On Tue, 2003-01-14 at 22:28, lonely wolf wrote:
> 1. functie de ce reguli ai in firewall, acele pachete se contorizeaza.
> daca vrei contorizare pe interfata externa, ai nevoie de ceva de genul
> iptables -A INPUT -i interfata_externa -d 62.231.123.45 -j ACCEPT
> iptables -A OUTPUT -o interfata_externa -s 62.231.123.45 -j ACCEPT
>
> astea vor contoriza traficul spre/dinspre server FARA a tine cont de
> pachetele provenite din reteaua locala. Pe acestea le poti contoriza cu
> ceva de genul
> iptables -A FORWARD -s 192.168.10.0 -j ACCEPT
> iptables -A FORWARD -d 192.168.10.0 -j ACCEPT
Teoretic ( ma trezesc si eu vorbind neintrebat ) poti sa fii si mai
catolic decat papa si sa faci urmatoarea jmecherie. Creezi un/doua
lant(uri) nou(i) special pt squid in care ACCEPT-i conexiuni de la X
hosturi care vrei sa le scoti prin squid si DROP-ezi sau REJECT-ezi pe
cine nu vrei sa treci pe acolo.
iptables -N SQUID-INPUT
iptables -N SQUID-OUTPUT
iptables -A INPUT -p tcp --dport 3128 -j SQUID-INPUT
iptables -A INPUT -p tcp --sport 3128 -j SQUID-OUTPUT
iptables -A SQUID-INPUT -s un_ip_din_lan_1 -j ACCEPT
iptables -A SQUID-OUTPUT -d un_ip_din_lan_1 -j ACCEPT
iptables -A SQUID-INPUT -s un_ip_din_lan_2 -j ACCEPT
iptables -A SQUID-OUTPUT -d un_ip_din_lan_2 -j ACCEPT
...
iptables -A SQUID-INPUT -j DROP/REJECT
iptables -A SQUID-OUTPUT -j DROP/REJECT
Acum daca vrei sa te uiti la ce trafic a facut un_ip_din_lan_2 sa zicem
faci simplu:
iptables -xvnL SQUID-INPUT | grep un_ip_din_lan_2
iptables -xvnL SQUID-OUTPUT | grep un_ip_din_lan_2
Traficul total/squid se vede cu:
iptables -xvnL INPUT | grep SQUID-INPUT
iptables -xvnL OUTPUT | grep SQUID-OUTPUT
Cam asta e tot.
Scriptul pt mrtg e simplu si arata ca unul din cele doua de sus.
--
Alexandru Barloiu Nicolae <[EMAIL PROTECTED]>
Dale Systems
---
Pentru dezabonare, trimiteti mail la
[EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'.
REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
