[mdk-re] Re: [mdk-re] настройка роутинга

[Maxim Mitrofanov]

28 Ноябрь 2001 15:02, Вы написали:
> Hello Maxim,
> 
> Wednesday, November 28, 2001, 11:38:54 AM, you wrote:
> 
> >> А можно примерчик? Именно для подсчета траффика на определенный ip.
> >> 
> >> > При рестарте всего фаерволла в целом статистика сбрасывается.
> >> Это понятно:) Значит перед рестартом надо сбрасывать в файл, да и 
в 
> MM> крон надо сунуть, что бы сохранял.
> >> 
> 
> MM> -------- rc.firewall ---------
> 
> MM>         ipchains -N traffic
> MM>         ipchains -A output -s ! 192.168.0.0/16 -j traffic
> MM>         #хост
> MM>         ipchains -A traffic -d 192.168.0.1/32  
> MM>         ipchains -A traffic -d 192.168.0.2/32  
> MM>         ...
> MM>         #подсеть
> MM>         ipchains -A traffic -d 192.168.1.0/24
> MM>         ...
> 
> MM> ----------------
> MM> вобщем подсчет надо вести на исходящей цепочке (output) роутера, 
> MM> исключая при этом пакеты которые пришли из внутренней сети, если 
> MM> конечно внутренний траффик бесплатен ;)
> MM> ну а статистику снимать так:
> 
> MM>         ipchains -ZL -xvn traffic
> 
> Проблема в том что в сети 2.0 еще одна подсеть 3.0 на которую и надо
> траффик считать, исключая кочнечно samba, ssh (для внутренних целей)
> и я думаю, что route тоже надо исключить (потому что роутинг
> осуществляется по локальной сети). Т.е. мне кажется что лучше считать
> на определенные порты (www, pop3, etc), только в этом случае не знаю
> как быть с аськой.

	я не совсем понял,  а разве нельзя развить пример далее

	#подсеть
	ipchains -A traffic -d 192.168.1.0/24
	ipchains -A traffic -d 192.168.2.0/24
	ipchains -A traffic -d 192.168.3.0/24
	ipchains -A traffic -d 192.168.128.0/25

а внутренний траффик вы исключяете сразу

	ipchains -A output -s ! 192.168.0.0/16 -j traffic
	
	т е -s ! 192.168.0.0/16 означает не из внутренней сети, если конечно у 
вас приватная сетка 192.168.0.0/16 и маскарад на роутере

зы: на "менторский" тон просьба не обижаться ;)

-- 
  rgds
  Maixm						mdk на anker.ru