On нд, 2005-12-04 at 21:42 +0200, Nikolai Stefanov wrote: > Здравейте, > > Имам следната ситуация: рутерче с ядро 2.4.28, един интерфейс към интернет > доставчика и един към локална мрежа, ползва се ipchains firewalling (нужен > за работата на "трафомерачка"). > > Възниква необходимост да се ограничава изходящия трафик на потребителите към > доставчика, но не е ясно как да се прави това поотделно, тъй като след > маскарадинга всички излизат с един и същ адрес от този интерфейс, и се губи > firewall маркировката дори и да е направена. Практически няма как да "отсея" > потребителите, след като минат през маскарадинга.
fwmark-а не ти се губи заради маскарадинга, а заради това, че маркирането не става така както си го представяш (подменяйки и пъхайки цифрички в пакета) а в структури, които кърнела използва за да проследи пакета, и затова в момента в който пакета напусне машината забравяш за това 'оцветяване'. Според мен най-лесно е да използваш WRR shaper (така няма да губиш IP-тата на маскираните на външния интерфейс) и ще можеш да ги shape-ваш на същата машина. Не разбрах всъщност отзад има ли друга машина която искаш да shape-и? Ако политическите причини за неразбутването на антиката с ipchains са толкова важни, може да поискаш от "главния политик" да отдели една машина за shaper пред NAT-а ти ;-) Пламен
signature.asc
Description: This is a digitally signed message part
