[SABRE]

Здравствуйте столкнулся с проблемой работы cls_flow, а конкретно ключей nfct-*. Итак роутер с натом. Входящий трафик перенаправляется с WAN интрефейса на ifb, и там шейпится. В дефолтном классе HTB (1:99) дисциплина sfq, c классификатором flow и ключами nfct-*:

$tc class add dev $1 parent 1:1 classid 1:99 htb rate 2mbit ceil $2 burst 150k prio 7
$tc qdisc add dev $1 parent 1:99 handle 99: sfq limit 10240 divisor 1024 flows 512
$tc filter add dev $1 parent 99: protocol all handle 1 flow map key nfct-dst and 0xff divisor 1024

WAN IP маршрутизатора - *.*.*.30.

В результате весь входящий трафик попадает в класс 99:1f, соответствующий последнему октету .30, несмотря на ключ nfct-dst (хотя такое должно происходить и происходит с чистым dst). Т.е. поведение dst и nfct-dst идентично. Отсюда проблема, что юзер с торрентом забивает весь дефолтный класс, а хотелось получить равномерное распределение per IP.

никто не подскажет, как сделать nfct-* ключи работающими?

[SABRE]

Никто разве не использует flow?