HTB + NAT markovani

[Martin Damasek]

On Tuesday, November 11, 2003, Jaroslav Hampl wrote:

Zdravim,

>> Jak jsem se docetl v archivu, pujcovani kapacity mezi rozhranimy
>> HTB neumi, tak jsem to ozelel.

> umi, kdyz se pouzije IMQ, to je virtualni dev. kam se presmeruje
> provoz, treba tak: "iptables  -t mangle -A PREROUTING -i eth0 -j IMQ
> --todev 0" prichozi provoz z internetoveho interface (tady eth0) a
> htb pak pracuje s jednim zarizenim (na vystupu imq0 v tomto
> pripade). A Je pro to potreba opatchovat iproute2 (kvuli tc), jadro
> a iptables....

Jo jo. O tom jsem taky cetl, ale zatim to nebudu lamat pres koleno.
Kdyztak nekdy v budoucnu...

>>  U eth1 je mi to asi jasne.
>>  
>>  Co me ale porad vrta hlavou je vec MARKovani packetu ktere jdou z/do
>>  NATovane LAN. Porad nechapu - musim pro pouzivani HTB na eth2 (pri
>>  downloadu z internetu) nejak pakety predem oznackovat pomoci iptables
>>  abych mohl vytvorit filtr ve stylu "cilova adresa je 192.168.1.0/24"?
>>  Neni mi totiz uplne jasne, jestli se HTB provadi pred zpetnym
>>  prekladem na NATovane adresy (tady by bylo asi potreba markovat) nebo
>>  az po nem (a tady asi ne)?

> no znackovat by to podle cilove adresy neslo v  PREROUTING, protoze
> v te chvily to 192.168.. skutecne jeste nezna ale pujde to s
> FORWARD.

Abych se priznal, do znackovani se nijak moc nehrnu a proto neresim
jak by to SLO, ale jestli to delat MUSIM, kdyz chci prirazovat
jednotlive classy prave podle src/dst IPcek typu 192.168...

Tj. jestli pro omezeni provozu smerem z internetu do NATovane LAN (tj.
neco jako dst=192.168...) a provozu z NATovane LAN do internetu
(src=192.168...) musim mit predem pakety nejak oznacene nebo jestli to
bude funovat bez niceho.

Diky za odpovedi a preju prima vecer

bye Martin Damasek