LINUX.ORG.RU
ФорумAdmin

!!! Учет траффика в iptables


0

0

Как учитывать траффик с помощью iptables. iptables -P FORWARD DROP

У меня записано: iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 195.138.71.106 iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -s 192.168.1.67/32 -j ACCEPT iptables -L -v -n показывает что основной траффик проходит через цепочку iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT а через iptables -A FORWARD -i eth1 -o eth0 -s 192.168.1.67/32 -j ACCEPT только часть.

Как считать по каждому пользователю.


Все правильно до последнего правила iptables не доходит, так как акцептирует по второму правилу. Если хочешь считать трафик и по отдельным пользователям и в целом одновременно поставь сначала правила без места назначения (без -j) а только затем акцептируй.

msv
()


Пробовал не получается.

У меня выходит так, если не ошибаюсь.

Политика по умолчанию FORWARD DROP

Через nat проходит только первый пакет из потока.
Второе правило принимает пакеты с признаком состояния ESTABLISHED (пакет принадлежит установленному соединению), RELATED

Третье обеспечивает передачу пакетов с 192.168.1.65 на 0/0

Получается что передает по третьему а принимает по второму, так и считает

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
32 13420 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 96 ACCEPT all -- eth1 eth0 192.168.1.65 0.0.0.0/0


Как ообеспечить соединение FORWARD через которое пакеты идут в обеих направлениях например как в ipchains
Если можно сделать как то по другому посоветуй.

Bazis
() автор топика

Хрен его знает как. Но ведь трафик форвардующийся в инет гораздо меньше, чем инет->локалка. Вот и забей на него (если ты конечно не платишь провайдеру за upload - а это вряд ли)

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin