HTB a maskarada
Martin Kezlinek
kez na fel.cvut.cz
Pondělí Červen 12 13:07:39 CEST 2006
Pokud pouzivas na markovani mangle, tak je uplne jedno v kterem chainu
paket omarkujes. Postupne to proleze vsema tabulkama a vysledna hodnota se
preda treba pomoci filters do qosu, ktery je aplikovan kdyz paket opousti
interface. SNAT,DNAT a MASQUARADA se provadi soubezne a navzajem se MARKem
nevylucuji (jen je potreba pocitat s tim ze paket po pruchodu NATem meni
adresy) . Vyhoda virtualniho interface IMQ je v efektivnosti qosu, kdy
jde scitat trafik na treba vice vystupnich interfacech. Do IMQ interface se
pakety prehodi pomoci iptables pravidel, v IMQ se provede vlastni qos a
pote se paket vrati zpet do patricneho vystupniho interface.
Martin Kezlinek
> Chapu to tedy jako vysvetleni toho proc mi maskarada funguje spolecne s
> htb ...
>
> - Pakety omarkuju posle zdrojove/cilove adresy na forwardu
> iptables -t mangle -A FORWARD -d (ipcko) -j MARK --set-mark 5
>
> - Pakety dojdou do Postroutingu, kde se na ne uplatni maskarada (znacka
> u paketu zustava zachovana i po maskarade)
> iptables -t nat -A POSTROUTING -j MASQUERADE
>
> - nasledne si je prebira tc, ktere je podle marku ktery k nim priradil
> forward nahazi do trid htb.
> tc filter add dev ETH0 parent 1:0 protocol ip handle 5 fw flowid 1:50
>
> Pak jen nechapu, proc se vsude uvadi nutnost pouziti virtualnich devicu
> IMQ . (cetl jsem to snad vsude v kazdem howto)
>
> Jirka Mares
>
Další informace o konferenci Linux