Dethman Опубликовано 20 июля, 2010 · Жалоба Не думаю, что я так одинок в том, что часть абонентов терминируются на pptp/l2tp сервер с линупсом. Думаю, что все думали - как честно резать исходящий трафик. Думаю все идут на разные ухищрения, что бы классифицировать трафик идущий от абонента (пришедший на интерфейс ppp+ и отправляющийся на скажем internet). и вот меня задело за живое: iptables -t mangle -A FORWARD -i ppp+ -o internet -j CLASSIFY --set-class 1:100 и все пакеты будут классифицированы. iptables -t mangle -A FORWARD -i pppX -o internet -j CLASSIFY --set-class 1:100 и будут классифицированы пакеты с ппп под номером Х, только понадобиться гора правил, и недешевое проц. вермя :) ну и я чуть-чуть переписал модуль, теперь оно работает вот так: iptables -t mangle -A FORWARD -i ppp+ -o internet -j CLASSIFY --set-class 1:100 и все пакеты от pppX получают classid (приорити) 1:100+X (нужно помнить, что Х - десятичное, а 100-шеснадцатиричное). имеем - одно правило и все интерфейсы классифицируются, в ip-up суем создание классов хтб на исх. интерфейсе (internet). в довесок получаем возможность классифицировать трафик (ну там локал не локал) например: iptables -t mangle -A FORWARD -d ! 10.0.0.0/8 -i ppp+ -o internet -j CLASSIFY --set-class 1:100 iptables -t mangle -A FORWARD -d 10.0.0.0/8 -i ppp+ -o internet -j CLASSIFY --set-class 2:100 в теории сюда можно воткнуть ip-set с списком сетей или еще-чем-либо изменений в коде модуля -- очень мало, думаю даже школьник бы справился я вот сижу и мучаюсь я один такой гений, или кто-то такое уже делал ? или же просто путь тупиковый и не интересный ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vitalyb Опубликовано 20 июля, 2010 · Жалоба Dethman tc filter u32 как-то обычно хватало. Или на ingress ppp интерфейсу можно просто полисер повесить если ухщрений не надо... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dethman Опубликовано 20 июля, 2010 · Жалоба хм, а его (tc filter u32) можно вывешивать на интерфес откуда валится трафик и класифицировать пакеты для выхода? т.е. трафик приходит на пппХ, и соответственно выходит из internet Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vitalyb Опубликовано 20 июля, 2010 (изменено) · Жалоба Dethman Если нет NAT, проблем не возникает, матчите пакеты по src и по всему остальному что требуется, и присваиваете им classid. Еще есть flow - тот сразу по ip присваивает classid Изменено 20 июля, 2010 пользователем vitalyb Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dethman Опубликовано 20 июля, 2010 · Жалоба это да, сейчас у меня как раз по флоу на исх интерфейсе, фильтр работает. но как-то.... классид присваивать по ip - не комильфо, ибо либо нужно либо маску накладывать, либо иметь на выходе что-то типа cafa:0101... вобщем буду попробовать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...