Miroslaw Dyduch wrote: > Dnia wtorek, 20 września 2005 15:16, Jarek Poplawski napisał: > .... > >>Chyba się powtórzę: >>Jeśli na eth0 działa NAT (SNAT lub MASQUERADE) pakietów >>wychodzących do internetu, to pakiety przychodzące (-i eth0) w >>fazie PREROUTING mają ip interfejsu eth0 i dopiero po >>"zdenatowaniu", czyli w FORWARD lub INPUT można będzie odróżnić >>ip lanu lub ip serwera (który najczęściej pozostanie zgodny z ip >>eth0). Nie ma to żadnego związku z ustawieniami IMQ. > > Dziękuje za wyprowadznie mnie z błędu w którym tkwiłem. > > ... > Na FORWARD -i eth0 -o eth1 idziesz wszystko ładnie rozpoznaje adresy lanu- > jest tak jak ma być ;) > > Problem się zaczyna z INPUT w mangle. > iptables -F -t mangle > iptables -t mangle -A INPUT -i eth0 -j IMQ --todev 0 > wget http://plik_testowy > prawie nic nie idzie do imq0 (nload -m -u K imq0)- " od czasu do czasu coś > bardzo małego skoczy" > ifconfig imq0- od czasu do czasu wpadnie jakiś pakiet > watch -n1 iptables -L INPUT -t mangle -nv natomiast licznik pokazuje > prawidłowo scigąniete okolo 14M. > dydko root # iptables -L INPUT -t mangle -nv > Chain INPUT (policy ACCEPT 48747 packets, 70M bytes) > pkts bytes target prot opt in out source > destination > 10283 14M IMQ all -- eth0 * 0.0.0.0/0 0.0.0.0/0 > > IMQ: todev 0 > dydko root # > > Co może byc przyczyną ze nie łapie w INPUT do lokalnej maszyny??
Może to, że IMQ ma swoje ograniczenia i powinno być stosowane w PREROUTING lub POSTROUTING. > Dlatego własnie kombinowałem z PREROUTING -d ip_lan_serwera. Być może czegoś nie mogę zrozumieć, ale: iptables -t mangle -A PREROUTING -i eth0 -j IMQ --todev 0 przy domyślnym w PLD (ale niedomyślnym w oryginalnym IMQ) ustawieniu w konfiguracji jądra CONFIG_IMQ_BEHAVIOR_AB pozwoli przy pomocy: tc filter add dev imq0 ... u32 match ip dst \ ip_lan_serwera_na_eth0 (i ew. na wszelki wypadek powtórzone z ip_lan_serwera_na_eth1) skierować ruch przychodzący z internetu przeznaczony dla serwera(routera) do odpowiedniej klasy, a tc filter add dev imq0 ... u32 match ip dst \ ip_lan_komputera ... zadziała podobnie dla komputerów w sieci z adresami lokalnymi. Jarek P. _______________________________________________ pld-users-pl mailing list [email protected] http://lists.pld-linux.org/mailman/listinfo/pld-users-pl
