[Comm] iptables and traffic counting

[Alexei Takaseev]

On Thu, 26 Feb 2004 13:27:56 +0300
Alexey Morsov <samurai на ricom.ru> wrote:

> Привет,
> 
> Таки я справился с хождением трафика через linux-маршрутизаор при 
>   политиках INPUT и OUTPUT = DROP... все работает как надо, но 
> теперь надо обсчитывать трафик (ибо из сквида счетчик не совсем 
> хорошой по известным причинам).
> 
> Вот мои настройки iptables. Все IP реальные (ну тоесть они все 
> фейковые кроме MAIL):
> 
> #!/bin/sh
> # объявим переменные
> FW="/sbin/iptables"
> 
> LAN_NET="192.168.130.0/24"
> LAN_IP="192.168.130.2"
> LAN_ETH="eth0"
> 
> INET_IP="192.168.1.2"
> INET_ETH="eth1"
> 
> # для нашей почты и спота
> MAIL="194.xxx.xxx.xxx/29"
> 
> # локалка
> LH="127.0.0.1"
> PROXY_PORT="3128"
> 
> modprobe ip_nat_ftp
> 
> # все прочистим
> $FW -t nat -F
> $FW -F
> $FW -X
> 
> # все всем запретить
> $FW -P INPUT DROP
> $FW -P FORWARD DROP
> $FW -P OUTPUT ACCEPT
> 
> # а теперь начнем прописывать правила
> # для INPUT
> $FW -A INPUT -p tcp -s $LAN_NET -d $LAN_IP -j TCP_FROM_LAN
> $FW -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> $FW -A INPUT -m state --state NEW -i ! $INET_ETH -j ACCEPT
> $FW -A INPUT -i $INET_ETH -d $INET_IP -j ACCEPT
> 
> # для FORWARD
> $FW -A FORWARD -s $LAN_NET -i $LAN_ETH -o $LAN_ETH -j ACCEPT
> $FW -A FORWARD -s $RICOM_NET -i $LAN_ETH -o $LAN_ETH -j ACCEPT
> 
> Вот... Даже SNAT не нужен - от прокси все уходит к нему все 
> приходит - а всякие транзиты (кроме нашей почты) курят бамбук.
> 
> Вопрос - где лучше всего обстчитывать трафик который накачивает 
> наша локалка из инета (ну и каждый в отдельности - но это уже 
> понятно как из общего выделить)?
> 
> Я так мыслю что надо в OUTPUT весь траффик tcp для локалки в 
> отдельную цепочку (там же раскидать каждого юзера по отдельным 
> цепочкам)...

Нет, ссылку на своб отдельную цепочку надо прописывать во все три
таблицы.

> Или я не туда мыслю?

Можно посмотреть, как это сделано в пакете loganalyzer (искать его в
obsolete Сизифа), в качестве примера очень познавательно.