Maskarada - mereni prenesenych dat
Dobry den, potreboval bch poradit, jak rozjet maskaradu, ale tak, aby pocitala traffic pro kazdou IP, ktera se pres ni dostane na internet.Momentale ji mam pustenou prikazem iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Budu vdecny i za prikaz kterym by se mi to vypsalo.Vse nejlip v prikazove radce.Dekuji vsem za rady i jmen nakopnuti
He, neco podobneho jsem psal pred chvilou na abclinuxu.cz.
No, da se pouzit nejaky traffic analyser, to ale primo nepracuje s maskaradou. Predpokladam, ze stroj na kterym bezi maskarada ma nekolik rozhrani na ktere se rozdeluje traffic z maskaradovane site. Pokud se pusti nejaky demon, ktery bude analyzovat traffic prrimo z jednotlivych IP ve vnitrni siti, tak to bude mit asi kyzeny vysledek.
Viz. www.ntop.org, people.ee.ethz.ch/~oetiker/webtools/mrtg/
http://www.abclinuxu.cz/hardware/Vie...lationId=30719
In a world without fences and walls, who needs Gates and Windows? | Nesnáším wide monitory.
Workstation: Xeon E3-1275v5 :: Silentmaxx TwinBlock fanless :: Fujitsu D3417-B :: 32 GB ECC DDR4 :: Radeon Pro WX 2100 fanless :: Dell UP2715K :: Gentoo
Server: Xeon E3-1245v6 :: Supermicro X11SSH-F :: 32 GB ECC DDR4 :: Aquantia 5GBase-T :: 36 TB storage :: Gentoo Hardened
jde to jednoduse primo pras ty tably.
narves tam zaznamy pro ip co pujdou kam potrebujes ale bez accept nebo denny nebo tak. a nejlepe je jeste oznackovat.
kdyz das pak vylistovat tably tak ti to ukaze i kolik rat tim proteklo
CASE Chieftec DX-01B-D { GIGABYTE X48 DS5 { Intel q9300 + 8GB + ATI x1600 + 2x Seagate ES2 1TB } + LiteOn SHM-165P6S} } + 21" Samsung SyncMaster 215TW
Uz to tu nekde je, ale opakovani matka moudrosti.
Nastavis si sit (ipcka ...)
Zapnes forwardovani paketu (da se i nekde v cfg souborech)
echo 1 > /proc/sys/net/ipv4/ip_forward
Default route nastavis na tu verejno IP. (bud v cfg file nebo ruco pomoci route)
Tenhle jedinej radek staci aby to jelo.
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 1.2.3.4
Pokud chces provozovat neco (server) vevnitr forwardnes si prislusnej port
iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp -m tcp --dport 1412 -j DNAT --to-destination 192.168.0.32
Pak uz jen pridas pravidla pro jednotlivy IP napr:
Markovani v pripade OUT je tam proto, ze to pak muzes pouzit u shapingu (abys poznal ty pakety, paac budou mit vsechny stejnou IP)Kód:iptables -t mangle -N INCOUNT iptables -t mangle -N OUTCOUNT iptables -t mangle -A OUTCOUNT -s 192.168.0.32 -i eth0 -j MARK --set-mark 0x1 iptables -t mangle -A OUTCOUNT -s 192.168.0.33 -i eth0 -j MARK --set-mark 0x2 iptables -t mangle -A OUTCOUNT -s 192.168.0.34 -i eth0 -j MARK --set-mark 0x3 iptables -t mangle -A OUTCOUNT -j RETURN iptables -t mangle -A PREROUTING -s 192.168.0.0/24 -j OUTCOUNT iptables -t mangle -A INCOUNT -d 192.168.0.32 -j RETURN iptables -t mangle -A INCOUNT -d 192.168.0.33 -j RETURN iptables -t mangle -A INCOUNT -d 192.168.0.34 -j RETURN iptables -t mangle -A INCOUNT -j RETURN iptables -t mangle -A POSTROUTING -d 192.168.0.0/24 -j INCOUNT
Ty hodnoty z toho dostanes treba takhle:
Meni se tam jen ta posledni cast IP (das to do smycky) v tomhle pripade se nenuluje, pokud chces nulovat, dodas jeste parametr Z. Podobne pro download.Kód:for IP in 32 33 34; do UploadForIP=$(iptables -t mangle -L OUTCOUNT -vnx \ |sed -ne "{s/^ *\([0-9]\+\) \+\([0-9]\+\) .\{35\}\([1-9][0-9]*\.[0-9]*\.[0-9]*\.$IP\).*$/\2/p;}") done
No zdravim a diky vsem co mi odpovedeli, jeste bych se chtel zeptat jezevce co myslel tou posledni vetou - podobne pro download,jsem to moc nepochopil.Me se jedna hlavne o to, abych mel prehled kdo co a kolik STAHNUL ( u nas se kaazuje a downloaduje o 107), a taky se mi jedna o to abych z toho hned poznal ze nekdo taha a vyhuluje linku a omezuje ostatni v provozu.Ja vim, poradite mi CBQ, jenze s tim mam problem, nemuzu rozjet 2 sitovku.To sem napisi kdyz tak poom nebo zalozim novej topic.Ted mi moc a moc pekne prosim pomozte s timhle. Diky vsem a skoda ze tu nni smajlik co dva pusu
myslel tim ze to parsovani vystupu
je jen pro upload takze to musis prepsat jeste pro downlaod. nejspis jen nahradis outcount incountemKód:for IP in 32 33 34; do UploadForIP=$(iptables -t mangle -L OUTCOUNT -vnx \ |sed -ne "{s/^ *\([0-9]\+\) \+\([0-9]\+\) .\{35\}\([1-9][0-9]*\.[0-9]*\.[0-9]*\.$IP\).*$/\2/p;}") done
CASE Chieftec DX-01B-D { GIGABYTE X48 DS5 { Intel q9300 + 8GB + ATI x1600 + 2x Seagate ES2 1TB } + LiteOn SHM-165P6S} } + 21" Samsung SyncMaster 215TW
na abclinuxu mi poradili tohle, moc tomu nerozumim, proto se ptam v cem je Jezevcovo reseni lepsi, pripadne jaky je mezi nimi rozdil.
K měření množství dat z/na jednotlivé adresy lze použít samotné iptables.
Pro uživatele s adresami 192.168.0.1 a 192.168.0.5 mohou pravidla vypadat takto:
iptables -N Mereni
iptables -A FORWARD -j mereni
iptables -A mereni -s 192.168.0.1 -j RETURN
iptables -A mereni -d 192.168.0.1 -j RETURN
iptables -A mereni -s 192.168.0.5 -j RETURN
iptables -A mereni -d 192.168.0.5 -j RETURN
....
Pomocí
iptables -L -v
si vypíšete seznam pravidel, kde máte i přenesená data z/na příslušné adresy.
diky moc
A) mam tam MARK, kerej muzes pouzit prave treba pro CBQ/HTB, protoze kdyz chces omezovat odchozi provoz, tak pri pouziti NATu maj vsechny pakety stejnou zdrojovou IP (omezujes na vystupni karte = az po NATu) tak nejses schopnej urcit jinak nez markovanim od koho ten paket je.
B) Pokud ti de jen o zjisteni aktualniho stavu, tak to nepotrebujes parsovat, pustis si jen iptables s prislusnym parametrem a vypise ti to i ty cisla. V tom prikladu to ukladam do tej promenej, kterou muzes nako dal spracovat. Treba si muzes vytvorit soubor, kam jednou za den zapises tohle:
Mno a mas dobrej prehled kdo kolik za danej den nasosal. Pri tom je dobry to nulovat. Muzes to pak pres PHP zobrazit na web(i jako graf). Tohle pridas do tej smycky a cronem to spoustis kdy potrebujes.Kód:echo "192.168.0.$IP,$UploadForIP,$DownloadForIP" >> statistika
Pro download to vypada takhle:
Je tam jinej pocet znaku (tady 56), a samo INCOUNT, jinak je to stejny.Kód:DownloadForIP=$(iptables -t mangle -L INCOUNT -vnx \ |sed -ne "{s/^ *\([0-9]\+\) \+\([0-9]\+\) .\{56\}\([1-9][0-9]*\.[0-9]*\.[0-9]*\.$IP\).*$/\2/p;}")
Jo bacha na vec, je potreba to otestova, v jiny verzi tam muze bejt jiny rozlozeni a pak to samo nepojede.
Hersvec, vypada to dobre, hned se na to vrhnu a ozvu se jak su dopadl.Zadim moc dikes
jezevec: neco nechapu. jak to muze byt pouzitelne pro cbq? maximalne pro shajpovani uploadu ne? prptoze download nejdriv prijde do venkovni sitovny na verejne ip a o znacce a kam to pujde dal neni ani potuchy dokud si to neprebere nat. nemam pravdu?
CASE Chieftec DX-01B-D { GIGABYTE X48 DS5 { Intel q9300 + 8GB + ATI x1600 + 2x Seagate ES2 1TB } + LiteOn SHM-165P6S} } + 21" Samsung SyncMaster 215TW
Kdyz shapujes DOWN, tak samo uz mas IP cile (NAT ti to prelozi) takze na to MARKovat nepotrebujes(taky to makovany nejni v tom co sem postnul). Ale kdyz chces shapovat i UP, tak si ho musis markovat, coz tam delam. Jde vo to, ze si muzes rict, ze UP je zbytecny, paac je DOWN vzdy vetsi, ale kdyz ti nakej dobrak zahlti UP, tak DOWN de vetsinou taky do kopru, paac neni kapacita pro ACK. Takze je dobry shapovat i UP.
Takze mas recht, je to pro shaping UPloadu.
a jde teda shejpovat odwn n avnejsim rozhrani rped maskaradou na jednotlive ip ve vnitrni siti?
CASE Chieftec DX-01B-D { GIGABYTE X48 DS5 { Intel q9300 + 8GB + ATI x1600 + 2x Seagate ES2 1TB } + LiteOn SHM-165P6S} } + 21" Samsung SyncMaster 215TW
Ne, shapovat muzes vzdy jen ODCHOZI provoz = DOWN je odchozi na vnitrnim rozhrani, UP na vnejsim. Pro HTB existuje naky rozsireni, ze muzes shapovat provoz na vicero rozhranich najednou, ale nevim jak to funguje s NATem. HTB sem testnul a nako mi nejede. Respektive jede, ale mam na tom ping 10s a nevim cim to.Původně odeslal Glottis
Toto téma si právě prohlíží 1 uživatelů. (0 registrovaných a 1 anonymních)
Pravidla přispívání
Odpověď s citací