Re: shorewall и маркировка пакетов для tc
В Птн, 06/02/2009 в 13:20 +0200, Игорь Чумак пишет:
> Добрый день!
> Попробовал задействовать шейпер из shorewall и столкнулся с подземным
> стуком :(
> Задача: промакировать исходящие UDP пакеты с source port=5071.
> shorewall правила сгенерировал вроде как правильные, но они не работают :(
>
> iptables -t mangle -L tcout -nv
> Chain tcout (1 references)
> pkts bytes target prot opt in out source
> destination
> 1 560K 382M 0 -- * * 0.0.0.0/0
> 0.0.0.0/0
> 2 894K 608M 0 -- * * 0.0.0.0/0
> 0.0.0.0/0
> 3 0 0 MARK udp -- * * 0.0.0.0/0
> 0.0.0.0 udp spt:6100 MARK set 0x4
> 4 0 0 MARK udp -- * * 0.0.0.0/0
> 0.0.0.0 udp spt:5007 MARK set 0x4
> 5 0 0 MARK udp -- * * 0.0.0.0/0
> 0.0.0.0 udp spt:5071 MARK set 0x4
> 6 0 0 MARK udp -- * * 0.0.0.0/0
> 0.0.0.0 udp spt:5116 MARK set 0x4
> 7 0 0 MARK udp -- * * 0.0.0.0/0
> 0.0.0.0 udp dpt:6100 MARK set 0x4
> 8 0 0 MARK udp -- * * 0.0.0.0/0
> 0.0.0.0 udp dpt:5007 MARK set 0x4
> 9 0 0 MARK udp -- * * 0.0.0.0/0
> 0.0.0.0 udp dpt:5071 MARK set 0x4
> 10 0 0 MARK udp -- * * 0.0.0.0/0
> 0.0.0.0 udp dpt:5116 MARK set 0x4
> 11 248K 168M 0 -- * * 0.0.0.0/0
> 0.0.0.0/0
> 12 139 17931 LOG udp -- * * 0.0.0.0/0
> 0.0.0.0/0 udp spt:5071 limit: avg 10/sec burst 5 LOG flags 0
> level 4
>
> Не могу понять, почему правило #5 не срабатывает (судя по 0 в поле pkts)
> , а правило #12 - срабатывает, хотя условия вроде те же
> (udp -- * * 0.0.0.0/0 0.0.0.0 udp
> spt:5071)
>
> Правило #12 сделано вручную для тестирования.
Найди одно отличие :)
Destination разные, 0.0.0.0 против 0.0.0.0/0 - думаю вот оно.
--
Покотиленко Костик <casper@meteor.dp.ua>
Reply to: