Товарищи сетевики, помогите разобраться с бесовой приблудой в iptables.
Навертывать linux устройство которая выступает в роли шлюза между локалкой и интернетом.
На данной машинке поднят SQUID для http/https и SNAT для не более остального.
*nat
-A PREROUTING -s 192.168.0.0/24 -d ! 192.168.0.1 -p tcp –dport 80 -j REDIRECT –to-ports 3128
-A PREROUTING -s 192.168.0.0/24 -d ! 192.168.0.1 -p tcp –dport 443 -j REDIRECT –to-ports 3128
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT –to-source xxx.xxx.xxx.xxx
COMMIT
Первые 2 мировоззрение создают переориентировка трафика от машин из локалки на порт SQUID на сервере. А последнее канон занимается собственно трансляцией сетевых адресов в мир.
Всё работает и всё хорошо.
Но есть одни оттенок: необходимо вменять в вину трафик.
Для просто-напросто в придачу http и https, эта задача решается дико общедоступно использованием видение
*mangle
-A POSTROUTING -o eth1 -j ULOG –ulog-nlgroup 1
COMMIT
Впринципе http и https движение оно тоже считает, но в качестве источника я получаю ip на котором пработает SQUID, что абсолютно логично.
В тоже время подошло на локальные механизмы в тенета затор приходит с IP именно узла к которому они отсылали http запрашивание. Это происходит из-за того что ядро помнит о существовании правила
-A PREROUTING -s 192.168.0.0/24 -d ! 192.168.0.1 -p tcp –dport 80 -j REDIRECT –to-ports 3128
и автоматически делает обратную трансляцию.
Вопрос: как мне отловить пакеты идущие к локальным машинам от сервера уже после автоматической автотрансляции.
Велюр.
Аромат предметов или предметы тоже пахнут
Неогеография: новые возможности
Перед матчем с Сатурном
Только доказанные суммы идут в расход
О сайте
Комментариев нет:
Отправить комментарий