Modelado en Linux (vlan + nat + in / out)?

Sé que se han escrito muchos artículos sobre esto, pero desafortunadamente hasta el momento no se han aclarado todos. = (


Hay un enrutador de Linux (en un pequeño proveedor doméstico, distro - gentoo), que distribuye Internet a más de 150 usuarios.

Es necesario proporcionar un límite de velocidad tanto de entrada como de salida para los usuarios de acuerdo con sus tarifas.

Cada casa tiene su propio vlan, luego todos estos vlans llegan al enrutador. A la salida, una interfaz eth a internet. Todos los usuarios se sientan en nat.


El esquema es el siguiente:

{vlan1, vlan2, ..., vlann} eth0 = & gt; (pc-router) [nat] = & gt; eth1


De acuerdo con su TP, es necesario limitar la velocidad de entrada y salida para cada uno de los usuarios.


No ofrezco: Separación para diferentes autos, tsiska.

Necesito hacerlo en una carretilla. Al menos, el fryakh con esta tarea en otro segmento hace frente a una explosión (iré a ella si todavía no domino a la modeladora en Linux, pero aún no tengo ganas de rendirme)


En teoría, necesitas crear una interfaz virtual de ifb, pero no puedo descubrir cómo hacer amigos con + in + nat + vlan.

Respuestas
marcela
¿Y cuál es, de hecho, el problema? Marque a través de iptables en mangle :: FORWARD, luego el habitual HTB en vlan * y eth1, dirija el tráfico de acuerdo con el filtro fw. clases.
La forma resultará respectivamente de la interfaz. NAT no es absolutamente un obstáculo ya que la coloración del tráfico se produce antes.
Dado que hay muchos vlans, me gustaría deshacerme de la necesidad de activar un modelador en todas las interfaces, además, es necesario calcular en qué interfaz cuelga el suscriptor, para no forzar al núcleo a buscar un usuario donde no está. Leí en otra parte que no puede haber más de 255 marcas, aunque puede haber estado en núcleos antiguos.

En general, quiero encontrar una forma más sencilla. - flissc
michelle mcgrath
Hablando francamente, el shaper en ipfw es MUCHO más conveniente que iproute2, por lo que es muy posible cambiar a un fryahu después de toda la decisión correcta ... Aunque el linuxoide en sí, pero aún así.
Esto es sí. La razón por la que se le pidió que intentara ir a Linux es un firewall mucho más conveniente que ipfw, aunque probablemente sea una cuestión de gustos.
Pero personalmente, tengo experiencia en el uso de ipfw bastante grande y después de haber creado y creado iptables, entendí que iptables es cien veces más transparente y simple en la configuración. - ollie latham
Curiosamente, tengo la experiencia contraria con el uso de iptables, y después de haber intentado ipfw, lo encontré mucho más conveniente ... hmm) - sueann
anita harris
Shaper en Linux es grave. La sintaxis tc solo contribuye a esto. Especialmente si necesita dividir honestamente la banda entrante, no conozco una forma nativa simple de hacerlo. Solo con muletas en forma de IFB o IMQ, mejor que IFB es ideológicamente correcto, e incluso parece que no es necesario parchar el kernel y las iptables. El tráfico saliente (que va del enrutador a los usuarios en Vilana) configuraría directamente en sus interfaces de red. Bandeja de entrada de los usuarios etiquetados y envueltos en IFB. En IFB, el árbol de clases HTB se cuelga y los usuarios se filtran por marca cada uno en su propia hoja. Mi tráfico será redirigido aquí por este maravilloso equipo
$ TC filtro agregar dev $ VLAN padre ffff: protocolo ip prio 1 u32 coincidir con u32 0 0 flowid 1: 1 action ipt -j MARK - set-mark $ VID action mirred egress redirect dev $ IFB
En resumen, ponga fryahu allí, si lo entiende, será más fácil para usted y más confiable para los usuarios.