Re: lug-bg: Маркиране на трафик при MASQ?
- Subject: Re: lug-bg: Маркиране на трафик при MASQ?
- From: Plamen Tonev <micro@xxxxxxxxx>
- Date: Sun, 04 Dec 2005 22:11:19 +0200
- Delivered-to: lug-bg-list@xxxxxxxxxxxxxxxxxx
- Delivered-to: lug-bg@xxxxxxxxxxxxxxxxxx
- Organization: Fadata Ltd.
On нд, 2005-12-04 at 21:42 +0200, Nikolai Stefanov wrote:
> Здравейте,
>
> Имам следната ситуация: рутерче с ядро 2.4.28, един интерфейс към интернет
> доставчика и един към локална мрежа, ползва се ipchains firewalling (нужен
> за работата на "трафомерачка").
>
> Възниква необходимост да се ограничава изходящия трафик на потребителите към
> доставчика, но не е ясно как да се прави това поотделно, тъй като след
> маскарадинга всички излизат с един и същ адрес от този интерфейс, и се губи
> firewall маркировката дори и да е направена. Практически няма как да "отсея"
> потребителите, след като минат през маскарадинга.
fwmark-а не ти се губи заради маскарадинга, а заради това, че
маркирането не става така както си го представяш (подменяйки и пъхайки
цифрички в пакета) а в структури, които кърнела използва за да проследи
пакета, и затова в момента в който пакета напусне машината забравяш за
това 'оцветяване'.
Според мен най-лесно е да използваш WRR shaper (така няма да губиш
IP-тата на маскираните на външния интерфейс) и ще можеш да ги shape-ваш
на същата машина. Не разбрах всъщност отзад има ли друга машина която
искаш да shape-и? Ако политическите причини за неразбутването на
антиката с ipchains са толкова важни, може да поискаш от "главния
политик" да отдели една машина за shaper пред NAT-а ти ;-)
Пламен
Attachment:
signature.asc
Description: This is a digitally signed message part
|