----- 8 Апр 2016 г. в 16:42 Anton Gorlov stal...@altlinux.ru написал(а):
> 08.04.2016 04:56, Alexei Takaseev пишет: >> А какие проблемы с шейпингом входящего НА клиентов трафика? Там все >> нормально и классически по мануалам. Проблема только в шейпинге исходящего >> ОТ клиентов трафика, там да, придется танцевать вокруг псевдоинтерфейсов ifb > > Хм..видимо я где-то запутался. Мне казалось что шейпить нужно на > интерфейсе от апплинка ко мне. > А по факту мне нужно будет для шейпинга входящего - шейпить на > интерфейсе смотрящем на клиентов? Не-не-не. Шейпить можно только исходящий с интерфейса трафик. Чтобы можно было шейпить приходящий на интерфейс трафик, его приходится перенаправлять на виртуальный ifb, и уже на виртуальном прописывать политики, так как трафик с ifb будет исходящим куда-то. В случае с NAT все сложно, так как по направлению клиент -> ifLAN -> NAT -> inWAN на ifWAN на момент применения политик шейпера уже произведена подмена src-адреса в пакете. Политики шейпера применяются уже после прохождения пакетом POSTROUTING. Чтобы обойти эту ситуацию, приходится городить конструкции вида: # перенаправлять входящие пакеты с LAN в ifb0 tc qdisc add dev LAN ingress tc filter add dev LAN parent ffff: protocol ip \ u32 match u32 0 0 action mirred egress redirect dev ifb0 и уже на ifb прописывать правила нарезки исходящей от клиентов скорости. _______________________________________________ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins