ipac-ng a snat

Tomáš Vondra vondra na tesmail.cz
Sobota Březen 23 16:09:38 CET 2002 

Ahoj vsichni,
   mam tady servrik, ktery funguje i jako router mezi LAN a
Internetem, a na nem jsem zprovoznil IPAC-NG. Konstrukce pravidel je
mi celkem jasna, a statistika prenosu server <-> Internet funguje OK.
Topologie site je takovahle:

                  -----------------
Internet  <--->  |  server (SNAT)  |  <---> LAN
                  -----------------
          eth0:10.5.33.83       eth1:192.168.1.100

Na serveru je i squid a bind, ktery pracuji i jako cache.

   Potreboval bych ale jeste statistiku prenosu pro jednotlive
pocitace, a to se mi nedari. Je tam totiz udelany SNAT (pomoci
iptables) v POSTROUTING, a pokud se nepletu tak routing probiha pred
zarazenim do nektereho z chainu INPUT,OUTPUT,FORWARD. To je ale ten
problem, protoze do IPACu uz dostanu jenom zmenenou zdrojovou adresu
(totiz 10.5.33.63), a tam uz se nemam jak rozhodnout. Takze pravidla
typu

# prenos na pocitac 192.168.1.101/255.255.255.255 (vsechny protokoly)
pocitac_1|out|eth0|all||192.168.1.101/255.255.255.255
# prenos z pocitace 192.168.1.101/255.255.255.255 (vsechny protokoly)
pocitac_1|in|eth0|all|192.168.1.101/255.255.255.255|

mi proste nefunguji a myslim ze je to prave tim SNATem, protoze kdyz
tam dam IP 10.5.33.83 tak to meri, ale neco co nechci. Napadlo mne ze
by se to dalo hodit na eth1 a rozhodovat to podle cilovy/zdrojovy
adresy nasledujicim zpusobem:

# prenos na pocitac 192.168.1.101/255.255.255.255 (vsechny protokoly)
pocitac_1|out|eth1|all|!192.168.1.0/255.255.255.0|192.168.1.101/255.255.255.255
# prenos z pocitace 192.168.1.101/255.255.255.255 (vsechny protokoly)
pocitac_1|in|eth1|all|192.168.1.101/255.255.255.255|!192.168.1.0/255.255.255.0

coz tedy funguje, resp. pocita. Nicmene na serveru je Squid, a tohle
do statistik vnasi zbytecnou nepresnost, jelikoz data se tahaji jenom
ze serveru (z cache squida), ale ale ve finale to jevi jako kdyby sly
z Internetu. (a to same plati pro dns, ale tam to neni takovy objem
dat jako u http)

Co s tim? Mate nejake lepsi reseni?

--------------------
    Tomas Vondra
 vondra na tesmail.cz
--------------------

Další informace o konferenci Linux