HTB a maskarada

[Martin Kezlinek]

Pokud pouzivas na markovani  mangle, tak je uplne jedno v kterem  chainu 
paket omarkujes. Postupne to proleze vsema tabulkama a vysledna  hodnota se 
preda treba pomoci filters do qosu, ktery je aplikovan kdyz paket opousti 
interface. SNAT,DNAT a MASQUARADA se provadi soubezne a navzajem se MARKem 
nevylucuji (jen je potreba pocitat s tim ze paket  po pruchodu NATem meni 
adresy) . Vyhoda virtualniho interface IMQ  je v  efektivnosti  qosu, kdy 
jde scitat trafik  na treba vice vystupnich interfacech. Do IMQ interface se 
pakety prehodi pomoci iptables pravidel, v IMQ se provede  vlastni qos a 
pote se  paket  vrati zpet do patricneho vystupniho interface.

Martin Kezlinek

> Chapu to tedy jako vysvetleni toho proc mi maskarada funguje spolecne s
> htb ...
>
> - Pakety omarkuju posle zdrojove/cilove adresy na forwardu
> iptables -t mangle -A FORWARD -d (ipcko) -j MARK --set-mark 5
>
> - Pakety dojdou do Postroutingu, kde se na ne uplatni maskarada (znacka
> u paketu zustava zachovana i po maskarade)
> iptables -t nat -A POSTROUTING -j MASQUERADE
>
> - nasledne si je prebira tc, ktere je podle marku ktery k nim priradil
> forward nahazi do trid htb.
> tc filter add dev ETH0 parent 1:0 protocol ip handle 5 fw flowid 1:50
>
> Pak jen nechapu, proc se vsude uvadi nutnost pouziti virtualnich devicu
> IMQ . (cetl jsem to snad vsude v kazdem howto)
>
> Jirka Mares
>