Автор Тема: не работает MARK в HTB (Прочитано 1561 раз)

winmasta · « : 18 Декабря 2013, 16:45:09 »

в файле eth1-2:3 есть

MARK=1002
в iptables

sudo iptables -t mangle -A PREROUTING -s 192.168.1.2 -j MARK --set-mark 1002
а скорость не шейпится (работает только дефолт), как продиагностировать где проблемка ?

fisher74 · « **Ответ #1 :** 18 Декабря 2013, 16:57:09 »

показать всю информацию по настройкам, а не её огрызки.
Может у Вас пакеты до этого правила терминирутся из таблицы?!

winmasta · « **Ответ #2 :** 18 Декабря 2013, 17:28:06 »

eth1-2:3 (eth1 - в интернет)

Код: [Выделить]

RATE=1Mbit
CEIL=10Mbit
LEAF=sfq
MARK=1002

iptables-save

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.4.12 on Wed Dec 18 20:27:50 2013
*mangle
:PREROUTING ACCEPT [346845:424010307]
:INPUT ACCEPT [238621:395286156]
:FORWARD ACCEPT [108224:28724151]
:OUTPUT ACCEPT [158709:391587567]
:POSTROUTING ACCEPT [267006:420319416]
-A PREROUTING -s 192.168.1.2/32 -j MARK --set-xmark 0x66/0xffffffff
-A PREROUTING -s 192.168.1.2/32 -j MARK --set-xmark 0x3ea/0xffffffff
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Wed Dec 18 20:27:50 2013
# Generated by iptables-save v1.4.12 on Wed Dec 18 20:27:50 2013
*nat
:PREROUTING ACCEPT [1369:126941]
:INPUT ACCEPT [857:59514]
:OUTPUT ACCEPT [714:48463]
:POSTROUTING ACCEPT [32212:4112123]
-A PREROUTING -i eth0 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.31
-A PREROUTING -d 109.194.33.177/32 -i eth1 -p udp -m udp --dport 54236 -j DNAT --to-destination 109.194.33.177:1194
-A PREROUTING -s 195.208.161.154/32 -d 109.194.33.177/32 -i eth1 -p udp -m udp --dport 54236 -j DNAT --to-destination 109.194.33.177:1194
-A PREROUTING -s 195.208.161.206/32 -d 109.194.33.177/32 -i eth1 -p udp -m udp --dport 54236 -j DNAT --to-destination 109.194.33.177:1194
-A PREROUTING -s 217.18.140.129/32 -i eth1 -p tcp -m tcp --dport 46654 -j DNAT --to-destination 192.168.1.14
-A PREROUTING -s 195.225.38.62/32 -i eth1 -p tcp -m multiport --dports 52000,60671 -j DNAT --to-destination 192.168.1.36
-A PREROUTING -i eth1 -p tcp -m tcp --dport 367 -j DNAT --to-destination 192.168.1.9
-A PREROUTING -s 195.208.161.154/32 -i eth1 -p tcp -m multiport --dports 80,443,902,903,1368 -j DNAT --to-destination 192.168.1.40
-A PREROUTING -s 109.194.35.69/32 -i eth1 -p tcp -m multiport --dports 80,443,902,903,1368 -j DNAT --to-destination 192.168.1.40
-A PREROUTING -s 195.208.161.154/32 -i eth1 -p tcp -m tcp --dport 9100 -j DNAT --to-destination 192.168.1.43
-A PREROUTING -i eth1 -p tcp -m tcp --dport 9786 -j DNAT --to-destination 192.168.1.15
-A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -s 195.208.161.154/32 -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -s 195.208.161.206/32 -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -s 90.188.88.230/32 -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -s 90.188.88.229/32 -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -s 90.188.88.82/32 -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -s 109.194.35.69/32 -i eth1 -p tcp -m tcp --dport 5900 -j DNAT --to-destination 192.168.1.9
-A PREROUTING -s 195.208.161.154/32 -i eth1 -p tcp -m tcp --dport 5900 -j DNAT --to-destination 192.168.1.9
-A PREROUTING -s 195.208.161.206/32 -i eth1 -p tcp -m tcp --dport 5900 -j DNAT --to-destination 192.168.1.9
-A PREROUTING -i eth1 -p tcp -m tcp --dport 6881 -j DNAT --to-destination 192.168.1.9
-A PREROUTING -i eth1 -p udp -m udp --dport 6881 -j DNAT --to-destination 192.168.1.9
-A POSTROUTING -o eth1 -j SNAT --to-source 109.194.33.177
COMMIT
# Completed on Wed Dec 18 20:27:50 2013
# Generated by iptables-save v1.4.12 on Wed Dec 18 20:27:50 2013
*filter
:INPUT DROP [154:25235]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [158726:391595619]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate NEW -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j LOG --log-prefix "NEW not SYN: "
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j DROP
-A INPUT -s 192.168.1.0/24 -i eth0 -p tcp -m multiport --dports 21,22,53,80,111,139,366,389,445,636,2049,3128,3142,6881 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i eth0 -p udp -m multiport --dports 53,111,123,137,138,139,631,750,2049,5351,6881 -j ACCEPT
-A INPUT -i eth1 -p udp -m multiport --dports 1194 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -d 109.194.33.177/32 -i eth1 -p tcp -m multiport --dports 366 -j ACCEPT
-A INPUT -s 10.8.0.0/24 -i tun0 -p tcp -m multiport --dports 111,2049 -j ACCEPT
-A INPUT -s 10.8.0.0/24 -i tun0 -p udp -m multiport --dports 111,2049 -j ACCEPT
-A INPUT -s 10.8.0.5/32 -i tun0 -j ACCEPT
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died: " --log-level 7
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -i eth0 -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -i tun0 -j ACCEPT
-A FORWARD -d 192.168.1.31/32 -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 217.18.140.129/32 -d 192.168.1.14/32 -i eth1 -p tcp -m tcp --dport 46654 -j ACCEPT
-A FORWARD -s 195.225.38.62/32 -d 192.168.1.36/32 -i eth1 -p tcp -m multiport --dports 52000,60671 -j ACCEPT
-A FORWARD -d 192.168.1.29/32 -i eth1 -p tcp -m multiport --dports 365 -j ACCEPT
-A FORWARD -d 192.168.1.9/32 -i eth1 -p tcp -m multiport --dports 367,5900,6881 -j ACCEPT
-A FORWARD -d 192.168.1.200/32 -i eth1 -p tcp -m tcp --dport 368 -j ACCEPT
-A FORWARD -s 195.208.161.154/32 -d 192.168.1.40/32 -i eth1 -p tcp -m multiport --dports 80,443,902,903,1368 -j ACCEPT
-A FORWARD -s 109.194.35.69/32 -d 192.168.1.40/32 -i eth1 -p tcp -m multiport --dports 80,443,902,903,1368 -j ACCEPT
-A FORWARD -d 192.168.1.2/32 -i eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.1.9/32 -i eth1 -p tcp -m tcp --dport 6881 -j ACCEPT
-A FORWARD -d 192.168.1.9/32 -i eth1 -p udp -m udp --dport 6881 -j ACCEPT
-A FORWARD -s 195.208.161.154/32 -d 192.168.1.43/32 -i eth1 -p tcp -m multiport --dports 9100 -j ACCEPT
-A FORWARD -d 192.168.1.15/32 -i eth1 -p tcp -m tcp --dport 9786 -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died: " --log-level 7
COMMIT
# Completed on Wed Dec 18 20:27:50 2013

Пользователь решил продолжить мысль 18 Декабря 2013, 17:29:49:

eth1

Код: [Выделить]

DEFAULT=9
eth1-2.root

Код: [Выделить]

RATE=100Mbit
ls /etc/sysconfig/htb

Код: [Выделить]

-rw-r--r-- 1 root root 10 дек.  16 23:04 eth0
-rw-r--r-- 1 root root 13 дек.  16 23:40 eth0-2
-rw-r--r-- 1 root root 53 дек.  18 19:27 eth0-2:3
-rw-r--r-- 1 root root 29 дек.  16 23:39 eth0-2:9
-rw-r--r-- 1 root root 10 дек.  16 23:04 eth1
-rw-r--r-- 1 root root 13 дек.  16 23:31 eth1-2
-rw-r--r-- 1 root root 42 дек.  18 19:33 eth1-2:3
-rw-r--r-- 1 root root 42 дек.  18 19:37 eth1-2:9

Пользователь решил продолжить мысль 19 Декабря 2013, 17:23:15:

инфу дал, может еще чего-то не хватает ?

winmasta · « **Ответ #3 :** 24 Декабря 2013, 19:09:13 »

подскажите куда копать $:-\$

Пользователь решил продолжить мысль 24 Декабря 2013, 21:46:51:

htb compile

Код: [Выделить]

tc qdisc del dev eth0 root
tc qdisc add dev eth0 root handle 1 htb default 9

tc qdisc del dev eth1 root
tc qdisc add dev eth1 root handle 1 htb default 9

tc class add dev eth0 parent 1: classid 1:2 htb rate 100Mbit

tc class add dev eth0 parent 1:2 classid 1:3 htb rate 100Mbit
tc qdisc add dev eth0 parent 1:3 handle 3 sfq perturb 10
tc filter add dev eth0 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.1.0/24 classid 1:3

tc class add dev eth0 parent 1:2 classid 1:9 htb rate 5Mbit ceil 100Mbit prio 5
tc qdisc add dev eth0 parent 1:9 handle 9 sfq perturb 10

tc class add dev eth1 parent 1: classid 1:2 htb rate 100Mbit

tc class add dev eth1 parent 1:2 classid 1:3 htb rate 1Mbit ceil 10Mbit
tc qdisc add dev eth1 parent 1:3 handle 3 sfq perturb 10
tc filter add dev eth1 parent 1:0 protocol ip prio 200 handle 2 fw classid 1:3

tc class add dev eth1 parent 1:2 classid 1:9 htb rate 10Mbit ceil 100Mbit prio 5
tc qdisc add dev eth1 parent 1:9 handle 9 sfq perturb 10

iptables-save

Код: [Выделить]

# Generated by iptables-save v1.4.12 on Wed Dec 25 00:46:06 2013
*mangle
:PREROUTING ACCEPT [104852:218658286]
:INPUT ACCEPT [90934:199889758]
:FORWARD ACCEPT [13918:18768528]
:OUTPUT ACCEPT [61065:198608402]
:POSTROUTING ACCEPT [74988:217377842]
-A PREROUTING -s 192.168.1.2/32 -j MARK --set-xmark 0x2/0xffffffff
-A PREROUTING -s 192.168.1.2/32 -j RETURN
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Wed Dec 25 00:46:06 2013
# Generated by iptables-save v1.4.12 on Wed Dec 25 00:46:06 2013
*nat
:PREROUTING ACCEPT [21:1929]
:INPUT ACCEPT [114:6343]
:OUTPUT ACCEPT [132:8354]
:POSTROUTING ACCEPT [1595:202674]
-A PREROUTING -i eth0 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.31
-A PREROUTING -d 109.194.33.177/32 -i eth1 -p udp -m udp --dport 54236 -j DNAT --to-destination 109.194.33.177:1194
-A PREROUTING -s 195.208.161.154/32 -d 109.194.33.177/32 -i eth1 -p udp -m udp --dport 54236 -j DNAT --to-destination 109.194.33.177:1194
-A PREROUTING -s 195.208.161.206/32 -d 109.194.33.177/32 -i eth1 -p udp -m udp --dport 54236 -j DNAT --to-destination 109.194.33.177:1194
-A PREROUTING -s 217.18.140.129/32 -i eth1 -p tcp -m tcp --dport 46654 -j DNAT --to-destination 192.168.1.14
-A PREROUTING -s 195.225.38.62/32 -i eth1 -p tcp -m multiport --dports 52000,60671 -j DNAT --to-destination 192.168.1.36
-A PREROUTING -i eth1 -p tcp -m tcp --dport 367 -j DNAT --to-destination 192.168.1.9
-A PREROUTING -s 195.208.161.154/32 -i eth1 -p tcp -m multiport --dports 80,443,902,903,1368 -j DNAT --to-destination 192.168.1.40
-A PREROUTING -s 109.194.35.69/32 -i eth1 -p tcp -m multiport --dports 80,443,902,903,1368 -j DNAT --to-destination 192.168.1.40
-A PREROUTING -s 195.208.161.154/32 -i eth1 -p tcp -m tcp --dport 9100 -j DNAT --to-destination 192.168.1.43
-A PREROUTING -i eth1 -p tcp -m tcp --dport 9786 -j DNAT --to-destination 192.168.1.15
-A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -s 195.208.161.154/32 -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -s 195.208.161.206/32 -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -s 90.188.88.230/32 -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -s 90.188.88.229/32 -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -s 90.188.88.82/32 -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.2
-A PREROUTING -s 109.194.35.69/32 -i eth1 -p tcp -m tcp --dport 5900 -j DNAT --to-destination 192.168.1.9
-A PREROUTING -s 195.208.161.154/32 -i eth1 -p tcp -m tcp --dport 5900 -j DNAT --to-destination 192.168.1.9
-A PREROUTING -s 195.208.161.206/32 -i eth1 -p tcp -m tcp --dport 5900 -j DNAT --to-destination 192.168.1.9
-A PREROUTING -i eth1 -p tcp -m tcp --dport 6881 -j DNAT --to-destination 192.168.1.9
-A PREROUTING -i eth1 -p udp -m udp --dport 6881 -j DNAT --to-destination 192.168.1.9
-A POSTROUTING -o eth1 -j SNAT --to-source 109.194.33.177
COMMIT
# Completed on Wed Dec 25 00:46:06 2013
# Generated by iptables-save v1.4.12 on Wed Dec 25 00:46:06 2013
*filter
:INPUT DROP [2:499]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [61079:198614522]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate NEW -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j LOG --log-prefix "NEW not SYN: "
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j DROP
-A INPUT -s 192.168.1.0/24 -i eth0 -p tcp -m multiport --dports 21,22,53,80,111,139,366,389,445,636,2049,3128,3142,6881 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i eth0 -p udp -m multiport --dports 53,111,123,137,138,139,631,750,2049,5351,6881 -j ACCEPT
-A INPUT -i eth1 -p udp -m multiport --dports 1194 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -d 109.194.33.177/32 -i eth1 -p tcp -m multiport --dports 366 -j ACCEPT
-A INPUT -s 10.8.0.0/24 -i tun0 -p tcp -m multiport --dports 111,2049 -j ACCEPT
-A INPUT -s 10.8.0.0/24 -i tun0 -p udp -m multiport --dports 111,2049 -j ACCEPT
-A INPUT -s 10.8.0.5/32 -i tun0 -j ACCEPT
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died: " --log-level 7
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -i eth0 -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -i tun0 -j ACCEPT
-A FORWARD -d 192.168.1.31/32 -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 217.18.140.129/32 -d 192.168.1.14/32 -i eth1 -p tcp -m tcp --dport 46654 -j ACCEPT
-A FORWARD -s 195.225.38.62/32 -d 192.168.1.36/32 -i eth1 -p tcp -m multiport --dports 52000,60671 -j ACCEPT
-A FORWARD -d 192.168.1.29/32 -i eth1 -p tcp -m multiport --dports 365 -j ACCEPT
-A FORWARD -d 192.168.1.9/32 -i eth1 -p tcp -m multiport --dports 367,5900,6881 -j ACCEPT
-A FORWARD -d 192.168.1.200/32 -i eth1 -p tcp -m tcp --dport 368 -j ACCEPT
-A FORWARD -s 195.208.161.154/32 -d 192.168.1.40/32 -i eth1 -p tcp -m multiport --dports 80,443,902,903,1368 -j ACCEPT
-A FORWARD -s 109.194.35.69/32 -d 192.168.1.40/32 -i eth1 -p tcp -m multiport --dports 80,443,902,903,1368 -j ACCEPT
-A FORWARD -d 192.168.1.2/32 -i eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.1.9/32 -i eth1 -p tcp -m tcp --dport 6881 -j ACCEPT
-A FORWARD -d 192.168.1.9/32 -i eth1 -p udp -m udp --dport 6881 -j ACCEPT
-A FORWARD -s 195.208.161.154/32 -d 192.168.1.43/32 -i eth1 -p tcp -m multiport --dports 9100 -j ACCEPT
-A FORWARD -d 192.168.1.15/32 -i eth1 -p tcp -m tcp --dport 9786 -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died: " --log-level 7
COMMIT
# Completed on Wed Dec 25 00:46:06 201

--set-xmark 0x2/0xffffffff не в этом ли проблема ?

Пользователь решил продолжить мысль 25 Декабря 2013, 15:34:39:

PLEH

Пользователь решил продолжить мысль 25 Декабря 2013, 17:21:56:

судя по всему пакеты в iptables помечаются

Код: [Выделить]

IN=eth0 OUT= MAC=00:0c:29:9c:8e:d2:00:0c:29:ac:ad:ec:08:00 SRC=192.168.1.2 DST=109.194.35.69 LEN=63 TOS=0x00 PREC=0x00 TTL=128 ID=12230 DF PROTO=TCP SPT=3389 DPT=33264 WINDOW=258 RES=0x00 ACK PSH URGP=0 MARK=0x2

winmasta · « **Ответ #4 :** 04 Февраля 2014, 02:10:26 »

апну вдруг кто поможет

ps герои форума, скажите у Вас нет идей или времени ?

Форум русскоязычного сообщества Ubuntu

Автор Тема: не работает MARK в HTB (Прочитано 1561 раз)

winmasta

не работает MARK в HTB

fisher74

Re: не работает MARK в HTB

winmasta

Re: не работает MARK в HTB

winmasta

Re: не работает MARK в HTB

winmasta

Re: не работает MARK в HTB