Jump to content

tc + ifb + iptables MARK

ntil
 Share

Recommended Posts

ntil

ntil

Posted
Posted

Дано:

Таз с линуксом

интерфейсы:

eth0 - интернет

eth1 - интернет (точка обмена), не шейпим

eth2 - юзера

+ НАТ

необходимо:

красим входящий трафик на eth0 при помощи iptables MARK

необходимо шейпить исход крашеный на интерфейсе eth2

поскольку юзеров ок 1К - банальный tc filter по меткам выжерает проц - на каждого юзера свое правило

Хешевый шейпинг совместно с метками не работает.

 

вариант - заворачивать крашеный (только его) трафик в ifb0 и там шейпить per-user хешами.

 

как правильно завернуть? ато у меня

tc filter add dev eth2 parent 2: protocol ip prio 7 handle 10 fw action mirred egress redirect dev ifb0

 

поворачивает все. или просто некорректно там работает :(

6PATyCb

6PATyCb

Posted
Posted

Как добавляются правила марка в iptables?Сколько вообще правил в iptables? Я скриптом маркирую, раскидывая пулы по 255 адресов в разные таблицы. В tc фильтры на марки лежат просто списком и 3к юзверей пролетают без проблем. NAT тоже есть.

NiTr0

NiTr0

Posted
Posted

Никак не завернете крашеный трафик, и никак не разберете его на ifb, т.к. трафик на ifb попадает до того, как попадет в prerouting.

Заворот трафика на сети точки обмена в отдельный класс, остальное - разбирать хеш-таблицами. И будет счастье. Или выносить нат на отдельный тазик. Или пользовать imq вместо ifb.

ntil

ntil

Posted
  • Author
Posted

Никак не завернете крашеный трафик, и никак не разберете его на ifb, т.к. трафик на ifb попадает до того, как попадет в prerouting.

Заворот трафика на сети точки обмена в отдельный класс, остальное - разбирать хеш-таблицами. И будет счастье. Или выносить нат на отдельный тазик. Или пользовать imq вместо ifb.

Т.е. _исходящий_ eth2 попадает _до_ прероутинга в ifb.

 

ладно. буду думать...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.