Классификация трафика с помощью FWMARK

Витька

Не знаю, открыл ли Америку, но путём долгих изгаляний придумал для себя такой способ классификации трафика в угадайте каком биллинге.
Оговорюсь сразу - у меня имеется ровно один линукс, который выпускает около 10 машин, подключённых напрямую, и примерно столько же впн-щиков. Читай, нагрузка небольшая.
В iptables весь проходящий трафик я маркирую разными метками -j MARK. Так я отделяю локальный трафик от внешнего, входящий от исходящего - вариантов гора.
А дальше дело техники - запускается fprobe-ulog с прекраснейшим ключом -M, который в готовый Netflow вместо TOS подставляет MARK. При моих задачах TOS мне не нужен, а вот MARK очень полезен.
Остаётся настроить классы трафика в UTM и любоваться сделанным.

Отсюда, правда, есть у меня вопрос. Вот я смотрю, оно работает, трафик считает. Но вдруг всё не так радужно и меня подстерегают всяческие камни подводные?

Chris · Сообщение **Chris** » Вт дек 09, 2008 07:24

А нахрен тебе MARK? QoS вроде на L2 только с ToS работает

Витька

Chris писал(а):А нахрен тебе MARK? QoS вроде на L2 только с ToS работает

В mangle я могу использовать весь арсенал ойпитаблесов, чтобы гибко разделить трафик. Ведь критериев в файрволе можно ставить гораздо больше, чем предлагает мне функционал UTM. А дальше этими метками я подменяю поле TOS в netflow, который грузится в ядро UTM.

Chris · Сообщение **Chris** » Вт дек 09, 2008 19:18

трафика много?

Витька

Chris писал(а):трафика много?

Порядка десяти офисных машин. Торрентов и прочей шняги замечено не было.
Сделал сверку по трафику за сутки с вышестоящим провайдеров - разногласий нет.

Chris · Сообщение **Chris** » Вт дек 09, 2008 20:21

Тогда понятно ))))

stasn · Сообщение **stasn** » Ср дек 10, 2008 17:47

Витька писал(а): Отсюда, правда, есть у меня вопрос. Вот я смотрю, оно работает, трафик считает. Но вдруг всё не так радужно и меня подстерегают всяческие камни подводные?

Америку не открыл.

У меня работает по такой схеме уже больше двух лет. Всё прекрасно, проблем нет.
Гораздо проще настраивать классы трафика в утм (отличаются только значением ToS) и, вместе с тем, намного больше возможностей по гибкой классификации трафика на роутере по всевозможным критериям (всё что позволяет iptables), причём налету, без манипуляций с билингом.

Всё началось тоже с fprobe-ulog, эта опция пришлась очень кстати.

Потом подправил исходники ndsad, чтобы он делал тоже самое (он меньше грузил проц).
А с недавних пор сижу на IPT_NETFLOW, который тоже заставил слать fwmark вместо ToS - не нарадуюсь!

Трафик порядка 20-30 терабайт в месяц...

andretty

Интересная схема, только вот нигде не нашел, как подменить значение поля TOS на FWMARK с помощью IPT_NETFLOW

Подскажете как это сделать?

Витька

andretty писал(а):Интересная схема, только вот нигде не нашел, как подменить значение поля TOS на FWMARK с помощью IPT_NETFLOW Подскажете как это сделать?

Поправьте исходники, они не очень сложные

Ну или сделайте feature request, благо автор русский.

JAO · Сообщение **JAO** » Пн окт 12, 2009 06:03

Английскому автору тоже можно доходчиво обьяснить, why this feature is desirable in some situations.

andretty

К сожалению с программированием у меня оч туго, точнее совсем никак

Идея с заказом функции хорошая, спасибо, но если все же знаете, что и на что надо поправить и как потом этим пользоваться то напишите если не сложно

Форум компании NetUP

Классификация трафика с помощью FWMARK

Классификация трафика с помощью FWMARK

Re: Классификация трафика с помощью FWMARK