Добрый день.
Подскажите решение. Через linux ходят в инет пользователи. Стоит squid.
Iptables делает SNAT.
fprobe-ulog собирает статистику.

Проблема в подсчете исходящего трафика. Мне нужно чтобы делался общий подсчет трафика на исходящем интерфейсе. Т.е. считалось все, что вышло с linux'а на провайдера.
Однако из-за правила SNAT считается только то, что вышло с самого сервера и со squid'а. А транзитный трафик от пользователей (например ftp) не входит в общий трафик.
Происходит это потому, что правило SNAT в цепочке POSTROUTING является последним, через которое проходит пакет. И до того момента как пакет прошел это правило, он имеет исходящий IP серый, не провайдера. А как только пакет прошел это правило, исходящий IP стоит уже реальный, однако правила на это кончились и считать нечего.

Можно-ли как-то решить эту проблему с помощью iptables ulog'а. Или тут нужно использовать сенсоры наподобие ipcad или ndsad?

• Iptables, ulog, squid и подсчет исходящего трафика,pavel_simple, 14:59 , 31-Май-07
  • Iptables, ulog, squid и подсчет исходящего трафика,DeusInversus, 15:12 , 31-Май-07
    • Iptables, ulog, squid и подсчет исходящего трафика,sn, 15:49 , 31-Май-07
      • Iptables, ulog, squid и подсчет исходящего трафика,DeusInversus, 23:13 , 31-Май-07
        • Iptables, ulog, squid и подсчет исходящего трафика,DeusInversus, 02:43 , 02-Июн-07
          • Iptables, ulog, squid и подсчет исходящего трафика,sn, 16:51 , 04-Июн-07
            • Iptables, ulog, squid и подсчет исходящего трафика,LexX, 07:01 , 10-Сен-08

поставь правило в FORWARD

>поставь правило в FORWARD

Правило в FORWARD'е есть. В итоге запись трафика из ulog имеет вид например src=10.1.1.1 dst=yandex.ru, т.к. это транзитный пакет. Это нормально, эти записи мне тоже нужны.
Но также мне нужна запись уже занатченого пакета с исходящего интерфейса, т.е. та же запись что и выше, только в таком виде src=<реальный инет IP> dst=yandex.ru

>>поставь правило в FORWARD
>
>Правило в FORWARD'е есть. В итоге запись трафика из ulog имеет вид
>например src=10.1.1.1 dst=yandex.ru, т.к. это транзитный пакет. Это нормально, эти записи
>мне тоже нужны.
>Но также мне нужна запись уже занатченого пакета с исходящего интерфейса, т.е. та же запись что и выше, только в таком виде src=<реальный инет IP> dst=yandex.ru

На форвард не надо. надо: на аутпут (исходящий с сервака) и на построутинг (проходящий после ната)

>>>поставь правило в FORWARD
>>
>>Правило в FORWARD'е есть. В итоге запись трафика из ulog имеет вид
>>например src=10.1.1.1 dst=yandex.ru, т.к. это транзитный пакет. Это нормально, эти записи
>>мне тоже нужны.
>>Но также мне нужна запись уже занатченого пакета с исходящего интерфейса, т.е. та же запись что и выше, только в таком виде src=<реальный инет IP> dst=yandex.ru
>
>
>На форвард не надо. надо: на аутпут (исходящий с сервака) и на
>построутинг (проходящий после ната)

Но как это сделать - после ната??? Конкретное правило напишите, а то сам не догоняю.
Вот есть правило ната - POSTROUTING -o eth1 -s 10.0.0.0/8 -j SNAT --to-source 1.1.1.1
После него насколько я понимаю писать правило с ULOG бесполезно, ибо пакет завершит свое следование по цепочкам на правиле SNAT. Или тут есть какая хитрость?

up

Кто-нибудь!

>up
>
>Кто-нибудь!

тут на опеннете есть дока по iptables. там все разжевано. мне смотреть влом

>>up
>>
>>Кто-нибудь!
>
>
>тут на опеннете есть дока по iptables. там все разжевано. мне смотреть
>влом

ребята тема актуальная может кто подскажет???