[mdk-re] masquerading

[Igor Solovyov]

Hi All!

Кто-нибудь может объяснить, как ipchains опознает поступивший пакет,
требующий демаскарадинга и как помечает замаскараженный пакет?
Например, уходит пакет с приватного адреса в интернет, при маскараде,
в нем меняется приватный адрес на адрес интерфейса, смотрящего наружу.
Это понятно. Непонятно дальше. В ответ на ушедший пакет, из и-нета
приходит пакет, который для попадания на приватный адрес, должен
быть демаскаражен. У него в качестве source стоит адрес моего внешнего
интерфейса. Как ipchains опознает, что его надо демаскарадить?
И на какой из приватных адресов его демаскарадить требуется?
Ведь сюда же может прийти и пакет, не требующий демаскарада.

Я вот решил и-нет-трафик посчитать средствами ipchains.
Трафик приватных сетей, сосчитать не сложно прямо на приватных интерфейсах,
ведь приходящие на них из и-нета пакеты уже демаскаражены, а уходящие еще
не замаскаражены, т.е. в этих пакетах один адрес приватный, а другой
внешний (в/из и-нет/а). Таким образом не сложно отделить приватный
трафик от интернетовского. Так я и делаю. И все бы было нормально,
но у меня есть и и-нет-трафик самого рутера. Его тоже надо считать.
А поскольку, пакеты в/из приватную/-ой сеть/-и проходят через внешний
интерфейс еще/уже с неприватным адресом, то мне для подсчета трафика самого
рутера нужно их как-то отсеять. Вот это я и не пойму как сделать.
В результате подсчитанный трафик самого рутера увеличен на весь и-нет-трафик
приватных сетей.

Возможно ли средствами ipchains организовать такой отсев пакетов?

--
Best regards!
Igor Solovyov
Zlatoust, Russia