The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Маскарад"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Маскарад"
Сообщение от daemon emailИскать по авторуВ закладки on 24-Июл-03, 10:23  (MSK)
У меня пользователи в инет ходят через маскарад, например для внутреннего адреса 10.10.10.10 - 10.10.10.20, какие правила нужно создать, чтобы по iptables -L -v -x считался входящий и исходящий траффик для конкретного пользователя?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Маскарад"
Сообщение от Vladimir Искать по авторуВ закладки on 24-Июл-03, 12:05  (MSK)
Напримет так
fwp=/usr/sbin/iptables
$fwp -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0 -o eth0 -j SNAT --to-source <твой внешний IP>
что бы FTP работало
$fwp -A INPUT -p TCP -m state --state RELATED -d 0.0.0.0/0 --destination-port 20:21 -j ACCEPT
а потом для каждого клиента добавить
$fwp -A FORWARD -p all -s <клиент IP>/32 -d 0.0.0.0/0 -j ACCEPT
$fwp -A FORWARD -p all -s 0.0.0.0/0 -d <клиент IP>/32 -j ACCEPT
и смотрим траффик
iptables -L FORWARD -n -v ............. | grep <клиент IP>
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Маскарад"
Сообщение от daemon emailИскать по авторуВ закладки on 24-Июл-03, 12:19  (MSK)
Я имел в виду, что у меня например такой маскарад в нат:

------------------------------
-A POSTROUTING -s 10.131.1.200 -j MASQUERADE
------------------------------
А зачем ты пишешь разрешение на ftp, он вроде и без этого через маскарад на ftp ходит. В доке написано, что если параметр -j target не указан, то при выполнении правила не выполняется никаких действий, но значения счетчиков пакетов и байтов увеличиваются на единицу. Меня интересует весь траффик от этого клиента 10.131.1.200.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Маскарад"
Сообщение от daemon emailИскать по авторуВ закладки on 24-Июл-03, 12:51  (MSK)
Значит вот что я сделал и что получилось, мой /etc/sysconfig/iptables

:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:RH-Lokkit-0-50-INPUT - [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -j RH-Lokkit-0-50-INPUT
-A FORWARD -j RH-Lokkit-0-50-INPUT

# Вот это самое для подсчета, СПРАШИВАЮ ПРАВИЛЬНО ЛИ ЭТО ДЛЯ ПОДСЧЕТА
# Вот это самое для подсчета, СПРАШИВАЮ ПРАВИЛЬНО ЛИ ЭТО ДЛЯ ПОДСЧЕТА
#-------------------------------------------------------------------
-A FORWARD -s 10.131.1.100 -j ACCEPT
-A FORWARD -d 10.1.131.100 -j ACCEPT
#-------------------------------------------------------------------

COMMIT
# Generated by webmin
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed
# Generated by webmin
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
# Masq
-A POSTROUTING -s 10.131.1.200 -j MASQUERADE
# Masq-Alex
# А это собственно МАСКАРАД ЮЗВЕРЯ....

# -----------------------------------------
-A POSTROUTING -s 10.131.1.100 -j MASQUERADE
# -----------------------------------------

COMMIT
# Completed

Еще раз поглядите на настройки iptables вверху, правильно ли задано правило для подсчета траффика входящего и исходящего???

По команде iptables -L FORWARD -n -v
получаю:

Chain FORWARD (policy ACCEPT 2220 packets, 1201K bytes)
pkts bytes target     prot opt in     out     source               destination        
4784 1476K RH-Lokkit-0-50-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0          
2564  274K ACCEPT     all  --  *      *       10.131.1.100         0.0.0.0/0          
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            10.1.131.100      

Здесь меняется пунктик [274К] пользователь походил немного по яндуксу, скачал файлик... ПОДСКАЖИТЕ PLEASE???? Вроде даже что то считает, поясните что.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Маскарад"
Сообщение от Mikhail Искать по авторуВ закладки on 24-Июл-03, 13:42  (MSK)
Вообще-то рекомендуется policy drop выставлять - тогда все, что явно не разрешено, отрубается.

У меня так:
#All incoming from Internet                  
$IPTABLES -A INPUT -i $ext_int -j bad-local  
$IPTABLES -A FORWARD -i $ext_int -j bad-good
#All outgoing to Internet                    
$IPTABLES -A OUTPUT -o $ext_int -j local-bad
$IPTABLES -A FORWARD -o $ext_int -j good-bad
                                            
$IPTABLES -A INPUT -i $int_int -j good-local
$IPTABLES -A OUTPUT -o $int_int -j local-good

$IPTABLES -A in -j RETURN
$IPTABLES -A out -j RETURN

#Bad-Local from Internet to localhost
$IPTABLES -A bad-local -j in        
#остальные правила
...

#Local-Bad from localhost to Internet
$IPTABLES -A local-bad -j out        
#остальные правила
...

и так далее. Т.е. на in/out считается суммарный траффик, отдельно из/в локалку, отдельно с/на данный хост. Внутренний и служебный траффик не считается. На цепочках типа local-bad разрешения выставляются по мере необходимости.

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру