Jump to content
Калькуляторы

tc + ifb + iptables MARK Как завернуть в ifb крашеный iptables-ом траф?

Reply to this topic

ntil   

ntil
Posted

Дано:

Таз с линуксом

интерфейсы:

eth0 - интернет

eth1 - интернет (точка обмена), не шейпим

eth2 - юзера

+ НАТ

необходимо:

красим входящий трафик на eth0 при помощи iptables MARK

необходимо шейпить исход крашеный на интерфейсе eth2

поскольку юзеров ок 1К - банальный tc filter по меткам выжерает проц - на каждого юзера свое правило

Хешевый шейпинг совместно с метками не работает.

 

вариант - заворачивать крашеный (только его) трафик в ifb0 и там шейпить per-user хешами.

 

как правильно завернуть? ато у меня

tc filter add dev eth2 parent 2: protocol ip prio 7 handle 10 fw action mirred egress redirect dev ifb0

 

поворачивает все. или просто некорректно там работает :(

Share this post

Link to post
Share on other sites

6PATyCb   

6PATyCb
Posted

Как добавляются правила марка в iptables?Сколько вообще правил в iptables? Я скриптом маркирую, раскидывая пулы по 255 адресов в разные таблицы. В tc фильтры на марки лежат просто списком и 3к юзверей пролетают без проблем. NAT тоже есть.

Share this post

Link to post
Share on other sites

NiTr0   

NiTr0
Posted

Никак не завернете крашеный трафик, и никак не разберете его на ifb, т.к. трафик на ifb попадает до того, как попадет в prerouting.

Заворот трафика на сети точки обмена в отдельный класс, остальное - разбирать хеш-таблицами. И будет счастье. Или выносить нат на отдельный тазик. Или пользовать imq вместо ifb.

Share this post

Link to post
Share on other sites

ntil   

ntil
Posted

Никак не завернете крашеный трафик, и никак не разберете его на ifb, т.к. трафик на ifb попадает до того, как попадет в prerouting.

Заворот трафика на сети точки обмена в отдельный класс, остальное - разбирать хеш-таблицами. И будет счастье. Или выносить нат на отдельный тазик. Или пользовать imq вместо ifb.

Т.е. _исходящий_ eth2 попадает _до_ прероутинга в ifb.

 

ладно. буду думать...

Share this post

Link to post
Share on other sites

_INF_   

_INF_
Posted (edited)

Собственно почему бы не использовать IPMARK в Вашу схему впишется идеально, и не придется ifb использовать.

 

http://centos.alt.ru/?p=532

Edited by _INF_

Share this post

Link to post
Share on other sites

ntil   

ntil
Posted

Собственно почему бы не использовать IPMARK в Вашу схему впишется идеально, и не придется ifb использовать.

 

http://centos.alt.ru/?p=532

 

ай СПАСИБО ! то что нужно!

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Программное обеспечение, биллинг и *unix системы