Tomasz Chilinski wrote:
> Załóżmy, że mamy eth0 - LAN, eth1 - WAN:
>
> upload:
> iptables -t mangle -A POSTROUTING -o eth1 -j IPMARK --addr=src
> --and-mask=0xffff
>
> download:
> iptables -t mangle -A POSTROUTING -o eth0 -j IPMARK --addr=dst
> --and-mask=0xffff
>
> Analogicznie przy MARK (tyle, że dla każdego IP oddzielna regułka).
ok potestuję, ale skoro analogicznie dla MARK, to dalej dziwi mnie dlaczego
w powoływanych przeze mnie skryptach nie używają fw w obie strony.
--
Pozdrawiam
Aleksander 'A.L.E.C' Machniak http://alec.pl gg-2275252
Lan Management System Developer http://lms.rulez.pl
Tomasz Chilinski wrote:
>> i jeszcze jedno, czy da się zmarkować pakiety z routera do lanu w
>> POSTROUTING, ale nie podając adresu routera w regułkach?
>
> Używasz wtedy łańcucha mangle/OUTPUT.
>
> Masz tu cały diagram pracy automatu netfiltra linuksowego:
> http://iptables-tutorial.frozentux.net/iptables-tutorial.html
tak myślałem i dzięki za linka, już to widziałem, ale jak widać muszę
częściej to studiować.
--
Pozdrawiam
Aleksander 'A.L.E.C' Machniak http://alec.pl gg-2275252
Lan Management System Developer http://lms.rulez.pl
On Fri, 25 Jun 2004 11:41:20 +0200, A.L.E.C wrote
> i jeszcze jedno, czy da się zmarkować pakiety z routera do lanu w
> POSTROUTING, ale nie podając adresu routera w regułkach?
Używasz wtedy łańcucha mangle/OUTPUT.
Masz tu cały diagram pracy automatu netfiltra linuksowego:
http://iptables-tutorial.frozentux.net/iptables-tutorial.html
> Pozdrawiam
> Aleksander 'A.L.E.C' Machniak http://alec.pl gg-2275252
Pozdrawiam
Tomasz Chiliński
On Fri, 25 Jun 2004 11:28:49 +0200, A.L.E.C wrote
> to wiem, bardziej zależało mi na gotowych regułkach iptables, a może
> wiesz jak zmarkować MARKiem pakiety, żeby skorzystać z fw w obie strony.
Załóżmy, że mamy eth0 - LAN, eth1 - WAN:
upload:
iptables -t mangle -A POSTROUTING -o eth1 -j IPMARK --addr=src
--and-mask=0xffff
download:
iptables -t mangle -A POSTROUTING -o eth0 -j IPMARK --addr=dst
--and-mask=0xffff
Analogicznie przy MARK (tyle, że dla każdego IP oddzielna regułka).
> Pozdrawiam
> Aleksander 'A.L.E.C' Machniak http://alec.pl gg-2275252
Pozdrawiam
Tomasz Chiliński
A.L.E.C wrote:
i jeszcze jedno, czy da się zmarkować pakiety z routera do lanu w
POSTROUTING, ale nie podając adresu routera w regułkach?
--
Pozdrawiam
Aleksander 'A.L.E.C' Machniak http://alec.pl gg-2275252
Lan Management System Developer http://lms.rulez.pl
Tomasz Chilinski wrote:
> Posłużę się fragmentem pliku generowanego przez mój skrypt
> lms-traffic-htbusers:
to wiem, bardziej zależało mi na gotowych regułkach iptables, a może wiesz
jak zmarkować MARKiem pakiety, żeby skorzystać z fw w obie strony.
--
Pozdrawiam
Aleksander 'A.L.E.C' Machniak http://alec.pl gg-2275252
Lan Management System Developer http://lms.rulez.pl
On Fri, 25 Jun 2004 10:48:24 +0200, A.L.E.C wrote
> no to nie pozostaje mi nic innego jak poprosić o podanie reguł
> odnośnie tego co proponujesz, gdzie mam to fw zastosować w stosunku
> do mojego rozwiązania.
Posłużę się fragmentem pliku generowanego przez mój skrypt
lms-traffic-htbusers:
# 192.168.1.43 eth0 download
/sbin/tc class add dev eth0 parent 1:6 classid 1:12b htb rate 128kbit burst
16kbit ceil 128kbit
/sbin/tc qdisc add dev eth0 parent 1:12b handle 12b: sfq perturb 10
/sbin/tc filter add dev eth0 protocol ip parent 1: handle 0x12b fw classid
1:12b
/sbin/tc filter add dev eth0 protocol ip parent 1: handle 0x1e5 fw classid
1:12b
# 192.168.1.43 eth1 upload
/sbin/tc class add dev eth1 parent 1:6 classid 1:12b htb rate 128kbit burst
16kbit ceil 128kbit
/sbin/tc qdisc add dev eth1 parent 1:12b handle 12b: sfq perturb 10
/sbin/tc filter add dev eth1 protocol ip parent 1: handle 0x12b fw classid
1:12b
/sbin/tc filter add dev eth1 protocol ip parent 1: handle 0x1e5 fw classid
1:12b
Celowo posługuję się tu przykładem z użytkownikiem, który ma 2 adresy IP
przypisane. IPMARK oznakuje wszystko tak jak trzeba w mangle/POSTROUTING.
Numery minor klas są równe wartości dwóch ostatnich oktetów ip użytkownika.
> Pozdrawiam
> Aleksander 'A.L.E.C' Machniak http://alec.pl gg-2275252
Pozdrawiam
Tomasz Chiliński
Tomasz Chilinski wrote:
> Filtru u32 nie możesz użyć, gdy pakiet wychodzi interfejsem na którym
> jednocześnie jest realizowany NA(P)T (do filtru u32 dociera pakiet ze
> zmienionym adresem IP). Stąd przy uploadzie używają filtru fw.
> Uważam, że nie ma co mieszać kilku rodzajów filtrów - najlepiej
> zdecydować się na jeden, najbardziej elastyczny - moim zdaniem fw :)
> Oczywiście w sytuacjach wyjątkowych pozostaje u32 :)
no to nie pozostaje mi nic innego jak poprosić o podanie reguł odnośnie tego
co proponujesz, gdzie mam to fw zastosować w stosunku do mojego rozwiązania.
--
Pozdrawiam
Aleksander 'A.L.E.C' Machniak http://alec.pl gg-2275252
Lan Management System Developer http://lms.rulez.pl
> no właśnie nie rozumiem dlaczego znane skrypty Baroo i Prisma
> korzystają z obu metod, w jedną stronę fw+mark a w drugą u32, może
> to jednak ma jakieś znaczenie.
Filtru u32 nie możesz użyć, gdy pakiet wychodzi interfejsem na którym
jednocześnie jest realizowany NA(P)T (do filtru u32 dociera pakiet ze
zmienionym adresem IP). Stąd przy uploadzie używają filtru fw. Uważam, że
nie ma co mieszać kilku rodzajów filtrów - najlepiej zdecydować się na
jeden, najbardziej elastyczny - moim zdaniem fw :)
Oczywiście w sytuacjach wyjątkowych pozostaje u32 :)
> Pozdrawiam
> Aleksander 'A.L.E.C' Machniak http://alec.pl gg-2275252
Pozdrawiam
Tomasz Chiliński
Tomasz Chilinski wrote:
> Hmmm ten pkt 1) wynika z następnych. Szybkość jest identyczna :)
> Btw. i tak używasz filtrów fw :)
no właśnie nie rozumiem dlaczego znane skrypty Baroo i Prisma korzystają z
obu metod, w jedną stronę fw+mark a w drugą u32, może to jednak ma jakieś
znaczenie.
> Taka, że możesz wykorzystać PREROUTING do innych celów, np. routingu z
> polisami. Wtedy wszystko co związane z shapingiem masz w jednym
> łańcuchu tj. POSTROUTING.
czyli ok, przenoszę markowanie do postrouting, także to dla serwera (które
było w OUTPUT), faktycznie skrypt Baroo tak robi.
--
Pozdrawiam
Aleksander 'A.L.E.C' Machniak http://alec.pl gg-2275252
Lan Management System Developer http://lms.rulez.pl
