Как ограничить MAC

[fisher74]

Ещё раз: составьте правила фильтрации кальмара так, чтобы
1. ВСЕ пользователи имели ограничения (дефолтное правило).
2. VIP-пользователи, отфильтрованные по mac-адресу, получали льготный трафик.

Всё.

P.S. правда есть вариант, что могут найтись клиенты умеющие и mac-адрес своей сетевой рихтануть, но это уже совсем другая история

[alexbalkan]

Спасибо большое за помощь и понимание, вроде как бы разобрался.
Сделал так acl badspeed arp /etc/squid3/users.macs
Как бы вот так я сделал:
acl goodspeed src 192.168.2.20-192.168.2.25
acl mediumspeed src 192.168.2.30-192.168.2.50
acl badspeed arp /etc/squid3/users.macs
delay_pools 3
delay_class 1 1
delay_class 2 2
delay_class 3 3

http_access 1 allow goodspeed
http_access 1 deny all
http_access 2 allow medium speed
http_access 2 deny all
http_access 3 allow arpnet
http_access 3 deny all
http_access allow goodspeed mediumspeed badspeed
http_access deny all
delay_parameters 1 -1/-1
delay_parameters 2 32000/32000 8000/8000
delay_parameters 3 16000/16000 4000/4000

[fisher74]

Вы опять всё сделали наоборот.
Зачем Вы "плохишей" пересчитываете? Посчитайте "мальчишей", их "друзей" и добавьте их в goodspeed и mediumspeed соответсвенно(кстати, у Вас в правилах название группы разделённое).
Да и описания группы arpnet не вижу.

По пуллингу, признаться, не помню: Если прилетит mac-адрес из группы badspeed, но с IP-ом из группы goodspeed - какая группа присвоится этому клиенту - 1 или 3? Вроде как правила после совпадения дальше не обрабатываются, тогда неправильный mac попадёт в скоростную группу.
Или я с iptables путаю?

[alexbalkan]

Проблема вроде разрешилась. Сделал так
acl macsdeny arp XX:XX:XX:XX:XX:XX
Хотелось бы список MAC-ов прописать в файле отдельно, например
acl macsdeny arp /etc/squid3/users.macs
как правильно написать список адресов в этом файле. 

[AnrDaemon]

Один адрес на строчку.

[koshev]

Код: [Выделить]

...-s 192.168.0.67 ! -m mac --mac-source 00:1D:60:2E:ED:A5 -j DROP

А ещё можно это дело обвязать ipset'ом, только наоборот, разрешить нужные адреса, остальных нафиг.

Код: (text) [Выделить]

root@server:~# ipset -L good_access
Name: good_access
Type: bitmap:ip,mac
Header: range 192.168.0.0-192.168.0.255
Size in memory: 4180
References: 1
Members:
192.168.0.12,0A:2B:C3:FD:8C:AB
192.168.0.13,F5:9A:24:A4:E8:1F
192.168.0.15,00:00:EE:FF:9A:CB


Код: (text) [Выделить]

root@server:~# iptables-save -t filter
# Generated by iptables-save v1.4.20 on Wed May 14 22:29:42 2014
*filter
:INPUT DROP [171729:11233907]
:FORWARD DROP [490:47416]
:OUTPUT ACCEPT [1334645:1247994685]
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT
-A FORWARD -i vlan6 -o vlan5 -m set --match-set good_access src,src -j ACCEPT

[alexbalkan]

Спасибо большое за помощь. У себя сделал поправки, и сейчас все отлично фильтруется. Умники-качки в недоумении, что случилось? Теперь сеть тала менее нагруженной и каждый может наслаждаться работой.

[fisher74]

(Нажмите, чтобы показать/скрыть)

каждый может наслаждаться работой.

Фетишист, блин...