HTB + NAT markovani

Jaroslav Hampl hampl na ttc.cz
Úterý Listopad 11 16:53:13 CET 2003 

Martin Damasek wrote:
> Zdravim,

> 
> 1) mam napr. nasledujici vec - Linuxovy server se 3 sitovkami:
>  eth0: pripojeni 512Kbit/s na internet
>  eth1: LAN s par verejnyma IP adresama
>  eth2: LAN s NATem (tj. 192.168.1.0/24)
> 
>  Chtel bych rozdelit pasmo 512Kbit rekneme na pulku - tj. aby LAN s
>  ver. IP mohla na internet rychlosti 256Kbit a LAN s NATem to same.
>  Jak jsem se docetl v archivu, pujcovani kapacity mezi rozhranimy HTB
>  neumi, tak jsem to ozelel.

umi, kdyz se pouzije IMQ, to je virtualni dev. kam se presmeruje provoz,
treba tak: "iptables  -t mangle -A PREROUTING -i eth0 -j IMQ --todev 0" 
prichozi provoz z internetoveho interface (tady eth0) a htb pak pracuje
s jednim zarizenim (na vystupu imq0 v tomto pripade).
A
Je pro to potreba opatchovat iproute2 (kvuli tc), jadro a iptables....

>  U eth1 je mi to asi jasne.
>  
>  Co me ale porad vrta hlavou je vec MARKovani packetu ktere jdou z/do
>  NATovane LAN. Porad nechapu - musim pro pouzivani HTB na eth2 (pri
>  downloadu z internetu) nejak pakety predem oznackovat pomoci iptables
>  abych mohl vytvorit filtr ve stylu "cilova adresa je 192.168.1.0/24"?
>  Neni mi totiz uplne jasne, jestli se HTB provadi pred zpetnym
>  prekladem na NATovane adresy (tady by bylo asi potreba markovat) nebo
>  az po nem (a tady asi ne)?

no znackovat by to podle cilove adresy neslo v  PREROUTING, protoze v te 
chvily to 192.168.. skutecne jeste nezna ale pujde to s FORWARD.


>  To same v blede modrem plati pro interface eth0 (odchozi provoz do
>  internetu - upload), kdyz chci pravidlo typu "vse co pochazi ze
>  192.168.1.0/24" - vezme mi to HTB bez znackovani?
> 
>  V konferenci se o markovani paketu psalo, ale nejak jsem nepochopil,
>  kde se to delat musi a kde ne...
> 
> 2) Jak jednoduse NEomezit provoz mezi LAN a serverem (asi jen smerem
> ze serveru - smerem na server to, pokud se nepletu ani omezovat
> nejde), ale pouze mezi LAN a internetem?
 >
> Napadlo me reseni definovat class se 100Mbit a te priradit nejake
> "rule" typu "src=LAN, dst=server", ktera ma vyssi prioritu nez dalsi
> class s rychlosti napr. 256Kbit a rulem "dst=LAN". Nebo se to dela
> nejak jinak?
s tim IMQ je to efektivnejsi......

Další informace o konferenci Linux