[linux] iptables a accounting pruser

[Michal Michalac]

	Zdravim,

> Mal by som este otazku k DNAT.

	ak to dobre chapem, ak menis zdrojovu adresu, mal by to byt 
SNAT, ten sa robi v POSTROUTINGU

> Skusme si to rozobrat>
> Paket odchadza z LAN 10.10.0.0/16 na WAN (eth0), prejde routovanim,
> potom do FORWARDU, kde si urobim odskok do ACCOUNTING-u, navrat a
> prejdenie do POSTROUTING-u, kde sa mu zmeni zdrojova adresa. Toto mi
> je uplne jasne, ze to zauctujem. Cesta spat> Paket sa vrati spat a ako
> cielovu adresu ma adresu vonkajsieho rozhrania, teda WAN. Routovanie,
> prechod do FORWARD (ako si spomenul), odskok do ACCOUTING-u, navrat a
> potom do POSTROUTING-u. V tom FORWARDE ale nema cielovu adresu na LAN,

	Myslim, ze nie. Niekde som cital, ze FORWARD vidi skutocnu 
adrojovu aj cielovu adresu paketu, tzn, ze zmena zdrojovej adresy 
sa meni v POSTROUTINGu (po FORWARD) a zmena cielovej 
adresy v PREROUTINGu (pred FORWARD). 
	Tym, ze sa na paket aplikuje SNAT mal by si kernel 
automaticky (?) vytvorit docasne zrkadlove pravidlo DNAT pre 
pakety tohoto spojenia opacnym smerom.

	Mimochodom, neviete niekto, ako zistim v iptables zoznam 
otvorenych (SNATovanych) spojeni? V ipchains to bolo 
	ipchains -L -M

> zisti ju az po POSTROUTING-u. Ja som sa domnieval, ze po routovani,
> ked jadro zisti, ze paket je odpovedou na maskaradu, tak mu najprv
> zmeni cielovu adresu na LAN a az potom ide do FORWARDU.

	Takto by to malo byt.

> 
> Stobi
> 
> 
	Michal Michalac


---------------------------------
Ing. Michal Michalac
EHS Skalica
pplk Pljusta
909 01 Skalica 1
tel.:   +421 34 664 6589
e-mail: michal.michalac na ehs.sk
ICQ: 25923311