From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <3A651BD9.1C3EFBC1@oberon.novocybersk.ru> From: Maxim Savrilov X-Mailer: Mozilla 4.73 [en] (X11; U; Linux 2.2.14 i686) X-Accept-Language: en MIME-Version: 1.0 To: mandrake-russian@linuxteam.iplabs.ru Subject: Re: [mdk-re] masquerading References: Content-Type: text/plain; charset=koi8-r Content-Transfer-Encoding: 8bit Sender: mandrake-russian-admin@linuxteam.iplabs.ru Errors-To: mandrake-russian-admin@linuxteam.iplabs.ru X-BeenThere: mandrake-russian@linuxteam.iplabs.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: mandrake-russian@linuxteam.iplabs.ru List-Help: List-Post: List-Subscribe: , List-Id: Mandrake/RE discussion list List-Unsubscribe: , List-Archive: Date: Wed Jan 17 07:12:00 2001 X-Original-Date: Wed, 17 Jan 2001 10:13:13 +0600 Archived-At: List-Archive: Igor Solovyov wrote: > Hi All! > > Кто-нибудь может объяснить, как ipchains опознает поступивший пакет, > требующий демаскарадинга и как помечает замаскараженный пакет? > Например, уходит пакет с приватного адреса в интернет, при маскараде, > в нем меняется приватный адрес на адрес интерфейса, смотрящего наружу. > Это понятно. Непонятно дальше. В ответ на ушедший пакет, из и-нета > приходит пакет, который для попадания на приватный адрес, должен > быть демаскаражен. У него в качестве source стоит адрес моего внешнего > интерфейса. Как ipchains опознает, что его надо демаскарадить? > И на какой из приватных адресов его демаскарадить требуется? > Ведь сюда же может прийти и пакет, не требующий демаскарада. > > Я вот решил и-нет-трафик посчитать средствами ipchains. > Трафик приватных сетей, сосчитать не сложно прямо на приватных интерфейсах, > ведь приходящие на них из и-нета пакеты уже демаскаражены, а уходящие еще > не замаскаражены, т.е. в этих пакетах один адрес приватный, а другой > внешний (в/из и-нет/а). Таким образом не сложно отделить приватный > трафик от интернетовского. Так я и делаю. И все бы было нормально, > но у меня есть и и-нет-трафик самого рутера. Его тоже надо считать. > А поскольку, пакеты в/из приватную/-ой сеть/-и проходят через внешний > интерфейс еще/уже с неприватным адресом, то мне для подсчета трафика самого > рутера нужно их как-то отсеять. Вот это я и не пойму как сделать. > В результате подсчитанный трафик самого рутера увеличен на весь и-нет-трафик > приватных сетей. > > Возможно ли средствами ipchains организовать такой отсев пакетов? да, это описано в ipchains-howto посмотри, как обрабатываются приходящие пакеты, там целая блок-схема есть если коротко, то в твоем случае input->demasquerading->output то-есть считать на приватном интерфейсе трафик, приходящий не из приватной сетки плюс считать общий трафик на input потом из того, что на input вычитать сумму трафика на output, и получишь то, что скачал сервер дело немного осложняется при использовании proxy, но это не принципиально все просто ;) > > -- ...а если воспользоваться гороховыми ускорителями... Maxim Savrilov http://www.novocybersk.ru/ --