Re: OT: iproute2

To: Pavel Volkovitskiy <int@mtx.ru>
Cc: debian-russian@lists.debian.org
Subject: Re: OT: iproute2
From: Покотиленко Костик <casper@meteor.dp.ua>
Date: Wed, 06 Sep 2006 11:41:59 +0300
Message-id: <[🔎] 1157532119.3817.36.camel@localhost.localdomain>
Reply-to: casper@meteor.dp.ua
In-reply-to: <[🔎] 1157531808.3818.33.camel@localhost.localdomain>
References: <[🔎] 9780B631-F22F-47AE-A31B-1925B6E1A328@mtx.ru> <[🔎] 44FE5C6C.7020300@mtx.ru> <[🔎] 44FE7132.50802@mtx.ru> <[🔎] 1157528225.3818.14.camel@localhost.localdomain> <[🔎] 44FE7D29.1010104@mtx.ru> <[🔎] 1157531808.3818.33.camel@localhost.localdomain>

В Срд, 06/09/2006 в 11:36 +0300, Покотиленко Костик пишет:
> В Срд, 06/09/2006 в 11:47 +0400, Pavel Volkovitskiy пишет:
> > Покотиленко Костик wrote:
> > > В Срд, 06/09/2006 в 10:56 +0400, Pavel Volkovitskiy пишет:
> > >> Pavel Volkovitskiy wrote:
> > >>> Pavel Volkovitskiy wrote:
> > >>>> Добрый день!
> > >>>>
> > >>>> Необходимо каджому из N ip адресов выделить определённую фиксированую 
> > >>>> скорость
> > >>> Сейчас настроил:
> > >>>
> > >>> для исходящего:
> > >>> tc qdisc del dev eth1 root
> > >>> tc qdisc add dev eth1 root handle 1: htb
> > >>> tc class add dev eth1 parent 1: classid 1:1 htb rate 100mbit
> > >>> tc class add dev eth1 parent 1:1 classid 1:10 htb \
> > >>>     rate 128kbit ceil 128kbit burst 4k
> > >>>
> > >>> tc filter add dev eth1 parent 1: protocol ip prio 1 u32 \
> > >>>     match ip dst 10.0.2.2/32 classid 1:10
> > >> Хорошо, нагрузки я не замечу :)
> > >>
> > >> А с этим скриптом всё правильно? Я до этого момента tc не использовал, 
> > >> скрипт написан путём проб и ошибок, может что поправить надо?
> > > 
> > > Входящий трафик лучше ограничивать как исходящий на интерфейсе смотрящем
> > > в сторону клиента тем же HTB.
> > 
> > Тут всё немного "перевёрнуто"
> > вот схемка:
> > 
> > INET - eth0 - NAT - eth1 - клиент
> > 
> > т.е. сейчас htb на eth1 ограничевает "входящую" скорость для клиента
> > 
> > у меня динамический SNAT, значит я не могу шейпить трафик от клиентов в 
> > инет на eth0?  ведь ip уже реальные, статической связи локальный ip - 
> > прямой ip нет. или я не прав?
> 
> Можешь, сам так делаю. Вот тебе рецепт по твоей схеме.
> 
> 1. Создаёш классы HTB для ограничения входящего и исходящего трафика.
> Причём, все ограничения будут "исходящими", для входящего дисциплины
> вешаешь на eth1, для исходящего на eth0.
> 2. Ставишь фильтры на марки файрвола с помощью tc filter fwmark.
> Например, исходящий трафик будет с маркой 0x10, входящий 0x20.
> 3. В файрволе маркируешь пакеты как тебе угодно с помощью:
> 
> iptables -t mangle -A PREROUTING -s <client_net> -i eth1 -j MARK
> --set-mark 0x10
> iptables -t mangle -A PREROUTING -s <client_net> -i eth1 -j RETURN
> 
> iptables -t mangle -A PREROUTING -d <client_net> -i eth0 -j MARK
> --set-mark 0x20
> iptables -t mangle -A PREROUTING -d <client_net> -i eth0 -j RETURN
> 
> Поскольку пакеты маркируются в PREROURING, до SNAT'а они ещё не дошли,
> т.к. SNAT обрабатывается на выходе в POSTROUTING.
> 
> Ещё один момент, в tc и iptables марки подаются в разном виде
> (десятичный|шеснадцатиричный), я точно не помню, проверь сам.

Извиняюсь, в предыдущем, заменить

iptables -t mangle -A PREROUTING

на

iptables -t mangle -A FORWARD

-- 
Покотиленко Костик <casper@meteor.dp.ua>

Reply to:

References:
- OT: iproute2
  - From: Pavel Volkovitskiy <int@mtx.ru>
- Re: OT: iproute2
  - From: Pavel Volkovitskiy <int@mtx.ru>
- Re: OT: iproute2
  - From: Pavel Volkovitskiy <int@mtx.ru>
- Re: OT: iproute2
  - From: Покотиленко Костик <casper@meteor.dp.ua>
- Re: OT: iproute2
  - From: Pavel Volkovitskiy <int@mtx.ru>
- Re: OT: iproute2
  - From: Покотиленко Костик <casper@meteor.dp.ua>

Prev by Date: Re: OT: iproute2
Next by Date: kernel-image-2.6-386 с backports поломан?
Previous by thread: Re: OT: iproute2
Next by thread: Re: OT: iproute2
Index(es):
- Date
- Thread