Классический NAT - при обращении из локальной сети 192.168.100.4:4506 к хосту www.ya.ru адрес источника будет заменён на адрес внешнего интерфейса шлюза, через который идут пакеты.. к примеру 194.34.67.43 : 6798

Так вот.. необходимо иметь возможность просматривать все активные NAT сессии в реальном времени.. и вести историю..

К примеру: TCP 192.168.100.4 4506 www.ya.ru(или ip) 80 194.34.67.43 6798 ! Самое главное - установить на какой внешний порт шлюза натятся пакеты от конкретного компа в локальной сети.

Какими средствами можно получить эти данные? Пробовал netstat -nat и ip_conntrack - дают информацию только о пакетах для внутреннего, либо внешнего интерфейсов шлюза... не связывая их между собой.

Рассмотрим ситуацию:

Есть локальная сетка и шлюз под управлением Linux, который соединяет её с внешним миром. Внешний адрес шлюза, к примеру: 195.28.35.48

На шлюзе работает NAT.

Допустим, выясняется, что удалённый хост 202.35.40.38 был атакован с внешнего интерфейса шлюза 195.28.35.48 с порта 1055. Требуется выяснить, какая машина в локальной сети обращалась к указанному удалённому хосту и при этом использовался внешний порт 1055 шлюза?

Различные сенсоры и утилиты по сбору трафика не дадут такой информации, поскольку слушают интерфейсы, не обращая внимания на наличие NAT... как тогда определить локальный ip рабочей станции с которой был атакован удалённый хост?

Может кто посоветовать средства для решения проблемы?