[linux] iptables a accounting pruser

[Marcel Juria]

cau
Michal Michalac wrote:

> 	Zdravim,
> 
> 
>>Mal by som este otazku k DNAT.
>>
> 
> 	ak to dobre chapem, ak menis zdrojovu adresu, mal by to byt 
> SNAT, ten sa robi v POSTROUTINGU
> 
> 
>>Skusme si to rozobrat>
>>Paket odchadza z LAN 10.10.0.0/16 na WAN (eth0), prejde routovanim,
>>potom do FORWARDU, kde si urobim odskok do ACCOUNTING-u, navrat a
>>prejdenie do POSTROUTING-u, kde sa mu zmeni zdrojova adresa. Toto mi
>>je uplne jasne, ze to zauctujem. Cesta spat> Paket sa vrati spat a ako
>>cielovu adresu ma adresu vonkajsieho rozhrania, teda WAN. Routovanie,
>>prechod do FORWARD (ako si spomenul), odskok do ACCOUTING-u, navrat a
>>potom do POSTROUTING-u. V tom FORWARDE ale nema cielovu adresu na LAN,
>>
> 
> 	Myslim, ze nie. Niekde som cital, ze FORWARD vidi skutocnu 
> adrojovu aj cielovu adresu paketu, tzn, ze zmena zdrojovej adresy 
> sa meni v POSTROUTINGu (po FORWARD) a zmena cielovej 
> adresy v PREROUTINGu (pred FORWARD). 
> 	Tym, ze sa na paket aplikuje SNAT mal by si kernel 
> automaticky (?) vytvorit docasne zrkadlove pravidlo DNAT pre 
> pakety tohoto spojenia opacnym smerom.
> 
> 	Mimochodom, neviete niekto, ako zistim v iptables zoznam 
> otvorenych (SNATovanych) spojeni? V ipchains to bolo 
> 	ipchains -L -M


Q: How do I list the NAT/masqueraded connections ('ipchains -L -M')?
A: Use 'cat /proc/net/ip_conntrack'.

> 
> 
>>zisti ju az po POSTROUTING-u. Ja som sa domnieval, ze po routovani,
>>ked jadro zisti, ze paket je odpovedou na maskaradu, tak mu najprv
>>zmeni cielovu adresu na LAN a az potom ide do FORWARDU.
>>
> 
> 	Takto by to malo byt.
> 
> 
>>Stobi
>>
>>
>>
> 	Michal Michalac
> 
> 
> ---------------------------------
> Ing. Michal Michalac
> EHS Skalica
> pplk Pljusta
> 909 01 Skalica 1
> tel.:   +421 34 664 6589
> e-mail: michal.michalac na ehs.sk
> ICQ: 25923311
> 
> _______________________________________________
> http://lists.linux.sk/listinfo/linux
> http://search.lists.linux.sk
> 
> .
> 
>