MARK пакетов на машине с VPN и masquarading -- как?

["Dmitry Egipko" <egipko@irex.by>]

ПРошу помочь разобраться с простой. на первый взгляд, проблемой:
Имеется линух-сервер, с поднятым pptpd, маскарадингом, squid, и каналом на инет (adsl-модем на второй сетевой карте). Пользователи соединяются с сервером по vpn, и пользуются интернетом.  (на самом деле сервак не под Дебиан, а под РедХат, но проблема не специфична для Редхат, это, скорее, вопрос по iptables)

Хотелось бы организовать работу шейпера таким образом, чтобы пользователю гарантировалась минимальная полоса, скажем, в 2 кбайта/сек, но при свободном канале выделялось больше -- вплоть до всей пропускной способности канала...

В теории все было просто -- отмаркировать пакеты каждого пользователя,
потом создать парент-queue, которую ограничить по реальной скорости работы интернета, а всех пользователей на основании помеченных mark пакетов загонять в дочерние очереди с ограничением скорости и возможностью overload (overhead ?, overlimit?) до парента...

Но вот столкнулся с проблемой и не могу ее решить -- как отмаркировать на IPTABLES траффик _к пользователю_. Клиент работает через маскарадинг, имеет адреса 172.16.0.*, Исходящие от него пакеты я могу поймать в mangle по source …

Но как отделить и отмаркировать идущие к нему?

Думаю, проблема классическая, многие ее решали, однако поиск по гуглам ничего не дал....

Прошу помощи или ссылок на способ решения подобных проблем...

 

 

___________________________

С уважением, Дмитрий Египко