[linux] iptables a accounting pruser
Michal Michalac
michal.michalac na ehs.sk
Středa Prosinec 12 07:45:48 CET 2001
Zdravim,
> Mal by som este otazku k DNAT.
ak to dobre chapem, ak menis zdrojovu adresu, mal by to byt
SNAT, ten sa robi v POSTROUTINGU
> Skusme si to rozobrat>
> Paket odchadza z LAN 10.10.0.0/16 na WAN (eth0), prejde routovanim,
> potom do FORWARDU, kde si urobim odskok do ACCOUNTING-u, navrat a
> prejdenie do POSTROUTING-u, kde sa mu zmeni zdrojova adresa. Toto mi
> je uplne jasne, ze to zauctujem. Cesta spat> Paket sa vrati spat a ako
> cielovu adresu ma adresu vonkajsieho rozhrania, teda WAN. Routovanie,
> prechod do FORWARD (ako si spomenul), odskok do ACCOUTING-u, navrat a
> potom do POSTROUTING-u. V tom FORWARDE ale nema cielovu adresu na LAN,
Myslim, ze nie. Niekde som cital, ze FORWARD vidi skutocnu
adrojovu aj cielovu adresu paketu, tzn, ze zmena zdrojovej adresy
sa meni v POSTROUTINGu (po FORWARD) a zmena cielovej
adresy v PREROUTINGu (pred FORWARD).
Tym, ze sa na paket aplikuje SNAT mal by si kernel
automaticky (?) vytvorit docasne zrkadlove pravidlo DNAT pre
pakety tohoto spojenia opacnym smerom.
Mimochodom, neviete niekto, ako zistim v iptables zoznam
otvorenych (SNATovanych) spojeni? V ipchains to bolo
ipchains -L -M
> zisti ju az po POSTROUTING-u. Ja som sa domnieval, ze po routovani,
> ked jadro zisti, ze paket je odpovedou na maskaradu, tak mu najprv
> zmeni cielovu adresu na LAN a az potom ide do FORWARDU.
Takto by to malo byt.
>
> Stobi
>
>
Michal Michalac
---------------------------------
Ing. Michal Michalac
EHS Skalica
pplk Pljusta
909 01 Skalica 1
tel.: +421 34 664 6589
e-mail: michal.michalac na ehs.sk
ICQ: 25923311
Další informace o konferenci linux