LINUX.ORG.RU
ФорумAdmin

iptables - раскидать разный траффик по цепочкам


0

0

Возникла необходимость посчитать различный траффик (траффик от различных сервисов). man iptables сказал о существовании --gid-owner, от него начал танцевать. Хочется для каждого сервиса (squid, openvpn, ntp, apache) создать по 2 цепочки - на in и out, и время от времени писать это все в БД. Кроме перечисленых сервисов в сеть никого не пускать. Входящие соединения - рубить. Застрял я вот на чем:

iptables -N squid_out
iptables -N squid_in
# Squid group ID = 31
iptables -A OUTPUT -d ! $localnet -m owner --gid-owner 31 -j squid_out
iptables -A squid_out -j ACCEPT

Т.е. я выпускаю все пакеты, владельцем которых является сквид. А как мне завернуть все INPUT пакеты со статусом ESTABLISHED, которые предназначаются сквиду?
iptables -A INPUT -m owner --gid-owner 31 -j squid_in - ругается
iptables: Invalid argument

У кого есть какие мысли? Дым от курения мана по iptables уже застилает глаза - возможно это там на поверхности лежит, я просто незамечаю...

anonymous
Помогите с iptables
phpMyAdmin сегфолтит php (httpd-child, на котором он висит). Что искать в coredump? 

может начать с:
The owner match only works within the OUTPUT chain, for obvious reasons: It is pretty much impossible to find out any information about the identity of the instance that sent a packet from the other end, or where there is an intermediate hop to the real destination.
поэтому и ругань на онера в INPUT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
тем самым мы пустим в INPUT только то, что относится к "ответам" на ранее высланные пакеты

sda00 ★★★
()
Ответ на: комментарий от sda00

Пускать только RELATED и ESTABLISHED - это хорошо, а как разделить входящий траффик сквида от такого же входящего траффика ssh? наткнулся на упоминание (http://www.linux.org.ru/view-message.jsp?msgid=1751566#1752550) что модуль owner из patch-o-matic работает и на INPUT тоже... буду эту тему дальше... Если у когото есть толковая статейка по patch-o-matic скиньте плиз...

anonymous
()
Ответ на: комментарий от tungus

Сенкс преогромный! Заработало!

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Помогите с iptables
Admin
phpMyAdmin сегфолтит php (httpd-child, на котором он висит). Что искать в coredump?