https://opennet.ru/openforum/vsluhforumID1/82222.html Подскажите, пожалуйста, на каком этапе "tc filter" анализирует пакеты - до NAT'а, или после?<br><br>Мне нужно шейпить трафик от клиентов, уходящий "в мир", на том же сервере, на котором пакеты NAT'ятся.<br><br>Сейчас это реализуется при помощи IPMARK: на файрволе пакеты маркируются, а затем "tc filter" направляет пакеты в соответствующие классы по этим маркам. Но меня перестает устраивать такой механизм - я хочу отказаться от IPMARK и использовать фильтр u32.<br><br>Но я почти уверен, что фильтр проверяет пакеты уже после NATа, и мне придется изобретать какой-нибудь геморрой, чтобы прошейпить исходящий "наружу" трафик...<br> https://opennet.ru/openforum/vsluhforumID1/82222.html#6 Fri, 21 Nov 2008 09:09:30 GMT &gt;&gt;&gt;Не помнишь, случайно - какой длины (в байтах) может быть эта марка? <br>&gt;&gt;<br>&gt;&gt;Я уже нашел. 6 бит. Увы - мне мало :( <br>&gt;<br>&gt;есть способ зацепиться за tc_index, он как раз 32бита, я думаю, что <br>&gt;должно хватить. <br>&gt;совершенно случайно его обнаружил, если интересно - пиши.<br><br>Я сделал проще - вынес NAT на другую железку :)<br><br>Тем более, та железка была загружена максимум на 7-8%, и после добавления к ней NAT'а нагрузка практически не увеличилась...<br><br><br> https://opennet.ru/openforum/vsluhforumID1/82222.html#5 Fri, 21 Nov 2008 08:36:23 GMT &gt;&gt;Не помнишь, случайно - какой длины (в байтах) может быть эта марка? <br>&gt;<br>&gt;Я уже нашел. 6 бит. Увы - мне мало :( <br><br>есть способ зацепиться за tc_index, он как раз 32бита, я думаю, что должно хватить.<br>совершенно случайно его обнаружил, если интересно - пиши.<br> https://opennet.ru/openforum/vsluhforumID1/82222.html#4 Thu, 02 Oct 2008 09:20:12 GMT &gt;&gt;Не помнишь, случайно - какой длины (в байтах) может быть эта марка? <br>&gt;<br>&gt;Я уже нашел. 6 бит. Увы - мне мало :( <br><br>ну я же не знал, что так много маркировок нужно.<br>- можно использовать tcindex (как раз 16бит)<br>- можно в конце-концов использовать комбинации маркеров, например dsmark+fwmark.<br><br><br> https://opennet.ru/openforum/vsluhforumID1/82222.html#3 Wed, 01 Oct 2008 15:08:46 GMT &gt;Не помнишь, случайно - какой длины (в байтах) может быть эта марка? <br><br>Я уже нашел. 6 бит. Увы - мне мало :(<br><br> https://opennet.ru/openforum/vsluhforumID1/82222.html#2 Wed, 01 Oct 2008 14:38:03 GMT &gt;исходящие пакеты классифицируются уже после всех преобразований, т.е. <br>&gt;непосредственно перед диспетчеризацией.<br><br>Т.е. после NAT. К сожалению, я не ошибался :(<br><br>&gt;если fwmark не нравится по каким-либо идеологическим причинам,<br><br>Никакой идеологи - простая арифметика.<br><br>Сейчас пакеты маркируются так: (последний байт из ip адреса) + 256 * (порядковый номер подсети в БД). Если учесть, что два старших бита в марке заняты под тип трафика (локальный/мировой) и направление (входящий/исходящий), то подсетей может быть всего 63. А мы хотим в ближайшем будущем подробить существующие сети, и их станет существенно больше 63 (и даже 255).<br><br>Поэтому я и смотрю в сторону маркировки через u32 по ip адресу (источника или приемника в зависимости от направления трафика).<br><br>&gt;то можно <br>&gt;попробовать зацепится за другие метаданные пакета - например за tcindex, <br>&gt;т.е. маркировать их на входе при помощи dsmark & u32, а на <br>&gt;выходе размещать <br>&gt;по очередям в зависимости от tcindex.<br><br>Т.е. маркировать посредством "tc qdisc ... https://opennet.ru/openforum/vsluhforumID1/82222.html#1 Wed, 01 Oct 2008 13:08:47 GMT &gt;[оверквотинг удален]<br>&gt;Мне нужно шейпить трафик от клиентов, уходящий "в мир", на том же <br>&gt;сервере, на котором пакеты NAT'ятся. <br>&gt;<br>&gt;Сейчас это реализуется при помощи IPMARK: на файрволе пакеты маркируются, а затем <br>&gt;"tc filter" направляет пакеты в соответствующие классы по этим маркам. Но <br>&gt;меня перестает устраивать такой механизм - я хочу отказаться от IPMARK <br>&gt;и использовать фильтр u32. <br>&gt;<br>&gt;Но я почти уверен, что фильтр проверяет пакеты уже после NATа, и <br>&gt;мне придется изобретать какой-нибудь геморрой, чтобы прошейпить исходящий "наружу" трафик... <br><br>исходящие пакеты классифицируются уже после всех преобразований, т.е. <br>непосредственно перед диспетчеризацией.<br>если fwmark не нравится по каким-либо идеологическим причинам, то можно<br>попробовать зацепится за другие метаданные пакета - например за tcindex, <br>т.е. маркировать их на входе при помощи dsmark & u32, а на выходе размещать<br>по очередям в зависимости от tcindex.<br><br>