forum.opennet.ru - "Маскарад" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Маскарад"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Маскарад"
Сообщение от daemon on 24-Июл-03, 10:23 (MSK)
У меня пользователи в инет ходят через маскарад, например для внутреннего адреса 10.10.10.10 - 10.10.10.20, какие правила нужно создать, чтобы по iptables -L -v -x считался входящий и исходящий траффик для конкретного пользователя?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Маскарад, Vladimir, 12:05 , 24-Июл-03, (1)
- Маскарад, daemon, 12:19 , 24-Июл-03, (2)
  - Маскарад, daemon, 12:51 , 24-Июл-03, (3)
    - Маскарад, Mikhail, 13:42 , 24-Июл-03, (4)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Маскарад"

Сообщение от Vladimir on 24-Июл-03, 12:05  (MSK)

Напримет так
fwp=/usr/sbin/iptables
$fwp -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0 -o eth0 -j SNAT --to-source <твой внешний IP>
что бы FTP работало
$fwp -A INPUT -p TCP -m state --state RELATED -d 0.0.0.0/0 --destination-port 20:21 -j ACCEPT
а потом для каждого клиента добавить
$fwp -A FORWARD -p all -s <клиент IP>/32 -d 0.0.0.0/0 -j ACCEPT
$fwp -A FORWARD -p all -s 0.0.0.0/0 -d <клиент IP>/32 -j ACCEPT
и смотрим траффик
iptables -L FORWARD -n -v ............. | grep <клиент IP>

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Маскарад"

Сообщение от daemon on 24-Июл-03, 12:19  (MSK)

Я имел в виду, что у меня например такой маскарад в нат:
------------------------------
-A POSTROUTING -s 10.131.1.200 -j MASQUERADE
------------------------------
А зачем ты пишешь разрешение на ftp, он вроде и без этого через маскарад на ftp ходит. В доке написано, что если параметр -j target не указан, то при выполнении правила не выполняется никаких действий, но значения счетчиков пакетов и байтов увеличиваются на единицу. Меня интересует весь траффик от этого клиента 10.131.1.200.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Маскарад"

Сообщение от daemon on 24-Июл-03, 12:51  (MSK)

Значит вот что я сделал и что получилось, мой /etc/sysconfig/iptables
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:RH-Lokkit-0-50-INPUT - [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -j RH-Lokkit-0-50-INPUT
-A FORWARD -j RH-Lokkit-0-50-INPUT
# Вот это самое для подсчета, СПРАШИВАЮ ПРАВИЛЬНО ЛИ ЭТО ДЛЯ ПОДСЧЕТА
# Вот это самое для подсчета, СПРАШИВАЮ ПРАВИЛЬНО ЛИ ЭТО ДЛЯ ПОДСЧЕТА
#-------------------------------------------------------------------
-A FORWARD -s 10.131.1.100 -j ACCEPT
-A FORWARD -d 10.1.131.100 -j ACCEPT
#-------------------------------------------------------------------
COMMIT
# Generated by webmin
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed
# Generated by webmin
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
# Masq
-A POSTROUTING -s 10.131.1.200 -j MASQUERADE
# Masq-Alex
# А это собственно МАСКАРАД ЮЗВЕРЯ....
# -----------------------------------------
-A POSTROUTING -s 10.131.1.100 -j MASQUERADE
# -----------------------------------------
COMMIT
# Completed
Еще раз поглядите на настройки iptables вверху, правильно ли задано правило для подсчета траффика входящего и исходящего???
По команде iptables -L FORWARD -n -v
получаю:
Chain FORWARD (policy ACCEPT 2220 packets, 1201K bytes)
pkts bytes target     prot opt in     out     source               destination
4784 1476K RH-Lokkit-0-50-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2564  274K ACCEPT     all  --  *      *       10.131.1.100         0.0.0.0/0
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            10.1.131.100
Здесь меняется пунктик [274К] пользователь походил немного по яндуксу, скачал файлик... ПОДСКАЖИТЕ PLEASE???? Вроде даже что то считает, поясните что.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Маскарад"

Сообщение от Mikhail on 24-Июл-03, 13:42  (MSK)

Вообще-то рекомендуется policy drop выставлять - тогда все, что явно не разрешено, отрубается.
У меня так:
#All incoming from Internet
$IPTABLES -A INPUT -i $ext_int -j bad-local
$IPTABLES -A FORWARD -i $ext_int -j bad-good
#All outgoing to Internet
$IPTABLES -A OUTPUT -o $ext_int -j local-bad
$IPTABLES -A FORWARD -o $ext_int -j good-bad

$IPTABLES -A INPUT -i $int_int -j good-local
$IPTABLES -A OUTPUT -o $int_int -j local-good
$IPTABLES -A in -j RETURN
$IPTABLES -A out -j RETURN
#Bad-Local from Internet to localhost
$IPTABLES -A bad-local -j in
#остальные правила
...
#Local-Bad from localhost to Internet
$IPTABLES -A local-bad -j out
#остальные правила
...
и так далее. Т.е. на in/out считается суммарный траффик, отдельно из/в локалку, отдельно с/на данный хост. Внутренний и служебный траффик не считается. На цепочках типа local-bad разрешения выставляются по мере необходимости.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Маскарад"
Сообщение от Vladimir on 24-Июл-03, 12:05 (MSK)
Напримет так fwp=/usr/sbin/iptables $fwp -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0 -o eth0 -j SNAT --to-source <твой внешний IP> что бы FTP работало $fwp -A INPUT -p TCP -m state --state RELATED -d 0.0.0.0/0 --destination-port 20:21 -j ACCEPT а потом для каждого клиента добавить $fwp -A FORWARD -p all -s <клиент IP>/32 -d 0.0.0.0/0 -j ACCEPT $fwp -A FORWARD -p all -s 0.0.0.0/0 -d <клиент IP>/32 -j ACCEPT и смотрим траффик iptables -L FORWARD -n -v ............. \| grep <клиент IP>
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Маскарад"
	Сообщение от daemon on 24-Июл-03, 12:19 (MSK)
	Я имел в виду, что у меня например такой маскарад в нат: ------------------------------ -A POSTROUTING -s 10.131.1.200 -j MASQUERADE ------------------------------ А зачем ты пишешь разрешение на ftp, он вроде и без этого через маскарад на ftp ходит. В доке написано, что если параметр -j target не указан, то при выполнении правила не выполняется никаких действий, но значения счетчиков пакетов и байтов увеличиваются на единицу. Меня интересует весь траффик от этого клиента 10.131.1.200.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Маскарад"
	Сообщение от daemon on 24-Июл-03, 12:51 (MSK)
	Значит вот что я сделал и что получилось, мой /etc/sysconfig/iptables :FORWARD ACCEPT [0:0] :INPUT ACCEPT [0:0] :RH-Lokkit-0-50-INPUT - [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -j RH-Lokkit-0-50-INPUT -A FORWARD -j RH-Lokkit-0-50-INPUT # Вот это самое для подсчета, СПРАШИВАЮ ПРАВИЛЬНО ЛИ ЭТО ДЛЯ ПОДСЧЕТА # Вот это самое для подсчета, СПРАШИВАЮ ПРАВИЛЬНО ЛИ ЭТО ДЛЯ ПОДСЧЕТА #------------------------------------------------------------------- -A FORWARD -s 10.131.1.100 -j ACCEPT -A FORWARD -d 10.1.131.100 -j ACCEPT #------------------------------------------------------------------- COMMIT # Generated by webmin mangle :FORWARD ACCEPT [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT # Completed # Generated by webmin nat :OUTPUT ACCEPT [0:0] :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] # Masq -A POSTROUTING -s 10.131.1.200 -j MASQUERADE # Masq-Alex # А это собственно МАСКАРАД ЮЗВЕРЯ.... # ----------------------------------------- -A POSTROUTING -s 10.131.1.100 -j MASQUERADE # ----------------------------------------- COMMIT # Completed Еще раз поглядите на настройки iptables вверху, правильно ли задано правило для подсчета траффика входящего и исходящего??? По команде iptables -L FORWARD -n -v получаю: Chain FORWARD (policy ACCEPT 2220 packets, 1201K bytes) pkts bytes target prot opt in out source destination 4784 1476K RH-Lokkit-0-50-INPUT all -- * * 0.0.0.0/0 0.0.0.0/0 2564 274K ACCEPT all -- * * 10.131.1.100 0.0.0.0/0 0 0 ACCEPT all -- * * 0.0.0.0/0 10.1.131.100 Здесь меняется пунктик [274К] пользователь походил немного по яндуксу, скачал файлик... ПОДСКАЖИТЕ PLEASE???? Вроде даже что то считает, поясните что.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Маскарад"
	Сообщение от Mikhail on 24-Июл-03, 13:42 (MSK)
	Вообще-то рекомендуется policy drop выставлять - тогда все, что явно не разрешено, отрубается. У меня так: #All incoming from Internet $IPTABLES -A INPUT -i $ext_int -j bad-local $IPTABLES -A FORWARD -i $ext_int -j bad-good #All outgoing to Internet $IPTABLES -A OUTPUT -o $ext_int -j local-bad $IPTABLES -A FORWARD -o $ext_int -j good-bad $IPTABLES -A INPUT -i $int_int -j good-local $IPTABLES -A OUTPUT -o $int_int -j local-good $IPTABLES -A in -j RETURN $IPTABLES -A out -j RETURN #Bad-Local from Internet to localhost $IPTABLES -A bad-local -j in #остальные правила ... #Local-Bad from localhost to Internet $IPTABLES -A local-bad -j out #остальные правила ... и так далее. Т.е. на in/out считается суммарный траффик, отдельно из/в локалку, отдельно с/на данный хост. Внутренний и служебный траффик не считается. На цепочках типа local-bad разрешения выставляются по мере необходимости.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх