https://mobile.opennet.me/openforum/vsluhforumID1/74388.html Добрый день.<br>Подскажите решение. Через linux ходят в инет пользователи. Стоит squid.<br>Iptables делает SNAT.<br>fprobe-ulog собирает статистику.<br><br>Проблема в подсчете исходящего трафика. Мне нужно чтобы делался общий подсчет трафика на исходящем интерфейсе. Т.е. считалось все, что вышло с linux'а на провайдера.<br>Однако из-за правила SNAT считается только то, что вышло с самого сервера и со squid'а. А транзитный трафик от пользователей (например ftp) не входит в общий трафик.<br>Происходит это потому, что правило SNAT в цепочке POSTROUTING является последним, через которое проходит пакет. И до того момента как пакет прошел это правило, он имеет исходящий IP серый, не провайдера. А как только пакет прошел это правило, исходящий IP стоит уже реальный, однако правила на это кончились и считать нечего.<br><br>Можно-ли как-то решить эту проблему с помощью iptables ulog'а. Или тут нужно использовать сенсоры наподобие ipcad или ndsad? https://mobile.opennet.me/openforum/vsluhforumID1/74388.html#7 Wed, 10 Sep 2008 03:01:01 GMT &gt;&gt;up <br>&gt;&gt;<br>&gt;&gt;Кто-нибудь! <br>&gt;<br>&gt;<br>&gt;тут на опеннете есть дока по iptables. там все разжевано. мне смотреть <br>&gt;влом <br><br>ребята тема актуальная может кто подскажет???<br> https://mobile.opennet.me/openforum/vsluhforumID1/74388.html#6 Mon, 04 Jun 2007 12:51:57 GMT &gt;up <br>&gt;<br>&gt;Кто-нибудь! <br><br><br>тут на опеннете есть дока по iptables. там все разжевано. мне смотреть влом<br> https://mobile.opennet.me/openforum/vsluhforumID1/74388.html#5 Fri, 01 Jun 2007 22:43:44 GMT up<br><br>Кто-нибудь!<br> https://mobile.opennet.me/openforum/vsluhforumID1/74388.html#4 Thu, 31 May 2007 19:13:36 GMT &gt;&gt;&gt;поставь правило в FORWARD <br>&gt;&gt;<br>&gt;&gt;Правило в FORWARD'е есть. В итоге запись трафика из ulog имеет вид <br>&gt;&gt;например src=10.1.1.1 dst=yandex.ru, т.к. это транзитный пакет. Это нормально, эти записи <br>&gt;&gt;мне тоже нужны. <br>&gt;&gt;Но также мне нужна запись уже занатченого пакета с исходящего интерфейса, т.е. та же запись что и выше, только в таком виде src=&lt;реальный инет IP&gt; dst=yandex.ru<br>&gt;<br>&gt;<br>&gt;На форвард не надо. надо: на аутпут (исходящий с сервака) и на <br>&gt;построутинг (проходящий после ната) <br><br>Но как это сделать - после ната??? Конкретное правило напишите, а то сам не догоняю.<br>Вот есть правило ната - POSTROUTING -o eth1 -s 10.0.0.0/8 -j SNAT --to-source 1.1.1.1<br>После него насколько я понимаю писать правило с ULOG бесполезно, ибо пакет завершит свое следование по цепочкам на правиле SNAT. Или тут есть какая хитрость? https://mobile.opennet.me/openforum/vsluhforumID1/74388.html#3 Thu, 31 May 2007 11:49:39 GMT &gt;&gt;поставь правило в FORWARD <br>&gt;<br>&gt;Правило в FORWARD'е есть. В итоге запись трафика из ulog имеет вид <br>&gt;например src=10.1.1.1 dst=yandex.ru, т.к. это транзитный пакет. Это нормально, эти записи <br>&gt;мне тоже нужны. <br>&gt;Но также мне нужна запись уже занатченого пакета с исходящего интерфейса, т.е. та же запись что и выше, только в таком виде src=&lt;реальный инет IP&gt; dst=yandex.ru<br><br><br>На форвард не надо. надо: на аутпут (исходящий с сервака) и на построутинг (проходящий после ната) https://mobile.opennet.me/openforum/vsluhforumID1/74388.html#2 Thu, 31 May 2007 11:12:51 GMT &gt;поставь правило в FORWARD <br><br>Правило в FORWARD'е есть. В итоге запись трафика из ulog имеет вид например src=10.1.1.1 dst=yandex.ru, т.к. это транзитный пакет. Это нормально, эти записи мне тоже нужны.<br>Но также мне нужна запись уже занатченого пакета с исходящего интерфейса, т.е. та же запись что и выше, только в таком виде src=&lt;реальный инет IP&gt; dst=yandex.ru<br> https://mobile.opennet.me/openforum/vsluhforumID1/74388.html#1 Thu, 31 May 2007 10:59:02 GMT поставь правило в FORWARD<br><br>