[FAQ] Ограничение скорости для клиентов на Ubuntu-Server (htb.init)

[Mixasik]

Ну тогда
iptables -t mangle -A FORWARD -s локальный ip  -d местрая сеть  -j MARK --set-mark 1002
iptables -t mangle -A FORWARD -s локальный ip  -d локальный ip  -j MARK --set-mark 1003

Этот способ подойдёт только если у тебя локальная страна маленькая. Представим что локалькая страна это Россия, ну а занраница всё остальное. Мо какая туча правил будет чтоб местный трафик пометить. Это не элегантное решение. Да и подходит или для маленьких стран, или сетей определёных.

Вапше как я понял есть 2 решения этой проблемы, это патчить iptables и kernel для подержки geoip, и помечать с помошью его или же использовать реалмы в iproute2, но как они работают непонятно.

[tramX]

Есть описания какие бывают патчи для iptables. например p2p , geoip, и т.д и как их правильно настроить? Есть готовые deb пакеты?

[Mixasik]

Есть описания какие бывают патчи для iptables. например p2p , geoip, и т.д и как их правильно настроить? Есть готовые deb пакеты?

Описание есть на netfilter.org называется всё это path-o-matic, сомневаюсь что есть готовые пакеты, т.к. там пол ядра патчится.

[Mixasik]

Если кто будет накладывать патч geoip отпишитесь плиз скомпилились ли у вас модуль для иптаблов.
А то на центос без напилника на последние пакеты не встаёт.

[tramX]

А для BRIDGE можно шейпер настроить?

[Mixasik]

А для BRIDGE можно шейпер настроить?

Попробуй расскажеш.

[tramX]

Я пробовал. iptables проходящие пакеты дропает. а вот маркировка ничего не дает.

[Mixasik]

Я пробовал. iptables проходящие пакеты дропает. а вот маркировка ничего не дает.

Есть ещё такой пакет ebtables, это теже iptables только предназначеные для работы с интерфейсом Bridge. Вреде они должны помочь, но незнаю, неработал с ними

[tramX]

Дык ebtables я установил. Без нее правила iptables не будут работать

[VA]

Что то у меня ничего с MARK не получается, а так HTB  работает. Подскажите как лучше сделать, есть сервер- шлюз в инет и на нём же ФТП сервер и DNS, DHCP крутится. Сетевой интерфейс один- eth1, ip 192.168.1.5, через него подключены все пользователи, 192.168.1.0/24 и ADSL модем 192.168.1.1, в режиме моста- ppp0, инет раздаётся через
iptables -t nat -A POSTROUTING -s  192.168.1.0/24 -j MASQUERADE. Каким правилом iptables мне пометить пакеты например пользователю 192.168.1.20?
Вообще если я правильно понимаю правило долно быть
iptables -t nat -A POSTROUTING -d  192.168.1.20  -j MARK --set-mark 1002
 но в цепочке POSTROUTING таблицы nat нельзя выполнять действие MARK, а так это последняя цепочка iptables, получается что маркировать пакеты мне просто негде, или я где то ошибся...

[tramX]

Нужно создать цепочук mangle
iptables -t mangle -F
http://cybersity.homelinux.net/index.php?option=com_content&task=view&id=596&Itemid=45

[Mixasik]

Что то у меня ничего с MARK не получается, а так HTB  работает. Подскажите как лучше сделать, есть сервер- шлюз в инет и на нём же ФТП сервер и DNS, DHCP крутится. Сетевой интерфейс один- eth1, ip 192.168.1.5, через него подключены все пользователи, 192.168.1.0/24 и ADSL модем 192.168.1.1, в режиме моста- ppp0, инет раздаётся через
iptables -t nat -A POSTROUTING -s  192.168.1.0/24 -j MASQUERADE. Каким правилом iptables мне пометить пакеты например пользователю 192.168.1.20?
Вообще если я правильно понимаю правило долно быть
iptables -t nat -A POSTROUTING -d  192.168.1.20  -j MARK --set-mark 1002
 но в цепочке POSTROUTING таблицы nat нельзя выполнять действие MARK, а так это последняя цепочка iptables, получается что маркировать пакеты мне просто негде, или я где то ошибся...

Не в том месте маркировать пытаешься

iptables -t mangle -A PREROUTING -d  192.168.1.20  -j MARK --set-mark 1002
Да и таблочка не та была
Если используешь нат, то в PREROUTING адреса источников(внутрения сеть) ещё нормальные, то в POSTROUTING они уже преобразованы в адрес НАТа.

[VA]

Ребята спасибо за помощь. Заработало... а где только я эти пакеты не маркировал.... наверное уже во всех таблицах и цепочках. Сначала на угад, потом осмысленно http://www.opennet.ru/docs/RUS/iptables/ выучил почти наизусть. Вот она разница между работающим и не работающим правилом:
iptables -t mangle -A FORWARD –d 192.168.1.20 -j MARK --set-mark 1002
iptables -t mangle -A FORWARD -d 192.168.1.20 -j MARK --set-mark 1002   

Один символ и два дня потерянного времени 

[tramX]

iptables -t mangle -A POSTROUTING -o ppp+ -j IMQ --todev 1
и shaper на интерфейс imq1
Раскажите как это сделать?

[tramX]

Mixasik от нашел
http://isp-gw.dzti.lv/index.htm
я так понял это на микротике используют.