посчитать трафик через бридж фаерволом

0

0

Решил я свои старые скрипты для подсчёта трафика завести на бридже. И обламался. iptables -t FORWARD -i eth+ вообще ничего не ловит, а вот iptables -t FORWARD -i br0 не понимает какой трафик входящий а какой исходящий. Я его понимаю, ведь всё что вошло через бридж из него же и выходит, поэтому все пакеты сначала входящими становятся а потом исходящими. Как быть?

Я вижу только такое решение: направление трафика определять по сетям(типа всё что не из своих адресов воспринимать как внешний траф). Только для этого нужно всё время держать актуальным адреса серверов за бриджем, а этого делать не хочется. Есть ли другие решения?

Ссылка

←	Банки, в которых можно авторизоваться из GNU/Linux

Samba PDC, BDC, Squid и NTLM аутентификация.

→

О, допёр, расширение physdev поможет.

true_admin ★★★★★
(05.11.09 02:19:04 MSK) автор топика

Вообще как бы бридж работает на втором уровне (7-ми уровневой модели), а iptables на третьем.

~~sdio~~ ★★★★★
(05.11.09 08:54:33 MSK)

Ссылка

Ответ на: комментарий от true_admin 05.11.09 02:19:04 MSK

ebtables, не?

~~sdio~~ ★★★★★
(05.11.09 08:57:28 MSK)

Ответ на: комментарий от sdio 05.11.09 08:57:28 MSK

У ebtables немного другой синтаксис, так что готовое решение под айпистолы придется перепиливать. А physdev предоставляет в общем неплохой интерфейс ко второму уровню.

nnz ★★★★
(05.11.09 10:19:16 MSK)

Ссылка

Ответ на: комментарий от sdio 05.11.09 08:57:28 MSK

> Вообще как бы бридж работает на втором уровне (7-ми уровневой модели), а iptables на третьем.

В современных ОС другая модель сети, более совершенная. Например, транзитные пакеты(в том числе с бриджа) проходят через FORWARD. Не будь этого пришлось бы отдельный фаервол городить для бриджа.

> ebtables, не?

это вообще совсем другое. Там такого понятия как ip нету, чисто с mac-адресами работает.

true_admin ★★★★★
(05.11.09 13:13:07 MSK) автор топика

Ответ на: комментарий от true_admin 05.11.09 13:13:07 MSK

>В современных ОС другая модель сети, более совершенная. Например, транзитные пакеты(в том числе с бриджа) проходят через FORWARD. Не будь этого пришлось бы отдельный фаервол городить для бриджа.

ebtables и есть отдельный фаервол для бриджа :)
Точнее, интерфейс к нему.

>это вообще совсем другое. Там такого понятия как ip нету, чисто с mac-адресами работает.

:D Там нету IPv6 (пока что). А IPv4 вполне себе есть.

nnz ★★★★
(05.11.09 21:01:56 MSK)