[FAQ] Ограничение скорости для клиентов на Ubuntu-Server (htb.init)

[thunderamur]

byte916,
меня беспокоит ВПН, правильно я посчитал, что для выделения канала ВПН нужно выделять канал для самого шлюза?
Пользователь решил продолжить мысль 26 Июля 2013, 05:03:34:

Код: [Выделить]

eth0
-----
DEFAULT=999
R2Q=100


eth0-2.root
-----
RATE=5Mbit


eth0-2:20.www
-----
RATE=2Mbit
CEIL=5Mbit
LEAF=sfq
RULE=*:80
PRIO=2


eth0-2:30.voip
-----
RATE=512Kbit
CEIL=5Mbit
LEAF=sfq
RULE=192.168.1.71
PRIO=1


eth0-2:40.vpn
-----
RATE=2Mbit
CEIL=5Mbit
LEAF=sfq
RULE=192.168.1.200
PRIO=2


eth0-2:999.all
-----
RATE=1Kbit
CEIL=64Kbit
LEAF=sfq
PRIO=3
После добавления этого, получил в локалке это:

Код: [Выделить]

master@comp-154:~$ ping 192.168.1.200
PING 192.168.1.200 (192.168.1.200) 56(84) bytes of data.
64 bytes from 192.168.1.200: icmp_req=1 ttl=64 time=4152 ms
64 bytes from 192.168.1.200: icmp_req=2 ttl=64 time=3157 ms
64 bytes from 192.168.1.200: icmp_req=3 ttl=64 time=2162 ms
64 bytes from 192.168.1.200: icmp_req=5 ttl=64 time=159 ms
64 bytes from 192.168.1.200: icmp_req=6 ttl=64 time=4764 ms
64 bytes from 192.168.1.200: icmp_req=7 ttl=64 time=3770 ms
64 bytes from 192.168.1.200: icmp_req=9 ttl=64 time=4384 ms
64 bytes from 192.168.1.200: icmp_req=10 ttl=64 time=3389 ms
64 bytes from 192.168.1.200: icmp_req=11 ttl=64 time=2401 ms
64 bytes from 192.168.1.200: icmp_req=12 ttl=64 time=1407 ms
64 bytes from 192.168.1.200: icmp_req=13 ttl=64 time=412 ms
64 bytes from 192.168.1.200: icmp_req=14 ttl=64 time=3131 ms
64 bytes from 192.168.1.200: icmp_req=15 ttl=64 time=2137 ms
64 bytes from 192.168.1.200: icmp_req=16 ttl=64 time=1142 ms
64 bytes from 192.168.1.200: icmp_req=17 ttl=64 time=147 ms
64 bytes from 192.168.1.200: icmp_req=18 ttl=64 time=3155 ms
64 bytes from 192.168.1.200: icmp_req=19 ttl=64 time=3119 ms
64 bytes from 192.168.1.200: icmp_req=20 ttl=64 time=2124 ms
64 bytes from 192.168.1.200: icmp_req=21 ttl=64 time=1129 ms
64 bytes from 192.168.1.200: icmp_req=22 ttl=64 time=141 ms

Кое-как поудалял все к чертям, т.к. даже ssh по локалке невообразимо лагал.

[byte916]

byte916,
меня беспокоит ВПН, правильно я посчитал, что для выделения канала ВПН нужно выделять канал для самого шлюза?
Пользователь решил продолжить мысль 26 Июля 2013, 05:03:34:

Код: [Выделить]

eth0
-----
DEFAULT=999
R2Q=100


eth0-2.root
-----
RATE=5Mbit


eth0-2:20.www
-----
RATE=2Mbit
CEIL=5Mbit
LEAF=sfq
RULE=*:80
PRIO=2


eth0-2:30.voip
-----
RATE=512Kbit
CEIL=5Mbit
LEAF=sfq
RULE=192.168.1.71
PRIO=1


eth0-2:40.vpn
-----
RATE=2Mbit
CEIL=5Mbit
LEAF=sfq
RULE=192.168.1.200
PRIO=2


eth0-2:999.all
-----
RATE=1Kbit
CEIL=64Kbit
LEAF=sfq
PRIO=3
После добавления этого, получил в локалке это:

Код: [Выделить]

master@comp-154:~$ ping 192.168.1.200
PING 192.168.1.200 (192.168.1.200) 56(84) bytes of data.
64 bytes from 192.168.1.200: icmp_req=1 ttl=64 time=4152 ms
64 bytes from 192.168.1.200: icmp_req=2 ttl=64 time=3157 ms
64 bytes from 192.168.1.200: icmp_req=3 ttl=64 time=2162 ms
64 bytes from 192.168.1.200: icmp_req=5 ttl=64 time=159 ms
64 bytes from 192.168.1.200: icmp_req=6 ttl=64 time=4764 ms
64 bytes from 192.168.1.200: icmp_req=7 ttl=64 time=3770 ms
64 bytes from 192.168.1.200: icmp_req=9 ttl=64 time=4384 ms
64 bytes from 192.168.1.200: icmp_req=10 ttl=64 time=3389 ms
64 bytes from 192.168.1.200: icmp_req=11 ttl=64 time=2401 ms
64 bytes from 192.168.1.200: icmp_req=12 ttl=64 time=1407 ms
64 bytes from 192.168.1.200: icmp_req=13 ttl=64 time=412 ms
64 bytes from 192.168.1.200: icmp_req=14 ttl=64 time=3131 ms
64 bytes from 192.168.1.200: icmp_req=15 ttl=64 time=2137 ms
64 bytes from 192.168.1.200: icmp_req=16 ttl=64 time=1142 ms
64 bytes from 192.168.1.200: icmp_req=17 ttl=64 time=147 ms
64 bytes from 192.168.1.200: icmp_req=18 ttl=64 time=3155 ms
64 bytes from 192.168.1.200: icmp_req=19 ttl=64 time=3119 ms
64 bytes from 192.168.1.200: icmp_req=20 ttl=64 time=2124 ms
64 bytes from 192.168.1.200: icmp_req=21 ttl=64 time=1129 ms
64 bytes from 192.168.1.200: icmp_req=22 ttl=64 time=141 ms

Кое-как поудалял все к чертям, т.к. даже ssh по локалке невообразимо лагал.

попробуйте вместо

Код: [Выделить]

eth0-2:40.vpn
-----
RATE=2Mbit
CEIL=5Mbit
LEAF=sfq
RULE=192.168.1.200
PRIO=2
сделать два правила

Код: [Выделить]

eth0-2:40.vpn
-----
RATE=2Mbit
CEIL=5Mbit
LEAF=sfq
RULE=192.168.1.200,*
PRIO=2

eth0-2:41.vpn
-----
RATE=2Mbit
CEIL=5Mbit
LEAF=sfq
RULE=*,192.168.1.200
PRIO=2

[overka]

Имеется шлюз на убунте. 2 интерфейса: 1 в локалку, другой в интернет. Интернет канал 2 мбит. В организации около 100 компов, и 2 админских компа. Требуется чтоб на 2 админских компах всегда был канал 1 Мбит и не падал ниже. Как это реализовать?

[AnrDaemon]

Никак.

[toxi]

Имеется шлюз на убунте. 2 интерфейса: 1 в локалку, другой в интернет. Интернет канал 2 мбит. В организации около 100 компов, и 2 админских компа. Требуется чтоб на 2 админских компах всегда был канал 1 Мбит и не падал ниже. Как это реализовать?

Можно сделать только до 1 Мб/с, но никак нельзя сделать так, чтобы скорость не падала меньше. При том, что у Вас на два компа "потянут" на себя 2 Мб/с и другим компьютерами ничего не останется.

[overka]

Тогда другой вопрос. Мы играем в онлайн игру (Дота 2) и бывают жуткие спайки и лаги. Можно ли как то в приоритет поставить трафик для этой игры именно. По портам или как-то

[toxi]

Тогда другой вопрос. Мы играем в онлайн игру (Дота 2) и бывают жуткие спайки и лаги. Можно ли как то в приоритет поставить трафик для этой игры именно. По портам или как-то

Можно по портам:

Код: [Выделить]

eth0-2:20.www
-----
RATE=2Mbit
CEIL=5Mbit
LEAF=sfq
RULE=*:80
PRIO=2
80 - это номер порта

или так:

Код: [Выделить]

eth0-2:20.www
-----
RATE=2Mbit
CEIL=5Mbit
LEAF=sfq
RULE=192.168.1.100:80, 192.168.1.101:80
PRIO=2

[ssyusupov]

Здравствуйте. Отмечу сразу с ОС из NIX семейств знаком не давно. Была задача поднять сервер для раздачи инета, скорость внешнего канала 3Мбита на 20 компов с перспективой  на расширение с ограничением скорости доступа для каждой машины в сети до 300 кбит/с. Установил сервер Ubuntu 12,04 ЛТС, поднял сквид3, DHCP, настроил прозрачный прокси, при настройки delay_parameters -1/-1 все работает клиентские машины заходят в нет на полной скорости нормально открывают страницы при проверке скорости через спидтест выдает все 3 Мбита, но стоит указать какую либо скорость даже больше чем весь имеющийся инет delay_parameters 18000000/-1 или  delay_parameters 18000000/20000000 либо delay_parameters 96000/128000 клиентские машины начинают открывать страницу но не открывают. в чем возможная причина если необходима будет какая либо доп инфа плиз писать с необходимой командой для её вывода я новичок еще не все знаю команды 

[Nesmit]

Ваш вопрос по SQUID, по нему есть специальные темы.

[YellowRaccoon]

Джентльмены, совершенно глупый вопрос: в самом начале "В папке, в которую указывает HTB_PATH создаем следующие файлы:
eth1:
R2Q=20
DEFAULT=0" бла-бла. Тут имеется ввиду touch /etc/htb/newfile и впиливать в него правила?

[winmasta]

Всем добрый день, помогите кто чем  сможет: есть роутер Ubuntu iptables eth0 - локалка eth1 - интернет, цель - иметь возможность ограничивать траффик (входящи и исходящий) любому ИП в локалке, весь день курил мануалы хауту и т.д. вот что имею на сегодня

iptables

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.4.12 on Mon Dec 16 19:29:43 2013
*mangle
:PREROUTING ACCEPT [49949:51587525]
:INPUT ACCEPT [13751:14870544]
:FORWARD ACCEPT [36198:36716981]
:OUTPUT ACCEPT [9090:14580000]
:POSTROUTING ACCEPT [45293:51297548]
-A PREROUTING -s 192.168.1.9/32 -j MARK --set-xmark 0x3f1/0xffffffff
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Mon Dec 16 19:29:43 2013
# Generated by iptables-save v1.4.12 on Mon Dec 16 19:29:43 2013
*nat
:PREROUTING ACCEPT [64:5598]
:INPUT ACCEPT [51:3753]
:OUTPUT ACCEPT [39:2875]
:POSTROUTING ACCEPT [2115:255505]
-A PREROUTING -i eth0 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.31
-A PREROUTING -d 109.194.33.177/32 -i eth1 -p udp -m udp --dport 54236 -j DNAT --to-destination 109.194.33.177:1194
-A PREROUTING -s 195.208.161.154/32 -d 109.194.33.177/32 -i eth1 -p udp -m udp --dport 54236 -j DNAT --to-destination 109.194.33.177:1194
-A PREROUTING -s 195.208.161.206/32 -d 109.194.33.177/32 -i eth1 -p udp -m udp --dport 54236 -j DNAT --to-destination 109.194.33.177:1194
-A PREROUTING -s 217.18.140.129/32 -i eth1 -p tcp -m tcp --dport 46654 -j DNAT --to-destination 192.168.1.14
-A PREROUTING -s 195.225.38.62/32 -i eth1 -p tcp -m multiport --dports 52000,60671 -j DNAT --to-destination 192.168.1.36
-A PREROUTING -i eth1 -p tcp -m tcp --dport 367 -j DNAT --to-destination 192.168.1.9
-A PREROUTING -s 195.208.161.154/32 -i eth1 -p tcp -m multiport --dports 80,443,902,903,1368 -j DNAT --to-destination 192.168.1.40
-A PREROUTING -s 109.194.35.69/32 -i eth1 -p tcp -m multiport --dports 80,443,902,903,1368 -j DNAT --to-destination 192.168.1.40
-A PREROUTING -s 195.208.161.154/32 -i eth1 -p tcp -m tcp --dport 9100 -j DNAT --to-destination 192.168.1.43
-A PREROUTING -i eth1 -p tcp -m tcp --dport 9786 -j DNAT --to-destination 192.168.1.15
-A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -s 195.208.161.154/32 -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -s 195.208.161.206/32 -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -s 90.188.88.230/32 -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -s 90.188.88.229/32 -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -s 90.188.88.82/32 -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -s 109.194.35.69/32 -i eth1 -p tcp -m tcp --dport 5900 -j DNAT --to-destination 192.168.1.9
-A PREROUTING -s 195.208.161.154/32 -i eth1 -p tcp -m tcp --dport 5900 -j DNAT --to-destination 192.168.1.9
-A PREROUTING -s 195.208.161.206/32 -i eth1 -p tcp -m tcp --dport 5900 -j DNAT --to-destination 192.168.1.9
-A PREROUTING -i eth1 -p tcp -m tcp --dport 6881 -j DNAT --to-destination 192.168.1.9
-A PREROUTING -i eth1 -p udp -m udp --dport 6881 -j DNAT --to-destination 192.168.1.9
-A POSTROUTING -o eth1 -j SNAT --to-source 109.194.33.177
COMMIT
# Completed on Mon Dec 16 19:29:43 2013
# Generated by iptables-save v1.4.12 on Mon Dec 16 19:29:43 2013
*filter
:INPUT DROP [1799:72248]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [9176:14591432]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate NEW -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j LOG --log-prefix "NEW not SYN: "
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j DROP
-A INPUT -s 192.168.1.0/24 -i eth0 -p tcp -m multiport --dports 21,22,53,80,111,139,366,389,445,636,2049,3128,3142,6881 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i eth0 -p udp -m multiport --dports 53,111,123,137,138,139,631,750,2049,5351,6881 -j ACCEPT
-A INPUT -i eth1 -p udp -m multiport --dports 1194 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -d 109.194.33.177/32 -i eth1 -p tcp -m multiport --dports 366 -j ACCEPT
-A INPUT -s 10.8.0.0/24 -i tun0 -p tcp -m multiport --dports 111,2049 -j ACCEPT
-A INPUT -s 10.8.0.0/24 -i tun0 -p udp -m multiport --dports 111,2049 -j ACCEPT
-A INPUT -s 10.8.0.5/32 -i tun0 -j ACCEPT
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died: " --log-level 7
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -i eth0 -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -i tun0 -j ACCEPT
-A FORWARD -d 192.168.1.31/32 -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 217.18.140.129/32 -d 192.168.1.14/32 -i eth1 -p tcp -m tcp --dport 46654 -j ACCEPT
-A FORWARD -s 195.225.38.62/32 -d 192.168.1.36/32 -i eth1 -p tcp -m multiport --dports 52000,60671 -j ACCEPT
-A FORWARD -d 192.168.1.29/32 -i eth1 -p tcp -m multiport --dports 365 -j ACCEPT
-A FORWARD -d 192.168.1.9/32 -i eth1 -p tcp -m multiport --dports 367,5900,6881 -j ACCEPT
-A FORWARD -d 192.168.1.200/32 -i eth1 -p tcp -m tcp --dport 368 -j ACCEPT
-A FORWARD -s 195.208.161.154/32 -d 192.168.1.40/32 -i eth1 -p tcp -m multiport --dports 80,443,902,903,1368 -j ACCEPT
-A FORWARD -s 109.194.35.69/32 -d 192.168.1.40/32 -i eth1 -p tcp -m multiport --dports 80,443,902,903,1368 -j ACCEPT
-A FORWARD -d 192.168.1.2/32 -i eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.1.9/32 -i eth1 -p tcp -m tcp --dport 6881 -j ACCEPT
-A FORWARD -d 192.168.1.9/32 -i eth1 -p udp -m udp --dport 6881 -j ACCEPT
-A FORWARD -s 195.208.161.154/32 -d 192.168.1.43/32 -i eth1 -p tcp -m multiport --dports 9100 -j ACCEPT
-A FORWARD -d 192.168.1.15/32 -i eth1 -p tcp -m tcp --dport 9786 -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died: " --log-level 7
COMMIT
# Completed on Mon Dec 16 19:29:43 2013

/etc/sysconfig/htb

(Нажмите, чтобы показать/скрыть)

-rw-r--r-- 1 root root 11 дек.  16 19:21 eth0
-rw-r--r-- 1 root root 41 дек.  16 19:25 eth0-2:10
-rw-r--r-- 1 root root 31 дек.  16 19:25 eth0-2:20
-rw-r--r-- 1 root root 26 дек.  16 19:21 eth0-2.root
-rw-r--r-- 1 root root 17 дек.  16 19:10 eth1
-rw-r--r-- 1 root root 51 дек.  16 19:18 eth1-2:10
-rw-r--r-- 1 root root 33 дек.  16 19:16 eth1-2:20
-rw-r--r-- 1 root root 26 дек.  16 19:11 eth1-2.root

eth0

Код: [Выделить]

DEFAULT=20
eth0-2.root

Код: [Выделить]

RATE=100Mbit
CEIL=100Mbit
eth0-2:10

Код: [Выделить]

RATE=1Mbit
CEIL=1Mbit
LEAF=sfq
MARK=1009хочу ограничить входящую скорость для 192.168.1.9

eth0-2:20

Код: [Выделить]

RATE=1Mbit
CIEL=1Mbit
LEAF=sfq... для всех в локальной сети

eth1

Код: [Выделить]

DEFAULT=20
R2Q=1
eth1-2.root

Код: [Выделить]

RATE=100Mbit
CEIL=100Mbit
eth1-2:10

Код: [Выделить]

RATE=50Mbit
CEIL=100Mbit
LEAF=sfq
RULE=192.168.1.9ограничил исходящую скорость

eth1-2:20

Код: [Выделить]

RATE=10Mbit
CIEL=10Mbit
LEAF=sfq
при таких настройках у меня download на полную скорость, upload примерно на 4 Мбит, менял числя туда-сюда - картина одна и та же, как бы понять как это работает
Пользователь решил продолжить мысль 16 Декабря 2013, 21:01:18:вроде разобрался - скрипт был кривоват, но вот так и не могу заставить работать MARK

делаю eth1-2:3

Код: [Выделить]

...
MARK=102

в iptables

Код: [Выделить]

sudo iptables -t mangle -A PREROUTING -s 192.168.1.2 -j MARK --set-mark 102
но трафик все равно шейпится по дефолтным правилам

[taa-132]

Имеется шлюз на ubuntu. С одной стороны - eth0 в нашу сетку, с другой - ppp0 в инет.
Задача: Ограничить скорость скачивания каждому устройству (допустим до 128 Kbit).
Проблема заключается в том, что эти устройства расположены в нескольких /16 сетках. Прописывать по классу по каждый ip в данной ситуации - как то не вариант (ведь только на одну /16 сетку уйдет около 65к классов).

Как реализовать сие? В какую сторону копать?

[AnrDaemon]

Так, как вы ставите задачу - никак.

[thunderamur]

Попытка №2

Код: [Выделить]

root@net-serv:/etc/sysconfig/htb# ls
eth0  eth0-2:10.local  eth0-2:20.inet  eth0-2.root

root@net-serv:/etc/sysconfig/htb# cat eth0
DEFAULT=20
R2Q=100

root@net-serv:/etc/sysconfig/htb# cat eth0-2.root
RATE=100Mbit
CEIL=100Mbit

root@net-serv:/etc/sysconfig/htb# cat eth0-2:10.local
RATE=98Mbit
CEIL=98Mbit
LEAF=sfq
RULE=10.8.0.0/24,
RULE=172.16.90.0/24,
RULE=192.168.0.0/16,

root@net-serv:/etc/sysconfig/htb# cat eth0-2:20.inet
RATE=1024Kbit
CEIL=2048Kbit
LEAF=sfq
BURST=128Kb

eth0 - в локалку
eth1 - в инет, через него же впн в другие офисы.

При таком конфиге реальная скорость 0.7 мегабита, хотя канал 11 мегабит, занят на 1-2 мегабита в данный момент. Почему не получаю 2 мегабита, указанные в CEIL?
Кроме того, в несколько раз вырастает пинг и плавает сильно. Это из-за чего происходит?

[kolesov]

Посоветуйте пожалуйста, каким образом можно шейпить с помощью HTB.init исходящий трафик с бриджа?
Входящий трафик шейпится нормально, а исходящий нет.
Пробовал маркировать так:

Код: [Выделить]

iptables -t mangle -A FORWARD -s 172.18.45.2 -j MARK --set-mark 103но это не работает.
мой iptables:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.4.12 on Wed Apr 30 20:32:43 2014
*filter
:INPUT ACCEPT [6579:3873165]
:FORWARD ACCEPT [110151:58354174]
:OUTPUT ACCEPT [4503:3875568]
-A FORWARD -p tcp -m set ! --match-set managers src -m tcp --dport 443 -m set --match-set badnet dst -j DROP
-A FORWARD -p tcp -m set ! --match-set managers src -m tcp --dport 443 -m set --match-set badip dst -j DROP
COMMIT
# Completed on Wed Apr 30 20:32:43 2014
# Generated by iptables-save v1.4.12 on Wed Apr 30 20:32:43 2014
*nat
:PREROUTING ACCEPT [2975:399060]
:INPUT ACCEPT [59:2920]
:OUTPUT ACCEPT [92:5943]
:POSTROUTING ACCEPT [3066:404951]
-A PREROUTING -s 172.18.45.0/24 ! -d 172.31.0.0/16 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
COMMIT
# Completed on Wed Apr 30 20:32:43 2014
# Generated by iptables-save v1.4.12 on Wed Apr 30 20:32:43 2014
*mangle
:PREROUTING ACCEPT [115827:62142995]
:INPUT ACCEPT [6585:3873989]
:FORWARD ACCEPT [110168:58358199]
:OUTPUT ACCEPT [4515:3877170]
:POSTROUTING ACCEPT [114683:62235369]
-A FORWARD -d 172.16.0.0/12 -p tcp -m tcp -j TOS --set-tos 0x10/0x3f
-A FORWARD -d 172.16.0.0/12 -p udp -m udp -j TOS --set-tos 0x10/0x3f
-A OUTPUT -p udp -m multiport --dports 53,5004,5060 -j TOS --set-tos 0x10/0x3f
COMMIT
# Completed on Wed Apr 30 20:32:43 2014


P.S. Тут выше писали, что в случае с бриджем надо метить ebtables...
Кто-нибудь сталкивался?