mentis

С этим до введения шейпера справлялся snort.

Спасибо, буду изучать.

В данный момент реализовал шейпинг следующим образом: /sbin/tc qdisc add dev eth0 root handle 1: htb default ffff r2q 1 /sbin/tc class add dev eth0 parent 1:0 classid 1:3 htb rate 256kbit burst 4k prio 1 /sbin/tc qdisc add dev eth0 parent 1:3 handle 3: sfq perturb 10 quantum 1500 /sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 3 u32 match ip dst 172.30.82.114 flowid 1:3 #default /sbin/tc class add dev eth0 parent 1:0 classid 1:ffff htb rate 100mbit burst 4k prio 3 /sbin/tc qdisc add dev eth0 parent 1:ffff handle ffff: sfq perturb 10 quantum 1500 Входящий трафик ограничивается как нужно, но есть проблема, когда клиент качает что нибудь задержки пинга вырастают с 60 до 600мс каким правилом можно пустить ICMP трафик от клиента мимо шейпера?

Подскажите сабж, в принципе подходит DI-804HV, но на сайте d-link сказано, что максимум 40 IPSec туннелей, и нет данных как эта железка поведет себя если эти 40 туннелей подключатся, что будет со скоростью. Есть ли альтернативы, например от того-же d-link? подойдут ли следующие модели DI-3660 или DI-2630 и можно ли по VPN IPSec пускать вланы транком?

Здравствуйте, подскажите что я сделал неправильно? шейпим траффик # Создаю очереди на внешнем (eth2) и внутреннем (eth3) интерфейсе tc qdisc add dev eth2 root handle 1:0 cbq avpkt 1000 cell 8 bandwidth 100mbit tc qdisc add dev eth3 root handle 2:0 cbq avpkt 1000 cell 8 bandwidth 100mbit # Создаю 2 класса трафика на внешнем и внутреннем интерфейсах по 64kbit tc class add dev eth2 parent 1:0 classid 1:1 cbq bandwidth 100Mbit rate 64kbit weight 6Kbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded tc class add dev eth3 parent 2:0 classid 2:1 cbq bandwidth 100Mbit rate 64kbit weight 6Kbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded # Создаю 2 класса трафика на внешнем и внутреннем интерфейсах по 128kbit tc class add dev eth2 parent 1:0 classid 1:2 cbq bandwidth 100Mbit rate 128kbit weight 6Kbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded tc class add dev eth3 parent 2:0 classid 2:2 cbq bandwidth 100Mbit rate 128kbit weight 6Kbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded # Создаю 2 класса трафика на внешнем и внутреннем интерфейсах по 256kbit tc class add dev eth2 parent 1:0 classid 1:3 cbq bandwidth 100Mbit rate 256kbit weight 6Kbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded tc class add dev eth3 parent 2:0 classid 2:3 cbq bandwidth 100Mbit rate 256kbit weight 6Kbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded # Создаю 2 класса трафика на внешнем и внутреннем интерфейсах по 512kbit tc class add dev eth2 parent 1:0 classid 1:4 cbq bandwidth 100Mbit rate 512kbit weight 6Kbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded tc class add dev eth3 parent 2:0 classid 2:4 cbq bandwidth 100Mbit rate 512kbit weight 6Kbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded # Загоняю исходящий траффик относительно интерфейсов сервера в соответствующие классы. tc filter add dev eth2 parent 1:0 prio 10 protocol ip handle 1 fw flowid 1:1 tc filter add dev eth3 parent 2:0 prio 10 protocol ip handle 2 fw flowid 2:1 tc filter add dev eth2 parent 1:0 prio 10 protocol ip handle 3 fw flowid 1:2 tc filter add dev eth3 parent 2:0 prio 10 protocol ip handle 4 fw flowid 2:2 tc filter add dev eth2 parent 1:0 prio 10 protocol ip handle 5 fw flowid 1:3 tc filter add dev eth3 parent 2:0 prio 10 protocol ip handle 6 fw flowid 2:3 tc filter add dev eth2 parent 1:0 prio 10 protocol ip handle 7 fw flowid 1:4 tc filter add dev eth3 parent 2:0 prio 10 protocol ip handle 8 fw flowid 2:4 в iptables iptables -t mangle -A FORWARD -d 172.19.48.35 -j MARK --set-mark 7 это одно правило в действительности их примерно 60 Когда стоит одно правило ограничение работает нормально, как только количество правил увеличивается появляются задержки большие. Как сделать правильно и без задержек?