IPac-ng + Squid + IP masq

[Tomáš Vondra]

JH> Dobry den,

JH> chcel by som vytvorit lokalnu siet pripojenu na internet
JH> cez linuxovy stroj s IP maskaradou a Squidom. Potrebujem
JH> ale logovat a sumarizovat datove prenosy z kazdeho stroja
JH> v lokalnej sieti. Mienim na to pouzit ipac-ng, akurat neviem
JH> presne ci to bude mozne - pakety by sa mali logovat asi pred
JH> maskaradou aj pred proxy aby som vedel z komu patria. Vyriesilo by 
JH> sa to predradenim dalsieho stroja "citaca", ale to by som nerad.
JH> - mate s tym prosim niekto skusenosti?
JH> - viete mi niekto odporucit iny nastroj pre IP accounting?
JH>   Ipac-ng nema zrovna vela dokumentacie.

Kdysi jsem neco podobneho ze zvedavosti resil, ale uz dost dlouho to
aktivne nepouzivam. Podrobnosti jsou zcela jiste v archivu konference,
ale pro zajimavost shrnu:

(1) NAT v ruznych formach neni zadny problem. Dokonce lze rozdelit
    traffic na tu ktera z daneho stroje miri ven a ktera do vnitrni
    site. Staci pravidla povesit na vnitrni interface a formulovat je
    pomoci IP pocitace a rozsahu IP site (a negace). Lze samozrejme
    rozlisit ruzne protokoly, atd.

    Muzete pak samozrejme logovat jeste "celkovy traffic" na vnejsim
    interface (do Internetu), a pro orientaci sledovat jak moc se ta
    cisla rozchazeji.
    
(2) Problem muze byt Squid a jine cache, protoze nepoznate co se
    vlastne taha z venku a co z cache (alespon me se to nepovedlo).
    
(3) Myslim ze lepsi nastroj na mereni datovych prenosu nez je ipac-ng
    nenajdete. Uzivatelske dokumentace je v baliku dle meho nazoru
    sice take trochu malo, ale pro rozchozeni by to urcite stacit
    melo, a v konfiguraci jde spise o znalost iptables a pravidel pro
    firewall. Protoze to je vlastne to co vy tam pisete.

    Jinak se to v konfere resilo uz asi 100x takze viz. archiv.

    Tomas