять разрешением имен и кэшированием DNS</i></a>
   <p>
@@ -827,19 +1010,6 @@
   tcppm -R0.0.0.0:1234 3128 1.1.1.1 3128</pre>
   В настройках браузера указывается host.dyndns.example.org:3128.
   </p>	
-  <li><a name="DEMANDDIAL"><i>Как устанавливать соединение по требованию</i></a>
-  <p>
-  Команда dialer задает программу, которая будет запускаться при
-  невозможности разрешить имя компьютера, например:
-  <pre>
-  dialer "rasdial PROVIDER"</pre>
-  (описание rasdial можно найти на сервере поддержки Microsoft).
-  Есть два аспекта: невозможность разрешения имени еще не свидетельствует
-  об отсутствии соединения (это должна учитывать вызываемая программа),
-  при использовании nscache имя может разрешиться при отсутствии
-  соединения. В таких случаях полезно запрашивать заведомо несуществующий
-  ресурс, например, http://dial.right.now/.
-  </p>	
 </ul>
 <hr>
 <li><a name="CLIENT"><b>Конфигурация клиентов</b></a>