Masquarade a traffic

K měření množství dat z/na jednotlivé adresy lze použít samotné iptables. Pro uživatele s adresami 192.168.0.1 a 192.168.0.5 mohou pravidla vypadat takto: iptables -N Mereni iptables -A FORWARD -j mereni iptables -A mereni -s 192.168.0.1 -j RETURN iptables -A mereni -d 192.168.0.1 -j RETURN iptables -A mereni -s 192.168.0.5 -j RETURN iptables -A mereni -d 192.168.0.5 -j RETURN .... Pomocí iptables -L -v si vypíšete seznam pravidel, kde máte i přenesená data z/na příslušné adresy.

20.6.2003 21:25 lampa
Rozbalit Rozbalit vše Masquarade a traffic

Tohle jsem chtel vedet,dekuji

20.6.2003 21:32 lampa
Rozbalit Rozbalit vše Masquarade a traffic

Jejda a jeste jsem zapomel, jakym prikazem se nuluji meridla?

21.6.2003 09:21 Pavel
Rozbalit Rozbalit vše Masquarade a traffic

iptables -Z iptables -L -v -Z První příkaz počitadla jen vynuluje, druhý příkaz je vypíše a současně vynuluje.

21.6.2003 13:04 lampa
Rozbalit Rozbalit vše Masquarade a traffic

No nastavil jsem ti presn podle Vas, na vsecky IP v siti a dneska rano mi kamarad psal ze pres borwser stahl 150 MB a ty iptables toi nejak nezaznamenaly :o( netusite proc? diky

21.6.2003 13:43 Pavel
Rozbalit Rozbalit vše Masquarade a traffic

Dvě věci mě napadají: 1. Nemáte v chain FORWARD další pravidla? Aby měření správně fungovalo, musí být pravidlo "iptables -A FORWARD -j mereni" *nad* ostatními povolujícími pravidly. 2. Nepoužíváte http proxy? Přenosy přes proxy se neroutují/neNATují a těmito pravidly tedy nepočítají. Dost by pomohl výstup z iptables -L -v, části "Chain Forward" a "Chain Mereni". Pavel

21.6.2003 14:30 lampa
Rozbalit Rozbalit vše Masquarade a traffic

Momentalne to mam takhle: iptables -t nat -A POSTROUING -o eth0 -j MASQUERADE a pod tim mam ty pravidla meraku, nic jineho nastavene nemam

21.6.2003 17:04 Pavel
Rozbalit Rozbalit vše Masquarade a traffic

Některá pravidla mohou být přidávána i jinými programy/systémy. Zkuste sem poslat, co píše iptables -L -v Jinak nelze zjistit, jaká pravidla a v jakém pořadí máte doopravdy aktivní a bez hodnot počitadel je těžké posoudit, proč se některá pravidla nevolají. Zkoušel jsem tato pravidla na svém linuxu a mně fungují.

21.6.2003 17:27 lampa
Rozbalit Rozbalit vše Masquarade a traffic

vypise to presne tohle...snad se to dobre zalame: Chain INPUT (policy ACCEPT 28121 packets, 3127K bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 9564 packets, 1071K bytes) pkts bytes target prot opt in out source destination 9564 1071K mereni all -- any any anywhere anywhere Chain OUTPUT (policy ACCEPT 15531 packets, 2141K bytes) pkts bytes target prot opt in out source destination Chain mereni (1 references) pkts bytes target prot opt in out source destination 2252 262K RETURN all -- any any 192.168.4.2 anywhere 195 29266 RETURN all -- any any 192.168.4.5 anywhere 383 33230 RETURN all -- any any 192.168.4.6 anywhere 0 0 RETURN all -- any any 192.168.4.7 anywhere 0 0 RETURN all -- any any 192.168.4.8 anywhere 628 115K RETURN all -- any any 192.168.4.10 anywhere 566 36584 RETURN all -- any any 192.168.4.11 anywhere 50 2767 RETURN all -- any any 192.168.4.12 anywhere 0 0 RETURN all -- any any 192.168.4.13 anywhere 258 31648 RETURN all -- any any 192.168.4.14 anywhere 2445 160K RETURN all -- any any 192.168.4.15 anywhere 1847 295K RETURN all -- any any 192.168.4.16 anywhere 247 14440 RETURN all -- any any 192.168.4.17 anywhere 177 13293 RETURN all -- any any 192.168.4.18 anywhere 413 72761 RETURN all -- any any 192.168.4.19 anywhere 101 4717 RETURN all -- any any 192.168.4.20 anywhere

21.6.2003 18:25 Pavel
Rozbalit Rozbalit vše Masquarade a traffic

Hmm. Podle toho výpisu to funguje správně... Přes NAT prošlo od posledního nulování čítačů cca jeden megabajt. Zkuste z některé stanice pingnout někam do netu. Pokud stanice jsou Windows, měly by odeslat 4 icmp pakety (celkem cca 400 bajtů) a o tyto hodnoty by se měly zvýšit počitadla. Jen pro úplnost - počítáte s tím, že počítadla se při rušení/přidávání pravidel nebo restartu linuxu vynulují, tedy pokud nepoužíváte service iptables?

21.6.2003 18:47 lampa
Rozbalit Rozbalit vše Masquarade a traffic

To jsem sice nevedel ( o tom nulovani ) nicmene se se serverem nic nedelalo.Sel jsem spat a ranom i kamarad oznamil ze stahl 150 Mb a v tom citaci nebyly.Kazdopadne to funguje dost zajimave.Dekuji moc

21.6.2003 21:45 Beda
Rozbalit Rozbalit vše Masquarade a traffic

hmm. ze by zamykani? nevim jak iptables, ale predpokladam, ze je rusty napsal podobne jako ipchains. ipchains maji dost netradicni zamykani a kvuli vykonu se navic nepouziva *lock_irqsave, takze muze nastat pripad, kdy pri zmene hodnoty citace zpusobene lokalne prochazjicim paketem je prerusena diky interruptu a prichozimu paketu ze skutecneho zarizeni, ktery updatne taky tu long hodnotu a vrati rizeni zpet a ta dopise zbytek a v tento moment je v citaci naprosto nepredpovidatelna nesmyslna hodnota. je to kvuli usetreni vykonu, protoze lock_irqsave je dost draha operace v pripade spousty kratkych paketu na stomegabitu je to poznat. nedivil bych se, kdyby iptables mely todle stejne jako ipchains.

13.6.2005 15:26 blackdot
Rozbalit Rozbalit vše Re: Masquarade a traffic

Vytvoril jsem si na zkousku pravidlo pro 2 pocitace a kdyz jsem poznal ze to asi funguje :-)

tak jsem si upravil scriptik a pocitace pridal, ale pridane pocitace to vube nepocita. Jak to vsechno odstranim a zacnu znova? Diky

16.6.2005 23:28 Laky
Rozbalit Rozbalit vše Re: Masquarade a traffic

rebootuj pocitac :)

16.6.2005 23:48 blackdot
Rozbalit Rozbalit vše Re: Masquarade a traffic

Tak jako winlama me to samozdrejme napadlo :-)

ale chtelo by to neco elegantnejsiho :-)

Dotaz: Masquarade a traffic

Odpovědi