LINUX.ORG.RU
ФорумAdmin

Ipchains + accounting rules Plees help!!


0

0

Помогите пжалста победить сию граблю: короче поставил я статистику для учета инет-трафика ,и ни как не могу отделить внутренний трафик от внешнего .Дело в том что эта штука построена на ipchains , а у меня в рутере три сетевухи : одна на ружу (eth0) , и две смотрят внутрь (eth1),(eth2) у них серые адреса , ну естесственно маскарад прописан на каждого узверя и сквид стоит . Дак вот, народ между двумя серыми сетками по нетбиосу плавает ну и естественно иногда заваливается в инет , грабли в том что эти хреновы коунтеры докучи внутрений трафик считают ,вот пример конфига:

ipchains -A acct-in -d 0.0.0.0/0.0.0.0 -s 192.168.1.5 (адрес одного из клиентов к примеру) ipchains -A acct-out -s 0.0.0.0/0.0.0.0 -d 192.168.1.5

я уже пробовал делать так : ipchains -A acct-in -d ! 192.168.1.0/255.255.255.0 -s 192.168.1.5 ipchains -A acct-out -s ! 192.168.1.0/255.255.255.0 -d 192.168.1.5 работает до первой вылазки в инет. а если поставить -i eth0 ,вообще ни фига не щитает.

в настоящиий момент у меня прописано: ipchains -A acct-in -d (xxx.xxx.xxx.xxx) -s 192.168.1.5 ipchains -A acct-out -s (xxx.xxx.xxx.xxx) -d 192.168.1.5

где ххх - адрес внешнего интерфейса . вообщем стало точнее щитать но иногда все таки лажу гонит в виде гигантского трафика . Если кто знает как эти грабли обьехать подскажите плиз, а то мои идеи уже иссякли . заранее спасибо.


а со сквида не пробовал статистику снимать

anonymous
()

Действительно, пустить всех через прокси и не париться...

anonymous
()

Дык блин жалко,статистика удобная все ясно и наглядно показывает, для энд юзверя само то :-(

BigKick
() автор топика

Дык блин жалко , статистика хорошая все наглядно кажет , для энд юзверя само то.

BigKick
() автор топика

Дык блин жалко,удобная статистика все наглядно кажет , для эндюзверя само то .

BigKick
() автор топика

Твоя трабла решаеться просто. Первым правилом у тебя должно идти которое будет определять наружный траффик. Т.е. все что идет от твоего клиента, скажем, 192.168.1.1 через наружний интерфейс:

ipchains -A forward -i eth0 -s 192.168.1.1 -j MASQ

если нужен траффик всех клиентов вместе то можно так:

ipchains -A forward -i eth0 -s 192.168.0.0/16 -j MASQ

Это будет подсчет исходящего траффика. Вот для входящего траффика:

ipchains -A output -i eth1(2) -d 192.168.1.1(2) -j ACCEPT

траффик между внутр компами:

ipchains -A input -i eth1 -s 192.168.1.1 -d 192.168.1.2 -j ACCEPT ipchains -A output -i eth1 -s 192.168.2.1 -d 192.168.1.1 -j ACCEPT ipchains -A input -i eth2 -s 192.168.1.2 -d 192.168.1.1 -j ACCEPT ipchains -A output -i eth2 -s 192.168.1.1 -d 192.168.1.2 -j ACCEPT

(Это я исхожу из предположения что 192.168.1.1 подцеплен к eth1, a 192.168.1.2 к eth2)

Вобщем все. Правда если у тебя сквид, то отдельно нужно считать обращения к сквиду. Если я понял, сквид стоит у тебя на машине с тремя сетевухами.

Если клиент с адресом 192.168.1.1 лезет через интерфейс eth1 с адресом 192.168.2.1 на сквид, котрый ждет обращения по порту 3128, то

ipchains -A input -s 192.168.1.1 -d 192.168.2.1 3128 -j ACCEPT ipchains -A output -s 192.168.2.1 3128 -d 192.168.1.1 -j ACCEPT

Эти правила дадут траффик через сквид. Еще нужно следить за порядком следования правл иза тем, что бы правила которые идут раньше не перекрывали правила идущие после.

Nobunaga
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin