URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 1141
[ Назад ]

Исходное сообщение
"почему в iptables source и dest равны 0.0.0.0/0"
Отправлено gromozeka , 03-Фев-04 10:57

Помогите плиз разобраться почему происходит сабж...
делаю вот так - iptables -L -vxn>1.txt
я хочу траффик считать по инфе из iptables а он мне такую лажу показывает
я так понимаю это изза неправильной маршрутизации но как это поправить не знаю...подскажите а, знатоки?

Содержание

почему в iptables source и dest равны 0.0.0.0/0,ifel, 15:09 , 03-Фев-04
- почему в iptables source и dest равны 0.0.0.0/0,gromozeka, 14:28 , 05-Фев-04
  - почему в iptables source и dest равны 0.0.0.0/0,ifel, 14:43 , 05-Фев-04

Сообщения в этом обсуждении

"почему в iptables source и dest равны 0.0.0.0/0"
Отправлено ifel , 03-Фев-04 15:09

>Помогите плиз разобраться почему происходит сабж...
>делаю вот так - iptables -L -vxn>1.txt
>я хочу траффик считать по инфе из iptables а он мне такую
>лажу показывает
>я так понимаю это изза неправильной маршрутизации но как это поправить не
>знаю...подскажите а, знатоки?
Гм. если у тебя все правила такое выдают - тогда 1.txt и вывод route -n в студию.
А вообще такое в некоторых правилах вполне нормально, например:
iptables -A INPUT -j ACCEPT - принимать на хост все пакеты вывод будет такой:
pkts bytes target prot opt in out source    dest
3    2321  ACCEPT all  --  *  *   0.0.0.0/0 0.0.0.0/0 так как я не укзал от кого и кому правило действует на пакет с любым source (0.0.0.0/0) и любым dest (0.0.0.0/0)
А iptables -A INPUT -s 192.168.1.1 -j DROP:
pkts bytes target prot opt in out source      dest
0    0     DROP   all  --  *  *   192.168.1.1 0.0.0.0/0 - я явно указал адрес источника пакетов, которые будут попадать в обработку данным правилом.

"почему в iptables source и dest равны 0.0.0.0/0"
Отправлено gromozeka , 05-Фев-04 14:28

Спасибо за ответ, но я тут разобрался чего происходит. Я пытаюсь сделать подсчет траффика по инфе из iptables ну и возникла необходимость смотреть цепочки по которым проходят данные клиентам. тока делал неправильно, оказалось все проще чем я думал :) я на каждого клиента сделал -A OUTPUT -d 192.168.1.N -J ACCEPT и теперь вижу статистику всю по ним.

"почему в iptables source и dest равны 0.0.0.0/0"
Отправлено ifel , 05-Фев-04 14:43

>Спасибо за ответ, но я тут разобрался чего происходит. Я пытаюсь сделать
>подсчет траффика по инфе из iptables ну и возникла необходимость смотреть
>цепочки по которым проходят данные клиентам. тока делал неправильно, оказалось все
>проще чем я думал :) я на каждого клиента сделал -A
>OUTPUT -d 192.168.1.N -J ACCEPT и теперь вижу статистику всю по
>ним.
МММ... Ты считаешь только трафик идущий от твоей тачки к клиенту.
Обычно надо считать трафик ПРОХОДЯЩИЙ через маршрутизатор (входящий или исходящий или и то и другое):
-A FORWARD -s 192.168.1.n -j ACCEPT
-A FORWARD -d 192.168.1.n -j ACCEPT
но я бы все эти правила вынес в отд. цепочки:
-A bill_in -d 192.168.1.n1 -j RETURN
-A bill_in -d 192.168.1.n2 -j RETURN
-A bill_in -j DROP
-A bill_out -s 192.168.1.n1 -j RETURN
-A bill_out -s 192.168.1.n2 -j RETURN
-A bill_out -j DROP
-I FORWARD -s 192.168.1.0/24 -j bill_out
-I FORWARD -d 192.168.1.0/24 -j bill_in
Таким образом для исходящего трафика у тебя просматривается только цепочка bill_out, а для входящего только bill_in. Этим ты экономишь время CPU. Второй плюс - весь трафик для ip, которые явно не прописаны в firewall просто отбрасывается. DROP можно заменить на REJECT, по вкусу.