stg + iptables + nat

[Даник]

подскажите кто в курсе

 

мой файлик OnConnect:

iptables -t nat -I POSTROUTING -o eth2 -s $2 -j MASQUERADE

iptables -I INPUT -p TCP -s $2 -d [server_ip] --dport 3128 -j ACCEPT

 

т.е. я пускаю юзверей на сквид и включаю маскарад

 

вопрос первый как сделать так что бы сессий уже открытые пользователем прибивались при исполнении файла OnDisconnect, да данный момент я просто удаляю рпавила прописанный при коннекте, это запрещает открывать новые коннекты, но никак не влияет на уже существующие.

 

вопрос второй как переписать вышеописанное на использование libipq и -j QUEUE

 

ну и напоследок вопрос третий хотелось бы разделить траффик по 2м направлениям внейшний и локальный для страны, для страны определить траффик не проблема потому что есть список всех подсетей, но есть одна загвоздка что делать если я использую transparent proxy как тогда делить траффик который уходит на прокси сервер ? на данный момент он просто считается как внешний, но это IMHO не совсем правильно

[XoRe]

про разделение траффика: Сначала описываешь локальные украинские адреса, потом пишешь 0.0.0.0/0 - сюда попадают все остальные адреса. Это будут забугорные.

[Даник]

это то я понимаю, но вопрос не в этом а в том как делить траффик попадающий на [server_ip]:3128 т.е. на сквид, ведь через него народ ходит как на локальный траффик так и на внешний

 

p.s. локальный траффик имеетвся в виду траффик внутри страны

[XoRe]

делить - по ценам или для сервера?

если по ценам, то могу посоветовать сделать прозрачный прокси.

тогда пакеты будут считаться ДО того, как попадут на проксю.

следовательно будет учитываться, куда они идут.

 

а если для сервера - пишешь кучу acl с адресами и т.д. =)

[Даник]

получается если без транспарента то никак что ли ?

 

p.s. подскажите как libipq и -j QUEUE юзать ?