[mdk-re] masquerading
Maxim Savrilov
=?iso-8859-1?q?Maxim=2ESavrilov_=CE=C1_oberon=2Enovocybersk=2Eru?=
Ср Янв 17 07:12:00 MSK 2001
Igor Solovyov wrote:
> Hi All!
>
> Кто-нибудь может объяснить, как ipchains опознает поступивший пакет,
> требующий демаскарадинга и как помечает замаскараженный пакет?
> Например, уходит пакет с приватного адреса в интернет, при маскараде,
> в нем меняется приватный адрес на адрес интерфейса, смотрящего наружу.
> Это понятно. Непонятно дальше. В ответ на ушедший пакет, из и-нета
> приходит пакет, который для попадания на приватный адрес, должен
> быть демаскаражен. У него в качестве source стоит адрес моего внешнего
> интерфейса. Как ipchains опознает, что его надо демаскарадить?
> И на какой из приватных адресов его демаскарадить требуется?
> Ведь сюда же может прийти и пакет, не требующий демаскарада.
>
> Я вот решил и-нет-трафик посчитать средствами ipchains.
> Трафик приватных сетей, сосчитать не сложно прямо на приватных интерфейсах,
> ведь приходящие на них из и-нета пакеты уже демаскаражены, а уходящие еще
> не замаскаражены, т.е. в этих пакетах один адрес приватный, а другой
> внешний (в/из и-нет/а). Таким образом не сложно отделить приватный
> трафик от интернетовского. Так я и делаю. И все бы было нормально,
> но у меня есть и и-нет-трафик самого рутера. Его тоже надо считать.
> А поскольку, пакеты в/из приватную/-ой сеть/-и проходят через внешний
> интерфейс еще/уже с неприватным адресом, то мне для подсчета трафика самого
> рутера нужно их как-то отсеять. Вот это я и не пойму как сделать.
> В результате подсчитанный трафик самого рутера увеличен на весь и-нет-трафик
> приватных сетей.
>
> Возможно ли средствами ipchains организовать такой отсев пакетов?
да, это описано в ipchains-howto
посмотри, как обрабатываются приходящие пакеты, там целая блок-схема есть
если коротко, то в твоем случае input->demasquerading->output
то-есть считать на приватном интерфейсе трафик, приходящий не из приватной
сетки
плюс считать общий трафик на input
потом из того, что на input вычитать сумму трафика на output, и получишь то,
что скачал сервер
дело немного осложняется при использовании proxy, но это не принципиально
все просто ;)
>
>
--
...а если воспользоваться гороховыми ускорителями...
Maxim Savrilov http://www.novocybersk.ru/
--
Подробная информация о списке рассылки community