[LUGOS] domac in tuj promet

Borut Mrak b at aufbix.org
Fri Feb 1 15:26:08 CET 2002 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On Friday 01 February 2002 09:27, you wrote:
> Odgovor na enako vprasanje zelo zanima tudi mene, o njem pa smo ze govorili
> na tem dopisnem seznamu. Ce kdo kaj novega odkrije (recimo za neko
> podjetje, sestavljeno iz besed Tele in mach:-), se priporocam.

Saj ni nobena umetnost...na strani ene organizacije ki je sestavljena iz
besed RIPE in NCC najdes seznam vseh AS-ov v Sloveniji ter networkov, ki
so jim dodeljeni.

Potem imas seveda problem, da dolocen vecji slovenski provider (iz
zlogov SI in OL) uporablja dve AS stevilki (svojo in bivso eunet-ovo),
mreza 193.77/16 je dodeljena KPNQwest-u, pa se vseeno uporablja pri tem
slovenskem providerju ipd...

Zadnji problem pa je, da sploh ne ves kako tvoj provider steje "domac" in
tuj promet. Ce ima recimo en router za tujino in enega za slovenski promet
(oz. vec za oboje, pomemben je koncept) in steje samo na podlagi tega, potem
je drek kadar mu "slovenski" router pade (ali pa kateremu od drugih
providerjev, s katerimi peera po tej liniji), saj bo "slovenski" promet
sel cez link v tujino in se tako tudi obracunal. Noja...upam da nihce nima
zadev postavljenih tako, nisem pa 100% :-)

Z Linuxom je vse skupaj enostavno (vsaj za domaco uporabo): Poberes z RIPE-a
seznam IP-jev, ki so slovenski (seveda je NUJNO potrebno preverit kaj pri
providerju smatrajo za domac promet), naredis z ipchains/iptables tole:

eth0 = interface proti providerju
xxx.xxx.xxx.xxx = tvoj IP naslov

iptables -A FORWARD -i eth0 -d xxx.xxx.xxx.xxx/32 -s 193.77.0.0/16
iptables -A FORWARD -i eth0 -d xxx.xxx.xxx.xxx/32 -s 193.189.0.0/19
...
iptables -A FORWARD -o eth0 -s xxx.xxx.xxx.xxx/32 -d 193.77.0.0/16

Tile rule-i zgoraj ne naredijo nic, samo stejejo paketke, ki matchnejo in
jih spustijo naprej do naslednjega rule-a.

In potem obcasno z iptables -L -v -Z vsake nekaj casa preberes koliko se
je nabralo na posameznem chainu. To verjetno deluje, ampak nisem preverjal.
Na koncu zadeva zgleda tako:

# iptables -L -v
...
Chain FORWARD (policy DROP 266K packets, 9756K bytes)
 pkts bytes target     prot opt in     out     source               destination         
...
 108M  107G ACCEPT     all  --  any    any     anywhere             anywhere           state RELATED,ESTABLISHED 
 129K   56M ACCEPT     all  --  eth1   any     anywhere             anywhere           state NEW 
11560  579K ACCEPT     all  --  eth2   any     anywhere             anywhere           state NEW 
 516K   27M ACCEPT     all  --  eth3   any     anywhere             anywhere           state NEW 

Z vec v-ji je izpis bistveno bolj verbose in dobis tudi tocne prenesene
kolicine (Do byte-a natancno), ki jih moras futrat v eno bazo in na
koncu meseca prebrat ven podatke. Kolikor vem obstaja na freshmeatu
vsaj ena skriptica, ki zna naredit tocno to: stet promet.

No, da ne motimo firewallinga (da je vsa stvar bolj pregledna) se navadno
naredijo chaini, ki samo stejejo pakete in z njimi ne naredijo nic, tako
da se po stetju spet vrnejo nazaj na FORWARD chain.

lp,

- -- 
Borut
b at aufbix.org
- ------------
I don't care if I AM a lemming, I'm still not going.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iEYEARECAAYFAjxapYMACgkQRUVvbWYRhIJAwgCfXan3r0Lg9w2sYpuU+DoGqbvO
RGEAmwTPC6LovFMBedjj5foELsdV1XZO
=OtHh
-----END PGP SIGNATURE-----

More information about the lugos-list mailing list