LINUX.ORG.RU
ФорумAdmin

Шейпинг трафика, фильтры tc, и виртуальный интерфейс.

 ,


0

2

Есть прокси/шлюз на debian 6, раздает инет на несколько раб. станций.
Схема сети

1. По фильтрации: как определить (в правиле для filter) является ли пакет транзитным или предназначен для служб крутящихся на сервере? (Я не совсем понимаю в какой момент происходит обработка очередей, до NAT или после).
2. У меня два интерфейса смотрящие в локальную сеть, входящий(clients->server) трафик направляется в ifb0

tc qdisc add dev eth0 ingress
tc qdisc add dev wlan0 ingress
tc filter add dev eth0 parent ffff: protocol ip u32 match u32 0 0 action mirred egress redirect dev ifb0
tc filter add dev wlan0 parent ffff: protocol ip u32 match u32 0 0 action mirred egress redirect dev ifb0
а как быть с исходящим(server->clients), мне ведь надо по ровну раздать инет на станции и по меди и по воздуху, т.е. должен быть iface с которого трафик расходился на eth0 и wlan0, и на него уже вешать очереди. Как это сделать?

1. Вроде, обработка проходит до обратного NAT пакета, поэтому по ip-адресам не отличить, куда идёт трафик. Можно попробовать по tcp-портам, делая при SNAT подмену порта. Но может и не заработать.

2. Если речь идёт о раздачи инета, то можно создать ifb1 и туда засовывать трафик, входящий с интерфейса, смотрящего в интернет.

mky ★★★★★ ()
Ответ на: комментарий от mky

2. Да, таким образом я паходу решу 1-ую проблемму с NAT. ведь на ifb1 будут пакеты уже после преобразования адресов. А вот как справедливо раздать интернет, dc++, и ресурсы сервера - на две сетевые карты, я пока не понял.

commeta ()

а зачем ты загоняеш входящий из инета траффик - на входящем интерфейсе - в ifb ?
бери его уже исходяшим от тебя - на юзерский интерфейсы и также загоняй в ifb

там уже бегают внутренний ip

два выхода в локалку - загони в ifb и уже там нарезай

ae1234 ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.