HTB + Iptables

[diogoborsoi]

Bom dia, seguinte eu consegui descobri q nao da pra controlar trafego de upload qdo a minha maquina q esta com o QoS (HTB) é a maquina q mascara tbm. Pois entao, estou tentando marcar os pacotes da rede interna pra poder controlar o upload com a marca no HTB, só q o mesmo nao esta funcionando ainda... Alguem teria alguma luz.

*** 10.0.0.0/24 ---> eth0 ---> HTB/IPTABLES ---> eth1 ---> internet ***

Grato

[roneyeduardo]

Você faria assim:

iptables -t mangle -A PREROUTING -i eth0 -s 10.0.0.13/32 -p ALL -j MARK --set-mark 13

Bom, no exemplo acima você vai marcar toda requisição do IP 13 da sua rede, atribuindo a marca 13. Agora basta criar uma classe na interface de internet (eth1) limitando a velocidade dessa marca. Não vou postar a criação da classe, pois esse material é vasto na internet, mas o filtro ficaria assim:

tc filter add dev eth1 parent 1: protocol ip prio 1 handle 13 fw classid X:Y

Onde "handle 13 fw" significa que ele vai filtrar o que foi marcado pelo firewall com a marca 13

[diogoborsoi]

eu havia feito assim...

Código :

$IPTABLES -t mangle -A PREROUTING -p all -j CONNMARK --restore-mark
$IPTABLES -t mangle -A PREROUTING -p all -m mark ! --mark 0 -j ACCEPT
$IPTABLES -t mangle -A PREROUTING -p all -s 10.201.201.105 -j MARK --set-mark 101
$IPTABLES -t mangle -A PREROUTING -p all -m mark --mark 101 -j CONNMARK --save-mark

e funcionou...

[roneyeduardo]

Ambas as formas funcionam (a que eu te passei funciona porque eu estou trabalhando com -p ALL e apenas com o source, sem definir a porta do serviço; porém se você precisasse definir uma porta/conexão específica, por exemplo a de ftp - porta 21 - ai sim você precisaria usar o CONNMARK, uma vez que o FTP se inicia pela porta 21, porém a transferência de dados se dá em portas altas aleatórias)