Изпечатай

[xpert]

Направил съм си сложна защитна стена, като компютъра ми служи и за router , и сега искам да меря трафика ,който отива към някои компютри. Понеже различни правила ми правят маскирането - едно правило маскира пакетите, а друго пропуска установените връзки, и не съм сигурен дали няма и други правила, които да прихващат част от трафика (а и не ми се занимава да проверявам), се чудя дали може да сложа ново правило - приморно в mangle POSTROUTING, което да пропуска пакетите към дадено ip. Ако имате и друга идея къде да сложа правилото, кажете.

[ivanatora]

Във filter с accept върши работа:
iptables -A FORWARD -d $ip -j ACCEPT
iptables -A FORWARD -s $ip -j ACCEPT
И после: iptables -L -n -v
Първия ред ще прихване трафик отвън -> компютъра (даунлоуд за него), а втория от компютъра -> навън (ъплоуд за него).

[xpert]

Това са ми правилата в FORWARD, и мислех да не ги пипам, но ако няма да стане по друг начин ...

#iptables -L FORWARD -n -v -x
Chain FORWARD (policy DROP 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
    2244   106760 TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0    tcp flags:0x06/0x02 TCPMSS clamp to PMTU
    5922  1021469 ACCEPT     all  --  *      eth1    192.168.0.2          0.0.0.0/0
    6775  5967531 ACCEPT     all  --  *      *       0.0.0.0/0            192.168.0.2
  261913 14618294 ACCEPT     all  --  *      eth1    192.168.0.3          0.0.0.0/0
  268141 199317185 ACCEPT     all  --  *      *       0.0.0.0/0            192.168.0.3

Мисля че като проверявах тези правила не прихващаха всички пакети, но не съм сигурен.