 ipcad подсчет на внешнем интерфейсе,  yellowfog, 27-Фев-09, 13:37 [смотреть все]Всем привет.
Мне необходимо решить следующую задачу при помощи ipcad:Имеем шлюз (centos 5.2+iptables(nat)+ipcad) с eth1 192.168.3.1 в интернет и eth0 в локалку 192.168.2.0/24
ipcad настроен и считает трафик на eht1 и eth0. также в конфиг я дописал фильтр interface eth0 filter "ip and dst net not(192.168.0.0/24)" дабы не считать все что будет ходить в локалку... все гуд, но! все дело в том что на eth0 позже должны будут появиться VLAN, это как я понимаю виртуальные но интерфейсы, т.е. чтобы слушать траффик от них в инет у меня количество строк с интерфейсами и фильтрами в конфиге ipcad будет = количеству вланов?, а если вланов будет хотя бы штук 50 - как то некрасиво выходит. Как я подумал - лучше повесить ipcad на 1 внешний интерфейс eth1 И пусть бы он там слушал все пакеты от eth0 и из интернетов. Так я и сделал. но ipcad'у там не видно ничего из 192.168.2.0 он считает только пакеты на и от IP Шлюза (192.168.3.1)
Это из за того что происходит маскировка пакетов POSTROUTING iptables'ом? Что мне делать в данной ситуации? как все пакеты прослушать на eth1 не захламляя конфиг интерфейсами и фильтрами когда появятся vlan'ы? есть предложения?
п.с. Решение хотелось бы найти не более громоздкое чем сейчас.
|
- ipcad подсчет на внешнем интерфейсе, Slimm, 15:59 , 27-Фев-09 (1)
использую IPQ
ставлю в нужное место цепочек фаирвола правило и нормально работает
- ipcad подсчет на внешнем интерфейсе, yellowfog, 16:36 , 27-Фев-09 (3)
>использую IPQ
>ставлю в нужное место цепочек фаирвола правило и нормально работает не слышал еще про ipq, можно подробнее.
кстати, вроде как то можно реализовать такое с ulog? и как если не секрет.
- ipcad подсчет на внешнем интерфейсе, adews, 16:27 , 27-Фев-09 (2)
>фильтрами в конфиге ipcad будет = количеству вланов?, а если вланов
>будет хотя бы штук 50 - как то некрасиво выходит. Вообще-то IPCAD достаточно давно понимает в конфиге строчки типа:
interface vlan*
- ipcad подсчет на внешнем интерфейсе, yellowfog, 16:44 , 27-Фев-09 (4)
>>фильтрами в конфиге ipcad будет = количеству вланов?, а если вланов
>>будет хотя бы штук 50 - как то некрасиво выходит.
>
>Вообще-то IPCAD достаточно давно понимает в конфиге строчки типа:
>interface vlan* это хорошо, но мне трафик на вланах не нужен, или точнее нужен только тот который пошел в интернет, ведь если трафик будет между вланами он тоже посчитается... хотя если раньше фильтр был на eth0 и фильтровал адреса назначения в локал, чем кстати вызвал недосчет трафика, то теперь если фильтр будет на каждом влане, то хотя бы по крайней мере будет работать нормально. попутно вопрос, а может все таки 200 в правил на 200 вланов в ipcad'e будут лучше чем костыль с ipq или Ulog?
- ipcad подсчет на внешнем интерфейсе, Slimm, 18:15 , 27-Фев-09 (5)
вот так с IPQmodprobe ip_queue
ipcad -rds
iptables -t mangle -A FORWARD -j QUEUE ipcad.conf:
interface ipq; ipq не может быть пропущенных пакетов
ulog и pcap насколько видо из форумов могут пропускать при интенсивном трафике, но это проблема скорей всего древних компов так что
главное что работало и понятно было что откуда
- ipcad подсчет на внешнем интерфейсе, yellowfog, 19:31 , 27-Фев-09 (6)
>[оверквотинг удален]
>
>ipcad.conf:
>interface ipq;
>
>ipq не может быть пропущенных пакетов
>ulog и pcap насколько видо из форумов могут пропускать при интенсивном трафике,
>но это проблема скорей всего древних компов
>
>так что
>главное что работало и понятно было что откуда Спасибо! все прекрасно работает! это как раз то что я хотел.
|
Версия для распечатки
