iptables limit

Taka veche nqakolko sedmici si bluskam glavata po edin problem i mislqa che veche stigam do reshenieto mu no vse oshte useshtam che neshto izpuskam:

Stava vupros za slednoto:

kogato se polzva shaper s opisvane na bulgarskite mreji za razdelqane na international ot peering se tovari cbq-to stava vupros za nad 1000 ip addresa umnojeno po 240 240 hilqadi reda v tc ..

Pri markirovka s iptables sushtata rabota poneje ne moje da se polzvat ednovremenno mark i ip pravilo..

Sega mi doide ideqa za izpolzvaneto na iptables kato ogranichitel za internetional i tc za peering vuprosa e kak tochno da stane :



iptables -t nat -A PREROUTING -s peering -j ACCEPT

iptables -t nat -A PREROUTING -s any -j shaper



Chain shaper

iptables -A shaper -d 192.168.0.0/24 -j limit -limit-rate 64kbps/s

С iptables маркираш пакетите, примерно:

интернет - марк 1

бг - марк 2

С tc правиш два класа, А и Б

С филтър fw пращаш интернет (марк 1) в клас А, бг (марк 2) в клас Б

Оттук нататък правиш подкласове на А и Б за всеки абонат по IP, като ползваш филтър u32, но вече знаеш, че всичко в А е интернет, а всичко в Б - бг

Така при 240 абоната ще имаш 2Х240=480 класа, плюс А и Б, или общо 482.

И евентуално още толкова за обратната посока.

Друг начин е да маркираш пакетите на всеки човек по различен начин... И после по 2 реда за всяка марка. По две маркировки на човек.



Съвет, прави маркировката по формулата X*8+Y, където Y е от 1 до 7 и е да кажем 1 за BG, 2 за INT. Може ако искаш по различен начин да маркираш посоките - in i out, да сложиш +4 за out.... Така 1 и 5 ще са BG, 2 и 6 - int.



После shaper-а си има правило за всяка марка какво да прави, а в iptables, където искаш можеш да познаеш типа на патеки използвайки маска.

Veche reshih problema po optimalnia variant t.e. nai malko redove v iptables i nai malko classove za cbq ..

440 reda v iptables +2 reda za vsqako ip

shaper 2classa za ip s edin filter i edin parent class

Bravo ivanec :))) dobre che pak ti podskazaha, puk posle shte se samohvalish che ti si si go znael kak stava :)

E nali ti ne si mi podskazal puk i tova koeto sum napravil sam sum si go napravil tebe velikia administrator (Hacker) ne sum te vikal..

ami ti vsushnost nishto ne si napravil osven edin Advanced Windows deto nishto ne pravi :)

drugoto e bilo podskazvania ot hora koito razbirat materiata

E ti poneje znesh mnogo za tova edin CS ne mojesh da podkarash ili triabva da ti napomnqam kolko si zle shtom contrata ne mojesh da si pusnesh kakavo ostava da si govorime......

e ti ot iptables kum CS mina :) tova e interesna logika i nachin na mislene :)

ot tipa:

Edno si baba znae, edno si baba kazva

До последните коментари материята беше много стойностна. А колкото до CS-a, нищо не сте - вчера едно момченце в #Cstrike ме пита: Как да пусна сървър за онлайн ?!?! Иначе, казва, разбирам от Cheating Death, Statsme, ама не знам с коя ПРОГРАМА да пусна сървър на моя Win и през доставчика да е винаги он-лайн !!!! Аз му казвам - пуска се с hlds.exe и понеже не си в час - вземи посети server.counter-strike.net и тогава задавай въпроси. А то ми казва - ааааа, знам аз, това е програма за наблюдаване на сървъра-а-а (мисля че визира HLSW, но не мога да му се сърдя) Тъй че не се дрънкайте, защото има и много по-зле (да не казвам за един админ на HeadOff, който пускаше под Linux с hlds_l вместо с ./hlds_l....)

И идеята на форумите (поне по света) е да се търси помощ, да се обменят мнения и да се споделят идеи. Тъй че, малко off topic - дайте да не сме толкова българи, отколкото професионалисти ! Аз поне чета форума за полезна информация, ама понякога боклука е толкова много че....



Хайде, със здраве и умната



С уважение