ntil Опубликовано 3 декабря, 2011 · Жалоба Дано: Таз с линуксом интерфейсы: eth0 - интернет eth1 - интернет (точка обмена), не шейпим eth2 - юзера + НАТ необходимо: красим входящий трафик на eth0 при помощи iptables MARK необходимо шейпить исход крашеный на интерфейсе eth2 поскольку юзеров ок 1К - банальный tc filter по меткам выжерает проц - на каждого юзера свое правило Хешевый шейпинг совместно с метками не работает. вариант - заворачивать крашеный (только его) трафик в ifb0 и там шейпить per-user хешами. как правильно завернуть? ато у меня tc filter add dev eth2 parent 2: protocol ip prio 7 handle 10 fw action mirred egress redirect dev ifb0 поворачивает все. или просто некорректно там работает :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
6PATyCb Опубликовано 4 декабря, 2011 · Жалоба Как добавляются правила марка в iptables?Сколько вообще правил в iptables? Я скриптом маркирую, раскидывая пулы по 255 адресов в разные таблицы. В tc фильтры на марки лежат просто списком и 3к юзверей пролетают без проблем. NAT тоже есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 4 декабря, 2011 · Жалоба Никак не завернете крашеный трафик, и никак не разберете его на ifb, т.к. трафик на ifb попадает до того, как попадет в prerouting. Заворот трафика на сети точки обмена в отдельный класс, остальное - разбирать хеш-таблицами. И будет счастье. Или выносить нат на отдельный тазик. Или пользовать imq вместо ifb. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ntil Опубликовано 4 декабря, 2011 · Жалоба Никак не завернете крашеный трафик, и никак не разберете его на ifb, т.к. трафик на ifb попадает до того, как попадет в prerouting. Заворот трафика на сети точки обмена в отдельный класс, остальное - разбирать хеш-таблицами. И будет счастье. Или выносить нат на отдельный тазик. Или пользовать imq вместо ifb. Т.е. _исходящий_ eth2 попадает _до_ прероутинга в ifb. ладно. буду думать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_INF_ Опубликовано 5 декабря, 2011 (изменено) · Жалоба Собственно почему бы не использовать IPMARK в Вашу схему впишется идеально, и не придется ifb использовать. http://centos.alt.ru/?p=532 Изменено 5 декабря, 2011 пользователем _INF_ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ntil Опубликовано 5 декабря, 2011 · Жалоба Собственно почему бы не использовать IPMARK в Вашу схему впишется идеально, и не придется ifb использовать. http://centos.alt.ru/?p=532 ай СПАСИБО ! то что нужно! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...