ipac-ng a snat
Tomáš Vondra
vondra na tesmail.cz
Sobota Březen 23 16:09:38 CET 2002
Ahoj vsichni,
mam tady servrik, ktery funguje i jako router mezi LAN a
Internetem, a na nem jsem zprovoznil IPAC-NG. Konstrukce pravidel je
mi celkem jasna, a statistika prenosu server <-> Internet funguje OK.
Topologie site je takovahle:
-----------------
Internet <---> | server (SNAT) | <---> LAN
-----------------
eth0:10.5.33.83 eth1:192.168.1.100
Na serveru je i squid a bind, ktery pracuji i jako cache.
Potreboval bych ale jeste statistiku prenosu pro jednotlive
pocitace, a to se mi nedari. Je tam totiz udelany SNAT (pomoci
iptables) v POSTROUTING, a pokud se nepletu tak routing probiha pred
zarazenim do nektereho z chainu INPUT,OUTPUT,FORWARD. To je ale ten
problem, protoze do IPACu uz dostanu jenom zmenenou zdrojovou adresu
(totiz 10.5.33.63), a tam uz se nemam jak rozhodnout. Takze pravidla
typu
# prenos na pocitac 192.168.1.101/255.255.255.255 (vsechny protokoly)
pocitac_1|out|eth0|all||192.168.1.101/255.255.255.255
# prenos z pocitace 192.168.1.101/255.255.255.255 (vsechny protokoly)
pocitac_1|in|eth0|all|192.168.1.101/255.255.255.255|
mi proste nefunguji a myslim ze je to prave tim SNATem, protoze kdyz
tam dam IP 10.5.33.83 tak to meri, ale neco co nechci. Napadlo mne ze
by se to dalo hodit na eth1 a rozhodovat to podle cilovy/zdrojovy
adresy nasledujicim zpusobem:
# prenos na pocitac 192.168.1.101/255.255.255.255 (vsechny protokoly)
pocitac_1|out|eth1|all|!192.168.1.0/255.255.255.0|192.168.1.101/255.255.255.255
# prenos z pocitace 192.168.1.101/255.255.255.255 (vsechny protokoly)
pocitac_1|in|eth1|all|192.168.1.101/255.255.255.255|!192.168.1.0/255.255.255.0
coz tedy funguje, resp. pocita. Nicmene na serveru je Squid, a tohle
do statistik vnasi zbytecnou nepresnost, jelikoz data se tahaji jenom
ze serveru (z cache squida), ale ale ve finale to jevi jako kdyby sly
z Internetu. (a to same plati pro dns, ale tam to neni takovy objem
dat jako u http)
Co s tim? Mate nejake lepsi reseni?
--------------------
Tomas Vondra
vondra na tesmail.cz
--------------------
Další informace o konferenci Linux