shorewall и маркировка пакетов для tc
Добрый день!
Попробовал задействовать шейпер из shorewall и столкнулся с подземным
стуком :(
Задача: промакировать исходящие UDP пакеты с source port=5071.
shorewall правила сгенерировал вроде как правильные, но они не работают :(
iptables -t mangle -L tcout -nv
Chain tcout (1 references)
pkts bytes target prot opt in out source
destination
1 560K 382M 0 -- * * 0.0.0.0/0
0.0.0.0/0
2 894K 608M 0 -- * * 0.0.0.0/0
0.0.0.0/0
3 0 0 MARK udp -- * * 0.0.0.0/0
0.0.0.0 udp spt:6100 MARK set 0x4
4 0 0 MARK udp -- * * 0.0.0.0/0
0.0.0.0 udp spt:5007 MARK set 0x4
5 0 0 MARK udp -- * * 0.0.0.0/0
0.0.0.0 udp spt:5071 MARK set 0x4
6 0 0 MARK udp -- * * 0.0.0.0/0
0.0.0.0 udp spt:5116 MARK set 0x4
7 0 0 MARK udp -- * * 0.0.0.0/0
0.0.0.0 udp dpt:6100 MARK set 0x4
8 0 0 MARK udp -- * * 0.0.0.0/0
0.0.0.0 udp dpt:5007 MARK set 0x4
9 0 0 MARK udp -- * * 0.0.0.0/0
0.0.0.0 udp dpt:5071 MARK set 0x4
10 0 0 MARK udp -- * * 0.0.0.0/0
0.0.0.0 udp dpt:5116 MARK set 0x4
11 248K 168M 0 -- * * 0.0.0.0/0
0.0.0.0/0
12 139 17931 LOG udp -- * * 0.0.0.0/0
0.0.0.0/0 udp spt:5071 limit: avg 10/sec burst 5 LOG flags 0
level 4
Не могу понять, почему правило #5 не срабатывает (судя по 0 в поле pkts)
, а правило #12 - срабатывает, хотя условия вроде те же
(udp -- * * 0.0.0.0/0 0.0.0.0 udp
spt:5071)
Правило #12 сделано вручную для тестирования.
--
Reply to: