我刚刚安装了一台新的CentOS 6.4机器,作为总部局域网的默认网关。 它的主要任务是简单地将stream量路由到适当的地方,即VPN服务器或防火墙服务器。 这是工作。
但是我们想监视通过这台机器的stream量。 所以我已经安装了
- ntopng和只看到几个MB而不是GB的stream量,所以我已经删除了
- 并把旧的ntop,这是一样的
- 尝试iptraf,我认为这也没有看到交通
- 尝试创build一些iptables接受规则和命令: iptables –list -v -n -line-numbers ,并且仍然没有看到很多通过网关机器的stream量。
有关networking设置的注意事项
- 调制解调器有
- IP 192.168.2.3/24
- NAT已启用
- DMZ指向192.168.2.252
- 防火墙已经
- eth1 IP 192.168.2.252/24
- eth0 IP 192.168.0.254/24
- CentOS gatway机器有
- eth0 IP 192.168.0.241/24
- eth0:1(相同网卡)IP 192.168.1.241/24
- 默认网关192.168.0.254
- / etc / sysconfig / network有一行FORWARD_IPV4 = true
- / etc / sysconfig / network-scripts / route-eth0有一串像192.168.5.0/24这样通过192.168.1.2
- VPN服务器
- 192.168.1.0/24范围内的IP地址,例如192.168.1.2
- 客户端机器有
- IP地址范围是192.168.0.50 – 192.168.0.150
- 默认网关为192.168.0.241
当网关浏览网页时,网关机器如何从客户端机器上看不到stream量? 你build议我如何解决这台机器的stream量监控function?
我的猜测是操作系统configuration不正确,为此工作。 但是我不知道如何。 除了拥有第二个IP地址之外,它的configuration与我们如何设置另一个分支非常相似,而且一个正在工作。
当网关浏览网页时,网关机器如何从客户端机器上看不到stream量?
它无法看到所有的stream量。 你需要把它放在线上(或执行一些丑陋的NAT黑客)。
- 假设你的一台客户机
192.168.0.50连接到互联网。 所以它转发到默认网关192.168.1.241 。
- 现在
192.168.1.241有数据包,并将其转发到您的防火墙192.168.0.254 。
- 你的防火墙做什么,可能包括NAT。 无论如何,让我们假设这个数据包已经发送,并且回复正在回来。
- 防火墙有回复,目的地为
192.168.0.50 。 由于192.168.0.50位于防火墙本地的子网上,因此它直接连接并发送,所以答复永远不会达到192.168.1.241 。
TLDR在考虑路由时,尽最大努力去考虑数据包中的目的地址和每个特定设备的路由表。 为了得到你认为应该走的道路,或者走在另一个方向上的道路。